アンチウイルス検出
Tenable と Microsoft は、ドメインコントローラー (または中央管理コンソールを備えたその他のツール) に、アンチウイルス、エンドポイント保護プラットフォーム (EPP)、エンドポイント検知・対応 (EDR) ソフトウェアをインストールすることを推奨していません。インストールした場合は、ドメインコントローラーの攻撃インジケーター (IoA) イベントの収集に必要なアイテムを、アンチウイルス/EPP/EDR が検出し、ブロックまたは削除してしまうこともあります。
Tenable Identity Exposure の攻撃インジケーターのデプロイメントスクリプトには、悪質なコードが含まれておらず、難読化もされていません。ただし、PowerShell と WMI の使用および実装のエージェントレスの性質を考慮すると、時折の検出は異常ではありません。
次のような問題が発生した場合
-
インストール中のエラーメッセージ
-
検出における誤検出または検出漏れ
インストールスクリプトのアンチウイルス検出のトラブルシューティングを行うには
-
アンチウイルス/EPP/EDR セキュリティログをレビューして、Tenable Identity Exposure コンポーネントの検出、ブロック、削除がないかをチェックします。アンチウイルス/EPP/EDRは、以下のコンポーネントに影響を与える可能性があります。
-
ドメインコントローラーに適用された Tenable Identity Exposure GPO の ScheduledTasks.xml ファイル
-
PowerShell.exe を起動する、ドメインコントローラーの Tenable Identity Exposure スケジュールタスク
-
ドメインコントローラーで起動される Tenable Identity Exposure Register-TenableADEventsListener.exe プロセス
-
-
影響を受けるコンポーネントのセキュリティ例外をツールで追加します。
-
特に、Symantec Endpoint Protection は IoA インストールプロセス中に CL.Downloader!gen27 の検出を引き起こすことが知られています。この特定の既知のリスクを例外ポリシーに追加できます。
-
タスクスケジューラを設定したら、PowerShell を実行して Register-TenableADEventsListener.exe プロセスを開始します。アンチウイルス/EPP/EDR ソフトウェアがこの PowerShell スクリプトを妨げ、攻撃インジケーターの適切な実行を妨げる可能性があります。このプロセスを詳細に追跡し、すべての監視対象ドメインコントローラーで一度だけ実行されるようにしてください。
アンチウイルス/EPP/EDR のファイルパス除外の例
コピーRegister-TenableADEventsListener.exe process
"\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"コピーScheduledTasks.xml file
C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
\\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml -