Tenable Identity Exposure 3.19 オンプレミス (2022 年 4 月 20 日)
新機能
-
スケーラビリティ — 露出インジケーター (IoE) の動的なアクティブ化および非アクティブ化。
-
LDAP 認証 — SASL バインディングを有効/無効にする機能。詳細は、Tenable Identity Exposure 管理者ガイドの LDAP を使用した認証を参照してください。
-
メモリキャッシュ — Tenable Identity Exposure のメモリ消費を大幅に改善することにより、攻撃インジケーター (IoA) を改良しました。
-
新しい攻撃インジケーター (詳細については、Tenable Identity Exposure 攻撃インジケーターリファレンスガイドを参照してください。)
-
DPAPI ドメインのバックアップキー抽出攻撃インジケーターは、LSA RPC 呼び出しを使用してバックアップキーにアクセスするさまざまな攻撃ツールを検出できます。
-
大量のコンピューターに対する偵察: Active Directory ターゲットに対して膨大な数の認証リクエストを生成する偵察攻撃を検出します。
-
ローカル管理者の列挙: Active Directory のデータ列挙攻撃を検出します。
-
NTDS 抽出: NTDS 抽出とは、パスワードハッシュや Kerberos キーなど、Active Directory のシークレットを保管している NTDS.dit データベースから盗取するために攻撃者が使う手法を指します。
-
SAM 名のなりすまし: この攻撃インジケーターは、標準アカウントから 2 つの脆弱性を悪用してドメインの権限昇格ができる、セキュリティ関連のスキルが全くない攻撃者でも実行できる行為を検出します。
-
Kerberoasting 攻撃インジケーターは、Active Directory サービスアカウントの認証情報を標的とする Kerberoasting 攻撃を検出して警告します。
-
-
Windows Server 2022 — Windows Server 2022 のオンプレミスサポート。
-
Caroli コンポーネントの廃止 — プラットフォームのパフォーマンスを最適化するために廃止されました。
-
InfluxDB および Equuleus の廃止 — プラットフォームのパフォーマンスとデータの一貫性を最適化するために廃止されました。
注意: オンプレミスインストールでは、Tenable Identity Exposure のデータベース実装の変更に伴い、アップグレード中にダッシュボードの履歴データが失われます。また、オンプレミスのプラットフォームでは、ユーザー、デバイス、コンプライアンススコアの統計の履歴が失われます。ユーザー / 逸脱カウントおよびコンプライアンススコア用のウィジェットは、再初期化後に最新の値を復元します。ただし、折れ線グラフのウィジェットにはデータポイントが 1 つしかなく、その値は徐々に復元されます。 -
ドメイン接続テスト — 追加または変更する前のドメイン接続 (LDAP および SYSVOL) をテストできます。
- スケーラビリティ — Tenable Identity Exposure は、解決された逸脱を有用ではないものと見なし、6 か月後にデータベースから消去します。
- 露出インジケーター (IoE) — 権限のあるユーザーに対する露出インジケーター (IoE) ログオン制限が改善しました。
-
ワークロードクォータ — 同時に実行される攻撃インジケーター数の制限を調整する新機能です。
-
攻撃経路: Active Directory の関係性を探索するための新しいグラフィック表示。
-
[影響範囲]: 侵害された可能性のある資産から発生した AD 内のラテラルムーブメントを評価します。
-
[攻撃経路]: 特定のエントリポイントから資産に到達する権限昇格の手法を予測します。
-
[露出資産]: サイバー空間に露出した資産の視覚化を使用して資産の脆弱性を測定し、すべての昇格経路に対処します。
-
-
ハニーアカウント — Kerberoasting 攻撃インジケーターがログインまたはサービスリクエストを検出できるようにします。詳細については、「Tenable Identity Exposure 管理者ガイド」のハニーアカウントを参照してください。
-
API エンドポイント — API を使用してデータベースから Active Directory オブジェクトを取得します。
-
Tenable Identity Exposure は、LDAP コンテナの変更 (移動や名前の変更など) をコンテナの子に伝播します。
バグ修正
パフォーマンスの改善に加えて、Tenable Identity Exposure バージョン 3.19 には次のバグ修正が含まれています。
| バグ修正 | 欠陥 ID |
|---|---|
| Tenable Identity Exposure は、API スコア情報を再び返します。 | 該当なし |
| ウィジェットエディションは、以前に選択されたドメインを考慮するようになりました。 | 該当なし |
| 新しい SQL インデックスにより、Tenable Identity Exposure がより優れた分析パフォーマンスを提供するようになりました。 | 該当なし |
| Tenable Identity Exposure は、正しい月の 1 日に発生した攻撃を表示します。 | 該当なし |
| GPO を削除すると、Tenable Identity Exposure は削除されたイベントのみを表示します。 | 該当なし |
| SYSVOL 接続が切断されると、Tenable Identity Exposure は接続を更新して、リスナーが新しいイベントを取得できるようにします。 | 該当なし |
| 認証情報ローミングユーザーおよびグループの許可リストが、samAccountName 形式を受け入れるようになりました。 | 該当なし |
| Tenable Identity Exposure は、解決された逸脱を有用ではないものと見なし、6 か月後にデータベースから消去します。 | 該当なし |
| Tenable Identity Exposure が、不明な userAccountControl 属性を持つユーザーをアクティブな AD ユーザーとしてカウントするようになりました。Tenable Identity Exposure で入力されたアカウントにこの属性または対応する属性セットを読み取る権限がない場合などがその例です。このため、ダッシュボードまたはライセンスのユーザーの総数が増加する可能性があります。詳細については、技術的前提条件ドキュメントのユーザーアカウントを参照してください。 | 該当なし |
| Tenable Identity Exposure は、LDAP コンテナの変更 (移動や名前の変更など) をコンテナの子に伝播します。 | 該当なし |
| 認証情報を変更しても、SYSVOL 共有への接続は成功します。 | 該当なし |
| ドメインを削除して再作成することにより、権限のあるパスの修正後の Kerberos の危険な委任が解決されるようになりました。 | 該当なし |
| ホワイトリストが予想されるフォーマットを明確に指定するようになりました。 | 該当なし |
| 攻撃経路をアクティブ化すると、SQL サーバーが正しく機能します。 | 該当なし |
| 通知メールに正しい画像形式が含まれています。 | 該当なし |
| コントロールパスの関係においてソースとターゲットのタイプが考慮されるようになりました。 | 該当なし |
| Tenable Identity Exposure は、コンテナの移動を検出すると、子 DN を更新します。 | 該当なし |
| 公開 API を使用して管理ロールを持つ最後のユーザーを削除することができなくなりました。 | 該当なし |
|
露出インジケーター (IoE) C-PKI-DANG-ACCESS
|
該当なし |
| C-DC-ACCESS-CONSISTENCY IoE で、「削除された DC を保持する」トグルの更新が考慮されます。 | 該当なし |
| トグルが更新された後に IoA/IoE サービスが再起動します。 | 該当なし |
| C-PASSWORD-POLICY IoE で、すべてのグローバルでないセキュリティグループが許可されます。 | 該当なし |
| Tenable Identity Exposure でダッシュボード名が 30 文字に制限され、既存の名前でこの制限を超えるものは 30 文字になるように切り捨てられます。 | 該当なし |
| Tenable Identity Exposure で SQL サーバーから AD オブジェクトを取得する際に、多くの変更を含む少数のオブジェクトに遭遇した場合の動作が安定しました。 | 該当なし |
| 危険な委任 RBCD バックドアが、アカウントの SID を解決するようになります。 | 該当なし |
| Tenable Identity Exposure が大きなメッセージの処理を試行し続けることがなくなります。 | 該当なし |
| ネイティブな管理グループメンバー IoE (C-NATIVE-ADM-GROUP-MEMBERS): カスタムグループオプションで作り込みの管理グループを配置しても、一貫性のない挙動が生じなくなります。 | 該当なし |
| 権限のあるユーザー IoE に対するログオン制限 (C-ADMIN-RESTRICT-AUTH) が、サブ組織単位からコンピューターを削除した場合でも解決するようになります。 | 該当なし |
| 休眠アカウント IoE で、削除されたユーザーがカウントされなくなります。 | 該当なし |
| Tenable Identity Exposure API で、ユーザーの作成時にアクティブなユーザーが提供されない場合に 400 エラーが送信されるようになりました。 | 該当なし |
| Tenable Identity Exposure で Windows LTS バージョンがサポートされるようになります。 | 該当なし |
| 削除されたサイトが逸脱に表示されなくなります。 | 該当なし |
| Tenable Identity Exposure はグループメンバーの組織単位 (OU) が変更された場合にグループメンバーを更新します。 | 該当なし |
| Active Directory の動作が遅い場合に、クローリングが既に進行中であれば定期的なクローリングを開始しないようになります。 | 該当なし |
| 3.1 から 3.11 への移行で、GPO での誤検出の逸脱を生成しません。 | 該当なし |
| Tenable Identity Exposure のクローリング段階でより多くのエッジケースがサポートされます。 | 該当なし |
| Tenable Identity Exposure のオンプレミスインストーラーによって、最新の NodeJs モジュールが使用されるようになります。 | 該当なし |
| Tenable Identity Exposure の分析サービスは RabbitMQ サーバーへの接続に障害が発生した後、正しく再接続します。 | 該当なし |
| groupPolicyContainers オブジェクトの部分的な再クロールで、すべての属性が考慮されます。 | 該当なし |
パッチ
Tenable Identity Exposure 3.19.12
Tenable Identity Exposure バージョン Tenable Identity Exposure3.19.12 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| RabbitMQ ライブラリの依存関係をアップグレードし、CVE-2022-37026 を修正しました。 | 該当なし |
| Windows Server 2022 — 攻撃インジケーターを Windows 2022 ドメインコントローラーにインストールする際、サーバーを再起動する必要がなくなりました。 | 該当なし |
Tenable Identity Exposure 3.19.10
Tenable Identity Exposure バージョン Tenable Identity Exposure3.19.10 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| Tenable Identity Exposure は、セキュリティ分析では役に立たなかった AD 属性 msds-revealedusers を収集せず、イベントフローに表示しなくなりました。 | 該当なし |
| RabbitMq チャネル接続のレジリエンスを改善しました。 | 該当なし |
| IoE ページで、1 つの特定のドメインをフィルターしても、予期しない「ドメインなし」の IoE が表示されなくなりました。 | 該当なし |
Tenable Identity Exposure 3.19.9
Tenable Identity Exposure バージョン Tenable Identity Exposure3.19.9 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| Tenable Identity Exposure は、SecProbe でサーバー認証 EKU チェックを行わなくなりました。 | 該当なし |
| 部分的にドメインに参加しているマシンで、Tenable Identity Exposure がドメインに関連するどんな SDDL バイグラム (例: ドメイン管理者は DA) でも正常にデコードするようになりました。 | 該当なし |
| UAC を無効にする AdObjectGptTmpl オブジェクトが最後になると、IoE の 機密性の高い危険な特権 が正しくなります。 | 該当なし |
Tenable Identity Exposure 3.19.8
Tenable Identity Exposure バージョン Tenable Identity Exposure 3.19.8 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| SYSVOL のクロールとリッスンは同じ接続を使用するため、衝突しなくなりました。 | 該当なし |
Tenable Identity Exposure 3.19.7
Tenable Identity Exposure バージョン Tenable Identity Exposure 3.19.7 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| Tenable Identity Exposure は、内部メッセージ消費の効率を改善しました。 | 該当なし |
| Tenable Identity Exposure は、RabbitMQ チャネル接続のレジリエンスを改善しました。 | 該当なし |
| Tenable Identity Exposure は、userCertificate 属性を収集しなくなりました。 | 該当なし |
| RabbitMQ コンシューマーは、排他キューで接続を再試行し続けるようになりました。 | 該当なし |
| ローカル管理者の攻撃の攻撃インジケーターは、ローカルで行われたローカル管理者の列挙をフィルターで除外するようになりました。これは、正当なアクションである可能性が高いためです。 | 該当なし |
| Tenable Identity Exposure は、内部呼び出しで削除されたドメインまたはセキュリティプロファイルに関連する逸脱を自動的に解決します。 | 該当なし |
| インストーラーは、カスタム証明書の有効期限をチェックする際にロケールを考慮するようになりました。 | 該当なし |
Tenable Identity Exposure 3.19.5
Tenable Identity Exposure バージョン Tenable Identity Exposure3.19.5 では、リリースが早すぎたため、ランサムウェア強化の露出インジケーターを削除しました。
Tenable Identity Exposure 3.19.4 (オンプレミス)
Tenable Identity Exposure バージョン Tenable Identity Exposure 3.19.4 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| 攻撃インジケーターの統合ビューの PDF エクスポートが、オンプレミスインストールで利用可能です。 | 該当なし |
Tenable Identity Exposure 3.19.2 (オンプレミス)
Tenable Identity Exposure バージョン Tenable Identity Exposure 3.19.2 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| Tenable Identity Exposure が、トポロジービューのドメインの詳細を新しい時系列データで表示します。 | 該当なし |
| Tenable Identity Exposure インストーラーが地域の日付/時刻 (オンプレミス) を処理できます。 | 該当なし |
Tenable Identity Exposure 3.19.1
Tenable Identity Exposure バージョン Tenable Identity Exposure 3.19.1 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| 露出インジケーター (IoE) が、スレッドセーフなハッシュキャッシュを再び使用します。 | 該当なし |
| Tenable Identity Exposure がデータベースをブロックせずに、古い複数値を持つ属性を効率的に削除します。 | 該当なし |