アンチウイルス検出

Tenable と Microsoft は、ドメインコントローラー (または中央管理コンソールを備えたその他のツール) に、アンチウイルス、エンドポイント保護プラットフォーム (EPP)、エンドポイント検知・対応 (EDR) ソフトウェアをインストールすることを推奨していません。インストールした場合は、ドメインコントローラーの攻撃インジケーター (IoA) イベントの収集に必要なアイテムを、アンチウイルス/EPP/EDR が検出し、ブロックまたは削除してしまうこともあります。

Tenable Identity Exposure の攻撃インジケーターのデプロイメントスクリプトには、悪質なコードが含まれておらず、難読化もされていません。ただし、PowerShell と WMI の使用および実装のエージェントレスの性質を考慮すると、時折の検出は異常ではありません。

次のような問題が発生した場合

  • インストール中のエラーメッセージ

  • 検出における誤検出または検出漏れ

インストールスクリプトのアンチウイルス検出のトラブルシューティングを行うには

  1. アンチウイルス/EPP/EDR セキュリティログをレビューして、Tenable Identity Exposure コンポーネントの検出、ブロック、削除がないかをチェックします。アンチウイルス/EPP/EDRは、以下のコンポーネントに影響を与える可能性があります。

    • ドメインコントローラーに適用された Tenable Identity Exposure GPO の ScheduledTasks.xml ファイル

    • PowerShell.exe を起動する、ドメインコントローラーの Tenable Identity Exposure スケジュールタスク

    • ドメインコントローラーで起動される Tenable Identity Exposure Register-TenableADEventsListener.exe プロセス

  1. 影響を受けるコンポーネントのセキュリティ例外をツールで追加します。

    • 特に、Symantec Endpoint Protection は IoA インストールプロセス中に CL.Downloader!gen27 の検出を引き起こすことが知られています。この特定の既知のリスクを例外ポリシーに追加できます。

    • タスクスケジューラを設定したら、PowerShell を実行して Register-TenableADEventsListener.exe プロセスを開始します。アンチウイルス/EPP/EDR ソフトウェアがこの PowerShell スクリプトを妨げ、攻撃インジケーターの適切な実行を妨げる可能性があります。このプロセスを詳細に追跡し、すべての監視対象ドメインコントローラーで一度だけ実行されるようにしてください。

      アンチウイルス/EPP/EDR のファイルパス除外の例

    コピー
    Register-TenableADEventsListener.exe process
     "\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"

     

    コピー
    ScheduledTasks.xml file
        C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
        C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml     
        \\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml