Trail Flow 표

Tenable Identity Exposure에서는 Active Directory에 이벤트가 발생하는 대로 계속해서 Trail Flow 표의 목록에 추가합니다. 여기에는 다음과 같은 정보가 포함됩니다.

정보 설명
소스

AD 인프라에 보안 관련 변경 사항이 발생한 곳을 나타냅니다.

가능한 소스는 두 가지입니다.

  • AD 인프라와 통신에 사용되는 LDAP(Lightweight Directory Access Protocol)입니다.

  • 파일, 프린터 등을 공유하는 데 사용되는 SMB(Server Message Block) 프로토콜입니다.

Tenable Identity Exposure에서 네트워크를 통과하는 LDAP와 SMB 트래픽을 철저히 분석하여 이상과 잠재적 위협을 탐지합니다.

참고: Active Directory(AD)를 사용하면 관리자가 사용자와 컴퓨터 계정에 배포된 설정을 제어하는 그룹 정책을 만들 수 있습니다. GPO(Group Policy Object)에 이러한 제어 설정을 저장합니다. Sysvol 폴더는 GPO 파일을 도메인 컨트롤러에 저장합니다. AD 보안을 위해 GPO 내용을 모니터링하는 것이 중요합니다. 각각의 도메인 멤버가 높은 수준의 권한을 가지고 적용하거나 실행할 수 있기 때문입니다.
유형

다음과 같은 이벤트의 특징적인 요소를 보여줍니다.

  • ACL 변경됨

  • SPN 변경됨

  • 멤버 제거됨

  • 새 멤버

  • 새 트러스트 관계

  • 알 수 없는 파일 유형 추가됨

  • 새 개체

  • 개체 제거됨

  • 비밀번호 변경됨

  • UAC 변경됨

  • 새 GPO 연결됨

  • GPO 링크 제거됨

  • 소유자 변경

  • 파일 이름 바꿈

  • SPN 만듦

  • 인증 초기화 실패

  • 인증 실패
개체 AD 개체와 연결된 클래스 또는 파일 확장자를 나타냅니다. 디렉터리 개체(사용자, 컴퓨터 등) 또는 특정 파일 이름 확장자(ini, XML, csv)를 포함한 파일을 검색할 수 있습니다.
경로

AD에 이 개채의 고유한 위치를 식별하는 AD 개체까지 전체 경로를 나타냅니다.
디렉터리

AD 인프라 변경이 발생한 디렉터리를 나타냅니다.
날짜

이벤트 시간을 나타냅니다.