攻撃インジケーターのデプロイメント

注意: この情報は、攻撃インジケーターモジュールの恩恵を受けるライセンスにのみ適用されます。

Tenable Identity Exposure の 攻撃インジケーター (IoA) により、Active Directory (AD) に対する攻撃を検出することができます。各 IoA には、インストールスクリプトによって自動的に有効にされる特定の監査ポリシーが必要です。Tenable Identity Exposure の IoA とその実装の完全なリストについては、Tenable ダウンロードポータルの Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。

攻撃インジケーターと Active Directory

Tenable Identity Exposure は、エージェントをデプロイすることなく環境内の設定変更を最小限にして、Active Directory インフラを監視する非侵入型ソリューションとして機能します。

Tenable Identity Exposure は、管理アクセス許可のない通常のユーザーアカウントを使用して標準 API に接続し、そのセキュリティ監視機能を使用します。

Tenable Identity Exposure は、Active Directory レプリケーションメカニズムを利用して関連情報を取得しています。これにより、各ドメインの PDC と Tenable Identity Exposure のディレクトリリスナーの間で必要になる帯域幅コストは限定的なものになります。

Tenable Identity Exposure は、攻撃インジケーターを使用してセキュリティインシデントを効率的に検出するために、Event Tracing for Windows (ETW) の情報と各ドメインコントローラーで利用可能なレプリケーションメカニズムを使用します。この一連の情報を収集するには、攻撃インジケーターのインストールで説明されているように、Tenable Identity Exposureのスクリプトを使用して専用のグループポリシーオブジェクト (GPO) をデプロイします。

この GPO は、システムボリューム (SYSVOL) に書き込むすべてのドメインコントローラーで Windows EvtSubscribe API を使用してイベントログリスナーをアクティブにし、AD のレプリケーションエンジンと Tenable Identity Exposure の SYSVOL イベントをリッスンする機能を利用します。GPO は各ドメインコントローラーの SYSVOL にファイルを作成し、そのコンテンツを定期的にフラッシュします。

セキュリティ監視を開始するために、Tenable Identity Exposureは Microsoft の標準ディレクトリ API とやり取りする必要があります。

ドメインコントローラー

Tenable Identity Exposure が必要とするのは、Network Flow Matrix (ネットワークフローマトリクス) で説明されているネットワークプロトコルを使用するプライマリドメインコントローラーエミュレーター (PDCe) との通信のみです。

複数のドメインまたはフォレストが監視対象となている場合、Tenable Identity Exposureは各ドメインの PDCe に到達する必要があります。最高のパフォーマンスを得るために、Tenable は監視する PDCe に近い物理ネットワークで Tenable Identity Exposure をホストすることを推奨します。

ユーザーアカウント

Tenable Identity Exposure は、非管理者ユーザーアカウントを使用して監視対象のインフラに認証し、レプリケーションフローにアクセスします。

単純な Tenable Identity Exposure ユーザーは、収集されたすべてのデータにアクセスできます。Tenable Identity Exposure は、認証情報、パスワードハッシュ、Kerberos キーなどのシークレット属性にはアクセスしません。

Tenable は、次のようなサービスアカウントを作成し、それを「ドメインユーザー」グループのメンバーにすることを推奨しています。

サービスアカウントはメインの監視対象ドメインにある。
サービスアカウントは、任意の組織単位 (OU)にある。できれば、ほかのセキュリティサービスアカウントもそこで作成する。
サービスアカウントは、標準のユーザーグループメンバーである (例: ドメインユーザー AD デフォルトグループのメンバー)。

始める前に

技術的な変更と潜在的な影響の説明に従って、IoA のインストールに関する制限と潜在的な影響を確認します。
DC に Active Directory とグループポリシーの PowerShell モジュールがインストールされ、利用可能であることを確認します。
DC が分散ファイルシステムツール機能 RSAT-DFS-Mgmt-Con を有効にしていることを確認します。有効にすると、DC のレプリケーション中は GPO を作成できないため、デプロイメントスクリプトがレプリケーションステータスをチェックできるようになります。
Tenable Identity Exposure では、プラットフォームの中断を制限するために、オフピーク時に IoA をインストール/アップグレードすることを推奨しています。
アクセス許可を確認する — IoA をインストールするには、次のアクセス許可のあるユーザーロールが必要です。
- [データエンティティ] で、以下に対する「読み取り」アクセス権
  - すべての攻撃インジケーター
  - すべてのドメイン
- [インターフェースエンティティ] で、以下に対するアクセス権
  - 管理 > システム > 設定
  - 管理 > システム > 設定 > アプリケーションサービス > 攻撃インジケーター
  - 管理 > システム > 設定 > アプリケーションサービス > 攻撃インジケーター > インストールファイルのダウンロード

ロールベースのアクセス許可についての詳細は、ロールのアクセス許可の設定を参照してください。