Tabla “Trail Flow”

Tenable Identity Exposure enumera los eventos de la instancia de Active Directory en la tabla “Trail Flow” de forma continua a medida que se producen. Incluye la siguiente información:

Información Descripción
Origen

Indica el origen de cualquier cambio relacionado con la seguridad en las infraestructuras de AD.

Hay dos orígenes posibles:

  • El protocolo ligero de acceso a directorios (LDAP) usado para comunicarse con la infraestructura de AD.

  • El protocolo de bloque de mensajes del servidor (SMB) usado para compartir archivos, impresoras, etc.

Tenable Identity Exposure analiza exhaustivamente el tráfico LDAP y SMB en la red para detectar anomalías y amenazas potenciales.

Nota: Active Directory (AD) permite a los administradores crear políticas de grupo que controlan las opciones implementadas en las cuentas de usuarios y de máquina. El objeto de política de grupo (GPO) almacena estas opciones de control. La carpeta SYSVOL almacena archivos de GPO en el controlador de dominio. Es importante supervisar el contenido de los GPO para seguridad de la instancia de AD, ya que cada miembro del dominio puede aplicarlos o ejecutarlos con un alto nivel de privilegios.
Tipo

Muestra los elementos característicos de un evento, por ejemplo:

  • ACL modificada

  • SPN modificado

  • Miembro quitado

  • Nuevo miembro

  • Nueva confianza

  • Tipo de archivo desconocido agregado

  • Nuevo objeto

  • Objeto quitado

  • Contraseña modificada

  • UAC modificado

  • Nuevo GPO vinculado

  • Vínculo de GPO quitado

  • Cambio de propietario

  • Cambio de nombre en un archivo

  • SPN creado

  • Error al restablecer la autenticación

  • Error de autenticación
Objeto Indica la clase o extensión de archivo asociadas a un objeto de AD. Puede buscar un objeto de directorio (usuario, equipo, etc.) o un archivo con una extensión de nombre específica (ini, XML, csv).
Ruta

Indica la ruta completa a un objeto de AD para identificar la ubicación exclusiva de este objeto en la instancia de AD.
Directorio

Indica el directorio desde donde provino el cambio en la infraestructura de AD.
Fecha

Indica el momento del evento.