:

技術的な変更と潜在的な影響

攻撃インジケーター (IoA) モジュールのインストールスクリプトは、監視対象の DC に透過的に以下の変更を適用する GPO を作成します。

デフォルトで「Tenable.ad」という名前の新しい GPO が追加され、デフォルトでドメインコントローラーの組織単位 (OU) にリンクされる
Microsoft Advanced ログ記録ポリシーをアクティブにするためのレジストリキーを変更する
ドメインコントローラーに IoA が必要とする ETW 情報を強制的に生成させる、新しいイベントログポリシーをアクティブ化する

注意: ETW エンジンが Tenable Identity Exposure が必要とする挿入文字列を生成できるようにするために、イベントログポリシーは必須です。このポリシーによって既存のログ記録ポリシーが無効になることはなく、追加のみを行います。競合がある場合、デプロイメントスクリプトはエラーメッセージを表示して停止します。
GPO フォルダーに保存されている IoA 設定の「自動更新」を可能にする Tenable Identity Exposure サービスアカウントへの書き込みのアクセス許可の追加

制限と潜在的な影響

攻撃インジケーター (IoA) モジュールは、次の制限を課す可能性があります。

IoA モジュールは ETW データに依存し、Microsoft が定義する制限内で動作します。
インストールされた GPO は、ドメイン全体にレプリケートされる必要があります。また、インストールプロセスを完了するには、GPO の更新間隔が経過する必要もあります。このレプリケーション期間中、Tenable Identity Exposure は攻撃インジケーターエンジンでのチェックをすぐに開始しないことにより、誤検出や検出漏れを最小限にしていますが、全く発生しないというわけではありません。

Tenable は SYSVOL ファイル共有を使用して、ドメインコントローラーからの ETW 情報を取得します。SYSVOL がドメイン内のすべてのドメインコントローラーに複製されるため、Active Directory アクティビティのピークが高いときに、レプリケーションアクティビティが大幅に増加します。

ドメインコントローラーと Tenable Identity Exposure の間でファイルを複製すると、ネットワーク帯域幅も消費されます。Tenable Identity Exposure は、収集したファイルを自動的に削除することでこれらの影響を制御し、各ファイルのサイズも制限しています (デフォルトで最大 500 MB)。
分散ファイルシステム (DFS) レプリケーションの遅延または破損に関する問題。詳細は、DFS レプリケーションの問題の緩和を参照してください。

関連項目

Indicators of Attack and the Active Directory
攻撃インジケーターのインストール
攻撃インジケーターインストールスクリプト
攻撃インジケーターのトラブルシューティング

Copyright © 2024 Tenable, Inc.All rights reserved.Tenable、Tenable Nessus、Tenable Lumin、Assure、および Tenable のロゴは、Tenable, Inc.またはその関連会社の登録商標です。その他の各製品またはサービスは、それぞれの所有者の商標です。