Tenable Identity Exposure 2024 年リリースノート

Tenable Identity Exposure バージョン 3.84.7 には、以下のバグ修正が含まれています。

Tenable Identity Exposure バージョン 3.83.3 には、以下のバグ修正が含まれています。

• Tenable One コンテナの変更 — 最適な製品エクスペリエンスを確保するために、新しいライセンスファイルをアップロードする際、Tenable Identity Exposure は異なる Tenable One コンテナへの切り替えを防止するようになりました。

• 露出インジケーター (IoE)

  • 古い OS を実行しているコンピューターでは、詳細な日時ではなく日付のみを使用して有効期限が表示されるようになりました。この更新により、この IoE のすべての逸脱が調整されます。

  • 機能レベルが古いドメイン — この IoE には、Server 2016 の前回の更新プログラムに続いて、2024 年 11 月リリースの Windows Server 2025 で導入された新しい Active Directory (AD) 機能レベルが統合されています。この更新には、新しいスキーマバージョンなど、IoE 全体にわたるその他の小さな調整も含まれています。

    注意: この更新は、Windows Server 2025 で Tenable Identity Exposure をホスティングする場合の互換性を保証するものではありません。互換性の詳細については、今後のドキュメントまたはリリースノートを参照してください。

Tenable Identity Exposure バージョン 3.83 には、以下のバグ修正が含まれています。

• ダッシュボードテンプレート — Tenable Identity Exposure では、「ファイブアイズ」同盟とその関連民間機関からの最近のレポートを把握するのに役立つダッシュボードテンプレートが提供されるようになりました。このレポートは、Active Directory の侵害を検出して軽減するためのガイダンスを提供しています。

• サービスアカウントの設定ミス — 新しい露出インジケーターは、ドメインサービスアカウントに影響を与える可能性のある不適切なプラクティスや設定ミスを一覧表示します。

• ADCS の危険な設定ミス — この IoE の改善により、プリンシパルが AD グループのメンバーになることを暗黙のうちに許可する発行ポリシー (エンタープライズ OID) を特定しやすくなりました。

Tenable Identity Exposure バージョン 3.82 には、以下のバグ修正が含まれています。

Tenable Identity Exposure バージョン 3.81.2 には、以下のバグ修正が含まれています。

• コンピューター堅牢化 GPO のないドメイン露出インジケーター

  • メモリ内の認証情報を保護するために使用される、Windows Defender Credential Guard セキュリティ機能に関連する新しい理由。

  • Windows の「ポイントアンドプリント」機能に関連する新しい理由: プリントドライバーのインストールとアップデートの強化。

  • MiTM とリプレイ攻撃を軽減するための、LDAP セッション署名とチャネルバインディングに関連する新しい理由。

• 休止アカウント露出インジケーターに、(lastLogonTimestamp 属性に基づき) 過去 45 日間に認証を実行していないドメインコントローラーを報告するための新しい理由が追加されました。この期間は、新しいオプションでカスタマイズできます。

• DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可露出インジケーターに [MSOL_* アカウントを保持する] という新しいオプションが追加されました。このオプションにより、これらのアカウントを除外し、誤検出を減らすことができます。デフォルトでは、このオプションはセキュリティプロファイルで無効になっているため、IOE は MSOL_* アカウントを逸脱としてフラグしません。

• NTDS 抽出攻撃インジケーターでは、「許可されたプロセス」の名前が変更され、「アグレッシブ」モードでのみ使用されることが明確になり、未使用の [許可された NTDS の宛先パス] オプションは削除されました。

• パフォーマンス — Tenable Identity Exposure の内部監視機能が改善されました。

Tenable Identity Exposure バージョン 3.81 には、以下のバグ修正が含まれています。

• RSOP ベースの露出インジケーター (IoE) — 製品全体のパフォーマンスを高めるため、Tenable Identity Exposure は、リアルタイムではなく、少数の IoE の RSOP チェックを 30 分ごとに実行するようになりました。詳細については、RSOP ベースの露出インジケーターを参照してください。

Tenable Identity Exposure バージョン 3.80 には、以下のバグ修正が含まれています。

Tenable Identity Exposure バージョン 3.79 には、以下のバグ修正が含まれています。

• 露出インジケーター

  • Netlogon プロトコルの安全でない設定 - Tenable Identity Exposure は、[レジストリキーのチェックをスキップする] オプションのデフォルト値を [true] に設定するようになりました。この変更は、ユーザーが 2021 年 2 月 9 日の更新を適用していることを前提としています。この変更が適用されるのはデフォルトプロファイルのみで、カスタムプロファイルは影響を受けません。

  • 廃止になった OS を実行しているコンピューター - Tenable Identity Exposure は、廃止になったアクティブ状態のコンピューターの前回のログオン情報を追加しました。

• Entra ID の露出インジケーター (IoE): 以下は、無効になっているユーザーとサービスプリンシパルを無視するようになった Entra ID IoE です。

  • テナントに影響を与える危険な API アクセス許可

  • 認証情報を持つファーストパーティサービスプリンシパル

  • 管理者数が多い

  • 特権アカウントに MFA がない

  • 非特権アカウントに MFA がない

    これは、攻撃者が即座にこれらを悪用できないためです。MFA IoE に関しては、Microsoft Graph API が無効なユーザーの MFA ステータスを間違って返します。

• 攻撃インジケーター

  • DCSync は、ソースがプレフィックス MSOL_ を持つユーザー名に由来する場合、アラートをトリガーしません (ハードコードされ、基本モードでのみ有効)。

  • ローカル管理者の列挙は、ターゲット IP が不明な場合、アラートをトリガーしません。

  • ゴールデンチケットは、攻撃者が TGT を偽造した後に認証した場合にのみ、アラートをトリガーします (基本モードのみ)。

  • OS 認証情報ダンプ - LSASS メモリは、ツールが Arctic Wolf Network に属する場合、アラートをトリガーしません (基本モードのみ)。

• メールアラートは、TLS 1.2 や 1.3 などの有効な暗号化プロトコルのみをサポートするようになりました。セキュアリレーをオーバーライドして SSL v3 などの廃止された SMTP 暗号化標準を強制していた場合は、オーバーライドを削除する必要があります。現在、許可される値は「Tls12」、「Tls13」、または「Tls12, Tls13」(サーバーバージョンに基づく自動切り替え) のみです。サポートされていない値を使用すると、リレーは開始しません。

Tenable Identity Exposure バージョン 3.78 には、以下のバグ修正が含まれています。

• セキュリティプリンシパルの競合露出インジケーター (IoE) — ユーザー、コンピューター、グループなど、重複している (競合する) オブジェクトがないことをチェックする新たな IoE。

• 危険な Kerberos 委任露出インジケーター (IoE) — 新しく追加された理由により、制限付き委任で使用される属性 (msDS-AllowedToDelegateTo) が存在しないサービスプリンシパル名 (SPN) を参照しているすべてのアカウントが報告されるようになりました。

• Active Directory — Tenable Identity Exposure が管理する AD オブジェクトのサイズ制限が引き上げられました。

Tenable Identity Exposure バージョン 3.76 には、以下のバグ修正が含まれています。

• シャドウ認証情報 露出インジケーター (IoE) - 新しい IoE は、「Windows Hello for Business」機能とそれに関連する鍵認証情報のシャドウ認証情報のバックドアと設定ミスを検出します。

• ユーザープライマリグループ IoE - 理由が追加され、権限不足のために primaryGroupID 属性が空として表示されるアカウントをすべて報告するようになりました。

• パスワードスプレー 攻撃インジケーター (IoA) - 一部のシナリオでは、この IoA によってメモリオーバーロードなどのシステムパフォーマンスの問題が発生していましたが、現在はこれらの問題を解決するために、同じ攻撃に関連するアラートが 1 つのアラートにグループ化されています。

• 以下の IoA は、次の場合にアラートをトリガーしなくなりました。

  • DC 同期 - ソースが Azure ADConnect ツールに関連するユーザーまたはホスト名である場合 (基本モードのみ)

  • NTDS 抽出 - ソースツールが VSS Requestor または Veeam (正規のバックアップツール) のいずれかである場合

  • ローカル管理者の列挙 - IoA がソースユーザーの SID を見つけられない場合 (基本モードのみ)

  • Petit Potam - IoA が関連するログオンイベントを取得できない場合

  • ゴールデンチケット - IoA がソースベクトルをフェッチできない場合 (基本モードのみ)

Tenable Identity Exposure バージョン 3.75 には、以下のバグ修正が含まれています。

• DC 同期、NTDS 抽出、ローカル管理者の列挙攻撃インジケーター (IoA) — [基本] モードでは、次のシナリオでアラートが発生しなくなりました。

  • IoA がイベントの損失またはイベント取り込みの大幅な遅延を検出した場合

  • イベントデータがないために IoA が攻撃元を特定できない場合

• NTDS 抽出 IoA — [基本] モードと [アグレッシブ] モードで [ホワイトリスト登録プロセス] と呼ばれる新しいオプションをアクティブにすると、攻撃中に正当なプロセスにフラグが立てられないようにできます。

Tenable Identity Exposure バージョン 3.74 には、以下のバグ修正が含まれています。

Tenable Identity Exposure バージョン 3.73 には、以下のバグ修正が含まれています。

• ユーザーは、分析をトリガーする前に攻撃インジケーター (IoA) のイベント収集期間を 30 秒から 9 分の範囲の値で設定できるようになりました (レイテンシと精度の間のトレードオフ)。

• ゴールデンチケット IoA — 誤検出を減らすために、Tenable Identity Exposure は 10 時間の延期期間を実装しました。その間に、正当なユーザーは自動的に許可リストに追加されます。

Tenable Identity Exposure バージョン 3.72 には、以下のバグ修正が含まれています。

• 攻撃インジケーター (IoA)

• DC Sync

• [遅延時間] オプションのデフォルト値が 1 時間から 12 時間に増え、より大きな時間枠で正当なイベントをフィルターで除外できるようになりました。

• [不明なソースを許可する] オプションのデフォルト値が False から True に変更され、デフォルトプロファイルでこのオプションをカスタマイズできないことによる誤検出が発生しないようになりました。

• ゴールデンチケット — Windows イベントログの損失を検出し、特定のケースにおける誤検出を防止します。

• ローカル管理者の列挙 — 管理対象のサービスアカウントは、誤検出の発生を減らすためのフィルタリングプロセスの対象となります。

• 露出インジケーター (IoE)

  • 保護ユーザーグループが使用されていない — IoE の追加の理由により、このグループに属していないすべての特権ユーザーが報告されます。

  • KRBTGT アカウントで前回行ったパスワード変更 — Windows Hello for Business の krbtgt_AzureAD アカウントをサポートします (Cloud Trust デプロイメント)。

Tenable Identity Exposure バージョン 3.71 には、以下のバグ修正が含まれています。

• 新しい露出インジケーター (IoE)

  • 管理サービスアカウントの危険な設定ミス — 管理サービスアカウントのデプロイメントと設定が適切であることを確認します。

  • ゲストアカウントの有効化 — ビルトインのゲストアカウントが無効であることをチェックします。

• 露出インジケーターの機能強化

  • コンピューター堅牢化 GPO のないドメイン — 本来すべてのドメインコンピューターで明示的に無効化されているべき null セッションに対応するために、新しいチェック機能を統合しました。

  • ネイティブ管理グループメンバー —「Exchange Servers」、「Exchange Windows Permissions」、「Exchange Trusted Subsystem」のグループをカスタムグループの許可リストに追加しました。この変更は、デフォルトのセキュリティプロファイルにのみ適用され、既存のカスタムセキュリティプロファイルには適用されません。

  • 古いパスワードを使用しているユーザーアカウント — 特権ユーザーと通常のユーザーを見分けるために 2 つの理由を追加しました。

• スループットを上げるため、LDAP 検索リクエストで、リレーと Ceti サービス間で結果を一括処理できるようになりました。

Tenable Identity Exposure バージョン 3.69 には、以下のバグ修正が含まれています。

露出インジケーター (IoE) の機能強化

• 休止アカウント — 特権ユーザーと通常ユーザーを区別する 2 つの新しい理由。

• 廃止になった OS を実行しているコンピューター —「廃止になった非アクティブ OS」の逸脱で、最後に成功したユーザーログオンのタイムスタンプを表示する新しい値「lastLogonTimestamp」が追加されました。

• コンピューター堅牢化 GPO のないドメイン

  • ドメインコントローラー (SYSVOL/NETLOGON 共有) に対して設定された堅牢化された UNC パスに関連する新しいチェック

  • ドメインコントローラーで無効のままにするべき印刷スプーラーサービスに関連する新しいチェック。

  • ドメインコントローラーおよびその他のサーバーで適切な Server Message Block (SMB) 署名を強制するための機能強化。[デフォルトドメインコントローラーポリシー] パラメーターを検証し、他のサーバーに正しい GPO 設定がないかチェックします。

• ポリシーの結果セット (RSoP) IoE — Tenable Identity Exposure で、最新のキャッシュを使用して RSoP IoE を再実行できるよう、短期間のバッファされたイベントを集約して、分析する変更の数を減らせるようになりました (デフォルトでは 1 分。「特権ユーザーのログオン制限」IoE のみ)。

Tenable Identity Exposure バージョン 3.68 には、以下のバグ修正が含まれています。

• 「委任に対して保護されていない」という理由でコンピューターが逸脱としてみなされず、表示されません。Tenable Identity Exposure は、この問題に関連する既存の逸脱に対処し、解決します。

• 露出インジケーター (IoE) の強化 — ユーザーアカウントの Kerberos 設定 IoE で、スマートカードを持つユーザーは AS-REP ロースト攻撃の影響を受けず、Tenable Identity Exposure がセキュリティ問題としてそれらのユーザーにフラグを立てることがなくなりました。

• 攻撃インジケーター (IoA) の機能強化

  • パスワード推測 — 新しい [パスワードスプレー検知時間間隔] オプションで、ログイン試行の失敗が進行中の潜在的な攻撃として分類される場合の各ログイン試行の間隔を分単位で指定します。

  • ローカル管理者の列挙

    • 新しいオプション [アグレッシブモードでのフィルタリングされたアクセス権] を使用すると、イベント「ネットワーク共有オブジェクトがチェックされました」から取得された指定アクセス権のみを考慮して、進行中の潜在的な攻撃を分類します。このリストはアグレッシブモードでのみ適用されます。

    • 現在、オプション [Windows Server 2016 より前のバージョンを使用したドメインコントローラーのヒューリスティック] のデフォルト値は [False] です。

  • DCSync — [不明なソースを許可する] オプションのデフォルト値が [False] になりました。

  • NTDS 抽出 — [基本モード] の新しい「拒否リスト」: diskshadow、ntdsutil、esentutl、esentutldefrag モード、vssown、copy-vss、wmi ベースの手法、psexec_ntds_grab、 wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper、WMI ベースの手法

  • 認証情報ダンプの LSASS メモリ — [基本モード] の新しい「拒否リスト」: mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump、osqueryi

Tenable Identity Exposure バージョン 3.67 には、以下のバグ修正が含まれています。

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいオプション。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

注意: このリリースから、各セキュリティプロファイルのすべての IoA の [アグレッシブモード] オプションが、デフォルトで [False] に設定されます。このオプションは、各セキュリティプロファイルの IoA ごとに [True] に切り替えることができます。

• 不審な DC パスワードの変更 — 新しいオプション

  • 「アグレッシブモード」

• True: ユーザーが認証されているかどうかにかかわらず、攻撃を検出します。

• False (デフォルト): 認証されたユーザーのみを検出します。

• 「パスワード変更間隔」: [アグレッシブモード] では、このオプションによってパスワード変更の間隔を指定します (デフォルトでは 30 日)。

• DCSync — 新しいオプション

• 「アグレッシブモード」

  • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

  • False (デフォルト): マシンがドメインにない場合にのみ攻撃をトリガーします。これにより、検出される攻撃の数は減ってしまいますが、誤検出は回避できます。

機能強化

• ポリシーの結果セット (RSoP) に依存する露出インジケーターの計算時間を最適化しました。ただし、RSoP に関連する逸脱の計算の時間は長くなります。詳細については、Tenable Identity Exposure ユーザーガイドの RSoP ベースの露出インジケーターを参照してください。

• ロールのアクセス許可管理で Entra ID テナントのデータ表示を制限するためのサポートを追加しました。

Tenable Identity Exposure バージョン 3.66 には、以下のバグ修正が含まれています。

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいデフォルト値。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

• ゴールデンチケット — 新しい「アグレッシブモード」オプション

  • False (基本、デフォルト): ターゲットのユーザーがドメインコントローラーまたはドメイン管理者グループに属するユーザーである場合にのみ、攻撃をトリガーします。

  • True: ターゲットのユーザー名が「ドメイン管理者」グループのメンバーまたはドメインコントローラーでない場合でも、攻撃を許可します。また、一部のドメインコントローラーが監視されていない場合 (つまり、それらのドメインコントローラーが Windows イベントログを一切出力しない場合) でも、攻撃が許可されます。

• SAMAccountName なりすまし — 新しい「アグレッシブモード」オプション

  • False (基本、デフォルト): TargetUserName がドメインコントローラー (DC) でない場合は攻撃をトリガーしません。

  • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

• OS 認証情報のダンプ: LSASS メモリ — 新しいオプション

  • 「アグレッシブモード」

  • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

  • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

  • 「アグレッシブモードのプロセスを許可」: 「アグレッシブモード」オプションが True の場合にのみ適用されます (オプション)。

  • 「基本モード— 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

• NTDS 抽出 — 新しいオプション

  • 「アグレッシブモード」

• False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

• True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

• 「基本モード — 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

• 「基本モードの攻撃のホワイトリストに登録されたプロセス」(旧「ホワイトリストに登録されたプロセス」): 「アグレッシブモード」オプションが True の場合にのみ適用されます (オプション)。

• 大規模なコンピューターの偵察 — オプションの新しいデフォルト値

  • コンピューターの数 — 5000

  • コンピューターの最小数 — 100

  • コンピューターの割合 — 95

  • スライディングウィンドウ — 240

  • 攻撃間の待ち時間 — 240

• パスワードの推測 — オプションの新しいデフォルト値

  • 試行に失敗したアカウントの数 — 10000

• ローカル管理者の列挙 — 「Windows Server 2016 より前のバージョンを使用するドメインコントローラーのヒューリスティック」オプションが、デフォルトで False に設定されるようになりました。

露出インジケーター (IoE)

• 新しい IoE

• 特権認証サイロ設定 — 特権 (ティア 0) アカウントの認証サイロ設定手順を示すガイドを提供します。

• Microsoft Entra ID と同期している特権 AD ユーザーアカウント — 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。

• 機能強化

  • 危険な Kerberos 委任 IoE — Microsoft Entra Connect アカウント (AZUREADSSOACC) の Kerberos 委任の現在の設定を検出するための新しい理由を導入します。

  • 可逆パスワード IoE — パスワード設定オブジェクト (PSO) 内の msDS-PasswordReversibleEncryptionEnabled 属性で定義された設定に基づいて、可逆形式で保存するために設定されたパスワードを検証します。

  • ローカル管理アカウント管理 IoE — 「インストール済みの LAPS バージョン」と呼ばれる新しいオプションで新しい Microsoft Local Administrator Password Solution (LAPS) のサポートを追加し、ユーザーの選択に基づいて LAPS バージョン設定を検証します。

Tenable Identity Exposure バージョン 3.65 には、以下のバグ修正が含まれています。

Tenable Identity Exposure バージョン 3.64 には、以下のバグ修正が含まれています。

• 攻撃インジケーター - 攻撃インジケーターの認証情報のダンプ: LSASS メモリおよび NTDS 抽出の「許可されたプロセス」オプションに、誤検出を引き起こすことが知られているのプロセスが含まれます。

Tenable Identity Exposure バージョン 3.63 には、以下のバグ修正が含まれています。