Trail Flow
Tenable Identity Exposure의 Trail Flow에는 AD 인프라에 영향을 미치는 이벤트에 대한 실시간 모니터링 및 분석이 표시됩니다. 이것을 사용하면 중대한 취약성과 수정하기 위해 권장되는 과정을 확인할 수 있습니다.
Trail Flow 페이지를 사용하면 시간을 거슬러 되돌아가 이전 이벤트를 로드하거나 특정 이벤트를 검색할 수 있습니다. 또한 페이지 상단에서 검색 상자를 사용하여 위협을 검색하고 악성 패턴을 탐지할 수도 있습니다.
Trail Flow에서 추적하는 이벤트는 다음과 같습니다.
-
사용자 및 그룹 변경: 계정과 그룹의 생성, 삭제 및 수정을 포함합니다.
-
권한 변경: 파일, 폴더, 프린터 등의 개체에 대한 액세스 제어 수정을 포함합니다.
-
시스템 구성 조정: 그룹 정책 개체(GPO) 및 기타 중요한 설정에 대한 변경을 포함합니다.
-
의심스러운 활동: 무단 시도, 권한 상승 및 기타 위험 신호를 유발하는 이벤트를 포함합니다.
Tenable Identity Exposure에서는 Trail Flow 데이터를 활용하기 위한 다음과 같은 기능을 제공합니다.
-
검색 가능 및 필터링 가능: 키워드나 특정 기준을 사용하여 이벤트 스트림을 손쉽게 탐색할 수 있어 외부 소음을 최소화하면서 관련 활동에만 집중할 수 있습니다.
-
상세 이벤트 정보: 각각의 이벤트 항목마다 영향을 받은 개체, 변경을 담당한 사용자, 이용한 프로토콜, 관련 위험 노출 지표(IoE)까지 포괄하는 완벽한 세부 정보를 제공합니다.
-
관계 표시: 이벤트 간 관계를 나타내는 기능으로, 무관해 보이는 활동이 더 넓은 범위의 공격 캠페인에 어떻게 기여하는지 알려줍니다.
Trail Flow에 액세스하는 방법:
-
Tenable Identity Exposure에서 왼쪽의 탐색 모음에 있는 Trail Flow를 클릭합니다.
이벤트 목록을 포함한 Trail Flow 페이지가 열립니다. 자세한 내용은 Trail Flow 표을 참조하십시오.
시간 범위를 선택하는 방법:
-
Trail Flow 페이지 상단에서 캘린더 상자를 클릭합니다.
-
시작 날짜와 종료 날짜를 선택합니다.
-
검색을 클릭합니다.
Tenable Identity Exposure에서 선택한 시간 범위로 Trail Flow 표를 업데이트합니다.
도메인을 선택하는 방법:
-
Trail Flow 페이지 상단에 n/n 도메인 >을 클릭합니다.
포리스트 및 도메인 창이 열립니다.
-
포리스트와 도메인을 선택합니다.
-
선택 항목 필터링을 클릭합니다.
Tenable Identity Exposure에서 선택한 포리스트와 도메인의 정보로 Trail Flow 표를 업데이트합니다.
이벤트를 확인하는 방법:
-
Trail Flow 표에서 탐색하려는 이벤트를 포함한 줄을 클릭합니다.
이벤트 세부 정보 창이 열립니다. 자세한 내용은 이벤트 세부 정보을 참조하십시오.
Trail Flow를 일시 정지하고 다시 시작하는 방법:
-
다음 중 한 가지 작업을 수행합니다.
-
아이콘을 클릭하여 Trail Flow를 일시 정지합니다.Tail Flow를 일시 정지하면 최신 이벤트를 자동으로 수직 스크롤링하는 작업이 멈추지만, 분석은 배경에서 계속 실행되어 이벤트에 대한 검색을 실행할 수 있습니다.
-
아이콘을 클릭하여 Trail Flow를 다시 시작합니다.
-
다음 또는 이전 이벤트를 로드하는 방법:
-
Trail Flow 페이지에서 다음 중 한 가지 작업을 수행합니다.
-
다음 이벤트 로드 클릭
-
이전 이벤트 로드 클릭
-