Tenable Identity Exposure 2024 年オンプレミスリリースノート

• セキュアリレー — Advanced Message Queuing Protocol (AMQP) の代わりに Transport Layer Security (TLS) を使用してネットワークから Tenable Identity Exposure に Active Directory データを転送する、新しい転送モードを導入しました。詳細については、インストールガイドのセキュアリレーを使用するためのアップグレードおよび管理ガイドのリレーを設定するを参照してください。

  • アラートと認証 — セキュアリレーは Syslog アラートと SMTP アラートをサポートします。詳細については、Tenable Identity Exposure 管理者ガイドのセキュアリレーを参照してください。

    • 認証 - セキュアリレーを選択することで、LDAP 認証を設定できます。このリレーは LDAP サーバーに接続して、ユーザーを認証します。

    • アラート — Syslog および SMTP アラートが、セキュアリレーを通じてプライベートサーバーにアラートを送信できるようになりました。アラートを作成する際、セキュアリレープラットフォームはリレーの選択を求めます。リレーを設定し、ドメイン監視とアラートのいずれか、または両方に使用できます。

      セキュアリレーを使用しており、既存のアラートがある場合、Tenable Identity Exposure 3.45 のアップデートにより自動的にリレーがアラートに割り当てられ、サービスを継続して利用できるようになります。リレー仮想マシンネットワークルールに関する理由で、またはユーザー個人の好みに合わせて、このリレーを編集できます。

  • 基本認証および認証されていない HTTP プロキシのサポート — ネットワークがディレクトリリスナーサーバーに到達するためにプロキシサーバーを必要とする場合、リレー機能は基本認証または認証なしの HTTP プロキシもサポートします。詳細については、Tenable Identity Exposure 管理者ガイドのセキュアリレーを参照してください。

• Entra ID サポート — この機能は、Tenable Identity Exposure の範囲を Active Directory に加えて Microsoft Entra ID (旧 Azure AD) に拡張します。以下は、Entra ID 内の脆弱性を特定するために利用可能になった、Entra ID に焦点を当てた新しい露出インジケーター (IoE) です。

  • 既知のフェデレーションのバックドア — Microsoft Entra テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。企業はフェデレーションを使用して、Active Directory ユーザーの認証をオンプレミス Active Directory Federation Services (AD FS) に委任することができます (注意: この外部ドメインはActive Directory の「ドメイン」ではありません)。ただし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自のセカンダリ設定を追加したりすることで、このフェデレーション方式を悪用し、バックドアを作成する可能性があります。

  • 認証情報を持つファーストパーティサービスプリンシパル — ファーストパーティサービスプリンシパル (エンタープライズアプリケーション) は、Microsoft に属するアプリケーションの登録時に含まれているものです。それらのほとんどは、セキュリティチェックの際に見過ごされがちな、Microsoft Entra ID の機密性の高いアクセス許可を持っています。攻撃者がこれを利用し認証情報を付加すると、誰にも知られることなくその権限の恩恵を受けられます。

  • AD と同期された特権 Entra アカウント (ハイブリッド) - ハイブリッドアカウント、特に、Entra ID で特権ロールを持つ Active Directory から同期されたアカウントをチェックします。これらのアカウントは、AD を侵害する攻撃者が Entra ID にピボットする可能性があるため、セキュリティリスクをもたらします。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。

  • テナントに影響を与える危険な API アクセス許可 — 一部の Microsoft API に対する特定のアクセス許可は、Microsoft Entra テナント全体に深刻な脅威をもたらす可能性があります。これは、これらのアクセス許可を持つサービスプリンシパルが、グローバル管理者などの強力な管理者ロールを持つユーザーよりも密かに強力なユーザーになるためです。攻撃者はこれを悪用し、多要素認証 (MFA) をバイパスして、ユーザーパスワードのリセットを避けることができます。

  • 特権アカウントに MFA がない — 多要素認証 (MFA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはそのメリットを受けることはできません。特権アカウントに登録された MFA 方式がない場合、この IoE は警告を発します。また、MFA 方式を登録していないアカウントが MFA を実行した場合も、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があるため、警告を発します。

  • 非特権アカウントに MFA がない — 多要素認証 (MFA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはそのメリットを受けることはできません。非特権アカウントに登録された MFA 方式がない場合、この IoE は警告を発します。また、MFA 方式を登録していないアカウントが MFA を実行した場合も、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があるため、警告を発します。

  • 管理者数が多い — 定義上、管理者は高い権限を持っています。管理者が多いと、アタックサーフェスが拡大し、管理者の 1 人が侵害される確率が高まり、セキュリティリスクをもたらす可能性があります。特権を最小限に抑えるという原則が尊重されていない兆候でもあります。

• 新しい攻撃インジケーター (IoA)

  • DC パスワード変更 - この IoA は、Zerologon に関連した IoA で攻撃者が Netlogon の脆弱性と組み合わせてよく使用する特定のエクスプロイト後のアクティビティ、つまりドメインコントローラーのマシンアカウントパスワードの変更に重点を置いています。詳細については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。

  • Zerologon - 攻撃者が Zerologon の脆弱性を悪用してドメイン上で権限を取得しようとしていることを示す、Netlogon 認証プロセスの失敗を検出します。詳細については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。

  • ドメインのバックアップキー抽出 — LSA RPC 呼び出しを使用してバックアップキーにアクセスするさまざまな攻撃ツールを検出します。詳細については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。

• 露出インジケーター (IoE)

  • 新しい IoE

  • 安全でない動的 DNS ゾーンの更新が許可される — 動的 DNS ゾーンの更新の安全でない設定を特定します。安全でない設定があると、DNS レコードの不正な編集につながり、不正な DNS レコードに対して脆弱になる可能性があります。

  • プロパティセットの健全性 — AD スキーマ内のプロパティセットとその属性に存在する、設定ミスや悪意のある攻撃者のバックドアをチェックします。現在、プロパティセットの使用に関連する既知の公開されている攻撃経路はありませんが、この IoE は主に、この機能を使用するサードパーティ製品に起因する設定ミスや異常を特定することに重点を置いています。

  • WSUS の危険な設定ミス - Windows の更新をワークステーションとサーバーに展開する Microsoft 製品である、Windows Server Update Services (WSUS) をチェックし、標準のアカウントから管理者権限への昇格につながる設定が誤って設定されていないかどうかを確認します。

  • 脆弱なパスワードの検出 - パスワードが堅牢であるかどうかをチェックし、Active Directory 認証でのセキュリティを確保します。脆弱なパスワードは、不十分な複雑度、旧式のハッシュアルゴリズム、共有されたパスワード、漏洩したデータベースでの露出などの要因から発生します。攻撃者は、これらの脆弱性を悪用して、アカウントの中でも特に権限のあるアカウントに偽装することで、Active Directory 内での認証されていないアクセスを可能にします。

  • DFS 設定ミス — SYSVOL が Distributed File System Replication (DFSR) を使用しているかどうかをチェックします。DFSR は、堅牢性、スケーラビリティ、レプリケーションパフォーマンスを向上させるために File Replication Service (FRS) と置き換えられたメカニズムです。

  • 逸脱オブジェクトの除外: Tenable Identity Exposure は、選択した IoE で、以下を含む逸脱オブジェクトを除外できます。

    • グループ: 特権ユーザーのログオン制限

    • オペレーティングシステム: 廃止になった OS を実行しているコンピューター

    • 組織単位: 特権ユーザーのログオン制限、廃止になった OS を実行しているコンピューター、ユーザーに対する弱いパスワードポリシーの適用、休止アカウント、古いパスワードを使用しているユーザーアカウント

  • IoE 分析 — オンプレミスユーザーは、デフォルトの Tenable セキュリティプロファイルで IoE 分析を無効にすることで、セキュリティ分析のリソース使用率を削減し、より低いレイテンシを達成できるようになりました。これを実装するには、セキュリティエンジンノード (SEN) の ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 環境変数を true に設定して、Cygni サービスを再起動してください。

• レポートセンター — この機能により、簡素化されたレポート作成プロセスを使用して、重要なデータをレポートとして組織の主要な関係者にエクスポートできます。詳細については、Tenable Identity Exposure 管理者ガイドの レポートセンターを参照してください。

• ダッシュボードテンプレート — すぐに使用できるテンプレートは、コンプライアンス、リスク、パスワード管理、ユーザー/管理者の監視など、組織に関連する優先度の高い問題に集中するのに役立ちます。詳細については、Tenable Identity Exposure ユーザーガイドのダッシュボードを参照してください。

• プラットフォームヘルスチェック機能 - Tenable Identity Exposure は、実行されたプラットフォームヘルスチェックを統合ビューに一覧表示します。これにより、設定異常を素早く調査して解決できます。詳細については、Tenable Identity Exposure 管理者ガイドの ヘルスチェックを参照してください。

• オンボーディング — セキュリティを強化するために、オンボーディングプロセスでは、ユーザーが初めてログインするときに、最初のログインで提供されるデフォルトの認証情報を変更することが必要になりました。Tenable Identity Exposure での新しいパスワードのルールも強化されました。

• スケーラビリティ — Tenable Identity Exposure は、IoA の精度向上とレイテンシ改善のために、より大きなスケールで対象のイベントを処理できるように、サービス側の攻撃インジケーターのパフォーマンスを改善しました。詳細は、Tenable Identity Exposure インストールガイドの Tenable Identity Exposure サービスをスケーリングするを参照してください。

• イベントフロー

  • Tenable Identity Exposure は、変更が発生するとすぐに Active Directory からイベントを受け取ります。ただし、大規模なグループで変更が高い頻度で発生する場合、イベントを 10 分間遅らせて集約し、システムの残りの部分に通知することで、パフォーマンスの問題を回避します。

  • 日付と時刻の両方でイベントフローをフィルタリングできるようになりました。

Tenable Identity Exposure バージョン 3.59.4 には、バージョン 3.42 以降のすべてのバグ修正が含まれています。

Tenable Identity Exposure オンプレミスバージョン 3.59.4 では、Active Directory インフラを保護するための重要な機能強化が導入されています。このリリースでは、ソフトウェアのセキュリティを優先し、コンポーネントを最新に保って保護を強化するため、特定の依存関係がアップデートされています。対象コンポーネントは次のとおりです。

• ストレージマネージャー (SM)

• セキュリティエンジンノード (SEN)

• ディレクトリリスナー (DL)

Tenable Identity Exposure バージョン 3.42.18 には以下のパッチが含まれています。

Tenable Identity Exposure オンプレミスバージョン 3.42.11 では、Active Directory インフラを保護するための重要な機能強化が導入されています。このリリースでは、ソフトウェアのセキュリティを優先し、コンポーネントを最新に保って保護を強化するため、特定の依存関係がアップデートされています。