Tenable Identity Exposure 2023 年オンプレミスリリースノート

Tenable Identity Exposure 3.42 (2023-04-06)

新機能

ダッシュボードデータの可用性 — 最大 1 年の新しい範囲 (1 か月間から可能) で、コンプライアンススコア、逸脱数、ユーザー数の値のレポートを作成できるようになりました。
スケーラビリティ — Tenable Identity Exposure は、IoA の精度向上とレイテンシ改善のために、より大きなスケールで対象のイベントを処理できるように、サービス側の攻撃インジケーターのパフォーマンスを改善しました。
攻撃インジケーターの迅速かつ容易なデプロイメント - 手動操作をしなくても、Tenable Identity Exposure で、設定されたドメインコントローラーから攻撃インジケーターを自動的に追加または削除できるようになりました。詳細は、「Tenable Identity Exposure 管理者ガイド」の攻撃インジケーターのインストールを参照してください。
攻撃インジケーター
- CPU 消費を抑制して、ドメインコントローラーへの影響を制限します。
- ドメインコントローラーのリソースフットプリントを改善しました。
攻撃経路 — ティア 0 資産とそれにつながる攻撃経路を表示するビューが導入されました。詳細については、「Tenable Identity Exposureユーザーガイド」を参照してください。
パスワードが決して期限切れにならないアカウント — この露出インジケーターの新しいオプションにより、組織単位 (OU) 全体をホワイトリストに登録できます。
特権分析 — 特権データ収集を Tenable クラウドサービスに送信するかどうかを制御できます (デフォルト: 送信しない)。

バグ修正

Tenable Identity Exposure バージョン 3.42 には、以下のバグ修正が含まれています。

バグ修正	欠陥 ID
露出インジケーターとそれに関連する修正
ユーザーに対する弱いパスワードポリシーの適用ワークロードの高いシナリオのパフォーマンスを改善しました。 GPO が適用されると思われるのに実際には適用されない 2 つのケースをより適切に説明する、2 つの新しい理由が導入されました。コンピューターを含む組織単位が、GPO の継承をブロックしているセキュリティフィルタリングにより、GPO がコンピューターに適用されないようになっている AAD SSO アカウントパスワードの最終変更の検証が、削除された AD オブジェクトに適用される際の逸脱を解決するようになりました。 Kerberos の危険な委任が、既存であるが空のリソースベースの制約付き委任 (RBCD) 属性を処理するようになりました。 Windows 2000 以前と互換性のあるアクセスコントロールを使っているアカウント (C-PRE-WIN2000-ACCESS-MEMBERS) は、「Windows 2000 以前と互換性のあるアクセス」グループの問題のある既知のプリンシパルをすべて報告するようになりました。機密性の高い GPO オブジェクトおよびファイルのアクセス許可の確認の IoE とドメインコントローラーが不正なユーザーに管理されているの IoE で Tenable Identity Exposure GPO の誤検出がなくなりました。 Tenable Identity Exposure では、バックエンドの IoE 無期限のパスワードを持つアカウントで、組織単位の許可リストオプションが制限されるようになり、生成されるログの量が減りました。露出インジケーターを再びドイツ語で表示できるようになりました。 Tenable Identity Exposure の CSV エクスポートファイルで tenable_ad_date タグが表示されなくなりました。	該当なし
攻撃インジケーターとそれに関連する修正
sAMAccountName なりすまし、Kerberoasting、OS 資格情報ダンプ: LSASS メモリ、DCShadow、および DPAPI ドメインバックアップキー抽出の IoA で、Tenable Identity Exposure の攻撃の誤検出や検出漏れが減りました。 OS 資格情報ダンプ: LSASS メモリ — ユーザーインターフェースとアラートで、より正確なプロセスとユーザー名の情報が表示されるようになりました。 Tenable Identity Exposure が DNS レコード AD オブジェクトから IP アドレスを照合できなくても、パスワードスプレーが攻撃を見逃さないようになりました。 MassiveComputersRecon — 関連のないオプション [ホワイトリストに登録されたターゲットドメインコントローラー] を削除しました。 IoA スクリプト Tenable Identity Exposure は、スクリプトのその後のインストールのための IoA セットアップスクリプトのレジリエンスを強化しました。 runas を使用して、ドメインに参加しているサーバーから Register-TenableIOA スクリプトを実行することが再び可能になりました。攻撃インジケーター PDF レポートの表紙ページに間違ったヘッダーが表示されなくなりました。 Tenable Identity Exposure GPO の名前変更が、Tenable Identity Exposure 攻撃インジケーター設定の自動アップデート機能に影響を与えることはなくなりました。 Tenable Identity Exposure の攻撃検出がより正確になり、誤検出や検出漏れが減りました。 IoA のインストールにより、セキュリティイベントのログが再確立されます。 Tenable Identity Exposure は、攻撃インジケーターの調査ビューで、ドル文字 ($) を使って属性を正しく表示するようになりました。 IoA を Windows 2022 ドメインコントローラーにインストールする際、サーバーを再起動する必要がなくなりました。 Tenable Identity Exposure は、削除された GPO の PDC の IoA 設定をプッシュしなくなりました。より堅牢な IoA 自動アップデートエクスペリエンスを実現するため、インストールされた IoA 設定を使用するようになりました。 Tenable Identity Exposure で、同じ攻撃インジケーター分析を取得するために必要なアクセス許可が少なくなりました。	該当なし
Tenable Identity Exposure インストーラー
SQL ドライブのラベルをより正確に表示します。英語以外の言語をサポートします。 [戻る] ボタンをクリックして戻り、インストールオプションを変更できます。ストレージマネージャーに以前にインストールされた既存の SQL サーバーが検出されると、警告なしで失敗します。	該当なし
攻撃経路
ディレクトリを削除した後、攻撃経路が Tier0 グラフをリフレッシュするようになりました。ページに 1 つのメニューバーが表示されるようになりました。攻撃経路サービスは、初期化中に複数の大きなセキュリティ記述子を処理できるようになりました。	該当なし
その他の修正
公開 API で取得される Tenable Identity Exposure (コンプライアンス) スコアは、指定したプロファイルに対して無効化されているチェッカーを除外するようになりました。これは、公開 API 経由で間違ったスコアが取得される原因となっていました。現在は改善され、Tenable Identity Exposure のユーザーインターフェースで参照できるコンプライアンススコアと一致するようになっています。認証 — Tenable Identity Exposure は、認証後に成功したログイン試行を記録するようになりました。セキュリティ - GraphQL の提案が表示されなくなりました。 Tenable Identity Exposure ダッシュボードウィジェットが、逸脱が検出されなかった場合に「データなし」ではなく「0」と表示するようになりました。 Tenable Identity Exposure が特権分析のデータを収集する際の Kerberos サービスアカウント認証が改善されました。 RabbitMQ ライブラリの依存関係をアップグレードし、CVE-2022-37026 を修正しました。 Tenable Identity Exposure で、多数のエントリがある複数値の属性を処理する際のパフォーマンスが向上しました。 Tenable Identity Exposure で、無効なアクセスなどに対する SYSVOL の耐障害性が向上しました。 Tenable Identity Exposure は、アクセス許可などが原因で範囲外になった LDAP オブジェクトを再び示すようになりました。 DNS レコードが正しい IPv6 アドレスで表示されます。 Tenable Identity Exposure は、ユーザーがアクセス権を持たないセキュリティプロファイルをリストしなくなりました。 Tenable クラウドサービス — Tenable Identity Exposure は、Tenable クラウドサービスに接続または認証できない場合に、より正確なエラーメッセージを提供します。ライセンス — Tenable Identity Exposure は、MSMQ-Migrated-User や strongAuthenticationUser などの User という文字を含む objectClasses ではなく、objectClass が厳密に User である AD オブジェクトのみに基づいて、アクティブなユーザーのカウントを行うようになりました。イベントフロー - 安全でない HTTP プロトコル (HTTP または認識されない HTTPS 証明書を使用する、一部のオンプレミスデプロイメントに関連したもの) を使用する際に、SDDL フィールドをコピーできるようになりました。 Tenable Identity Exposure API リファレンスポータル — 無関係なエントリ (イベント) を削除しました。 API — 整数入力検証が強化され、エラーを内部サーバーエラーとしてではなく不適切なリクエストとして適切に管理するようになりました。 Tenable Identity Exposure は、外部セキュリティプリンシパルが未解決のセキュリティプリンシパルでもある場合、外部セキュリティプリンシパルをより適切に処理します。 Tenable Identity Exposure は、SYSLOG を通じて送信する際に、AD 属性の \0a シーケンスをスペースに置き換えます。一部のエッジケースで、削除したディレクトリのロールを編集できるようになりました。 Tenable Identity Exposure は、攻撃経路機能の未解決のセキュリティプリンシパルを適切なドメインにリンクします。	該当なし

パッチ 3.42.17 (2023 年 10 月 24 日)

Tenable Identity Exposure バージョン 3.42.17 には以下のパッチが含まれています。

パッチ	欠陥 ID
アップグレードの際、Tenable Identity Exposure はイベントログストレージの完全修飾ドメイン名 (FQDN) または IP アドレスに既存の設定を自動的に入力します。	該当なし
Tenable Identity Exposure は、RabbitMQ および Erlang のインストールの際の引用符のないアンインストールパスを修正しました。	該当なし
リンク解除、無効、または孤立した GPO の露出インジケーター (IoE) で、削除された GPO を伴うシナリオがより効果的に管理されるようになりました。	該当なし
名前を変更した Active Directory ドメインで、機密データの取得がシームレスに機能するようになりました。	該当なし
ADCS の危険な設定ミス IoE で、証明書テンプレートの分析のために samAccountName または userPrincipalName を使用して、トラスティを他の AD ドメインから除外できるようになりました。	該当なし
Tenable のインストールフォルダーに、NT AUTHORITY\Authenticated Users のアクセス許可が表示されなくなりました。	該当なし
イベントフローが、膨大なイベント履歴を持つお客様を効果的に管理できるようになりました。	該当なし
Tenable Identity Exposure は、コレクターサービスの複数のメモリリークを修正しました。	該当なし
Tenable Identity Exposure は、次の攻撃インジケーター (IoA) に影響を与える相関ロジックを修正しました。DCSync、DCShadow、DC のパスワード変更、DNS 管理者の悪用、ドメインバックアップキーの抽出、大量のコンピューターに対する偵察、NTDS の抽出、認証情報ダンプ: LSASS メモリ、SAM 名のなりすまし、Zerologon の悪用。	該当なし
Tenable Identity Exposure インストーラーが、サービス間の通信を保護するために楕円曲線暗号の証明書を受け入れるようになりました。	該当なし
Tenable Identity Exposure オンプレミスインストーラーでは、以前 IP アドレスを要求していたすべてのフィールドで、完全修飾ドメイン名 (FQDN) を使用できるようになりました。	該当なし

パッチ 3.42.12 (2023 年 6 月 19 日)

Tenable Identity Exposure バージョン 3.42.12 には以下のパッチが含まれています。

パッチ	欠陥 ID
セキュリティ分析で、適切にフォーマットされていないセキュリティ記述子を管理する機能が向上しました。	該当なし
新しく実装されたメカニズムにより、多数の属性変更があったときのデータベースのレジリエンスが強化されています。	該当なし
IoA セキュリティ分析は、必要に応じて 1 つ前の Windows イベントログバージョンにフォールバックするようになりました。	該当なし
セキュリティ分析で、IoE オプションから不適切な正規表現が検出されたときのエラーログの生成が制限されるようになりました。	該当なし
ユーザーがパスワードを変更すると、そのユーザーのアクティブなセッションがすべて無効になります。	該当なし
Tenable Identity Exposure が、gz 形式のイベントログファイルを読み取る再試行回数を減らし、これらのファイルを開く操作によって引き起こされる潜在的な問題に対処しています。	該当なし
IoA モジュールがない場合、ログに不適切な IoA 関連のメッセージが記述されません。	該当なし
露出インジケーター (IoE) 初期セキュリティチェック実行時の [ユーザーに対する弱いパスワードポリシーの適用] が向上しています。逸脱が起きたときの [ランサムウェアに対する不十分な堅牢化] のレジリエンスが向上しています。 [機密性の高い危険な特権] の分析パフォーマンスが向上しています。	該当なし

パッチ 3.42.11（2023 年 6 月 2 日）

Tenable Identity Exposure バージョン 3.42.11 には以下のパッチが含まれています。

パッチ	欠陥 ID
Tenable Identity Exposure は、複数のリスナー (Ceti) インスタンスで再び実行できます。	該当なし
現在 Tenable Identity Exposure は、IoA GPO audit.csv ファイルを、auditpol.exe 出力 (ローカライズ可能) ではなく、Windows API からの結果を使用して生成するようになりました。	該当なし
Tenable Identity Exposure IoA のカスタマイズが正しく機能するようになりました。	該当なし
攻撃インジケーターデプロイメントスクリプトの追加パラメーターである -EventLogsFileWriteFrequency X を使用すると、分散ファイルシステム (DFS) レプリケーションの遅延または破損による潜在的な問題に対処できます。詳細については、管理者ガイドの DFS レプリケーション問題の緩和を参照してください。	該当なし
xml2js の依存関係を最新バージョン (0.4.23 から 0.5.0 へ) に更新しました。	該当なし
Tenable Identity Exposure では、SYSVOL 共有から発生するアクセス拒否エラーの発生を制限し、ログディスクの過剰使用を防げるようになりました。	該当なし

ソフトウェア依存関係の更新

Tenable Identity Exposure オンプレミスバージョン 3.42.11 では、Active Directory インフラを保護するための重要な機能が強化されています。このリリースでは、ソフトウェアのセキュリティを優先し、コンポーネントを最新に保って保護を向上するため、特定の依存関係が更新されています。

Tenable Identity Exposure		バージョン 3.42.3	バージョン 3.42.11	バージョン 3.42.17
ソフトウェア名	ファイル名	バージョン	バージョン	バージョン
cUrl	curl.exe	7.66.0	8.0.1	8.4.0
SysInternals ハンドル	handle.exe	4.22.0	5.0.0	5.0
IIS URL Rewrite Module 2	rewrite_amd64_en-US.msi	7.2.1980	7.2.1993	7.2.1993
.net Runtime .net Windows Server Hosting	dotnet-hosting-6.0.14-win.exe	6.0.14	6.0.16	6.0.22.32824 6.0.22.23424
NodeJS	node-x64.msi	16.19.1	16.20.0	18.18.0
MSSQL	setup.exe	2019.150.2000.5	2019.150.4312.2	15.0.4322.2
RabbitMQ	rabbitmq-server.exe	3.10.11	3.10.19	3.12.6
Erlang OTP	otp_win64.exe	25.1.2	25.1.2	26.1.1
ASP.NET Core	dotnet-hosting-win.exe	6.0.14	6.0.16	6.0.22.23424