攻撃インジケーターのインストール

必要なユーザーロール: Tenable Identity Exposure の攻撃インジケーター設定を変更するアクセス許可を持つ組織のユーザー。詳細は、ロールのアクセス許可の設定を参照してください。

Tenable Identity Exposure の攻撃インジケーター (IoA) モジュールでは、新しいグループポリシーオブジェクト (GPO) を作成し、組織単位 (OU) にリンクできる管理者アカウントで PowerShell インストールスクリプトを実行する必要があります。Tenable Identity Exposure がモニタリングしている Active Directory ドメインに参加していて、ネットワーク経由でドメインコントローラーに到達できる任意のマシンから、このスクリプトを実行できます。

注意: PowerShell の推奨バージョンは 5.1 です。

このインストールスクリプトは、各 AD ドメインに 1 回実行するだけで済みます。これは、作成された GPO が、イベントリスナーを既存と新規のすべてのドメインコントローラー (DC) に自動的にデプロイするからです。

さらに、「自動更新」は、既存の IoA を手動で再デプロイすることなく自動的に有効化または無効化できる機能です。この機能は IoA コンテンツ自体を自動的には更新しない点に注意してください。最新バージョンの IoA を入手するには、再デプロイする必要があります。

  1. Tenable Identity Exposure で、左側のメニューバーの [システム]をクリックして、[設定] タブをクリックします。

    [設定] ペインが表示されます。

  2. [攻撃インジケーター] をクリックします。

    IoA 設定ペインが表示されます。

  3. [(1)ドメイン設定] で、[手順を見る] をクリックします。

    手順ウィンドウが開きます。

  4. [今後は自動更新しますか?] で以下を行います。

    • デフォルトオプションの [有効] を使用すると、今後 Tenable Identity Exposure で IoA 設定が変更されるたびに、Tenable Identity Exposureが IoA 設定を自動的に更新するようになります。これにより、継続的なセキュリティ分析を確実に行うことができます。

    • このオプションをオフにすると、今後の自動更新を取得するためにオンにするように求めるメッセージが表示されます。[手順を見る] をクリックし、[有効] に切り替えます。

  1. [ダウンロード] をクリックして、各ドメインに対して実行するスクリプト (Register-TenableIOA.ps1) をダウンロードします。

  2. [ダウンロード] をクリックして、ドメインの設定ファイル (TadIoaConfig-AllDomains.json) をダウンロードします。

  1. をクリックして Powershell コマンドをコピーし、ドメインを設定します。

  1. 手順ウィンドウの外側をクリックして閉じます。

  1. 管理者権限で PowerShell ターミナルを開き、コマンドを実行して IoA のドメインコントローラーを設定します。

    注意: IoA のインストールとドメインのクエリに使用するサービスアカウントには、Tenable Identity Exposure(旧 Tenable.ad) GPO フォルダーへの書き込みのアクセス許可が必要です。このアクセス許可はインストールスクリプトによって自動的に追加されます。このアクセス許可を削除すると、Tenable Identity Exposureにエラーメッセージが表示され、自動更新が機能しなくなります。詳細は、攻撃インジケーターインストールスクリプトを参照してください。

  1. [(2) イベント収集の設定] で、[設定を開く] をクリックします。

    設定ウィンドウが表示されます。

  1. [検索遅延] のスライダーを動かし、セキュリティ分析がトリガーされるまでのイベント収集期間を選択します。

  2. [共有技術] でドロップダウンの矢印をクリックして次のいずれかを選択します。

    • 専用 SMB 共有Tenable Identity Exposure がプライマリドメインコントローラーエミュレーター (PDCe) で SMB 共有を作成し、すべてのドメインコントローラーがこの SMB 共有に直接書き込みます。このモードを使用するための前提条件については、攻撃インジケーターのデプロイメントを参照してください。

    • ビルトイン SYSVOL 共有 — SYSVOL 共有に保存されたイベントログファイルは、DFSR メカニズムの一部として、すべてのドメインコントローラーでアクセス可能になることに注意してください。

      注意: 攻撃インジケーターのデプロイメントに記載されている SMB モードの前提条件を満たしていれば、IoA モジュールのインストール後、いつでも SMB モードと SYSVOL モードを切り替えることができます。

      注意: 2 つのドメインヘルスチェックは、IoA モジュールのステータスを評価するのに役立ちます。詳細は、ヘルスチェックを参照してください。

  1. [設定の保存] をクリックします。

  1. IoA 設定ペインの [攻撃インジケーターのセットアップ]で、設定に含める IoA を選択します。

    ヒント: Zerologon の悪用の攻撃インジケーター (IoA) の日付は 2020 年以降です。すべてのドメインコントローラー (DC) が過去 3 年以内に更新プログラムを受け取っている場合は、この脆弱性から保護されています。この脆弱性に対して DC を保護するために必要なパッチを判断するには、Microsoft の Netlogon の権限の昇格の脆弱性にある情報を参照してください。DC のセキュリティを確認したら、この IoA を安全に無効化して、不要なアラートを回避できます。

  2. [保存] をクリックします。

    • [今後は自動更新しますか?] を有効にしてある場合、Tenable Identity Exposureは新しい設定を保存し、自動的に更新します。この更新が有効になるまで数分かかります。

    • [今後は自動更新しますか?] を有効にしていなかった場合は、手順ウィンドウが表示され、IoA のドメインを設定する方法に案内されます。

  1. グループポリシー管理で、新しい Tenable Identity Exposure GPO が存在し、この GPO がドメインコントローラー OU にリンクしていることを確認します。

  2. パス C:\Windows\SYSVOL\sysvol\alsid.corp\Policies\{GUID}\Machine\IOA に移動し、IoA をテストする前に、すべてのドメインコントローラー.gz ファイルが存在することを確認します。

  1. ファイルマネージャーで、\\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\Machine\ に移動します。

  1. TenableADEventsListenerConfiguration.json ファイルを右クリックし、[プロパティ] を選択します。

  2. [セキュリティ] タブを選択し、[詳細] をクリックします。

  3. [有効なアクセス] タブをクリックします。

  4. [ユーザーを選択] をクリックします。

  5. <TENABLE-SERVICE-ACCOUNT-NAME> と入力し [OK] をクリックします。

  6. [有効なアクセスを表示] をクリックします。

  7. Tenable サービスアカウントの「書き込み」アクセス許可がアクティブであることを確認します。

または、PowerShell を使用することもできます。

  • 次のコマンドを実行してください。

コピー 
Install-Module -Name NTFSSecurity -RequiredVersion 4.2.3
コピー 
Get-NTFSEffectiveAccess -Path \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\IOA\ -Account <TENABLE-SERVICE-ACCOUNT-NAME>

攻撃の誤検出を回避しかつ正当な攻撃が検出されないことを回避するには、IoA を Active Directory のサイズに適合させ、既知のツールをホワイトリストに登録するなどして、環境に応じて IoA を調整する必要があります。

  1. 選択するオプションおよび推奨値については、Tenable Identity Exposureの攻撃インジケーターリファレンスガイドを参照してください。

  2. インジケーターのカスタマイズ で説明されているように、セキュリティプロファイルの各 IoA にオプションと値を適用します。

デプロイメント中に次のエラーメッセージが表示される場合があります。

メッセージ 修正
「ターゲットフォルダー <targetFolder> が存在しないため、Tenable Identity Exposureは設定ファイルに書き込めません。IoA モジュールのデプロイメントが失敗した可能性があります。」 スクリプトをアンインストールし、[手順を表示する] をクリックして、スクリプトを再インストールする手順を確認します。
Tenable Identity Exposure<targetFile> にある設定ファイルに書き込んで更新することができませんでした。ファイルをロックしている別のプロセスまたはアクセス許可の変更が原因である可能性があります。」

  • IoA モジュール以外のプロセスが設定ファイルを使用していないことを確認します。

  • サービスアカウントにファイルの内容を変更するアクセス許可があることを確認します。

  • サービスアカウントにアクセス許可を付与したくない場合は、「自動更新」トグルを無効にし、[手順を表示する] をクリックして、IoA 設定を変更するたびに手動で更新するにはを確認します。
「ターゲットフォルダー <targetFolder> に自動更新を実行できないバージョンの Tenable Identity Exposure が含まれています。」 現在インストールされているスクリプトが、WMI を使用している古いバージョンです。現在のバージョンをアンインストールし、新しいインストールスクリプトをダウンロードして、このスクリプトを実行します。
「設定ファイルのデプロイメント中に予期しないエラーが発生しました。」 スクリプトをアンインストールし、[手順を表示する] をクリックして、スクリプトを再インストールする手順を確認します。解決しない場合は、カスタマーサポート担当者に連絡してください。

詳細については、次を参照してください。