Tenable Identity Exposure を使い始める

このセクションでは、Tenable Identity Exposure をデプロイした後、Tenable Identity Exposure を効果的に使用開始するための主な手順を説明します。

各セクションには、関連タスクに関するより詳細な説明やインストラクションへのリンクが含まれています。

    • Tenable Identity Exposure にログインする します。以下の例で示されているように、ホームページが開きます。

    • 初回ログインは [email protected] で、パスワードは [email protected]! です。

    • サイドナビゲーションバーは、展開するか折りたたみます。

      • 展開するには、ウィンドウの左上にある メニューをクリックします。

      • 折りたたむには、ウィンドウの左上にある をクリックします。

  2. セキュアリレーは、VPN 接続ではなく TLS 暗号化を使用して、Active Directory データをユーザーのネットワークから Tenable Identity Exposure SaaS プラットフォームに安全に転送します。要件によっては複数のセキュアリレーが可能です。

    前提条件

    • セキュアリレー仮想マシン (VM) 用の Windows Server への管理者アクセスがあること

    • Tenable Identity Exposure ダウンロードポータルから最新のセキュアリレーインストーラーがダウンロードされていること

    • ネットワークアドレスと認証トークンを含む、Tenable Identity Exposure ポータルの 1 回限りのリンクキーがあること

    詳細な前提条件については、Tenable Identity Exposure のセキュアリレーを参照してください。

    1. 管理者アカウントで Tenable Identity Exposure のウェブポータルに接続します。

    2. [システム] > [設定] > [リレー] タブをクリックします。

    3. リンクキーの横にある [クリップボードにコピー] アイコンをクリックします。

    1. Windows Server VM でインストーラーファイルを右クリックし、[管理者として実行] を選択します。

    2. インストールウィザードのようこそ画面で、[次へ] をクリックします。

    3. [カスタムセットアップ] ウィンドウで、必要に応じて [参照] をクリックしてディスクパーティションを変更し、[次へ] をクリックします。

    4. [リンクキー] ウィンドウで以下を行います。

      • ポータルからコピーしたリンクキーを貼り付けます。

      • セキュアリレーの名前を入力します。

      • [テスト接続] をクリックします。

    1. テストが成功 (緑色のアイコン) したら、[次へ] をクリックします。成功していない場合は、[戻る] をクリックしてエラーを修正します。

    2. [インストールの準備完了] ウィンドウで [インストール] をクリックします。

    3. インストールが完了したら、[終了] をクリックします。

      詳細な手順については、Tenable Identity Exposure のセキュアリレー を参照してください。

    1. Tenable Identity Exposure ポータルに戻ります。

    2. [システム] > [リレー管理] タブをクリックします。

      新しくインストールされたリレーが [リレー] のリストに表示されます。

    監視するドメインを追加すると、新しいオプションが表示され、そのドメインを担当するセキュアリレーを選択できます。完全な手順については、リレーの設定を参照してください。

    自動アップデート

    Tenable Identity Exposure は、定期的にセキュアリレーのアップデートを自動でチェックし、インストールします (HTTPS アクセスが必要)。アップデートが行われると、ネットワークトレイアイコンが表示されます。アップデート後、Tenable Identity Exposureサービスが再起動し、データ収集が再開されます。

  3. 露出インジケーターを設定する前に、適切なアクセス許可を持つ Active Directory サービスアカウントを作成する必要があります (ない場合)。Tenable Identity Exposure でセキュリティモニタリングをするために管理者特権は必要ありませんが、一部のコンテナでは、サービスアカウントユーザーに読み取りアクセスを許可する設定を手動で行う必要になります。

    詳細については、AD オブジェクトまたはコンテナへのアクセスを参照してください。

    1. デフォルトの「[email protected]」アカウントなど、管理者認証情報を使用して、Tenable Identity Exposure ウェブポータルにログインします。

    2. 左上のメニューアイコンをクリックしてナビゲーションパネルを展開し、左側のパネルで [システム] をクリックします。

    1. [フォレスト管理] タブで、[フォレストの追加] をクリックします。

    2. フォレストの表示名を入力します (例: Tenable)。

    3. このフォレスト内のすべてのドメインに接続するサービスアカウントのログインとパスワードを入力します。

    4. [追加] をクリックします。

      詳細については、フォレストを参照してください。

    1. [ドメインの追加] をクリックします。

    2. 監視対象となるドメインの表示名を入力します (例: HQ)。

    3. 完全修飾ドメイン名を入力します (例: sky.net)。

    4. ドロップダウンリストから該当するフォレストを選択します。

    5. セキュアリレーで SaaS を使用する場合は、このドメインを処理するリレーを選択します。

    6. アカウントに必要な特権がある場合は、[特権分析] トグルを有効にします。

    7. [特権による分析] を有効にする場合は、Tenable クラウドに対してオプションで [特権による分析の転送] を有効にします。

    8. プライマリドメインコントローラーエミュレーター FSMO ロールを持つドメインコントローラーに関する以下の詳細を入力します。

      • IP アドレスまたはホスト名

      • LDAP、グローバルカタログ、SMB ポートについては、事前入力されたデフォルト値のままにします

    1. 下部にある [テスト接続] をクリックします。

    2. 成功したら、[追加] をクリックします。

      [ドメイン管理] ビューには、LDAP 初期化、SISFul 初期化、ハニーアカウント設定のステータスを示す列が表示され、最初のクロールが完了するまで、円形の読み込み中アイコンが表示されます。

      詳細については、ドメインを参照してください。

    1. [イベントフロー] ビューに切り替えます。数分後に分析が開始され、データのフローが流入し始めます。

    2. [システム] > [ドメイン管理] に戻ります。

    3. LDAP と SYSVOL の初期化が完了したことを示す緑色のアイコンが表示されるまで待ちます。

      これで、このドメインの露出インジケーターのモニタリングが有効になりました。ウェブポータルの通知は、環境の規模に応じて数分または数時間で表示されます。

    1. 左側のメニューで [露出インジケーター] をクリックすると、追加したドメインに関してトリガーされたすべてのインジケーターが表示されます。

    2. インジケーターをクリックすると、コンプライアンス違反の原因となっている逸脱オブジェクトの詳細が表示されます。

    3. 詳細を閉じ、[ダッシュボード] に移動して環境メトリクスを表示します。

  4. IoA をデプロイするには、次に説明するように、まず 3 つの設定を実行する必要があります。

    1. すべての攻撃シナリオで、IoA スクリプトは必須です。

    2. Kerberoasting などの特定の攻撃を検出するようにハニーアカウントを設定します。

    3. OS 資格情報ダンプなどの攻撃を検出するため、モニタリング対象ドメインのすべてのドメインコントローラーに Sysmon をインストールします。

    Tenable Identity Exposure では、IoA スクリプトとそのコマンドライン、およびハニーアカウント設定コマンドラインを提供しています。ただしこれらの前提条件は、ドメインコントローラーに対して直接実行するか、適切な権限を持つ管理マシンで実行する必要があります。

    詳細については、攻撃インジケーターのデプロイメントを参照してください。

    1. 管理者の認証情報 (例: [email protected]) を使用して、Tenable Identity Exposure ウェブポータルにログインします。

    2. [システム] > [設定] > [攻撃インジケーター] と進みます。

    3. お使いの環境で有効にする攻撃シナリオを選択します。

    4. ドメイン名の下にあるチェックボックスを選択して、利用可能なすべての攻撃シナリオを有効にします。

    5. 右下の [保存] をクリックします。

    6. 上部の [手順を見る] をクリックします。

      IoA エンジンをデプロイする手順を示すウィンドウが表示されます。

    1. トグルを使用して、自動アップデート機能を有効または無効にします。

    2. 1 つ目の [ダウンロード] ボタンをクリックして PS1 ファイルをダウンロードします。

    3. 2 つ目の [ダウンロード] ボタンをクリックして JSON ファイルをダウンロードします。

    4. インストールファイルをダウンロードした場所を書き留めます。

    5. [次の PowerShell コマンドを実行します] というラベルの付いたフィールドを見つけます。

    6. テキストフィールドの内容をコピーして、テキストファイルに貼り付けます。

    7. PS1 ファイルと JSON ファイルを、ドメインコントローラーまたは適切な権限のある管理サーバーにコピーします。

    8. Windows PowerShell の Active Directory モジュールを管理者として起動し、ファイルをホストしているフォルダーに移動します。

    9. Tenable Identity Exposure ウェブポータルからコピーしたコマンドを貼り付けて、Enter キーを押します。

    10. グループポリシー管理コンソールを開き、ドメインコントローラーの OU にリンクされている「Tenable.ad」という名前の GPO を見つけます。

    詳細な手順については、攻撃インジケーターのインストール を参照してください。

    1. Tenable Identity Exposure ウェブポータルに戻ります。

    2. [システム] > [ドメイン管理] タブに移動します。

    3. ドメインの右側にある [ハニーアカウントの設定ステータス] の下にある [+] アイコンをクリックします (他の 2 つのステータスが緑色の場合に利用可能になります)。

    4. [名前検索] ボックスに、ハニーポットとして使用するアカウントの名前を入力します。

    5. ドロップダウンリストからオブジェクトの識別名を選択します。

    6. コマンドラインテキストフィールドの内容をコピーして、テキストファイルに貼り付けます。

    7. IoA スクリプトを実行したサーバーに戻ります。

    8. PowerShell コマンドラインを開くか、管理者として起動します。

    9. Tenable Identity Exposure ウェブポータルからコピーしたコマンドを貼り付けて、Enter キーを押します。

    10. コマンドラインが適切に実行されたことを確認します。

    11. Tenable Identity Exposure ウェブポータルに戻り、下部にある [追加] ボタンをクリックします。

      数秒後、ハニーアカウント設定のステータスが緑の点で表示されます。

    詳細な手順については、ハニーアカウント を参照してください。

    Tenable Identity Exposure ウェブポータルは、Sysmon の自動デプロイメントを提供していません。必要な Sysmon 設定ファイルについては、Microsoft Sysmon のインストールを参照してください。Sysmon は、ドキュメントに記載されているように手動でインストールすることも、GPO でインストールすることもできます。

    詳細な手順については、Microsoft Sysmon のインストール を参照してください。

  5. Tenable Identity Exposure は、Active Directory に加えて Microsoft Entra ID もサポートしています。その際、Entra ID のアイデンティティ用に特化された IoE を使用します。

    詳細については、Microsoft Entra ID のサポートを参照してください。

    1. 適切な認証情報を使用して、portal.azure.com で Azure 管理ポータルにログインします。

    2. [Azure Active Directory] タイルをクリックし、左側のメニューから [アプリの登録] をクリックします。

    3. [新規登録] をクリックし、アプリケーション名 (例: 「Identity Exposure App」) を入力します。

    4. 下部にある [登録] をクリックします。

    5. アプリの [概要] ページにある、「アプリケーション (クライアント) ID」と「ディレクトリ (テナント) ID」を書き留めます。

    6. 左側のメニューにある [証明書とシークレット] をクリックします。

    7. [新しいクライアントシークレット] をクリックして説明を入力し、ポリシーごとに有効期限を設定します。

    8. [追加] をクリックし、表示されたシークレット値を安全に保存します。

    9. [API アクセス許可]、[アクセス許可を追加] の順にクリックします。

    10. [Microsoft Graph] を選択し、次に [アプリケーションのアクセス許可] を選択します。

    11. 次のアクセス許可を追加します: Audit Log.Read.AllDirectory.Read.AllIdentityProvider.Read.AllPolicy.Read.AllReports.Read.AllRoleManagement.Read.AllUserAuthenticationMethod.Read.All

    12. [アクセス許可を追加] および [管理者の同意を付与する] をクリックします。

    1. 適切なアカウントを使用して、Tenable Vulnerability Management ウェブポータルに接続します。

    2. メニューから [設定] > [認証情報] をクリックします。

    3. [認証情報の作成] をクリックし、[Microsoft Azure] タイプを選択します。

    4. 名前、説明を入力して、[テナント ID]、[アプリケーション ID]、[クライアントシークレット] に貼り付けます。

    5. [作成] をクリックします。

    6. メニューの [設定] > [マイアカウント] > [API キー] をクリックします。

    7. [生成] をクリックし、警告を確認して [続行] をクリックします。

    8. アクセスキーとシークレットキーの値をコピーします。

    1. グローバル管理者アカウントで接続します。

    2. メニューから [システム] > [設定] > [Tenable クラウド] をクリックします。

    3. [Microsoft Entra ID のサポートのアクティブ化] のトグルを有効にします。

    4. 前に生成したアクセスキーとシークレットキーを入力します。

    5. チェックマークをクリックすると、API キーが正常に送信されます。

    6. [テナント管理] タブをクリックし、[テナントの追加] をクリックします。

    7. Azure AD テナントの名前を入力します。

    8. 前に作成した Azure 認証情報を選択します。

    9. [追加] をクリックします。

    1. Tenable Identity Exposure によってテナントがスキャンされます。次のスキャン時間を表示するには、[スキャンステータス] にカーソルを合わせます。

    2. 最初のスキャンが終了すると、[スキャンステータス] 列に緑色のアイコンが表示されます。

    3. 左側のメニューで [露出インジケーター] をクリックします。

    4. タブを使用して、AD と Azure AD のインジケーター間でフィルタリングします。

    5. [すべてのインジケーターを表示] トグルを切り替えて、使用可能なすべてのインジケーターを表示します。

    6. [インジケーターの詳細]、[テナントの検出結果]、[推奨事項] の 3 つのタブがあります。

    7. 潜在的なエクスポージャーリスクと修正ガイダンスを確認します。

  6. Tenable Identity Exposure は露出インジケーターを使用して、Active Directory のセキュリティ成熟度を測定し、監視と分析の対象となっているイベントのフローに深刻度レベルを割り当てます。

    IoE の詳細については、露出インジケーターを参照してください。

    IoE へのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のアイコンをクリックして、パネルを展開します。

    3. 左側にある [露出インジケーター] をクリックすると、IoE が表示されます。

      デフォルトのビューには、環境内で潜在的に脆弱な設定項目が表示され、重大、高、中、低の深刻度が付けられています。

    • [すべてのインジケーターを表示] トグルをクリックして右に切り替えます。

      • Tenable Identity Exposure インスタンスで利用可能なすべての IoE が表示されます。ドメインが表示されていない項目は、そのサイバーエクスポージャーのない項目です。

      • [すべてのインジケーターを表示] の右側に [ドメイン] と表示されます。環境内に複数のドメインがある場合は、クリックして表示するドメインを選択します。

    • [インジケーターの検索] をクリックし、「パスワード」などのキーワードを入力します。

      パスワードに関連するすべての IoE が表示されます。

    • インジケーターに関する追加情報を表示するには、そのインジケーターをクリックします。

      • 詳細ビューは、特定のサイバーエクスポージャーのエグゼクティブサマリーで始まります。

      • 次に、それに関連するドキュメントと、この特定の項目を危険に晒す既知の攻撃者ツールがリストされています。

    • 右側には、[影響を受けたドメイン] が表示されます。

      • [脆弱性の詳細] タブをクリックして、この IoE で行われたチェックに関する追加情報を確認します。

      • [逸脱オブジェクト] タブをクリックすると、サイバーエクスポージャーをトリガーしたオブジェクトと理由のリストが表示されます。

      • リストのオブジェクトを展開すると、逸脱の原因に関する詳細を確認できます。

    1. クエリを作成するには、[式を入力してください] をクリックし、Boolean クエリを入力して項目を探します。左側にあるフィルターアイコンをクリックして、クエリを作成することもできます。

    2. 開始日と終了日を設定し、ドメインを選択し、[無視] トグルをクリックして無視された項目を検索します。

      完全な手順については、逸脱オブジェクトを検索を参照してください。

    • リスト内のオブジェクトを無視して非表示にすることができます。

      • 1 つ以上のオブジェクトを選択し、ページ下部にある [アクションの選択] をクリックします。

      • [選択されたオブジェクトを無視] を選択し、[OK] をクリックします。

      • 選択されたオブジェクトを無視する期間の終了日を選択します。

      • [選択されたオブジェクトの無視を停止] オプションを使用して、同じ方法でオブジェクトの無視を停止できます。

    • このインジケーターのすべての危険なオブジェクトのリストを CSV ファイルとしてエクスポートするには、[すべてエクスポート] ボタンをクリックします。

      完全な手順については、逸脱オブジェクトを参照してください。

    • [推奨事項] タブをクリックすると、このインジケーターの修正方法に関する提案が示されます。

      修正のユースケースについては、露出インジケーターからの逸脱を修正も参照してください。

  7. イベントフローは、AD インフラに影響を与えるイベントをリアルタイムで監視し分析した結果を表示します。イベントフローを使用して、重大な脆弱性と推奨される修正方法を特定できます。

    詳細は、イベントフローおよびイベント情報のユースケースを参照してください。

    イベントフローへのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のアイコンをクリックして、ナビゲーションバーを展開します。

    3. [イベントフロー] をクリックします。

    [イベントフロー] ページが開き、ソースタイプ、オブジェクトパス、ドメイン、日付を含むイベントのリストが表示されます。

    1. 右上にある日付ボックスをクリックして、検索する日付を指定します。

    2. [ドメイン] をクリックして、Active Directory サーバーまたはフォレストを変更します。

    3. 右上にある一時停止ボタンをクリックして、イベントフローのキャプチャを一時停止または再開します。

    検索に使うクエリを作成する方法には、手動かウィザードを使用するかの 2 つの方法があります。

    • イベントを手動でフィルタリングするには、検索ボックスに式を入力し、ブール演算子を使用して結果を絞り込みます。

      詳細については、イベント情報を手動で検索を参照してください。

    重要なイベントを特定したら、次の操作を行います。

    1. イベントをクリックします。これにより、そのオブジェクトで変更があった属性が表示されます。

    2. 左側にある青い点のアイコンにカーソルを合わせると、イベントの前後の値を比較できます。

    3. 項目にカーソルを合わせると、追加情報が表示されます。

    4. [値全体を表示] をクリックし、情報をクリップボードにコピーするボタンをクリックします。

    Active Directory サーバーにおけるサイバーセキュリティの課題の 1 つは、サイバーエクスポージャーには影響しない設定変更が大量に起きていることです。設定変更を特定するには、次の操作を行います。

    1. マジックワンドアイコンをクリックします。

    2. [逸脱のみ] を有効にします。

    3. [検証] をクリックします。

    イベントの横に赤いひし形の記号が表示されます。イベントをクリックすると、設定の変更に関する情報が表示されます。[逸脱] というラベルの付いた追加のタブがあります。クリックすると、作成または解決した特定のサイバーエクスポージャー項目が表示されます。

  8. IoE へのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のアイコンをクリックして、ナビゲーションバーを展開します。

    3. [攻撃インジケーター] をクリックします。

    デフォルトでは、その日の攻撃検出のタイムラインが表示されます。フィルターを変更するには、次の操作を行います。

    • [日]、[月]、[年] のいずれかをクリックします。

    • タイムフレームを変更するには、カレンダーアイコンをクリックして適切なタイムフレームを選択します。

    ポータルの右側にあるセレクターを使用して、特定のドメインまたは IoA のビューをフィルタリングできます。

    1. [ドメイン] をクリックして選択肢を表示し、選択します。

    2. [X] をクリックして閉じます。

    3. [インジケーター] をクリックして選択肢を表示し、選択します。

    4. [X] をクリックして閉じます。

    たとえば、2022 年に起きたイベントを表示するには、次の操作を行います。

    1. [年] ボタンをクリックし、[2022] を選択します。

    2. タイムラインの赤と黄色のバーをクリックします。

    3. その月に検出された深刻度が重大の攻撃上位 3 つと中程度の攻撃上位 3 つを示す新しいビューが表示されます。

    4. ブラックボックスの外側をクリックして、ビューを閉じます。

    タイムラインの下には、攻撃が検出された監視対象ドメインのカードが表示されます。

    • [並べ替え] ドロップダウンをクリックします (現在は [ドメイン] に設定されています)。

    • ドメイン、インジケーターの重大度、フォレストのいずれかの基準でカードを並べ替えることができます。

    • 特定のドメインまたは攻撃を検索するには、検索ボックスを使用します。

    • デフォルトでは、攻撃を受けたドメインのカードのみが表示されます。[攻撃を受けたドメインのみを表示] を [はい] から [いいえ] に切り替えて、各ドメインを表示するようにビューを切り替えます。

    カードには、グラフと上位 3 つの攻撃の 2 種類の情報が含まれています。

    1. グラフの種類を変更するには、カードの右上にある鉛筆アイコンをクリックします。

    2. [攻撃の分布] または [イベント数] のいずれかを選択します。

    3. [保存] をクリックします。

    検出された攻撃に関する詳細を表示するには、次の操作を行います。

    • カードをクリックしてこのドメインに関連するインシデントを表示します。

    • フィルタリングするには、検索ボックスを使用し、開始日か終了日、または特定のインジケーターを選択します。もしくは、[いいえ/はい] のボックスを切り替えて、クローズしたインシデントの表示/非表示を切り替えます。

    • インシデントをクローズするには、アラートを選択し、下部にある [アクションの選択] メニューをクリックし、[選択されたインシデントを閉じる] を選択して、[OK] をクリックします。

    • インシデントを再オープンするには、アラートを選択し、[アクションの選択] メニューをクリックし、[選択されたインシデントを再度開く] を選択して、[OK] をクリックします。

    • 攻撃をクリックして、詳細ビューを開きます。説明パネルには、攻撃のインシデントの説明、MITRE ATT&CK フレームワーク情報、外部ウェブサイトへのリンクを含む追加リソースが表示されます。

    • [YARA 検出ルール] パネルをクリックすると、検出ツールでマルウェアリサーチを実行できるルールの例が表示されます。

    • [すべてエクスポート] をクリックして、インシデントのリストをエクスポートします。使用できる形式は CSV のみです。

    Tenable Identity Exposure が攻撃を検出すると、右上のベルのアイコンに通知が表示されます。これらの攻撃は、[攻撃アラート] タブに表示されます。

  9. Tenable Identity Exposure のアラートシステムは、監視対象の Active Directory におけるセキュリティの悪化や攻撃を特定するのに役立ちます。メールまたは Syslog 通知を使って、脆弱性や攻撃に関する分析データをリアルタイムでプッシュします。

    完全な手順については、アラートを参照してください。

    1. Tenable Identity Exposure に接続します。

    2. [システム] > [設定] の順にクリックします。

    3. このメニューから SMTP サーバーを設定します。

    1. [アラートエンジン] で、[メール] をクリックします。

    2. [メールアラートの追加] ボタンをクリックします。

    3. [メールアドレス] ボックスに、受信者のメールアドレスを入力します。

    4. [説明] ボックスに、アドレスの説明を入力します。

    5. [アラートのトリガー] ドロップダウンリストから、[変更時]、[各逸脱時]、または [各攻撃時] を選択します。

    6. [プロファイル] ドロップダウンで、このメールアラートに使用するプロファイルを選択します。

    7. システムの再起動でアラートがトリガーされた時にメール通知を送信するには、[逸脱時にアラートを送信] ボックスにチェックを入れます。

    8. [深刻度のしきい値] ドロップダウンから、Tenable Identity Exposure がアラートを送信し始めるしきい値を選択します。

    9. アラートを送信する対象となるインジケーターを選択します。

    10. アラートの対象となるドメインを選択します。

      1. [ドメイン] をクリックして、Tenable Identity Exposure がアラートを送信する対象となるドメインを選択します。

      2. フォレストまたはドメインを選択し、[選択内容でフィルター] ボタンをクリックします。

    11. [設定のテスト] ボタンをクリックします。

      Tenable Identity Exposure がメールアラートをサーバーに送信したことを確認するメッセージが表示されます。

    1. [追加] ボタンをクリックします。

      Tenable Identity Exposure によりメールアラートが作成されたことを確認するメッセージが表示されます。

    1. [Syslog] をクリックし、[Syslog アラートの追加] ボタンをクリックします。

    2. [コレクターの IP アドレスまたはホスト名] ボックスに、通知を受信するサーバーのサーバー IP かホスト名を入力します。

    3. [ポート] ボックスに、コレクターのポート番号を入力します。

    4. [プロトコル] ドロップダウンから、[UDP] または [TCP] を選択します。

    5. [TCP] を選択した場合は、[TLS] オプションのチェックボックスを選択して、TLS セキュリティプロトコルを有効にします。

    6. [説明] ボックスに、コレクターの簡単な説明を入力します。

    7. アラートをトリガーする 3 つのオプション [変更時]、[各逸脱時]、[各攻撃時] の中から 1 つを選択します。

    8. [プロファイル] ドロップダウンで、この Syslog アラートに使用するプロファイルを選択します。

    9. システムの再起動またはアップグレードの後にアラートを送信する場合は、[初期分析フェーズ中に逸脱が検出された場合にアラートを送信する] にチェックを入れます。

    10. 変更時にトリガーするアラートを設定する場合は、イベント通知をトリガーする式を入力します。

    11. [設定のテスト] ボタンをクリックします。

      Tenable Identity Exposure が Syslog アラートをサーバーに送信したことを確認するメッセージが表示されます。

    12. [追加] をクリックします。

      Tenable Identity Exposure により Syslog アラートが作成されたことを確認するメッセージが表示されます。

  10. ダッシュボードでは、Active Directory のセキュリティに影響を与えるデータや傾向がビジュアル化されて表示されます。ウィジェットでダッシュボードをカスタマイズし、要件に応じてグラフやカウンターを表示できます。

    詳細については、ダッシュボードを参照してください。

    ダッシュボードへのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のアイコンをクリックして、ナビゲーションバーを展開します。

    1. [ダッシュボード] に移動し、[追加] をクリックします。

    2. [ダッシュボードの追加] をクリックします。

    3. 名前を付けて [OK] をクリックします。

    1. 右上にある [追加] をクリックします。

    2. [このダッシュボードにウィジェットを追加] を選択するか、画面中央のボタンをクリックします。

    3. ウィジェットのタイプ (棒グラフ、折れ線グラフ、カウンター) を選択します。

    1. [折れ線グラフ] をクリックします。

    2. ウィジェットに名前を付けます (例: 「過去 30 日間の逸脱」)。

    3. データのタイプ (ユーザー数、逸脱数、コンプライアンススコア) を選択します。

    4. [逸脱] を選択し、1 か月間に設定します。

    5. [インジケーターなし] をクリックし、使用するインジケーターを選択します。

    6. データセットに名前を付けます (例:「重大」)。

    7. 必要に応じて他のデータセット (例: 「中」と「低」) を追加します。

    1. [追加] をクリックします。

    1. [棒グラフ] をクリックします。

    2. これに「コンプライアンス」という名前を付け、コンプライアンススコアのデータタイプを選択します。

    3. すべてのインジケーターを選択します。

    4. データセットに名前を付けます (例: 「IoE」)。

    5. [追加] をクリックします。

    1. [カウンター] をクリックします。

    2. ウィジェットに「ユーザー」などの名前を付け、データのタイプを [ユーザー数] に設定します。

    3. ステータス [すべて] を選択し、ドメインを選択します。

    4. データセットに名前を付けて、[追加] をクリックします。

  11. Tenable Identity Exposure には、グラフィック表示を通してビジネス資産の潜在的な脆弱性を視覚化する方法が複数用意されています。

    詳細については、攻撃経路を参照してください。

    攻撃経路機能へのアクセス

    1. Tenable Identity Exposure にサインインします。

    2. 左上のメニューアイコンをクリックして、ナビゲーションバーを展開します。

    3. [セキュリティ分析] セクションで、[攻撃経路] をクリックします。攻撃経路機能には、次の 3 つのモードがあります。

      • 攻撃経路

      • 影響範囲

      • 露出資産

    1. 検索ボックスにアカウント名 (例: 「John Doe」) を入力します。

    2. リストからアカウントを選択し、虫めがねのアイコンをクリックします。

    3. 選択した、侵害されているアカウントの影響範囲を調査します。

    4. 必要に応じて、ノードをフィルタリングして表示します。

    5. エンドポイントにカーソルを合わせると、攻撃経路が表示されます。

    6. オプションを切り替えて、すべてのノードのツールチップを表示します。

    7. ズームバーを使用して、ビューを調整します。

    8. 検索オブジェクトを変更するには、アカウント名の横にある [X] をクリックして、新しい検索を実行します。

    1. 検索ボックスに、機密性の高いサーバーの名前 (例: 「srv-fin」) を入力します。

    2. リストからオブジェクトを選択し、虫めがねのアイコンをクリックします。

    3. 選択した機密性の高いサーバーに対する露出資産を調査します。

    4. [影響範囲] モードと同様のオプションを使用します。

    5. 経路にカーソルを合わせると、詳細が表示されます。

    6. オプションを切り替えて、すべてのノードのツールチップを表示します。

    7. 下部のバーを使用して、ビューを調整します。

    1. 開始ポイントの [検索] ボックスに、侵害されたアカウントの名前 (例: 「John Doe」) を入力します。

    2. アカウント名をクリックします。

    3. 終着ポイントの検索ボックスに、機密性の高い資産の名前 (例: 「s or v-fin」) を入力します。

    4. 資産名をクリックします。

    5. 虫めがねのアイコンをクリックします。

    6. 侵害されたアカウントと機密性の高い資産の間で想定される攻撃経路を調査します。

    7. [影響範囲] モードおよび [露出資産] モードと同様のオプションを使用します。

    • [私が特権を持つ資産を制御できるのは誰ですか?]: 特権資産に到達する攻撃経路を持つすべてのユーザーアカウントとコンピューターアカウントを表示します。

    • [私が特権を持つ資産はどれですか?]: ティア 0 資産とそれらの資産に到達する可能性がある攻撃経路を持つアカウントをリストします。

    • タブを切り替えてリストを表示します。

    • ビューを切り替えるには、アイテムの横にある虫めがねのアイコンをクリックします。

    • 青い矢印と点のアイコンをクリックすると、この資産のみを表示するフィルターが適用された状態で、露出資産ビューが開きます。

    1. 攻撃経路機能を使用して仮定を確認し、エンティティ間の危険な攻撃経路を視覚化します。

    2. 修正アクションを実行して、特定された攻撃経路を閉じます。

ヒント: Tenable Identity Exposure のさらに詳しい情報については、次の顧客教育資料を確認してください。