DFS レプリケーションの問題の軽減
攻撃インジケーターのデプロイメントスクリプトの追加パラメーター -EventLogsFileWriteFrequency X を使用すると、分散ファイルシステム (DFS) レプリケーションの遅延または破損に関する潜在的な問題に対処できます。
このパラメーターはオプションであり、Tenable では、DFS レプリケーションの問題が発生している場合や IoA スクリプトのデプロイ以降に問題に気づいた場合にのみ使用することを推奨しています。通常の状況では、パラメーターはデフォルト値のままであるため、スクリプトを実行する際にコマンドラインにパラメーターを含める必要はありません。
パラメーターを変更するタイミング
パラメーター -EventLogsFileWriteFrequency X の [X] 値は、Tenable Identity Exposureリスナーが非 PDCe ドメインコントローラー (DC) のイベントログファイルを生成する頻度です。Tenable Identity Exposure リスナーが使用するデフォルトの推奨値は 15 秒です。ただし、カスタマイズされた値は PDCe DC に適用されません。攻撃検出機能が完全に動作するように、デフォルトの 15 秒間隔のままになります。Tenable では、インフラが DFS レプリケーションの問題に直面している場合やその問題の影響を受けやすい場合にのみ、このパラメーターを使用して値をデフォルトの 15 秒から最大 300 秒 (5 分) に増やすことを推奨しています。
推奨事項
イベントログファイルの書き込み頻度を引き上げると、ファイルが生成される頻度が減り、攻撃検出の遅延が増大することに注意してください (例: ファイルが非 PDCe DC でデフォルトの 15 秒ではなく 30 秒ごとに生成される場合)。また、遅延が大きくなると、生成されたイベントログファイルのサイズが 技術的な変更と潜在的な影響 で定義されている設定された制限内で大きくなります。そのため、このパラメーターは緩和戦略としてのみ使用し、DFS レプリケーションの問題を適切に調査することの代替方法としては使用しないでください。
パラメーターを適用するには
-
手順で説明されているように、IoA 用のドメインを設定します。詳細は、攻撃インジケーターのインストールを参照してください。
-
管理者権限で PowerShell ターミナルを開きます。
-
スクリプトを実行して、IoA のドメインコントローラーを設定し、-EventLogsFileWriteFrequency X パラメーターを追加します。この [X] は、イベントログファイルに対して設定する頻度になります。