RSoP ベースの露出インジケーター

Tenable Identity Exposure は、一連の RSoP (ポリシーの結果セット) ベースの露出インジケーター (IoE) を使用して、セキュリティとコンプライアンスのさまざまな側面をを評価し保証します。このセクションでは、特定の RSoP IoE の現在の動作について、およびその計算に関連するパフォーマンスの懸念事項に Tenable Identity Exposure がどのように対応しているかについて、インサイトを提供します。

次の RSoP ベースの IoE は、Tenable Identity Exposureのセキュリティフレームワークで役割を果たします。

  • 特権ユーザーのログオン制限

  • 機密性の高い危険な特権

  • ユーザーに対する弱いパスワードポリシーの適用

  • ランサムウェアに対する不十分な堅牢化

  • Netlogon プロトコルの安全でない設定

これらの IoE は、必要に応じて初期化される RSoP 計算結果キャッシュに依存しています。既存の値に依存せずに、リクエストに応じて加算される値を計算します。以前は、AdObjects に変更があるとキャッシュ無効化がトリガーされ、IoE の RSoP 実行中に頻繁に再計算が発生していました。

Tenable Identity Exposure では、RSoP 計算に関連するパフォーマンスへの影響に次のように対処しています。

  1. 最新ではない可能性のあるデータを使用したライブ IoE 分析 — RSoP に依存する IoE の計算 (入出力イベント) は、処理に使用されるデータが最新のものでなくても、発生時にリアルタイムで実行されます。RSoP キャッシュを無効にする可能性のあるバッファされたイベントは、特定の条件を満たすまで保存され、予測した計算が行われるようにします。

  2. スケジュールされた RSoP 無効化 — 再計算の条件を満たすと、システムは無効化プロセス中にバッファされたイベントを考慮して、RSoP キャッシュを無効にします。

  3. 最新のキャッシュを使用した IoE の再実行 — キャッシュが無効化された後、バッファされたイベントを取り込んで、キャッシュにある最新バージョンの AdObject で IoE が再実行されます。Tenable Identity Exposure は、バッファされたイベントごとに IoE を個別に計算します。

こうした理由により、RSoP に依存する IoE の計算時間が最適化されると、RSoP に関連する逸脱の計算に時間がかかります。

機能強化

Tenable Identity Exposure は、RSoP タスクを処理する露出インジケーターに変更を加えて、全体的なパフォーマンスと応答性を改善しました。

  • さらにスマートになったセキュリティチェック — システムの遅延を減らすために、特定のセキュリティチェック (RSoP チェックと呼ばれる) の実行方法を再設計しました。

  • 順応性のあるスケジューリング — システムは現在のワークロードに基づいて、これらのチェックを実行する最適な時間を自動的に選択します。

  • 過負荷に対する保護 — 忙しい期間のシステムの過負荷を防ぐため、新たな対策を導入しました。

  • GPO ファイルのセキュリティ分析 — GPO ファイルのセキュリティを分析する露出インジケーターは、ほかの IoE のようにリアルタイムではなく、30 分ごとに処理されるようになります。

利点

  • 応答時間の短縮 — セキュリティチェックプロセスを最適化することで、特にピーク使用時におけるシステムの応答が速くなります。

  • 信頼性の向上 — 新しい順応性のあるスケジューリングにより、重要なセキュリティチェックがユーザーの作業を妨げないようにします。

  • スムーズなエクスペリエンス — 過負荷に対する保護が向上したため、使用率が高いときもシステムは一貫したパフォーマンスを維持します。

  • プラットフォームの安定性の強化 — これらの変更により、さらに一貫したパフォーマンスが保証されるので、AD アクティビティが高いクライアントにとって特に有益です。

技術的な側面

  • RSoP チェックと GPO ファイルセキュリティ分析が、リアルタイムではなく周期的に実行されます。

  • プラットフォームが 30 分ごとにワークロードを評価します。分析を処理できると判断した場合は処理を進めますが、そうでない場合は負荷が減るまで待ちます。

  • メッセージキューの長さや処理の傾向などの要素を考慮に入れて、システムの過負荷を検出するアルゴリズムを実装します。

  • 過負荷になっている間は、システムの応答性を維持するために、重要でないチェックを延期します。