ヘルスチェック
Tenable Identity Exposure のヘルスチェック機能は、ドメインとサービスアカウントの設定を 1 つの統合ビューでリアルタイムで可視化します。そこからドリルダウンして、インフラにおける接続問題やその他の問題につながる設定異常がないか調査することができます。この機能により、すべてが適切に設定され、Tenable Identity Exposureがスムーズに動作することを確認でき、迅速で正確な対応措置を取ることで問題を修正できるようになります。また、Tenable Identity Exposureが効率的に機能するように最適な設定になっているという確信に繋がります。
ヘルスチェックは、管理ロールの場合はデフォルトで、特定のユーザーロールの場合はアクセス許可に応じて表示されます。ヘルスチェックのステータスが変わるたびに、Syslog またはメールアラートを作成することもできます。
ヘルスチェックと DC 同期攻撃の検出
ヘルスチェックは、Tenable Identity Exposureサービスのステータスとユーザビリティに関する貴重な情報を提供してくれます。ヘルスチェックは、サービスアカウントの機能を検証し、特権分析に使用されるパスワードハッシュや DPAPI バックアップキーなどの機密情報を収集します。ヘルスチェックレポートで、Tenable はサービスアカウントに特権分析機能が適切に設定されているかどうかを判断するために、機密データの収集を試みます。特権分析機能が使用されていない場合は何も収集しません。このプロセス中に DCSync 攻撃が検出されるのを防ぐために、Tenable は提供されたサービスアカウントを DCSync の攻撃インジケーターのホワイトリストに自動的に追加します。
ドメインステータス
Tenable Identity Exposure は各ドメインの以下の項目をチェックします。
-
AD ドメインへの認証 — LDAP 設定とステータス、認証情報、SMB アクセス。
-
ドメインの到達可能性 — 動的 RPC ポートへの動作中の接続、到達可能な SMB サーバー、到達可能なドメインコントローラーの IP アドレスまたは FQDN、RPC ポートへの動作中の接続、到達可能な LDAP サーバー、到達可能なグローバルカタログ LDAP サーバー。
-
アクセス許可 — AD ドメインデータにアクセスし、特権データを収集できること。
-
リレーにリンクされたドメイン — ドメインがリレーサービスに正しく関連付けられていること。
プラットフォームステータス
Tenable Identity Exposure は、プラットフォーム設定に関して次の項目をチェックします。
-
リレーサービスの実行 — トラブルシューティングのヒントを使ってリレー設定が正しいかどうか。
-
リレーバージョンの整合性 — リレーバージョンが Tenable Identity Exposure のバージョンと整合しているかどうか。
-
AD データコレクターサービスの実行 — データコレクターサービス、ブローカー、コレクターブリッジが動作可能で、データを他のサービスにリレーできるかどうか。
-
Tenable Identity Exposure ページの左下隅の アイコンにカーソルを合わせると、インフラのグローバルステータスが表示されます。
-
このアイコンをクリックすると、[ヘルスチェック] ページが開きます。[ドメインステータス] または [プラットフォームステータス] タブに、次のいずれかが表示されます。
-
すべてのヘルスチェックに合格したというメッセージ
-
特定のステータスを示す警告または問題のリスト
チェックに合格し、正常な結果を示している。 チェックに不合格となり、問題が特定されている。 チェックに不合格となったが、この問題は Tenable Identity Exposure の正常な動作を妨げるものではない。
たとえば、クライアント側の Active Directory の設定ミスが原因でサービスアカウントが特権データを収集できない場合、データ収集のチェックは不合格になります。ただし、Tenable Identity Exposureのこのドメインで特権分析機能がアクティブ化されていないため、深刻な問題とはなりません。そのため、この警告となっています。しかし、特権分析をアクティブ化すると、チェックは即座に不合格となります。
依存性チェックで不合格となったため、チェックは不明な結果を示している。たとえば、認証のチェックで不合格になると、ネットワーク到達性のチェックに進めなくなります。
-
-
右側のヘルスチェックのリストの上の [成功したチェックの表示] のトグルをクリックして有効にし、Tenable Identity Exposureが実行したすべてのチェックを一覧表示します。以下の情報が含まれます。
-
ヘルスチェック名
-
ステータス (合格、不合格、不合格だがブロックなし、不明)
-
影響を受けるドメインとそれに関連付けられているフォレスト (ドメインステータスチェックのみ)
-
最後にチェックが実行された時刻
-
チェックがこのステータスを保持している長さ
-
-
Tenable Identity Exposure は、ヘルスチェックを定期的に実行しますが、ページをリアルタイムの結果で更新することはありません。 をクリックして、結果のリストを更新してください。
-
右側のヘルスチェックのリストの上にある [n/n 個のヘルスチェック] または [n/n 個のドメイン] (ドメインステータスのみ) をクリックします。
[ヘルスチェック] または [フォレストとドメイン] ペインが開きます。
-
ヘルスチェックのタイプまたはフォレスト / ドメイン (該当する場合) を選択し、[選択内容でフィルター] をクリックします。
-
ヘルスチェックのリストで、ヘルスチェック名または行末の青い矢印 () をクリックします。
[詳細] ペインが開き、チェックの説明と関連する詳細のリストが表示されます。ヘルスチェック名 タイプ チェックの説明 理由 ドメイン到達可能性 Domain (ドメイン) AD ドメインとの接続を確立する能力 -
IP-UNREACHABLE R-LDAP-GLOBAL-CATALOG-UNREACHABLE
-
LDAP-SERVER-UNREACHABLE
-
SMB-SERVER-UNREACHABLE
-
DYNAMIC-RPC-CONNECTION-NOT-WORKING
-
RPC-CONNECTION-NOT-WORKING
AD ドメインへの認証 Domain (ドメイン) AD ドメインへの認証能力 -
INCORRECT-CREDENTIALS
-
LDAP-SERVER-BUSY
-
LDAP-SERVER-UNAVAILABLE
-
LDAP-SERVER-ACCESS-DENIED
-
SMB-SERVER-ACCESS-DENIED
AD ドメインデータを収集するためのアクセス許可 Domain (ドメイン) AD ドメインデータを収集する能力 -
MISSING-PERMISSIONS-PRIVILEGED-DATA
AD コンテナへのアクセス許可 Domain (ドメイン) AD コンテナにアクセスできる能力 -
MISSING-PERMISSIONS-DELETED-OBJECTS-ACCESS
-
MISSING-PERMISSIONS-PASSWORD-SETTINGS-ACCESS
リレーにリンクされたドメイン Domain (ドメイン) ドメインはリレーにリンクされています -
LINKED-TO-RELAY-DOWN
リレーサービス稼働中 プラットフォーム リレーが期待通りに動作しています -
RELAY-DOWN
リレーサービスバージョン プラットフォーム リレーバージョンが製品と一致しています -
VERSION-MISMATCH
AD データコレクター稼働中 プラットフォーム AD データコレクターが期待通りに動作しています -
DATA-COLLECTOR-SERVICE-DOWN
-
DATA-COLLECTOR-BRIDGE-DOWN
-
BROKER-DOWN
-
-
詳細行の末尾にある矢印をクリックして展開すると、結果に関する情報がさらに表示されます。
Tenable Identity Exposure はデフォルトで画面左下隅にヘルスチェックステータスアイコンを表示します。
-
Tenable Identity Exposure で、左側のナビゲーションバーの [システム] に移動し、[設定] タブを選択します。
または、ヘルスチェックページの右上隅の をクリックし、[設定] を選択することもできます。
-
[アプリケーションサービス] で、[ヘルスチェック] を選択します。
-
[グローバルヘルスチェックステータスを表示する] のトグルをクリックして、無効にします。
Tenable Identity Exposure は画面左下隅のヘルスチェックステータスアイコンを非表示にします。
-
Tenable Identity Exposure で、左側のナビゲーションバーの [アカウント] に移動し、[ロール管理] タブを選択します。
-
ロールのリストで、ユーザーロールを選択し、行末にある をクリックします。
[ロールの編集] ペインが開きます。
-
[システム設定エンティティ] タブを選択します。
-
[ヘルスチェック] エンティティを選択し、アクセス許可のトグルをクリックして、[不許可] から [許可] に切り替えます。
-
[適用して閉じる] をクリックします。
アクセス許可についての詳細は、ロールのアクセス許可の設定を参照してください。
-
Tenable Identity Exposure で、左側のナビゲーションバーの [システム] に移動し、[設定] タブを選択します。
または、ヘルスチェックページの右上隅の をクリックし、[アラート] を選択することもできます。
-
[アラートエンジン] の下にある、[Syslog] または [メール] を選択します。
-
[Syslog アラートの追加] または [メールアラートの追加] をクリックします。
新しいペインが開きます。完全な手順については、アラートを参照してください。
-
[アラートパラメーター] の下にある [アラートのトリガー] ボックスで、ドロップダウンメニューから [ヘルスチェックのステータス変更時] を選択します。
-
[ヘルスチェック] ボックスの矢印をクリックして、アラートをトリガーするヘルスチェックのタイプを選択し、[選択内容でフィルター] をクリックします。
-
[追加] をクリックします。