ハニーアカウント
ハニーアカウントは、Active Directory を介してネットワークを侵害しようとする攻撃者を検出することを目的とする、おとりアカウントです。
これは Tenable Identity Exposure の攻撃インジケーターが Kerberoasting の悪用の試みを検出するための前提条件です。攻撃者は、サービスチケットをリクエストして抽出し、サービスアカウントの認証情報をオフラインで割り出して、サービスアカウントへのアクセスを取得しようとします。ハニーアカウントがログイン試行またはチケットリクエストを受けると、Kerberoasting 攻撃インジケーターはアラートを送信します。
ドメインごとに 1 つのハニーアカウントを関連付けます。ハニーアカウントはセキュリティプロファイルに関連していません。
-
Tenable Identity Exposure で、[システム] > [ドメイン管理] をクリックします。
[ドメイン管理] ペインが表示されます。
-
ハニーアカウントを追加するドメインにカーソルを合わせます。
-
[ハニーアカウントの設定ステータス] で、[+] をクリックします。
[ハニーアカウントの追加] ペインが表示されます。
-
[名前] ボックスに、ハニーアカウントとして使用するユーザーアカウントの識別名 (DN) を入力します。
ヒント: 任意の文字列を入力すると、Tenable Identity Exposure はその文字列を検索し、そのユーザーアカウントがすでに Active Directory に存在する場合は、一致するユーザーアカウント名をドロップダウンボックスに表示します。
-
[デプロイメント] セクションで、Tenable Identity Exposure はハニーアカウントのデプロイを実行するスクリプトを適切な設定で生成します。 をクリックして、このスクリプトをコピーします。
-
[追加] をクリックします。
Tenable Identity Exposure がハニーアカウントを追加したことを確認するメッセージが表示されます。[ドメイン管理] ペインに、選択したドメインの [ハニーアカウントの設定ステータス] がオレンジ色 () で表示されます。これは、ハニーアカウントデプロイメントスクリプトを実行してアカウントをアクティブにする必要があることを示しています。
注意: [ハニーアカウントの設定ステータス] が赤 () の場合、Tenable Identity Exposure がActive Directory 内でこのユーザーアカウントを検出できなかったことを示しています。このユーザーアカウントを作成してから、次の手順に進む必要があります。
-
Active Directory モジュールがあるマシンの Windows PowerShell で、コピーしたハニーアカウントデプロイメントスクリプトを実行します。
[ドメイン管理] ペインで、選択したドメインの [ハニーアカウントの設定ステータス] がアクティブであることを示す緑色のステータス () で表示されます。
注意: Tenable Identity Exposure は、ハニーアカウントの処理と有効化に時間がかかる場合があります。
-
Tenable Identity Exposure で、[システム] > [ドメイン管理] をクリックします。
[ドメイン管理] ペインが表示されます。
-
ハニーアカウントを追加するドメインにカーソルを合わせます。
-
[ハニーアカウントの設定ステータス] で、右側にある アイコンをクリックします。
[ハニーアカウントの編集] ペインが表示されます。
-
[名前] ボックスで、必要に応じてユーザーアカウントを変更します。
-
[デプロイメント] セクションで をクリックして、ハニーアカウントデプロイメントスクリプトをコピーします。
-
[編集] をクリックします。
Tenable Identity Exposure がハニーアカウントを更新したことを確認するメッセージが表示されます。[ドメイン管理] ペインに、選択したドメインの [ハニーアカウントの設定ステータス] がオレンジ色 () で表示されます。これは、ハニーアカウントデプロイメントスクリプトを実行してアカウントをアクティブにする必要があることを示しています。
注意: [ハニーアカウントの設定ステータス] が赤 () の場合、Tenable Identity Exposure がActive Directory 内でこのユーザーアカウントを検出できなかったことを示しています。このユーザーアカウントを作成してから、次の手順に進む必要があります。
-
Active Directory モジュールがあるマシンの Windows PowerShell で、コピーしたハニーアカウントデプロイメントスクリプトを実行します。
[ドメイン管理] ペインで、選択したドメインの [ハニーアカウントの設定ステータス] が設定済みであることを示す緑色のステータス () で表示されます。
注意: Tenable Identity Exposure は、ハニーアカウントの処理と有効化に時間がかかる場合があります。
-
Tenable Identity Exposure で、[システム] > [ドメイン管理] をクリックします。
[ドメイン管理] ペインが表示されます。
-
ハニーアカウントを追加するドメインにカーソルを合わせます。
-
[ハニーアカウントの設定ステータス] で、右側にある アイコンをクリックします。
[ハニーアカウントの編集] ペインが表示されます。
-
[削除] をクリックします。
Tenable Identity Exposure がハニーアカウントを削除したことを確認するメッセージが表示されます。
関連項目