ヘルスチェック

Tenable Identity Exposureヘルスチェック機能は、ドメインとサービスアカウントの設定を 1 つの統合ビューでリアルタイムで可視化します。そこからドリルダウンして、インフラにおける接続問題やその他の問題につながる設定異常がないか調査することができます。この機能により、すべてが適切に設定され、Tenable Identity Exposure がスムーズに動作することを確認でき、迅速で正確な対応措置を取ることで問題を修正できるようになります。また、Tenable Identity Exposure が効率的に機能するように最適な設定になっているという確信に繋がります。

ヘルスチェックは、管理ロールの場合はデフォルトで、特定のユーザーロールの場合はアクセス許可に応じて表示されます。ヘルスチェックのステータスが変わるたびに、Syslog またはメールアラートを作成することもできます。

ヘルスチェックと DC 同期攻撃の検出

ヘルスチェックは、Tenable Identity Exposure サービスのステータスとユーザビリティに関する貴重な情報を提供してくれます。ヘルスチェックは、サービスアカウントの機能を検証し、特権分析に使用されるパスワードハッシュや DPAPI バックアップキーなどの機密情報を収集します。ヘルスチェックレポートで、Tenable はサービスアカウントに特権分析機能が適切に設定されているかどうかを判断するために、機密データの収集を試みます。特権分析機能が使用されていない場合は何も収集しません。このプロセス中に DCSync 攻撃が検出されるのを防ぐために、Tenable は提供されたサービスアカウントを DCSync の攻撃インジケーターのホワイトリストに自動的に追加します。

ドメインステータス

Tenable Identity Exposure は各ドメインの以下の項目をチェックします。

  • AD ドメインへの認証 — LDAP 設定とステータス、認証情報、SMB アクセス。

  • ドメインの到達可能性 — 動的 RPC ポートへの動作中の接続、到達可能な SMB サーバー、到達可能なドメインコントローラーの IP アドレスまたは FQDN、RPC ポートへの動作中の接続、到達可能な LDAP サーバー、到達可能なグローバルカタログ LDAP サーバー。

  • アクセス許可 — AD ドメインデータにアクセスし、特権データを収集できる。

  • リレーにリンクされたドメイン — ドメインがリレーサービスに正しく関連付けられている。

  • 攻撃インジケーター: ドメインコントローラーアクティビティ — Tenable Identity Exposure はすべてのドメインコントローラーから Windows イベントログを受信している。

  • 攻撃インジケーター: ドメインのインストール — Tenable IoA GPO 設定が正しいことを確認する。

プラットフォームステータス

Tenable Identity Exposure は、プラットフォーム設定に関して次の項目をチェックします。

  • リレーサービスの実行 — トラブルシューティングのヒントを使ってリレー設定が正しいかどうか。

  • リレーバージョンの整合性 — リレーバージョンが Tenable Identity Exposure のバージョンと整合しているかどうか。

  • AD データコレクターサービスの実行 — データコレクターサービス、ブローカー、コレクターブリッジが動作可能で、データを他のサービスにリレーできるかどうか。

  1. Tenable Identity Exposure ページの左下隅の アイコンにカーソルを合わせると、インフラのグローバルステータスが表示されます。

  2. このアイコンをクリックすると、[ヘルスチェック] ページが開きます。[ドメインステータス] または [プラットフォームステータス] タブに、次のいずれかが表示されます。

    • すべてのヘルスチェックに合格したというメッセージ

    • 特定のステータスを示す警告または問題のリスト

      チェックに合格し、正常な結果を示している。
      チェックに不合格となり、問題が特定されている。

      チェックに不合格となったが、この問題は Tenable Identity Exposure の正常な動作を妨げるものではない。

      たとえば、クライアント側の Active Directory の設定ミスが原因でサービスアカウントが特権データを収集できない場合、データ収集のチェックは不合格になります。ただし、Tenable Identity Exposureのこのドメインで特権分析機能がアクティブ化されていないため、深刻な問題とはなりません。そのため、この警告となっています。しかし、特権分析をアクティブ化すると、チェックは即座に不合格となります。
      依存性チェックで不合格となったため、チェックは不明な結果を示している。たとえば、認証のチェックで不合格になると、ネットワーク到達性のチェックに進めなくなります。

  • 右側のヘルスチェックのリストの上の [成功したチェックの表示] のトグルをクリックして有効にし、Tenable Identity Exposureが実行したすべてのチェックを一覧表示します。以下の情報が含まれます。

    • ヘルスチェック名

    • ステータス (合格、不合格、不合格だがブロックなし、不明)

    • 影響を受けるドメインとそれに関連付けられているフォレスト (ドメインステータスチェックのみ)

    • 最後にチェックが実行された時刻

    • チェックがこのステータスを保持している長さ

  • Tenable Identity Exposure は、ヘルスチェックを定期的に実行しますが、ページをリアルタイムの結果で更新することはありません。 をクリックして、結果のリストを更新してください。

  1. 右側のヘルスチェックのリストの上にある [n/n 個のヘルスチェック] または [n/n 個のドメイン] (ドメインステータスのみ) をクリックします。

    [ヘルスチェック] または [フォレストとドメイン] ペインが開きます。

  2. ヘルスチェックのタイプまたはフォレスト / ドメイン (該当する場合) を選択し、[選択内容でフィルター] をクリックします。

  1. ヘルスチェックのリストで、ヘルスチェック名または行末の青い矢印 () をクリックします。

    [詳細] ペインが開き、チェックの説明と関連する詳細のリストが表示されます。詳細については、以下のヘルスチェックのリストを参照してください。

  2. 詳細行の末尾にある矢印をクリックして展開すると、結果に関する情報がさらに表示されます。

Tenable Identity Exposure はデフォルトで画面左下隅にヘルスチェックステータスアイコンを表示します。

  1. Tenable Identity Exposure で、左側のナビゲーションバーの [システム] に移動し、[設定] タブを選択します。

    または、ヘルスチェックページの右上隅の をクリックし、[設定] を選択することもできます。

  2. [アプリケーションサービス] で、[ヘルスチェック] を選択します。

  3. [グローバルヘルスチェックステータスを表示する] のトグルをクリックして、無効にします。

    Tenable Identity Exposure は画面左下隅のヘルスチェックステータスアイコンを非表示にします。

  1. Tenable Identity Exposure で、左側のナビゲーションバーの [アカウント] に移動し、[ロール管理] タブを選択します。

  2. ロールのリストで、ユーザーロールを選択し、行末にある をクリックします。

    [ロールの編集] ペインが開きます。

  3. [システム設定エンティティ] タブを選択します。

  4. [ヘルスチェック] エンティティを選択し、アクセス許可のトグルをクリックして、[不許可] から [許可] に切り替えます。

  5. [適用して閉じる] をクリックします。

アクセス許可についての詳細は、ロールのアクセス許可の設定を参照してください。

  1. Tenable Identity Exposure で、左側のナビゲーションバーの [システム] に移動し、[設定] タブを選択します。

    または、ヘルスチェックページの右上隅の をクリックし、[アラート] を選択することもできます。

  2. [アラートエンジン] の下にある、[Syslog] または [メール] を選択します。

  3. [Syslog アラートの追加] または [メールアラートの追加] をクリックします。

    新しいペインが開きます。完全な手順については、アラートを参照してください。

  4. [アラートパラメーター] の下にある [アラートのトリガー] ボックスで、ドロップダウンメニューから [ヘルスチェックのステータス変更時] を選択します。

  5. [ヘルスチェック] ボックスの矢印をクリックして、アラートをトリガーするヘルスチェックのタイプを選択し、[選択内容でフィルター] をクリックします。

  6. [追加] をクリックします。

ヘルスチェックのリスト

ヘルスチェック名 タイプ チェックの説明 詳細

ドメイン到達可能性

(HC-DOMAIN-REACHABILITY)

 ドメイン

AD ドメインとの接続を確立できるか

  • 到達可能なドメインコントローラーの IP アドレスまたは FQDN

  • 到達可能なグローバルカタログ LDAP サーバー

  • 到達可能な LDAP サーバー

  • 到達可能な SMB サーバー

  • ダイナミック RPC ポートに接続済み

  • RPC ポートに接続済み

AD ドメインへの認証

(HC-DOMAIN-AUTHENTICATION)

 ドメイン AD ドメインに認証できるか

  • 有効な認証情報

  • アイドル LDAP サーバー

  • 利用可能な LDAP サーバー

  • LDAP アクセスが付与されている

  • SMB アクセスが付与されている

AD ドメインデータを収集するためのアクセス許可

(HC-DOMAIN-DATA-COLLECTION)

 ドメイン AD ドメインデータを収集できるか

  • 特権データを収集するアクセス許可が付与されている

AD コンテナへのアクセス許可

(HC-DOMAIN-CONTAINER-ACCESS)

 ドメイン AD コンテナにアクセスできるか

  • 削除されたオブジェクトコンテナへのアクセス許可が付与されている

  • パスワード設定コンテナへのアクセス許可が付与されている

リレーにリンクされたドメイン

(HC-DOMAIN-LINKED-TO-RELAY)

 ドメイン ドメインがリレーにリンクされている

  • ドメインがリレーにリンクされている

IoA - ドメインコントローラーアクティビティ

(HC-DOMAIN-EVENT-LOGS-COLLECTION-DOMAIN-CONTROLLER-ACTIVITY)

 ドメイン Tenable Identity Exposure がすべてのドメインコントローラーから Windows イベントログを受信する。

  • 非アクティブなドメインコントローラー

監視対象のドメインコントローラーには PDCe ロールがあります

(HC-DOMAIN-PRIMARY-ROLE)

 ドメイン 監視対象のドメインコントローラーは、特定のセキュリティ機能に不可欠な PDC エミュレーター (PDCe) のロールを保持します。

  • 露出インジケーター (IoE) と攻撃インジケーター (IoA) が最適に機能するようにします

IoA - ドメインのインストール

(HC-DOMAIN-IOA-CONFIGURATION)

 ドメイン Tenable IoA GPO 設定が正しいことを確認する

  • Tenable IoA GPO が LDAP にある

  • Tenable IoA GPO フォルダーが SYSVOL にある

  • Tenable IoA GPO IoA フォルダーが SYSVOL にある

  • Tenable IoA GPO EVT Subscribe リスナーファイルが SYSVOL にある

  • Tenable IoA GPO 設定ファイルが SYSVOL にある

  • Tenable IoA GPO audit.csv ファイルが SYSVOL にある

リレーサービスの稼働状況

(HC-PLATFORM-RELAY-UP)

 プラットフォーム リレーが想定通りに動作している。

  • リレーサービス実行中

リレーサービスバージョン

(HC-PLATFORM-RELAY-VERSION)

 プラットフォーム リレーバージョンが製品と一致している。

  • リレーバージョンの一貫性

AD データコレクターの稼働状況

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

 プラットフォーム AD データコレクターが想定通りに動作している。

  • AD データコレクターブリッジ実行中

  • AD データコレクターサービス実行中

  • ブローカー実行中

Tenable クラウドと Tenable Identity Exposure サービス間の同期

(HC-PLATFORM-TENABLE-CLOUD-SYNC)

 プラットフォーム Tenable クラウドの作成されたグループ、アクセス許可、ユーザーが、Tenable Identity Exposure データベースと同期されている

  • Tenable クラウドの可用性