Tenable Identity Exposure 2024 年オンプレミスリリースノート
以下のリリースノートは、新しいリリース順にリストされています。
Tenable Identity Exposure 3.77.6 (2024 年 12 月 4 日)
バグ修正
Tenable Identity Exposure バージョン 3.77.6 には、以下のバグ修正が含まれています。
| updater.exe ファイルが Tenable 証明書でデジタル署名されるようになりました。これにより、不正な変更に対する保護を確実にし、ファイルの信頼性が保証されます。 |
| Tenable Identity Exposure は、改善された相関エンジンにより、PetitPotam に対する攻撃経路を正確に特定するようになりました。IoA イベントリスナーを再デプロイする必要があります。 |
| Tenable Identity Exposure は、DnsNode オブジェクトから IPv4 アドレスを抽出するための追加の逆 DNS 形式をサポートするようになり、攻撃インジケーター機能で以前は「未知」と出力されていたものにも対処できるようになりました。この機能強化により、アラートの文脈情報が改善され、基本モードの関連 IoA の精度が向上しています。 |
| TCP Syslog アラートは、Windows Server 2016 で想定通りに動作します。 |
| セキュアリレーの定期タスクに、有効なパラメーター -AfadRolePath が表示されるようになりました。Tenable Identity Exposure をアップグレードすると、この定期タスクが削除され再作成されます。 |
| ADCS の危険な設定ミス IoE では、「ホワイトリストに登録されたトラスティ」オプションを考慮するようになりました。 |
| 危険な Kerberos 委任 IoE は、無効化されたオブジェクトのホワイトリスト登録を強制するようになりました。 |
| ユーザーに対する弱いパスワードポリシーの適用 IoE が、「特権 PSO がドメインに適用されていない」という理由で誤検出を表示しなくなりました。 |
| ローカライズされている場合、危険の原因となっている属性に詳細な値が表示されるようになりました。 |
| NTDS 抽出攻撃インジケーターでは、[許可されたプロセス] オプションの名前が変更され、「アグレッシブ」モードでのみ使用されることが明確になり、使用されない [許可された NTDS の宛先パス] オプションは削除されました。 |
| Tenable Identity Exposure で、二重引用符 (") をエスケープすることで CSV が正しくエクスポートされるようになり、エクスポートされたデータの精度が向上しています。 |
| 全ドメインの接続テストのパフォーマンスが向上したので、一部のドメインが到達不能な場合でも、予期しないウェブインターフェースのタイムアウトを防ぐことができます。 |
| Tenable Identity Exposure は、遅れて取り込まれた Windows イベントログを分析できるようになりました。 |
| 露出インジケーター (IoE) は、直近の検出日をより正確に表示するようになりました。 |
| Microsoft Entra ID 逸脱の検出結果が、選択されたテナントと正しく一致するようになりました。 |
| 特定のエッジケースでは、Tenable Identity Exposure はパスワードハッシュを分析できません。 |
| Tenable Identity Exposure で、[UserNameVariants] フィールドが DCSyncData に追加され、形式に依存することなく (SID、UPN、sAMAccountName) ユーザー名のホワイトリスト登録ができるようになりました。現在、この変更は DCSync 攻撃の攻撃インジケーター (IoA) にのみ適用されます。 |
| Envoy は CA 証明書を暗号化された形式で保存し、より大きなペイロードに対応できるように、デフォルトのルート設定サイズが 4 KB から 4 MB に引き上げられています。 |
| Tenable Identity Exposure は、cloud.tenable.com への接続を適切にテストするようになりました。 |
| LDAP 接続の問題が発生すると、ディレクトリリスナーは 12 時間後に自動的に再起動し、見逃した可能性のある ADObject 状態と再同期します。 |
| UDP Syslog アラートでは、ペイロードが MTU サイズに達すると切り捨てられるようになりました。 |
アップデートされたソフトウェアの依存関係
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015-2019 再頒布可能パッケージ | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| Rabbit MQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (2024 年 11 月 6 日)
新機能
-
攻撃インジケーター (IoA)
-
新しい基本モードとアグレッシブモード — 基本モードは、効率を重視した設定を希望するお客様向けに設計されており、設定時間を最小限に抑え、誤検出を減らして、不要なアラート発生を抑えます。これは、次の IoA に適用されます。
-
DCSync
-
不審な DC パスワードの変更
-
ゴールデンチケット
-
NTDS 抽出
-
OS 認証情報のダンプ: LSASS メモリ
-
ローカル管理者の列挙
-
SAMAccountName のなりすまし
-
-
-
露出インジケーター (IoE)
-
新しい IoE
- シャドウ認証情報 - 新しい IoE は、「Windows Hello for Business」機能とそれに関連する鍵認証情報のシャドウ認証情報のバックドアと設定ミスを検出します。
-
管理サービスアカウントの危険な設定ミス — 新しい IoE は、管理サービスアカウントのデプロイメントと設定が適切であることを確認します。
-
特権認証サイロ設定 — AD 管理者がティア 0 アカウントの認証サイロをインストールして設定するのを支援します。
-
プロパティセットの整合性 — Microsoft Active Directory (AD) の「プロパティセット」は、複数の属性を統合して、ACL の管理をより簡単かつ効率的にします。この露出インジケーターは、これらの AD オブジェクトとその属性内に、設定ミスや潜在的なバックドアがないかチェックします。
-
Microsoft Entra ID と同期している特権 AD ユーザーアカウント — 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。
-
ゲストアカウントの有効化 — ビルトインのゲストアカウントが無効であることをチェックします。
-
セキュリティプリンシパルの競合 — 重複した (競合する) ユーザー、コンピューター、またはグループがないことをチェックします。
-
RSOP ベースの IoE — パフォーマンスを上げるため、Tenable Identity Exposure はライブ RSoP (ポリシーの結果セット) のチェックを除外します。代わりに、RSoP セキュリティチェックを 30 分ごとに 1 回でスケジュール設定し、RSoP プロセス中に必要な関連チェックをより適切に管理できるようにします。詳細については、RSOP ベースの露出インジケーターを参照してください。
-
KRBTGT アカウントで前回行ったパスワード変更 — Windows Hello for Business の krbtgt_AzureAD アカウントのサポートを追加しました (Cloud Trust デプロイメント)。
-
可逆パスワード — PSO により属性 msDS-PasswordReversibleEncryptionEnabled で定義された可逆パスワードの検証が追加されました。
-
ローカル管理アカウントの管理 — 新しい Windows LAPS をサポートします。[インストールされている LAPS バージョン] という新しいオプションを導入し、ユーザーの選択に基づいて LAPS バージョンの設定を検証します。
-
- プロキシ — Tenable Identity Exposure のインストールまたはアップグレード中にプロキシ接続を定義できます。このプロキシ接続により、オンプレミス環境で Tenable One の機能を使用できるようになります。
-
セキュアリレーのインストール — 機能強化されたインストーラーにより、セキュアリレーを別の (スタンドアロン) マシンにインストールする際に、ディレクトリリスナーの自己署名証明書を簡単にアップロードできるようになりました。
機能強化
-
メールアラートは、安全な暗号化プロトコル、具体的には TLS 1.2 と 1.3 のみをサポートするようになりました。セキュアリレーをオーバーライドして、SSLv3 などの廃止された SMTP 暗号化標準を使用しているお客様は、そのオーバーライドを削除する必要があります。現在、許可される値は「Tls12」、「Tls13」、または「TLS12、 Tls13」(サーバーバージョンに基づく自動切り替え) のみです。サポートされていない値を使用すると、リレーは開始しません。
-
10 時間の新しい「遅延期間」(ゴールデンチケット IoA) — この間に正当なユーザーを許可リストに追加し、誤検出の数を減らします。
-
IoA 設定 — イベント分析をトリガーする前にイベント収集の期間を選択できます。値は 30 秒から 9 分までです。
-
Active Directory — Tenable Identity Exposure が管理する AD オブジェクトのサイズ制限が引き上げられました。
-
露出インジケーター
-
危険な Kerberos 委任
-
AS-REP ロースト攻撃の影響は受けないため、スマートカードを持つユーザーをセキュリティ問題とはみなさなくなりました。
-
[委任に対して保護されていない] という理由の逸脱でコンピューターにフラグを立てることはなくなりました。既存の逸脱はすべて解決します。
-
新しく追加された理由により、制限付き委任で使用される属性 (msDS-AllowedToDelegateTo) が存在しないサービスプリンシパル名 (SPN) を参照しているすべてのアカウントが報告されるようになりました。
-
新しい理由が Microsoft Entra Connect アカウント (AZUREADSSOACC) の Kerberos 委任の現在の設定を検出します。
-
-
ユーザープライマリグループ IoE - 理由が追加され、権限不足のために primaryGroupID 属性が空として表示されるアカウントをすべて報告するようになりました。
パスワードが決して期限切れにならないアカウント — 特権ユーザーと通常ユーザーを区別する新しい理由。
セキュリティプリンシパルの競合 — ユーザー、コンピューター、グループなど、重複している (競合する) オブジェクトがないことをチェックする新たな IoE。
古いパスワードを使用しているユーザーアカウント、廃止になった OS を実行しているコンピューター、休止アカウント — 特権ユーザーと通常ユーザーを区別する 2 つの新しい理由。
コンピューター堅牢化 GPO のないドメイン
すべてのドメインコンピューターで null セッションが明示的に無効化されていることを確認するための新しいチェック
ドメインコントローラー (SYSVOL/NETLOGON 共有) に対して設定された堅牢化された UNC パスに関連する新しいチェック
すべてのドメインコントローラーで印刷スプーラーサービスが無効にされていることを確認するための新しいチェック
SMB 署名の強制 — Tenable Identity Exposure は、ドメインコントローラーや他のサーバーで適切な SMB 署名を強制します。[デフォルトドメインコントローラーポリシー] パラメーターを検証し、他のサーバーに正しい GPO 設定がないかチェックします。
バグ修正
Tenable Identity Exposure バージョン 3.77.3 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| [保護されたユーザーグループが使用されていない] 露出インジケーターの [許可されたユーザー] オプションで、識別名のみを使用する以前の方法ではなく、UserPrincipalName (UPN)、SID、sAMAccountName を使ってユーザーをホワイトリストに追加できるようになりました。 |
| 攻撃インジケーターリスナーが、非 ASCII エンコーディングをサポートするようになりました。 |
| Tenable Identity Exposure は、(プロファイルで設定された) ホワイトリストに登録されたコンテナ内のコンピューターに関しては [ユーザーに対する弱いパスワードポリシーの適用] の逸脱をトリガーしません。 |
| Tenable Identity Exposure は、アップグレードの前にシステムのスナップショットを撮るようにアドバイスする警告メッセージを表示します。 |
| Tenable Identity Exposure は、残存アイテムを削除することで、ロールバックプロセスを改善しました。 |
| Tenable Identity Exposure は、読み取り専用プロファイルの詳細を表示する際の露出インジケーターの表示を解決しました。 |
| Envoy は IPv4 での解決を優先し、IPv6 にフォールバックするようになりました。これにより、反対の動作をする現在の設定が修正されました。 |
|
ログインセッション Cookie を保護することにより、セッション Cookie が HTTPS 経由でのみ送信され、ウェブアプリケーションのセキュリティが強化されています。 |
| セキュアリレーの定期タスクに、有効なパラメーター -AfadRolePath が表示されるようになりました。Tenable Identity Exposure をアップグレードすると、この定期タスクが削除され再作成されます。 |
| Tenable Identity Exposure で、ティア 0 資産グラフの構築が確実に成功するようになりました。 |
| セキュリティ分析サービスは、CPU 使用率が高いピーク時 (セキュリティチェック中など) の入力を処理します。 |
| Tenable Identity Exposure は、不明ステータスのヘルスチェック問題の説明を正しく表示します。 |
| Tenable Identity Exposure は、信頼属性を適切に解析し (まれなシナリオで欠落している場合でも)、問題なくトポロジービューを表示します。 |
| 攻撃インジケーター (IoA) のデッドロック問題が、セキュリティ分析サービスをホストしているマシンで発生しなくなりました。 |
| AD Data Collector サービスのヘルスチェックが、true と報告されるようになりました。 |
| ユーザーに対する弱いパスワードポリシーの適用 IoE が強化され、オプションの制限に関連するエッジケースをより適切に処理できるようになりました。 |
| ディレクトリリスナーをアップグレードして再起動した後に、セキュアリレーのインストーラーがトリガーしなくなりました。 |
| Tenable Identity Exposure は、セキュアリレーが、セキュリティ分析サービスで不要になった LDAP クエリ結果を繰り返し送信しないようにしました。 |
| DCSync IoA は、Tenable サービスアカウントの [samAccountName] が 20 文字を超えるエッジケースに対応するようになりました。これにより、特権分析機能が有効なときにアラートがトリガーされなくなります。 |
| ローカライズされたバージョンのインストーラーを使用しているときに無効な証明書をアップロードすると、エラーメッセージが英語で表示されます。 |
| Microsoft Entra ID と同期している特権 AD ユーザーアカウント IoE に、[コンピューターのホワイトリスト] オプションが不要になりました。 |
| パスワード推測 IoA のオプション [検知時間間隔] が正しいラベルを表示するようになりました。 |
| Tenable Identity Exposure 環境のベース URL にアクセスする際に、Tenable Identity Exposure ユーザーインターフェースが 2 回読み込まれることがなくなりました。 |
| Tenable Identity Exposure は、露出インジケーターページに関連するアクセス許可の動作をアップデートしました。 |
| Tenable Identity Exposure は、小規模な SaaS プラットフォーム上で SQL クエリが無期限に実行されるのを防ぐ機能を強化し、信頼性の高いデータベースアクセスを確保しました。 |
| Tenable Identity Exposure で、Entra ID のすべての IoE が IoE ペインに表示されるようになりました。 |
| Tenable Identity Exposure は、パスワードスプレー攻撃インジケーター (および他の IoA) による誤検出を修正しました。 |
| 一部のエッジケースで、Tenable Identity Exposure はドメイン参加マシンのセキュアリレーのインストールプロセスを変更しました。ドメイン管理者アカウントを使用しているお客様には、代わりにローカル管理者アカウントの使用を促すプロンプトが表示されるようになりました。 |
| Tenable Identity Exposure で、リレーの起動時にリレーとプラットフォーム間のネットワークチェックを実行するメカニズムが導入されました。プラットフォームがまだ動作していない場合、接続が安定するのを待ってからリレー起動プロセスが続行されます。 |
| Tenable One ライセンスを所有している場合、ユーザーの作成は Tenable Vulnerability Management で行われ、Tenable Identity Exposure に反映されます。この場合、Tenable Identity Exposure で [ユーザーの作成] ボタンをクリックすると、Tenable Vulnerability Management でユーザーを作成するように促すメッセージが表示されます。 |
| Tenable Identity Exposure インストーラーがローカライズバージョンで正しく動作するようになりました。 |
| Tenable Identity Exposure のメジャーアップグレード中に、古い .NET バージョンがアンインストールされます。 |
| Tenable Identity Exposure は、[NTDS 抽出] IoA のログの問題を解決し、すべてのシナリオで正しく機能するようになりました。 |
| [パスワード推測] IoA に新しい [検知時間間隔] オプションが追加されました。以前は [パスワードスプレー] IoA を誤って参照していました。 |
| [ゴールデンチケット] IoA を最適化して、以前は 1 時間以上続いていた IoA と IoE 分析の一時停止を排除しました。 |
| [ゴールデンチケット] IoA の検出アルゴリズムが強化され、誤検出や検出漏れが減りました。 |
| Tenable Identity Exposure は、小規模なプラットフォームで SQL クエリが無期限に実行されるのを防ぐ機能を強化し、信頼性の高いデータベースアクセスを確保しました。 |
| 公開 API エンドポイント /export/profile/:profileId/checkers/:checkerId が、オプションなしで正しく動作するようになりました。 |
| インストールまたはアップグレード後、C:\Tenable\Logs で MSI ログファイルにアクセスできるようになりました。 |
アップデートされたソフトウェアの依存関係
| ソフトウェア名 | アップグレード前 | アップグレード前 | アップグレード後 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015-2019 再頒布可能パッケージ | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |