Trail Flow

Tenable Identity Exposure의 Trail Flow에는 AD 인프라에 영향을 미치는 이벤트에 대한 실시간 모니터링 및 분석이 표시됩니다. 이것을 사용하면 중대한 취약성과 수정하기 위해 권장되는 과정을 확인할 수 있습니다.

Trail Flow 페이지를 사용하면 시간을 거슬러 되돌아가 이전 이벤트를 로드하거나 특정 이벤트를 검색할 수 있습니다. 또한 페이지 상단에서 검색 상자를 사용하여 위협을 검색하고 악성 패턴을 탐지할 수도 있습니다.

Trail Flow에서 추적하는 이벤트는 다음과 같습니다.

  • 사용자 및 그룹 변경: 계정과 그룹의 생성, 삭제 및 수정을 포함합니다.

  • 권한 변경: 파일, 폴더, 프린터 등의 개체에 대한 액세스 제어 수정을 포함합니다.

  • 시스템 구성 조정: 그룹 정책 개체(GPO) 및 기타 중요한 설정에 대한 변경을 포함합니다.

  • 의심스러운 활동: 무단 시도, 권한 상승 및 기타 위험 신호를 유발하는 이벤트를 포함합니다.

Tenable Identity Exposure에서는 Trail Flow 데이터를 활용하기 위한 다음과 같은 기능을 제공합니다.

  • 검색 가능 및 필터링 가능: 키워드나 특정 기준을 사용해 이벤트 스트림을 손쉽게 탐색할 수 있어 외부 소음을 최소화하면서 관련 활동에만 집중할 수 있습니다.

  • 상세 이벤트 정보: 각각의 이벤트 항목마다 영향을 받은 개체, 변경을 담당한 사용자, 이용한 프로토콜, 관련 위험 노출 지표(IoE)까지 포괄하는 완벽한 세부 정보를 제공합니다.

  • 관계 표시: 이벤트 간 관계를 나타내는 기능으로, 무관해 보이는 활동이 더 넓은 범위의 공격 캠페인에 어떻게 기여하는지 알려줍니다.

Trail Flow에 데이터가 어떻게 표시됩니까?

  1. Active Directory(AD) 인터페이스 내에서 다음과 같은 작업을 수행하는 경우:

    • 새 사용자 계정 만들기

    • 사용자의 그룹 멤버 자격 수정

    • 비밀번호 초기화

    • 계정 사용 중지

    • 계정 사용

    • 계정 삭제

    • 개체 이동

    • 권한 수정

  1. Active Directory(AD)가 자동으로 이벤트 로그 항목을 생성하여 작업의 세부 사항을 수집합니다. 예를 들면 다음과 같습니다.

    • 타임스탬프

    • 작업을 수행하는 관리자

    • 영향을 받는 개체

    • 구체적인 변경 사항

  1. Tenable Identity Exposure에서 이러한 이벤트 로그를 지속적으로 수집하고 분석하여 이벤트 상관 관계를 분석하고 패턴을 식별하며 이상을 감지합니다.

  1. Trail Flow 페이지에서 작업의 흐름과 영향을 다음과 같이 시각화합니다.

    • 타임라인: 이벤트를 시간순으로 표시하고, 최근 작업을 강조 표시합니다.

    • 개체 세부 사항: 특성 및 관계를 포함해 영향을 받는 개체에 관한 구체적인 정보를 제공합니다.

    • 변경 기록: 현재 작업을 포함하여 개체에 적용된 수정 사항 기록을 표시합니다.

    • 위험 통찰: 과도한 권한이나 중요한 그룹의 멤버 자격 등 작업과 관련된 잠재적인 위험을 식별합니다.

    • 규정 준수 정보: 작업과 관련된 규정 준수 위반을 나타냅니다.

참고 항목