攻撃インジケーターインストールスクリプト
攻撃インジケーター (IoA) インストールファイルをダウンロードして実行すると、IoA スクリプトにより、デフォルトで Tenable.ad という名前の新しいグループポリシーオブジェクト (GPO) が Active Directory (AD) データベースに作成されます。システムは、その Tenable Identity Exposure GPO を、すべてのドメインコントローラー (DC) を含んでいるドメインコントローラーの組織単位 (OU) にのみリンクします。この GPO の仕組みを使用して、新しいポリシーはすべての DC 間で自動的に複製されます。
インストールスクリプト (Tenable Identity Exposure v. 3.29 以降)
GPO に含まれている PowerShell スクリプトを、すべての DC がローカルで次のように実行して、対象データを収集します。
-
このスクリプトは、Windows EvtSubscribe API を使用して、各ドメインコントローラーでイベントログリスナーを設定します。スクリプトは、一致する各イベントログに対してリクエストと EvtSubscribe によってトリガーされるコールバックを送信して、TenableADEventsListenerConfiguration.json 設定ファイルで指定されているように、必要なイベントログチャネルごとにサブスクリプションを作成します。
-
イベントリスナーはイベントログを受信してバッファリングしてから、定期的に Sysvol と呼ばれるネットワーク共有に保存されるファイルにフラッシュします。各 DC は、収集されたイベントを単一の Sysvol ファイルにフラッシュしてファイル内に保存し、それを他のドメインコントローラーに複製します。
-
このスクリプトは、DC の再起動時にイベントサブスクライバーを再登録して、このメカニズムが永続的であることを保証する WMI コンシューマーも作成します。WMI は、DC が再起動するたびにコンシューマーに通知し、コンシューマーがイベントリスナーを再登録できるようにします。
-
この時点で分散ファイルシステム (DFS) レプリケーションが発生し、ドメインコントローラー間でファイルを自動的に同期します。DFS の受信レプリケーショントラフィックをリッスンしている Tenable Identity Exposure のプラットフォームは、このデータを使用してイベントを収集し、セキュリティ分析を実行してから、IoA アラートを生成します。
ローカルデータの取得
Windows イベントログには、オペレーティングシステムとアプリケーションで発生したすべてのイベントが記録されます。イベントログは、Windows に統合されたコンポーネントのフレームワークに依存しています。
Tenable Identity Exposure IoA イベントログリスナーは、EvtSubscribe API を使用して、有用なイベントログのデータセグメントのみを、イベントログから抽出する挿入文字列の形式で収集します。Tenable Identity Exposure は、これらの挿入文字列を Sysvol フォルダーに保存されたファイルに書き込み、DFS エンジンでそれを複製します。これにより、Tenable Identity Exposure はセキュリティ分析を実行して攻撃を検出するのに適正な量のセキュリティ関連データをイベントログから収集します。
IoA スクリプトのサマリー
次の表は、Tenable Identity Exposure スクリプトのデプロイメントの概要を示しています。
| 手順 | 説明 | 関連するコンポーネント | 技術的なアクション |
|---|---|---|---|
| 1 | Tenable Identity Exposure の IoA デプロイメントを登録する | GPO 管理 | Tenable.ad (デフォルト名) GPO が作成され、ドメインコントローラー OU にリンクされます。 |
| 2 | DC への Tenable Identity Exposure の IoA デプロイメントを始める | DC ローカルシステム | 各 DC で適用する新しい GPO が検出されます (AD のレプリケーションとグループポリシーの更新間隔に応じて異なる)。 |
| 3 | 高度なログ記録ポリシーの状態を制御する | DC ローカルシステム | システムは、レジストリキー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy を設定することにより、高度なログ記録ポリシーを有効にします。 |
| 4 | ローカルログ記録ポリシーを更新する | DC ローカルシステム | 検出する IoA に応じて、Tenable Identity Exposure は特定の監査ポリシーを動的に生成して有効にします。このポリシーによって既存のログ記録ポリシーが無効になることはなく、必要に応じて強化のみを行います。競合が検出されると、GPO インストールスクリプトが停止し、[Tenable Identity Exposure は監査ポリシー「...」が必要ですが、現在の AD 設定では使用できません] というメッセージが表示されます。 |
| 5 | イベントリスナーと WMI プロデューサーを登録する | DC ローカルシステム | システムは、GPO に含まれるスクリプトを登録して実行します。このスクリプトは、PowerShell プロセスを実行し、EvtSubscribe API を使用してイベントログをサブスクライブし、永続化するために ActiveScriptEventConsumer のインスタンスを作成します。Tenable Identity Exposure は、これらのオブジェクトを使用して、イベントログを受信して内容を保存します。 |
| 6 | イベントログメッセージを収集する | DC ローカルシステム |
Tenable Identity Exposure は、関連するイベントログメッセージを取得し、一定期間バッファリングした後、Tenable Identity Exposure GPO に関連付けられた Sysvol フォルダー (...{GPO_GUID}\Machine\IOA<DC_name>) に格納されているファイル (DC ごとに 1 つ) に保存します。 |
| 7 | 宣言された DC SYSVOL フォルダーにファイルを複製する | Active Directory | DFS を使用して、AD はドメイン全体、特に宣言された DC でファイルを複製します。Tenable Identity Exposure プラットフォームは各ファイルの通知を受け取り、その内容を読み取ります。 |
| 8 | これらのファイルを上書きする | Active Directory | 各 DC は、定期的にバッファリングされたイベントを自動的かつ継続的に同じファイルに書き込みます。 |
インストールスクリプト (Tenable Identity Exposure v. 3.19.11 以前)
GPO に含まれている PowerShell スクリプトを、すべての DC がローカルで次のように実行して、対象データを収集します。
-
スクリプトは、マシンのメモリでイベントウォッチャーおよび Windows Management Instrumentation (WMI) プロデューサー/コンシューマーを設定します。WMI は Windows コンポーネントの一種で、ローカルやリモートのコンピューターシステムのステータス情報を知らせます。
-
イベントウォッチャーはイベントログを受信してバッファリングしてから、定期的に Sysvol と呼ばれるネットワーク共有に保存されているファイルにフラッシュします。各 DC は、収集されたイベントを単一の Sysvol ファイルにフラッシュしてファイル内に保存し、それを他のドメインコントローラーに複製します。
-
WMI コンシューマーは、DC の再起動時にイベントウォッチャーを再登録することにより、この仕組みを永続化します。プロデューサーは DC が再起動するたびにウェイクアップし、コンシューマーに通知します。その結果、コンシューマーはイベントウォッチャーを再登録します。
-
この時点で分散ファイルシステム (DFS) のレプリケーションが発生し、ドメインコントローラー間でファイルを自動的に同期します。DFS の受信レプリケーショントラフィックをリッスンしている Tenable Identity Exposure のプラットフォームは、このデータを使用してイベントを収集し、セキュリティ分析を実行してから、IoA アラートを生成します。
ローカルデータの取得
Windows イベントログには、オペレーティングシステムとアプリケーションで発生したすべてのイベントが記録されます。Event Tracing for Windows (ETW) と呼ばれるイベントログは、Windows に統合されたコンポーネントのフレームワークに依存しています。ETW はカーネル内にあり、DC のローカルに保存されて AD プロトコルによって複製されないデータを生成します。
Tenable Identity Exposure は、WMI エンジンを使用して、有用な ETW データセグメントのみを、イベントログから抽出する挿入文字列の形式で収集します。Tenable Identity Exposure は、これらの挿入文字列を Sysvol フォルダーに保存されたファイルに書き込み、DFS エンジンでそれを複製します。これにより、Tenable Identity Exposure はセキュリティ分析を実行して攻撃を検出するのに適正な量のセキュリティ関連データを ETW から収集します。
IoA スクリプトのサマリー
次の表は、Tenable Identity Exposure スクリプトのデプロイメントの概要を示しています。
| 手順 | 説明 | 関連するコンポーネント | 技術的なアクション |
|---|---|---|---|
| 1 | Tenable Identity Exposure の IoA デプロイメントを登録する | GPO 管理 | Tenable.ad (デフォルト名) GPO が作成され、ドメインコントローラー OU にリンクされます。 |
| 2 | DC への Tenable Identity Exposure の IoA デプロイメントを始める | DC ローカルシステム | 各 DC で適用する新しい GPO が検出されます (AD のレプリケーションとグループポリシーの更新間隔に応じて異なる)。 |
| 3 | イベントウォッチャーと WMI プロデューサー/コンシューマーを登録する | DC ローカルシステム | システムは、即時タスクを登録して、実行します。このタスクによって PowerShell プロセスが実行され、ManagementEventWatcher と ActiveScriptEventConsumer のクラスのインスタンスが作成されます。Tenable Identity Exposure は、これらのオブジェクトを使用して、ETW メッセージを受信して保存します。 |
| 4 | 高度なログ記録ポリシーの状態を制御する | DC ローカルシステム | システムは、レジストリキー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy を設定することにより、高度なログ記録ポリシーを有効にします。 |
| 5 | ローカルログ記録ポリシーを更新する | DC ローカルシステム | 検出する IoA に応じて、Tenable Identity Exposure は高度なログ記録ポリシーを動的に生成して有効にします。このポリシーによって既存のログ記録ポリシーが無効になることはなく、必要に応じて強化のみを行います。競合が検出されると、GPO インストールスクリプトが停止し、[Tenable Identity Exposure は監査ポリシー「...」が必要ですが、現在の AD 設定では使用できません] というメッセージが表示されます。 |
| 6 | ETW メッセージを収集する | DC ローカルシステム |
Tenable Identity Exposure は、関連する ETW メッセージを取得し、一定期間バッファリングした後、Tenable Identity Exposure GPO に関連付けられた Sysvol フォルダー (...{GPO_GUID}\Machine\IOA<DC_name>) に格納されたファイル (DC ごとに 1 つ) に保存します。 |
| 7 | ファイルを Tenable Identity Exposure プラットフォームに複製する | Active Directory | DFS を使用して、AD はドメイン全体でファイルを複製します。Tenable Identity Exposure プラットフォームもファイルを受信します。 |
| 8 | これらのファイルを上書きする | Active Directory | 各 DC は、定期的にバッファリングされたイベントを自動的かつ継続的に同じファイルに書き込みます。 |
関連項目
-
Indicators of Attack and the Active Directory
- 技術的な変更と潜在的な影響