Tenable Identity Exposure を使い始める

このセクションでは、Tenable Identity Exposure のデプロイ後に Tenable Identity Exposure を効果的に使用するための主な手順を説明します。

各セクションには、関連タスクに関するより詳細な説明やインストラクションへのリンクが含まれています。

1. ログインしてユーザーインターフェースを操作する

   • Tenable Identity Exposure へのログイン します。以下の例で示されているように、ホームページが開きます。

   • 初回ログインは [email protected] で、パスワードは [email protected]! です。

   • サイドナビゲーションバーは、展開するか折りたたみます。

     • 展開するには、ウィンドウの左上にある メニューをクリックします。

     • 折りたたむには、ウィンドウの左上にある をクリックします。

   

   • Tenable Identity Exposure ユーザーポータル を操作します。

2. セキュアリレーをインストールする

   セキュアリレーは、VPN 接続ではなく TLS 暗号化を使用して、Active Directory データをユーザーのネットワークから Tenable Identity Exposure SaaS プラットフォームに安全に転送します。要件によっては複数のセキュアリレーが可能です。

   前提条件

   • セキュアリレー仮想マシン (VM) 用の Windows Server への管理者アクセスがあること

   • Tenable Identity Exposure ダウンロードポータルから最新のセキュアリレーインストーラーがダウンロードされていること

   • ネットワークアドレスと認証トークンを含む、Tenable Identity Exposure ポータルの 1 回限りのリンクキーがあること

   詳細な前提条件については、Tenable Identity Exposure のセキュアリレーを参照してください。

   リンクキーの取得

   1. 管理者アカウントで Tenable Identity Exposure のウェブポータルに接続します。

   2. [システム] > [設定] > [リレー] タブの順にクリックします。

   3. リンクキーの横にある [クリップボードにコピー] アイコンをクリックします。

   セキュアリレーのインストール

   1. Windows Server VM でインストーラーファイルを右クリックし、[管理者として実行] を選択します。

   2. インストールウィザードのようこそ画面で、[次へ] をクリックします。

   3. [カスタムセットアップ] ウィンドウで、必要に応じて [参照] をクリックしてディスクパーティションを変更し、[次へ] をクリックします。

   4. [リンクキー] ウィンドウで以下を行います。

      • ポータルからコピーしたリンクキーを貼り付けます。

      • セキュアリレーの名前を入力します。

      • [テスト接続] をクリックします。

   5. テストが成功 (緑色のアイコン) したら、[次へ] をクリックします。成功しなかった場合は、[戻る] をクリックしてエラーを修正します。

   6. [インストールの準備完了] ウィンドウで [インストール] をクリックします。

   7. インストールが完了したら、[終了] をクリックします。

      詳細な手順については、Tenable Identity Exposure のセキュアリレーを参照してください。

   ポータルでのリレーのインストールの確認

   1. Tenable Identity Exposure ポータルに戻ります。

   2. [システム] > [リレー管理] タブをクリックします。

      新しくインストールされたリレーが [リレー] のリストに表示されます。

   リレーの設定

   監視するドメインを追加すると、新しいオプションが表示され、そのドメインを担当するセキュアリレーを選択できます。完全な手順については、リレーの設定を参照してください。

   自動アップデート

   Tenable Identity Exposure は、定期的にセキュアリレーのアップデートを自動でチェックし、インストールします (HTTPS アクセスが必要)。アップデートが行われると、ネットワークトレイアイコンが表示されます。更新後、Tenable Identity Exposure サービスが再起動し、データ収集が再開されます。

3. Active Directory ドメインの露出インジケーター (IoE) を有効にする

   露出インジケーターを設定する前に、適切なアクセス許可を持つ Active Directory サービスアカウントを作成する必要があります (ない場合)。Tenable Identity Exposure でセキュリティモニタリングをするために管理者特権は必要ありませんが、一部のコンテナでは、サービスアカウントユーザーに読み取りアクセスを許可する設定を手動で行う必要になります。

   詳細については、AD オブジェクトまたはコンテナへのアクセスを参照してください。

   1. デフォルトの「[email protected]」アカウントなど、管理者認証情報を使用して、Tenable Identity Exposure ウェブポータルにログインします。

   2. 左上のメニューアイコンをクリックしてナビゲーションパネルを展開し、左側のパネルで [システム] をクリックします。

   フォレストの追加

   1. [フォレスト管理] タブで、[フォレストの追加] をクリックします。

   2. フォレストの表示名を入力します (例: Tenable)。

   3. このフォレスト内のすべてのドメインに接続するサービスアカウントのログインとパスワードを入力します。

   4. [追加] をクリックします。

      詳細については、フォレストを参照してください。

   ドメインの追加

   1. [ドメインの追加] をクリックします。

   2. 監視対象となるドメインの表示名を入力します (例: HQ)。

   3. 完全修飾ドメイン名を入力します (例: sky.net)。

   4. ドロップダウンリストから該当するフォレストを選択します。

   5. セキュアリレーで SaaS を使用する場合は、このドメインを処理するリレーを選択します。

   6. アカウントに必要な権限がある場合は、[特権分析] トグルを有効にします。

   7. [特権による分析] を有効にする場合は、Tenable クラウドに対してオプションで [特権による分析の転送] を有効にします。

   8. プライマリドメインコントローラーエミュレーター FSMO ロールを持つドメインコントローラーに関する以下の詳細を入力します。

      • IP アドレスまたはホスト名

      • LDAP、グローバルカタログ、SMB ポートについては、事前入力されたデフォルト値のままにします

   9. 下部にある [テスト接続] をクリックします。

   10. 成功したら、[追加] をクリックします。

       [ドメイン管理] ビューには、LDAP 初期化、SISFul 初期化、ハニーアカウント設定のステータスを示す列が表示され、最初のクロールが完了するまで、円形の読み込み中アイコンが表示されます。

       詳細については、ドメインを参照してください。

   モニタリングの初期化

   1. [イベントフロー] ビューに切り替えます。数分後に分析が開始され、データのフローが流入し始めます。

   2. [システム] > [ドメイン管理] に戻ります。

   3. LDAP と SYSVOL の初期化が完了したことを示す緑色のアイコンが表示されるまで待ちます。

      これで、このドメインの露出インジケーターのモニタリングが有効になりました。ウェブポータルの通知は、環境の規模に応じて数分または数時間で表示されます。

   エクスポージャーデータの確認

   1. 左側のメニューで [露出インジケーター] をクリックすると、追加したドメインに関してトリガーされたすべてのインジケーターが表示されます。

   2. インジケーターをクリックすると、コンプライアンス違反の原因となっている逸脱したオブジェクトの詳細が表示されます。

   3. 詳細を閉じ、[ダッシュボード] に移動して環境メトリクスを表示します。

4. ドメインに攻撃インジケーター (IoA) をデプロイする

   IoA をデプロイするには、次に説明するように、まず 3 つの設定を実行する必要があります。

   1. すべての攻撃シナリオで、IoA スクリプトは必須です。

   2. Kerberoasting などの特定の攻撃を検出するようにハニーアカウントを設定します。

   3. OS 資格情報ダンプなどの攻撃を検出するため、モニタリング対象ドメインのすべてのドメインコントローラーに Sysmon をインストールします。

   Tenable Identity Exposure では、IoA スクリプトとそのコマンドライン、およびハニーアカウント設定コマンドラインを提供しています。ただしこれらの前提条件は、ドメインコントローラーに対して直接実行するか、適切な権限を持つ管理マシンで実行する必要があります。

   詳細については、攻撃インジケーターのデプロイメントを参照してください。

   攻撃シナリオの設定

   1. 管理者の認証情報 (例: [email protected]) を使用して、Tenable Identity Exposure ウェブポータルにログインします。

   2. [システム] > [設定] > [攻撃インジケーター] と進みます。

   3. お使いの環境で有効にする攻撃シナリオを選択します。

   4. ドメイン名の下にあるチェックボックスを選択して、利用可能なすべての攻撃シナリオを有効にします。

   5. 右下の [保存] をクリックします。

   6. 上部の [手順を見る] をクリックします。

      IoA エンジンをデプロイする手順を示すウィンドウが表示されます。

   7. トグルを使用して、自動アップデート機能を有効または無効にします。

   8. 1 つ目の [ダウンロード] ボタンをクリックして PS1 ファイルをダウンロードします。

   9. 2 つ目の [ダウンロード] ボタンをクリックして JSON ファイルをダウンロードします。

   10. インストールファイルをダウンロードした場所を書き留めます。

   11. [次の PowerShell コマンドを実行] というラベルの付いたフィールドを見つけます。

   12. テキストフィールドの内容をコピーして、テキストファイルに貼り付けます。

   13. PS1 ファイルと JSON ファイルを、ドメインコントローラーまたは適切な権限のある管理サーバーにコピーします。

   14. Windows PowerShell の Active Directory モジュールを管理者として起動し、ファイルをホストしているフォルダーに移動します。

   15. Tenable Identity Exposure ウェブポータルからコピーしたコマンドを貼り付けて、Enter キーを押します。

   16. グループポリシー管理コンソールを開き、ドメインコントローラーの OU にリンクされている「Tenable.ad」という名前の GPO を見つけます。

   詳細な手順については、攻撃インジケーターのインストールを参照してください。

   ハニーアカウントの設定

   1. Tenable Identity Exposure ウェブポータルに戻ります。

   2. [システム] > [ドメイン管理] タブに移動します。

   3. ドメインの右側にある [ハニーアカウントの設定ステータス] の下にある [+] アイコンをクリックします (他の 2 つのステータスが緑色の場合に利用可能になります)。

   4. [名前] 検索ボックスに、ハニーポットとして使用するアカウントの名前を入力します。

   5. ドロップダウンリストからオブジェクトの識別名を選択します。

   6. コマンドラインテキストフィールドの内容をコピーして、テキストファイルに貼り付けます。

   7. IoA スクリプトを実行したサーバーに戻ります。

   8. PowerShell コマンドラインを開くか、管理者として起動します。

   9. Tenable Identity Exposure ウェブポータルからコピーしたコマンドを貼り付けて、Enter キーを押します。

   10. コマンドラインが適切に実行されたことを確認します。

   11. Tenable Identity Exposure ウェブポータルに戻り、下部にある [追加] ボタンをクリックします。

       数秒後、ハニーアカウント設定のステータスが緑の点で表示されます。

   詳細な手順については、ハニーアカウントを参照してください。

   Sysmon のインストール

   Tenable Identity Exposure ウェブポータルは、Sysmon の自動デプロイメントを提供していません。必要な Sysmon 設定ファイルについては、Microsoft Sysmon のインストールを参照してください。Sysmon は、ドキュメントに記載されているように手動でインストールすることも、GPO でインストールすることもできます。

   詳細な手順については、Microsoft Sysmon のインストールを参照してください。

5. Tenable Identity Exposure 用に Microsoft Entra ID を設定する

   Tenable Identity Exposure は、Active Directory に加えて Microsoft Entra ID もサポートしています。その際、Entra ID のアイデンティティ用に特化された IoE を使用します。

   詳細については、Microsoft Entra ID をアイデンティティプロバイダーとして設定するを参照してください。

   Entra ID アプリケーションの作成

   1. 適切な認証情報を使用して、portal.azure.com で Azure 管理ポータルにログインします。

   2. [Azure Active Directory] タイルをクリックし、左側のメニューから [App Registrations] (アプリの登録) をクリックします。

   3. [New Registration] (新しい登録) をクリックし、アプリケーション名 (例: 「Identity Exposure App」) を入力します。

   4. 下部にある [Register] (登録) をクリックします。

   5. アプリの概要ページにある、「アプリケーション (クライアント) ID」と「ディレクトリ (テナント) ID」を書き留めます。

   6. 左側のメニューにある [証明書とシークレット] をクリックします。

   7. [New client secret] (新しいクライアントシークレット) をクリックして説明を入力し、ポリシーごとに有効期限を設定します。

   8. [Add] (追加) をクリックし、表示されたシークレット値を安全に保存します。

   9. [API permissions] (API アクセス許可)、[Add a permission] (アクセス許可を追加) の順にクリックします。

   10. [Microsoft Graph] を選択し、次に [Application Permissions] (アプリケーションのアクセス許可) を選択します。

   11. 次のアクセス許可を追加します: Audit Log.Read.All、Directory.Read.All、IdentityProvider.Read.All、Policy.Read.All、Reports.Read.All、RoleManagement.Read.All、UserAuthenticationMethod.Read.All。

   12. [Add permissions] (アクセス許可を追加) および [Grant admin consent] (管理者の同意の付与) をクリックします。

   Tenable Vulnerability Management の設定

   1. 適切なアカウントを使用して、Tenable Vulnerability Management ウェブポータルに接続します。

   2. [メニュー] > [設定] > [認証情報] をクリックします。

   3. [認証情報の作成] をクリックし、[Microsoft Azure] タイプを選択します。

   4. 名前、説明を入力して、[テナント ID]、[アプリケーション ID]、[クライアントシークレット] に貼り付けます。

   5. [作成] をクリックします。

   6. [メニュー] > [設定] > [マイアカウント] > [API キー] をクリックします。

   7. [生成] をクリックし、警告を確認して [続行] をクリックします。

   8. アクセスキーとシークレットキーの値をコピーします。

   Tenable Identity Exposure の設定

   1. グローバル管理者アカウントで接続します。

   2. [メニュー] > [システム] > [設定] > [Tenable クラウド] をクリックします。

   3. [Microsoft Entra ID サポートを有効化する] のトグルを有効にします。

   4. 前に生成したアクセスキーとシークレットキーを入力します。

   5. チェックマークをクリックすると、API キーが正常に送信されます。

   6. [テナント管理] タブをクリックし、[テナントの追加] をクリックします。

   7. Azure AD テナントの名前を入力します。

   8. 前に作成した Azure 認証情報を選択します。

   9. [追加] をクリックします。

   検出結果のモニタリングと確認

   1. Tenable Identity Exposure によってテナントがスキャンされます。次のスキャン時間を表示するには、[スキャンステータス] にカーソルを合わせます。

   2. 最初のスキャンが終了すると、[スキャンステータス] 列に緑色のアイコンが表示されます。

   3. 左側のメニューで [露出インジケーター] をクリックします。

   4. タブを使用して、AD と Azure AD のインジケーター間でフィルタリングします。

   5. [すべてのインジケーターを表示] トグルを切り替えて、使用可能なすべてのインジケーターを表示します。

   6. [インジケーターの詳細]、[テナントの検出結果]、[推奨事項] の 3 つのタブがあります。

   7. 潜在的なエクスポージャーリスクと修正ガイダンスを確認します。

6. 環境内で IoE をセットアップして使用する

   Tenable Identity Exposure は露出インジケーターを使用して、Active Directory のセキュリティ成熟度を測定し、監視と分析の対象となっているイベントのフローに深刻度レベルを割り当てます。

   IoE の詳細については、露出インジケーターを参照してください。

   IoE へのアクセス

   1. Tenable Identity Exposure にサインインします。

   2. 左上のアイコンをクリックして、パネルを展開します。

   3. 左側にある [露出インジケーター] をクリックすると、IoE が表示されます。

      デフォルトのビューには、環境内で潜在的に脆弱な設定項目が表示され、重大、高、中、低の深刻度が付けられています。

   すべての IoE の表示

   • [すべてのインジケーターを表示] トグルをクリックして右に切り替えます。

     • Tenable Identity Exposure インスタンスで利用可能なすべての IoE が表示されます。ドメインが表示されていない項目は、そのサイバーエクスポージャーのない項目です。

     • [すべてのインジケーターを表示] の右側に [ドメイン] と表示されます。環境内に複数のドメインがある場合は、クリックして表示するドメインを選択します。

   IoE の検索

   • [インジケーターの検索] をクリックし、キーワードを入力します (例:「パスワード」)。

     パスワードに関連するすべての IoE が表示されます。

   IoE の詳細の確認

   • インジケーターに関する追加情報を表示するには、そのインジケーターをクリックします。

     • 詳細ビューは、特定のサイバーエクスポージャーのエグゼクティブサマリーで始まります。

     • 次に、それに関連するドキュメントと、この特定の項目を危険に晒す既知の攻撃者ツールがリストされます。

   • 右側には、[影響を受けたドメイン] が表示されます。

     • [脆弱性の詳細] タブをクリックして、この IoE で行われたチェックに関する追加情報を確認します。

     • [逸脱したオブジェクト] タブをクリックすると、サイバーエクスポージャーをトリガーしたオブジェクトと理由のリストが表示されます。

     • リストのオブジェクトを展開すると、逸脱の原因に関する詳細を確認できます。

   クエリの作成

   1. クエリを作成するには、[式を入力してください] をクリックし、Boolean クエリを入力して項目を探します。左側にあるフィルターアイコンをクリックして、クエリを作成することもできます。

   2. 開始日と終了日を設定し、ドメインを選択し、[無視] トグルをクリックして無視された項目を検索します。

      完全な手順については、逸脱したオブジェクトを検索を参照してください。

   逸脱したオブジェクトの無視またはエクスポート

   • リスト内のオブジェクトを無視して非表示にすることができます。

     • 1 つ以上のオブジェクトを選択し、ページ下部にある [アクションの選択] をクリックします。

     • [選択されたオブジェクトを無視] を選択し、[OK] をクリックします。

     • 選択されたオブジェクトを無視する期間の終了日を選択します。

     • [選択されたオブジェクトの無視を停止] オプションを使用して、同じ方法でオブジェクトの無視を停止できます。

   • このインジケーターのすべての逸脱したオブジェクトのリストを CSV ファイルとしてエクスポートするには、[すべてエクスポート] ボタンをクリックします。

     完全な手順については、逸脱したオブジェクトを参照してください。

   修正の推奨事項

   • [推奨事項] タブをクリックすると、このインジケーターの修正方法に関する提案が示されます。

     修正のユースケースについては、露出インジケーターからの逸脱を修正も参照してください。

7. イベントフローを使用して AD の設定変更を追跡する

   イベントフローは、AD インフラに影響を与えるイベントをリアルタイムで監視し分析した結果を表示します。イベントフローを使用して、重大な脆弱性と推奨される修正方法を特定できます。

   詳細は、イベントフローおよびイベント情報のユースケースを参照してください。

   イベントフローへのアクセス

   1. Tenable Identity Exposure にサインインします。

   2. 左上のアイコンをクリックして、ナビゲーションバーを展開します。

   3. [イベントフロー] をクリックします。

   [イベントフロー] ページの操作

   [イベントフロー] ページが開き、ソースタイプ、オブジェクトパス、ドメイン、日付を含むイベントのリストが表示されます。

   1. 右上にある日付ボックスをクリックして、検索する日付を指定します。

   2. [ドメイン] をクリックして、Active Directory サーバーまたはフォレストを変更します。

   3. 右上にある一時停止ボタンをクリックして、イベントフローのキャプチャを一時停止または再開します。

   クエリの作成

   検索に使うクエリを作成する方法には、手動かウィザードを使用するかの 2 つの方法があります。

   • イベントを手動でフィルタリングするには、検索ボックスに式を入力し、ブール演算子を使用して結果を絞り込みます。

     詳細については、イベント情報を手動で検索を参照してください。

   • 検索ウィザードを使用する場合

     1. 左側のマジックワンドアイコンをクリックします。

     2. プロンプトに従って、クエリ式を作成して組み合わせます。

     詳細については、ウィザードを使用してイベント情報を検索およびイベントフローのクエリをカスタマイズするを参照してください。

   イベント詳細の表示

   重要なイベントを特定したら、次の操作を行います。

   1. イベントをクリックします。これにより、そのオブジェクトで変更があった属性が表示されます。

   2. 左側にある青い点のアイコンにカーソルを合わせると、イベントの前後の値を比較できます。

   3. 項目にカーソルを合わせると、追加情報が表示されます。

   4. [値全体を表示] をクリックし、情報をクリップボードにコピーするボタンをクリックします。

   設定変更の特定

   Active Directory サーバーにおけるサイバーセキュリティの課題の 1 つは、サイバーエクスポージャーには影響しない設定変更が大量に起きていることです。設定変更を特定するには、次の操作を行います。

   1. マジックワンドアイコンをクリックします。

   2. [逸脱のみ] を有効にします。

   3. [検証] をクリックします。

   サイバーエクスポージャー項目の表示

   イベントの横に赤いひし形の記号が表示されます。イベントをクリックすると、設定の変更に関する情報が表示されます。[逸脱] というラベルの付いた追加のタブがあります。クリックすると、作成または解決した特定のサイバーエクスポージャー項目が表示されます。

8. IoA を使用して AD に対する潜在的な攻撃を特定する

   IoE へのアクセス

   1. Tenable Identity Exposure にサインインします。

   2. 左上のアイコンをクリックして、ナビゲーションバーを展開します。

   3. [攻撃インジケーター] をクリックします。

   タイムラインのフィルタリング

   デフォルトでは、その日の攻撃検出のタイムラインが表示されます。フィルターを変更するには、次の操作を行います。

   • [日]、[月]、[年] のいずれかをクリックします。

   • タイムフレームを変更するには、カレンダーアイコンをクリックして適切なタイムフレームを選択します。

   ビューのフィルタリング

   ポータルの右側にあるセレクターを使用して、特定のドメインまたは IoA だけが表示されるようにビューをフィルタリングできます。

   1. [ドメイン] をクリックして選択肢を表示し、選択します。

   2. [X] をクリックして閉じます。

   3. [インジケーター] をクリックして選択肢を表示し、選択します。

   4. [X] をクリックして閉じます。

   たとえば、2022 年に起きたイベントを表示するには、次の操作を行います。

   1. [年] ボタンをクリックし、[2022] を選択します。

   2. タイムラインの赤と黄色のバーをクリックします。

   3. その月に検出された深刻度が重大の攻撃上位 3 つと中程度の攻撃上位 3 つを示す新しいビューが表示されます。

   4. ブラックボックスの外側をクリックして、ビューを閉じます。

   検出された攻撃の詳細表示

   タイムラインの下には、攻撃が検出された監視対象ドメインのカードが表示されます。

   • [並び替え]ドロップダウンをクリックします。

   • ドメイン、インジケーターの重大度、フォレストのいずれかの基準でカードを並べ替えることができます。

   • 特定のドメインまたは攻撃を検索するには、検索ボックスを使用します。

   • デフォルトでは、攻撃を受けたドメインのカードのみが表示されます。[攻撃を受けたドメインのみを表示] を [はい] から [いいえ] に切り替えて、各ドメインを表示するようにビューを切り替えます。

   グラフのカスタマイズ

   カードには、グラフと上位 3 つの攻撃の 2 種類の情報が含まれています。

   1. グラフの種類を変更するには、カードの右上にある鉛筆アイコンをクリックします。

   2. [攻撃の分布] または [イベント数] のいずれかを選択します。

   3. [保存] をクリックします。

   インシデントの詳細表示

   検出された攻撃に関する詳細を表示するには、次の操作を行います。

   • カードをクリックしてそのドメインに関連するインシデントを表示します。

   • フィルタリングするには、検索ボックスを使用する、開始日か終了日を選択する、または特定のインジケーターを選択します。[いいえ]/[はい] のボックスを切り替えて、解決済みとしてクローズしたインシデントの表示/非表示を切り替えることもできます。

   • インシデントをクローズするには、アラートを選択し、下部にある [アクションの選択] メニューをクリックし、[選択されたインシデントをクローズする] を選択して、[OK] をクリックします。

   • インシデントを再オープンするには、アラートを選択し、[アクションの選択] メニューをクリックし、[選択されたインシデントを再オープンする] を選択して、[OK] をクリックします。

   攻撃の詳細と YARA 検出ルールの表示

   • 攻撃をクリックして、詳細ビューを開きます。説明パネルには、攻撃のインシデントの説明、MITRE ATT&CK フレームワーク情報、外部ウェブサイトへのリンクを含む追加リソースが表示されます。

   • [YARA 検出ルール] パネルをクリックすると、検出ツールでマルウェアリサーチを実行できるルールの例が表示されます。

   • [すべてエクスポート] をクリックして、インシデントのリストをエクスポートします。使用できる形式は CSV のみです。

   通知とアラート

   Tenable Identity Exposure が攻撃を検出すると、右上のベルのアイコンに通知が表示されます。これらの攻撃は、[攻撃アラート] タブに表示されます。

9. アラートを設定して使用する

   Tenable Identity Exposure のアラートシステムは、監視対象の Active Directory におけるセキュリティの悪化や攻撃を特定するのに役立ちます。メールまたは Syslog 通知を使って、脆弱性や攻撃に関する分析データをリアルタイムでプッシュします。

   完全な手順については、アラートを参照してください。

   SMTP サーバーの設定

   1. Tenable Identity Exposure に接続します。

   2. [システム] > [設定] をクリックします。

   3. このメニューから SMTP サーバーを設定します。

   メールアラートの作成

   1. [アラートエンジン] で、[メール] をクリックします。

   2. [メールアラートの追加] ボタンをクリックします。

   3. [メールアドレス] ボックスに、受信者のメールアドレスを入力します。

   4. [説明] ボックスに、アドレスの説明を入力します。

   5. [アラートのトリガー] ドロップダウンリストから、[変更時]、[各逸脱時]、または [各攻撃時] を選択します。

   6. [プロファイル] ドロップダウンで、このメールアラートに使用するプロファイルを選択します。

   7. システムの再起動でアラートがトリガーされた時にメール通知を送信するには、[逸脱時にアラートを送信] ボックスにチェックを入れます。

   8. [深刻度のしきい値] ドロップダウンから、Tenable Identity Exposure がアラートを送信するしきい値を選択します。

   9. アラートを送信する対象となるインジケーターを選択します。

   10. アラートの対象となるドメインを選択します。

       1. [ドメイン] をクリックして、Tenable Identity Exposure がアラートを送信する対象のドメインを選択します。

       2. フォレストまたはドメインを選択し、[選択内容でフィルター] ボタンをクリックします。

   11. [設定のテスト] ボタンをクリックします。

       Tenable Identity Exposure がメールアラートをサーバーに送信したことを確認するメッセージが表示されます。

   12. [追加] ボタンをクリックします。

       Tenable Identity Exposure によりメールアラートが作成されたことを確認するメッセージが表示されます。

   Syslog アラートの作成

   1. [Syslog] をクリックし、[Syslog アラートの追加] ボタンをクリックします。

   2. [コレクターの IP アドレスまたはホスト名] ボックスに、通知を受信するサーバーのサーバー IP かホスト名を入力します。

   3. [ポート] ボックスに、コレクターのポート番号を入力します。

   4. [プロトコル] ドロップダウンから、[UDP] または [TCP] を選択します。

   5. [TCP] を選択した場合は、[TLS] オプションのチェックボックスを選択して、TLS セキュリティプロトコルを有効にします。

   6. [説明] ボックスに、コレクターの簡単な説明を入力します。

   7. アラートをトリガーする 3 つのオプション [変更時]、[各逸脱時]、[各攻撃時] の中から 1 つを選択します。

   8. [プロファイル] ドロップダウンで、この Syslog アラートに使用するプロファイルを選択します。

   9. システムの再起動またはアップグレードの後にアラートを送信する場合は、[初期分析フェーズ中に逸脱が検出された場合にアラートを送信する] にチェックを入れます。

   10. 変更時にトリガーするアラートを設定する場合は、イベント通知をトリガーする式を入力します。

   11. [設定のテスト] ボタンをクリックします。

       Tenable Identity Exposure が Syslog アラートをサーバーに送信したことを確認するメッセージが表示されます。

   12. [追加] をクリックします。

       Tenable Identity Exposure により Syslog アラートが作成されたことを確認するメッセージが表示されます。

10. Tenable Identity Exposure ポータルでダッシュボードを設定する

    ダッシュボードでは、Active Directory のセキュリティに影響を与えるデータや傾向がビジュアル化されて表示されます。ウィジェットでダッシュボードをカスタマイズし、要件に応じてグラフやカウンターを表示できます。

    詳細については、ダッシュボードを参照してください。

    ダッシュボードへのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のアイコンをクリックして、ナビゲーションバーを展開します。

    カスタムダッシュボードの作成

    1. [ダッシュボード] に移動し、[追加] をクリックします。

    2. [ダッシュボードの追加] をクリックします。

    3. 名前を付けて [OK] をクリックします。

    ダッシュボードへのウィジェットの追加

    1. 右上にある [追加] をクリックします。

    2. [このダッシュボードにウィジェットを追加] を選択するか、画面中央のボタンをクリックします。

    3. ウィジェットのタイプ (棒グラフ、折れ線グラフ、カウンター) を選択します。

    折れ線グラフウィジェットの設定

    1. [折れ線グラフ] をクリックします。

    2. ウィジェットに名前を付けます (例: 「過去 30 日間の逸脱」)。

    3. データのタイプ (ユーザー数、逸脱数、コンプライアンススコア) を選択します。

    4. [逸脱] を選択し、1 か月間に設定します。

    5. [インジケーターなし] をクリックし、使用するインジケーターを選択します。

    6. データセットに名前を付けます (例:「重大」)。

    7. 必要に応じて他のデータセット (例: 「中」と「低」) を追加します。

    8. [追加] をクリックします。

    棒グラフウィジェットの追加

    1. [棒グラフ] をクリックします。

    2. これにコンプライアンスという名前を付け、データのタイプとしてコンプライアンススコアを選択します。

    3. すべてのインジケーターを選択します。

    4. データセットに名前を付けます (例: 「IoE」)。

    5. [追加] をクリックします。

    カウンターウィジェットの追加

    1. [カウンター] をクリックします。

    2. ウィジェットに「ユーザー」などの名前を付け、データのタイプを [ユーザー数] に設定します。

    3. ステータス [すべて] を選択し、ドメインを選択します。

    4. データセットに名前を付けて、[追加] をクリックします。

11. 攻撃経路を表示する

    Tenable Identity Exposure には、グラフィック表示を通してビジネス資産の潜在的な脆弱性を視覚化する方法が複数用意されています。

    詳細については、攻撃経路を参照してください。

    攻撃経路機能へのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のメニューアイコンをクリックして、ナビゲーションバーを展開します。

    3. [セキュリティ分析] セクションで、[攻撃経路] をクリックします。攻撃経路機能には、次の 3 つのモードがあります。

       • 攻撃経路

       • 影響範囲

       • 露出資産

    [影響範囲] モードの使用

    1. 検索ボックスにアカウント名 (例: 「John Doe」) を入力します。

    2. リストからアカウントを選択し、虫めがねのアイコンをクリックします。

    3. 選択した、侵害されているアカウントの影響範囲を調査します。

    4. 必要に応じて、ノードをフィルタリングして表示します。

    5. エンドポイントにカーソルを合わせると、攻撃経路が表示されます。

    6. オプションを切り替えて、すべてのノードのツールチップを表示します。

    7. ズームバーを使用して、ビューを調整します。

    8. 検索オブジェクトを変更するには、アカウント名の横にある [X] をクリックして、新しい検索を実行します。

    [露出資産] モードの使用

    1. 検索ボックスに、機密性の高いサーバーの名前 (例: 「srv-fin」) を入力します。

    2. リストからオブジェクトを選択し、虫めがねのアイコンをクリックします。

    3. 選択した機密性の高いサーバーに対する露出資産を調査します。

    4. [影響範囲] モードと同様のオプションを使用します。

    5. 経路にカーソルを合わせると、詳細が表示されます。

    6. オプションを切り替えて、すべてのノードのツールチップを表示します。

    7. 下部のバーを使用して、ビューを調整します。

    [攻撃経路] モードの使用

    1. 開始ポイントの [検索] ボックスに、侵害されたアカウントの名前 (例: 「John Doe」) を入力します。

    2. アカウント名をクリックします。

    3. 終着ポイントの検索ボックスに、機密性の高い資産の名前 (例: 「s or v-fin」) を入力します。

    4. 資産名をクリックします。

    5. 虫めがねのアイコンをクリックします。

    6. 侵害されたアカウントと機密性の高い資産の間で想定される攻撃経路を調査します。

    7. [影響範囲] モードおよび [露出資産] モードと同様のオプションを使用します。

    追加機能

    • 私に特権のある資産を制御できるユーザーがほかにいますか?: 特権資産に到達する攻撃経路を持つすべてのユーザーアカウントとコンピューターアカウントを表示します。

    • 私が特権を持つ資産はどれですか?: ティア 0 資産とそれらの資産に到達する可能性がある攻撃経路を持つアカウントをリストします。

    • タブを切り替えてリストを表示します。

    • ビューを切り替えるには、アイテムの横にある虫めがねのアイコンをクリックします。

    • 青い矢印と点のアイコンをクリックすると、この資産のみを表示するフィルターが適用された状態で、露出資産ビューが開きます。

    結果の解釈

    1. 攻撃経路機能を使用して仮定を確認し、エンティティ間の危険な攻撃経路を視覚化します。

    2. 修正アクションを実行して、特定された攻撃経路を閉じます。