Trail Flow

Trail Flow de Tenable Identity Exposure muestra la supervisión y el análisis en tiempo real de los eventos que afectan su infraestructura de AD. Le permite detectar vulnerabilidades críticas y las acciones de corrección recomendadas.

Con la página Trail Flow, puede retroceder en el tiempo y cargar eventos anteriores o buscar eventos específicos. También puede usar el cuadro de búsqueda situado al principio de la página para buscar amenazas y detectar patrones malintencionados.

Trail Flow hace un seguimiento de los siguientes eventos:

  • Cambios de usuarios y grupos: incluye la creación, la eliminación y la modificación de cuentas y grupos.

  • Modificaciones de permisos: incluye las modificaciones a los controles de acceso en objetos, como archivos, carpetas e impresoras.

  • Ajustes en la configuración del sistema: involucra cambios en los objetos de política de grupo (GPO) y otras opciones críticas.

  • Actividades sospechosas: incluye intentos no autorizados, escalamientos de privilegios y otros eventos que generan señales de alerta.

Tenable Identity Exposure ofrece estas funcionalidades para aprovechar los datos de Trail Flow:

  • Búsquedas y filtros: es posible navegar de manera sencilla por el flujo de eventos mediante palabras clave o criterios específicos, lo que permite centrar la atención en las actividades pertinentes y minimizar el ruido externo.

  • Información detallada del evento: cada entrada de evento ofrece detalles exhaustivos, que abarcan el objeto afectado, el usuario responsable del cambio, el protocolo utilizado y los indicadores de exposición (IoE) asociados.

  • Relaciones visualizadas: refiere a la capacidad de ilustrar las relaciones entre los eventos, donde se destaca cómo actividades aparentemente no relacionadas pueden contribuir a una campaña de ataque más amplia.

¿Cómo aparecen los datos en Trail Flow?

  1. Cuando realiza una acción dentro de la interfaz de Active Directory (AD), por ejemplo:

    • Crear una nueva cuenta de usuario.

    • Modificar la pertenencia a un grupo de un usuario.

    • Restablecer una contraseña.

    • Deshabilitar una cuenta.

    • Habilitar una cuenta.

    • Eliminar una cuenta.

    • Mover un objeto.

    • Modificar permisos.

  1. Active Directory (AD) genera automáticamente una entrada del registro de eventos que captura detalles de la operación, entre otras cosas:

    • Marca de tiempo.

    • Administrador que se encarga de la acción.

    • Objetos afectados.

    • Cambios específicos que se hicieron.

  1. Tenable Identity Exposure recopila y analiza de manera continua estos registros de eventos y correlaciona los eventos, identifica patrones y detecta anomalías.

  1. En la página “Trail Flow” se visualizan el flujo y el impacto de la operación:

    • Línea de tiempo: muestra una secuencia cronológica de eventos, donde se resalta la operación reciente.

    • Detalles del objeto: ofrece información específica sobre los objetos afectados, incluidos sus atributos y relaciones.

    • Historial de cambios: muestra un historial de modificaciones hechas en los objetos, incluida la operación actual.

    • Información sobre riesgos: identifica riesgos potenciales asociados a la operación, como permisos excesivos o la pertenencia a grupos confidenciales.

    • Información sobre cumplimiento: indica cualquier infracción de cumplimiento relacionada con la operación.

Consulte también