攻撃インジケーターのインストールスクリプト

IoA インストールスクリプトの実行

IoA スクリプトを実行する方法

PowerShell を管理者として開き、スクリプトディレクトリに移動し、実行ポリシーを調整して、スクリプトを実行します。
コピー
```
.\Register-TenableIOA.ps1
```

設定に関連するパラメーターを入力します。

パラメーター	説明
GPODisplayName	イベントリスナーを登録するタスク作成に使用される GPO の表示名。デフォルトは Tenable.ad です。
TemporaryFolderLocation	デプロイメント中の GPO バックアップ保存に使用される一時フォルダー。デフォルトは %TEMP%\Tenable.ad\ です。
DomainControllerAddress	デプロイ先のドメインコントローラーの FQDN または IP アドレス。ドメインコントローラーではないサーバーまたはワークステーションからスクリプトを実行する場合に指定します。省略した場合、ドメイン情報はローカルマシンから取得されます。
DomainControllerOU	ドメインコントローラーを含む組織単位の識別名。DC がデフォルト OU の外部に移動されている場合に指定します。例: OU=Domain Controllers,DC=ROOT,DC=DOMAIN。
TenableServiceAccount	Tenable Identity Exposure によって使用されるサービスアカウントの名前。グループポリシーオブジェクトを読み取るための明示的なアクセス許可を必要とします。
Uninstall	イベントリスナーと WMI アクティブスクリプトコンシューマーをアンインストールし、イベントログの収集を停止します。デフォルトは false です。
ConfigurationFileLocation	GPO 設定の更新に使用されるファイルへのパス。
Target	この登録スクリプトの対象となるドメインコントローラーのコンマ区切りリスト。例: DC-ROOT1,DC-ROOT2。このパラメーターは任意です。ヒント: 使用する場合は、リストに PDCE が含まれていることを確認してください。含まれていない場合、IoA のデプロイメントは失敗します。
CleaningGPODisplayName	イベントリスナーと WMI Active Script Consumer を削除するクリーンアップタスク作成に使用される GPO の表示名。デフォルトは Tenable.ad cleaning です。
EventLogsFileWriteFrequency	非 PDCE のドメインコントローラーの DFSR モードでイベントログファイルが生成される頻度 (秒単位)。デフォルトは 15 秒です。最大 300 秒 (5 分) まで設定できます。任意のパラメーターです。
SmbShareLocation	「専用 SMB 共有」モードで PDCE を実行している場合の、SMB 共有ロケーションのディスクパス (絶対)。このフォルダーは Tenable Identity Exposure によって管理されます。デフォルトは C:\Tenable\IdentityExposure\IOALogs です。任意のパラメーターです。
UseXmlEventRender	リスナーに対してレガシー XML ベースのイベントレンダリングを有効にします。この方法は、値ベースのレンダラーよりも低速になりますが、安定しています。デフォルトでは無効になっています。

グループポリシーオブジェクト

攻撃インジケーター (IoA) インストールファイルをダウンロードして実行すると、IoA スクリプトにより、デフォルトで Tenable.ad という名前の新しいグループポリシーオブジェクト (GPO) が Active Directory (AD) データベースに作成されます。システムは、その Tenable Identity Exposure GPO を、すべてのドメインコントローラー (DC) を含んでいるドメインコントローラーの組織単位 (OU) にのみリンクします。この GPO の仕組みを使用して、新しいポリシーはすべての DC 間で自動的に複製されます。