攻撃インジケーターのインストール
Tenable Identity Exposure の攻撃インジケーター (IoA) モジュールでは、新しいグループポリシーオブジェクト (GPO) を作成し、組織単位 (OU) にリンクできる管理者アカウントで PowerShell インストールスクリプトを実行する必要があります。Tenable Identity Exposure の監視対象である Active Directory ドメインに参加していて、ネットワーク経由でドメインコントローラーに到達できる任意のマシンから、このスクリプトを実行できます。
このインストールスクリプトは、各 AD ドメインに 1 回実行するだけで済みます。これは、作成された GPO が、イベントリスナーを既存および新規のすべてのドメインコントローラー (DC) に自動的にデプロイするからです。
さらに、「自動更新」オプションを有効にすると、IoA 設定を変更した場合でも、インストールスクリプトを再実行する必要がなくなります。
IoA のドメインを設定するには
-
Tenable Identity Exposure で、左側のメニューバーの [システム]をクリックして、[設定] タブをクリックします。
[設定] ペインが表示されます。
-
[攻撃インジケーター] をクリックします。
IoA 設定ペインが表示されます。
-
[(1)ドメイン設定] で、[手順を見る] をクリックします。
手順ウィンドウが開きます。
-
[今後は自動更新しますか?] で以下を行います。
-
デフォルトオプションの [有効] を使用すると、今後 Tenable Identity Exposure で IoA 設定が変更されるたびに、Tenable Identity Exposure が IoA 設定を自動的に更新するようになります。これにより、継続的なセキュリティ分析を確実に行うことができます。
-
このオプションをオフにすると、今後の自動更新を取得するためにオンにするように求めるメッセージが表示されます。[手順を見る] をクリックし、[有効] に切り替えます。
-
-
[ダウンロード] をクリックして、各ドメインに対して実行するスクリプト (Register-TenableIOA.ps1) をダウンロードします。
-
[ダウンロード] をクリックして、ドメインの設定ファイル (TadIoaConfig-AllDomains.json) をダウンロードします。
-
をクリックして Powershell コマンドをコピーし、ドメインを設定します。
-
手順ウィンドウの外側をクリックして閉じます。
-
管理者権限で PowerShell ターミナルを開き、コマンドを実行して IoA のドメインコントローラーを設定します。
注意: IoA のインストールとドメインのクエリに使用するサービスアカウントには、Tenable Identity Exposure (旧 Tenable.ad) GPO フォルダーへの書き込みのアクセス許可が必要です。このアクセス許可はインストールスクリプトによって自動的に追加されます。このアクセス許可を削除すると、Tenable Identity Exposure にエラーメッセージが表示され、自動更新が機能しなくなります。詳細は、攻撃インジケーターインストールスクリプト を参照してください。
IoA をセットアップするには
-
IoA 設定ペインの [攻撃インジケーターのセットアップ]で、設定に含める IoA を選択します。
ヒント: Zerologon の悪用の攻撃インジケーター (IoA) の日付は 2020 年以降です。すべてのドメインコントローラー (DC) が過去 3 年以内に更新プログラムを受け取っている場合は、この脆弱性から保護されています。この脆弱性に対して DC を保護するために必要なパッチを判断するには、Microsoft の Netlogon の権限の昇格の脆弱性にある情報を参照してください。DC のセキュリティを確認したら、この IoA を安全に無効化して、不要なアラートを回避できます。 -
[Save] をクリックします。
-
[今後は自動更新しますか?] を有効にしてある場合、Tenable Identity Exposure は新しい設定を保存し、自動的に更新します。この更新が有効になるまで数分かかります。
-
[今後は自動更新しますか?] を有効にしていなかった場合は、手順ウィンドウが表示され、IoA のドメインを設定するにはに案内されます。
-
IoA のインストールをチェックするには
-
グループポリシー管理で、新しい Tenable Identity Exposure GPO が存在し、この GPO がドメインコントローラー OU にリンクしていることを確認します。
-
パス C:\Windows\SYSVOL\sysvol\alsid.corp\Policies\{GUID}\Machine\IOA に移動し、IoA をテストする前に、すべてのドメインコントローラーに .gz ファイルが存在することを確認します。
Tenable Identity Exposure サービスアカウントの「書き込み」アクセス許可をチェックするには
-
ファイルマネージャーで、\\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\Machine\ に移動します。
-
「IOA」フォルダーを右クリックし、[プロパティ] を選択します。
-
[セキュリティ] タブを選択し、[詳細] をクリックします。
-
[有効なアクセス] タブをクリックします。
-
[ユーザーを選択] をクリックします。
-
<TENABLE-SERVICE-ACCOUNT-NAME> と入力し [OK] をクリックします。
-
[有効なアクセスを表示] をクリックします。
-
「書き込み」アクセス許可が有効になっていることを確認します。
または、Powershell を使用することもできます。
-
次のコマンドを実行してください。
コピーInstall-Module -Name NTFSSecurity -RequiredVersion 4.2.3
コピーGet-NTFSEffectiveAccess -Path \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\IOA\ -Account <TENABLE-SERVICE-ACCOUNT-NAME>
IoA を調整するには
攻撃の誤検出を回避しかつ正当な攻撃が検出されないことを回避するには、IoA を Active Directory のサイズに適合させ、既知のツールをホワイトリストに登録するなどして、環境に応じて IoA を調整する必要があります。
-
選択するオプションおよび推奨値については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。
-
インジケーターのカスタマイズ で説明されているように、セキュリティプロファイルの各 IoA にオプションと値を適用します。
トラブルシューティング
デプロイメント中に次のエラーメッセージが表示される場合があります。
| メッセージ | 修正方法 |
|---|---|
| 「ターゲットフォルダー <targetFolder> が存在しないため、Tenable Identity Exposure は設定ファイルに書き込めません。IoA モジュールのデプロイメントが失敗した可能性があります。」 | スクリプトをアンインストールし、[手順を表示する] をクリックして、スクリプトを再インストールする手順を確認します。 |
| 「Tenable Identity Exposure は <targetFile> にある設定ファイルに書き込んで更新することができませんでした。ファイルをロックしている別のプロセスまたはアクセス許可の変更が原因である可能性があります。」 |
|
| 「ターゲットフォルダー <targetFolder> に自動更新を実行できないバージョンの Tenable Identity Exposure が含まれています。」 | 現在インストールされているスクリプトが、WMI を使用している古いバージョンです。現在のバージョンをアンインストールし、新しいインストールスクリプトをダウンロードして、このスクリプトを実行します。 |
| 「設定ファイルのデプロイメント中に予期しないエラーが発生しました。」 | スクリプトをアンインストールし、[手順を表示する] をクリックして、スクリプトを再インストールする手順を確認します。解決しない場合は、カスタマーサポート担当者に連絡してください。 |
詳細については、次を参照してください。