攻撃シナリオ (v. 3.36 以前)

注意: 攻撃インジケーターのこの設定更新機能は、Tenable Identity Exposureバージョン 3.36 以降には適用されなくなりました。
必要なユーザーロール: 攻撃インジケーター設定を変更するアクセス許可を持つ組織のユーザー

Tenable Identity Exposure が特定のドメインで監視する攻撃のタイプを選択して、攻撃シナリオとして定義します。

攻撃シナリオを変更するには、以下のアクセス許可を持つユーザーロールが必要です。

  • [データエンティティ] で、以下に対する「読み取り」アクセス権

    • すべての攻撃インジケーター

    • すべてのドメイン

  • [インターフェースエンティティ] で、以下に対するアクセス権

    • 管理 > システム > 設定

    • 管理 > システム > 設定 > アプリケーションサービス > 攻撃インジケーター

    • 管理 > システム > 設定 > アプリケーションサービス > 攻撃インジケーター > インストールファイルのダウンロード

ロールベースのアクセス許可についての詳細は、ロールのアクセス許可の設定を参照してください。

  1. Tenable Identity Exposure で、[システム] > [設定] > [攻撃インジケーター] をクリックします。

    [攻撃シナリオの定義] ペインが開きます。

    攻撃シナリオの定義

  2. [攻撃名] で、監視する攻撃を選択します。

  3. 選択した攻撃を監視するドメインを選択します。

  4. オプションで、次のいずれかを実行できます。

    • [すべて選択] をクリックして、すべてのドメインですべての攻撃を監視します。

    • 特定のドメインをフィルタリングして特定の攻撃を監視するには、[n/n 個のドメイン] または [n/n 個のインジケーター] をクリックします。

  1. [Save] をクリックします。

    設定の保存後に Tenable Identity Exposure により各攻撃のアクティビティステータスが消去されることを通知する確認メッセージが表示されます。

  2. [確認] をクリックします。

    Tenable Identity Exposure が攻撃インジケーター設定を更新したことを確認するメッセージが表示されます。

  3. [インストールファイルのダウンロード] をクリックします。

  4. 新しい攻撃設定を有効にするには、次のようにインストールファイルを実行します。

    1. ダウンロードしたインストールファイルをコピーし、監視対象ドメインの DC に貼り付けます。

    2. 管理者権限で PowerShell ターミナルを開きます。

    3. Tenable Identity Exposure で、ウィンドウの下部にある攻撃インジケーターセクションのコマンドをコピーします。

      攻撃インジケーターインストールスクリプト

    4. PowerShell ウィンドウにそのコマンドを貼り付けて、スクリプトを実行します。

ワークロードクォータ

警告: ワークロードクォータ機能は、Tenable Identity Exposureバージョン 3.36 以降には適用されなくなりました。
必要なユーザーロール: ワークロードクォータを編集するアクセス許可を持つ組織のユーザー

Tenable Identity Exposure の各攻撃インジケーター (IoA) には、攻撃のデータを分析するために必要なリソースを考慮したワークロードクォータが割り当てられています。

Tenable Identity Exposure は、同時に実行される攻撃インジケーター (IoA) の数を制限するためにワークロードクォータを計算します。同時実行は、ドメインコントローラーのイベント生成の帯域幅と CPU 使用率に影響を与えます。

ワークロードクォータの制限を変更した後、次の操作を行います。

  • 増加した場合: 増加後の統計を監視し、十分な余裕があることを確認します。

  • 削減した場合: このクォータを超過しないように一部の IoA を非アクティブにします。この場合、攻撃に対するセキュリティカバレッジは狭くなります。

  1. Tenable Identity Exposure で、[システム] > [設定] > [攻撃インジケーター] をクリックします。

    [IoA 設定] ペインが開きます。

  2. 設定に必要な IoA を選択します。

  3. [攻撃インジケーター][クォータの上限] ボックスに、ワークロードクォータ制限の値を入力します。

    ワークロードクォータの変更

  4. 入力した値の横にあるチェックマークをクリックします。

    変更が Tenable Identity Exposure に及ぼす影響を通知するメッセージが表示されます。

    注意: クォータの上限に現在の攻撃設定で必要とされる値よりも小さい値を入力した場合は、アクティブな攻撃インジケーターの数を調整するか、または制限を引き上げる必要があります。

  5. [確認] をクリックします。

    Tenable Identity Exposure がクォータの最大制限を更新したことを確認するメッセージが表示されます。

  6. [Save] をクリックします。

    設定の保存後に Tenable Identity Exposure により各攻撃のアクティビティステータスが消去されることを通知する確認メッセージが表示されます。

  7. [確認] をクリックします。

    Tenable Identity Exposure が攻撃インジケーター設定を更新したことを確認するメッセージが表示されます。

  8. [インストールファイルのダウンロード] をクリックします。

  9. 新しい攻撃設定を有効にするには、次のようにインストールファイルを実行します。

    1. ダウンロードしたインストールファイルをコピーし、監視対象ドメインの DC に貼り付けます。

    2. 管理者権限で PowerShell ターミナルを開きます。

    3. Tenable Identity Exposure で、ウィンドウの下部にある攻撃インジケーターセクションのコマンドをコピーします。

      攻撃インジケーターインストールスクリプト

    4. PowerShell ウィンドウにそのコマンドを貼り付けて、スクリプトを実行します。