Tenable Identity Exposure 2024 年リリースノート

ヒント: Tenable ドキュメントの更新に関するアラートを受け取るようにサブスクリプション登録できます。

以下のリリースノートは、新しいリリース順にリストされています。

Tenable Identity Exposure 3.74 (2024 年 6 月 26 日)

  • DC 同期、NTDS 抽出、ローカル管理者の列挙攻撃インジケーター (IoA) — [基本] モードでは、次のシナリオでアラートが発生しなくなりました。

    • IoA がイベントの損失またはイベント取り込みの大幅な遅延を検出した場合

    • イベントデータがないために IoA が攻撃元を特定できない場合

  • NTDS 抽出 IoA — [基本] モードと [アグレッシブ] モードで [ホワイトリスト登録プロセス] と呼ばれる新しいオプションをアクティブにすると、攻撃中に正当なプロセスにフラグが立てられないようにできます。

Tenable Identity Exposure バージョン 3.74 には、以下のバグ修正が含まれています。

バグ修正
新しいメカニズムにより、badPwdCount 属性の変更が多すぎる場合のデータベースの回復力が確保されるようになりました。特定のエッジケースでは、不適切なパスワードカウントイベントのレートを管理するサービスが、メッセージキューマネージャーから接続解除され、イベント処理が中断する原因となっていました。
アクティビティログが、内部サービスアクティビティを報告しなくなりました。

Tenable Identity Exposure 3.73 (2024 年 6 月 13 日)

Tenable Identity Exposure バージョン 3.73 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、小規模な SaaS プラットフォーム上で SQL クエリが無期限に実行されるのを防ぐ機能を強化し、信頼性の高いデータベースアクセスを確保しました。
[ワークスペース] メニュー (アプリスイッチャー) がユーザーインターフェース内で占めるスペースが減り、ページコンテンツを表示するためのスペースが広くなりました。

Tenable Identity Exposure 3.72 (2024 年 5 月 30 日)

  • ユーザーは、分析をトリガーする前に攻撃インジケーター (IoA) のイベント収集期間を 30 秒から 9 分の範囲の値で設定できるようになりました (レイテンシーと精度の間のトレードオフ)。

  • ゴールデンチケット IoA — 誤検出を減らすために、Tenable Identity Exposure は 10 時間の延期期間を実装しました。その間に、正当なユーザーは自動的に許可リストに追加されます。

Tenable Identity Exposure バージョン 3.72 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure では、リレーの起動時に、リレーとプラットフォーム間のネットワークチェックを実行するメカニズムが導入されました。プラットフォームがまだ動作していない場合、リレー起動プロセスは、接続が安定するのを待ってから続行されます。
認証サービスでは、中断が発生した場合に通信チャネルが自動的に復元され、認証機能の信頼性が確保されるようになりました。
Tenable Identity Exposure は、アカウントロックアウト中のユーザー列挙機能に対処するために、セキュリティメカニズムを実装しました。
テナントのフィルタリング機能が正しく機能するようになり、ユーザーは Entra ID 関連のインシデントを処理する際に、テナントに固有の露出インジケーター (IoE) をフィルタリングして表示できるようになりました。

Tenable Identity Exposure 3.71 (2024-05-22)

注意: バージョン 3.71 には、3.70 用 Tenable Identity Exposure の拡張機能とバグ修正が含まれています。

  • 攻撃インジケーター (IoA)

  • DC Sync

  • [遅延時間] オプションのデフォルト値が 1 時間から 12 時間に増え、より大きな時間枠で正当なイベントをフィルターで除外できるようになりました。

  • [不明なソースを許可する] オプションのデフォルト値が False から True に変更され、デフォルトプロファイルでこのオプションをカスタマイズできないことによる誤検出が発生しないようになりました。

  • ゴールデンチケット — Windows イベントログの損失を検出し、特定のケースにおける誤検出を防止します。

  • ローカル管理者の列挙 — 管理対象のサービスアカウントは、誤検出の発生を減らすためのフィルタリングプロセスの対象となります。

  • 露出インジケーター (IoE)

    • 保護ユーザーグループが使用されていない — IoE の追加の理由により、このグループに属していないすべての特権ユーザーが報告されます。

    • KRBTGT アカウントで前回行ったパスワード変更 — Windows Hello for Business の krbtgt_AzureAD アカウントをサポートします (Cloud Trust デプロイメント)。

Tenable Identity Exposure バージョン 3.71 には、以下のバグ修正が含まれています。

バグ修正

攻撃インジケーター (IoA)

  • 認証情報のダンプ: LSASS メモリ

    • 未知の数を減らすための、この IoA の攻撃経路にあるプロセス名の相関における変更。

    • 基本モードでの拒否リストフィルタリングの改善。

  • NTDS 抽出 — 基本モードでの拒否リストフィルタリングの改善。
KRBTGT アカウントで前回行ったパスワード変更露出インジケーター (IoE) — セキュリティプロファイルのカスタマイズからオプション [無効化されたアカウントを保持する] および [削除されたアカウントを保持する] を削除しました。
IoA および IoE の分析が 1 時間以上中断されることがなくなりました。
Tenable Identity Exposure は、[ID エクスプローラー] ページのデータ品質を改善しました。
リレーにより、遅延のあるネットワーク全体で信頼性の高い Syslog メッセージ配信が保証されるようになりました。
ウェブアプリケーションで、LDAPS 認証、SMTPS などの TLS 接続の検証に使用する ECC CA 証明書のアップロードがサポートされるようになりました。

Tenable Identity Exposure 3.69 (2024-04-18)

  • 新しい露出インジケーター (IoE)

    • 管理サービスアカウントの危険な設定ミス — 管理サービスアカウントのデプロイメントと設定が適切であることを確認します。

    • ゲストアカウントの有効化 — ビルトインのゲストアカウントが無効であることをチェックします。

  • 露出インジケーターの機能強化

    • コンピューター堅牢化 GPO のないドメイン — 本来すべてのドメインコンピューターで明示的に無効化されているべき null セッションに対応するために、新しいチェック機能を統合しました。

    • ネイティブ管理グループメンバー —「Exchange Servers」、「Exchange Windows Permissions」、「Exchange Trusted Subsystem」のグループをカスタムグループの許可リストに追加しました。この変更は、デフォルトのセキュリティプロファイルにのみ適用され、既存のカスタムセキュリティプロファイルには適用されません。

    • 古いパスワードを使用しているユーザーアカウント — 特権ユーザーと通常のユーザーを見分けるために 2 つの理由を追加しました。

  • スループットを上げるため、LDAP 検索リクエストで、リレーと Ceti サービス間で結果を一括処理できるようになりました。

Tenable Identity Exposure バージョン 3.69 には、以下のバグ修正が含まれています。

バグ修正
ゴールデンチケットの攻撃インジケーターの検出アルゴリズムが強化され、誤検出や検出漏れが減りました。
Windows 2000 以前と互換性のあるアクセス制御を使用するアカウントの IoE の逸脱修正が、正しく表示されるようになりました。
コンピューター堅牢化 GPO のないドメインの IoE が、検出結果を正確に表示するようになりました。

Tenable Identity Exposure 3.68 (2024-04-08)

露出インジケーター (IoE) の機能強化

  • 休止アカウント — 特権ユーザーと通常ユーザーを区別する 2 つの新しい理由。

  • 廃止になった OS を実行しているコンピューター —「廃止になった非アクティブ OS」の逸脱で、最後に成功したユーザーログオンのタイムスタンプを表示する新しい値「lastLogonTimestamp」が追加されました。

  • コンピューター堅牢化 GPO のないドメイン

    • ドメインコントローラー (SYSVOL/NETLOGON 共有) 用に設定された堅牢化された UNC パスに関連する新しいチェック。

    • ドメインコントローラーで無効のままにするべき印刷スプーラーサービスに関連する新しいチェック。

    • ドメインコントローラーおよびその他のサーバーで適切な Server Message Block (SMB) 署名を強制するための機能強化。「デフォルトドメインコントローラーポリシー」パラメーターを検証し、他のサーバー上の GPO 設定が正しいかどうかをチェックします。

  • ポリシーの結果セット (RSoP) IoETenable Identity Exposure で、最新のキャッシュを使用して RSoP IoE を再実行できるよう、短期間のバッファされたイベントを集約して、分析する変更の数を減らせるようになりました (デフォルトでは 1 分。「特権ユーザーのログオン制限」IoE のみ)。

Tenable Identity Exposure バージョン 3.68 には、以下のバグ修正が含まれています。

バグ修正
新しい IoA オプションの導入前に作成された、カスタマイズされたセキュリティプロファイルの攻撃インジケーター (IoA) オプションを変更できるようになりました。
公開 API エンドポイント /export/profile/:profileId/checkers/:checkerId が、オプションなしで正しく動作するようになりました。

Tenable Identity Exposure 3.67 (2024-03-21)

  • 「委任に対して保護されていない」という理由でコンピュータが逸脱としてみなされず、表示されません。Tenable Identity Exposure は、この問題に関連する既存の逸脱に対処し、解決します。

  • 露出インジケーター (IoE) の強化 — ユーザーアカウントの Kerberos 設定 IoE で、スマートカードを持つユーザーは AS-REP ロースト攻撃の影響を受けず、Tenable Identity Exposure がセキュリティ問題としてそれらのユーザーにフラグを立てることがなくなりました。

  • 攻撃インジケーター (IoA) の機能強化

    • パスワード推測 — 新しい [パスワードスプレー検知時間間隔] オプションで、ログイン試行の失敗が進行中の潜在的な攻撃として分類される場合の各ログイン試行の間隔を分単位で指定します。

    • ローカル管理者の列挙

      • 新しいオプション [アグレッシブモードでのフィルタリングされたアクセス権] を使用すると、イベント「ネットワーク共有オブジェクトがチェックされました」から取得された指定アクセス権のみを考慮して、進行中の潜在的な攻撃を分類します。このリストはアグレッシブモードでのみ適用されます。

      • 現在、オプション [Windows Server 2016 より前のバージョンを使用したドメインコントローラーのヒューリスティック] のデフォルト値は [False] です。

    • DCSync — [不明なソースを許可する] オプションのデフォルト値が [False] になりました。

    • NTDS 抽出 — [基本モード] の新しい「拒否リスト」: diskshadowntdsutilesentutlesentutldefrag モードvssown、copy-vss、wmi ベースの手法、psexec_ntds_grab wmiprvsevssadminvssimpacket-secretsdumpvss_requestorVeeamGuestHelper、WMI ベースの手法

    • 認証情報ダンプの LSASS メモリ — [基本モード] の新しい「拒否リスト」: mimikatztaskmgripconfigarppowershellnetauditpolwhoamicmdrouteprocesshackernet1cscprocdumposqueryi

Tenable Identity Exposure バージョン 3.67 には、以下のバグ修正が含まれています。

バグ修正

以下の IoA 設定の次のオプションを変更した場合に、Tenable Identity Exposure はセキュリティプロファイルを適切に更新するようになりました。

  • 認証情報ダンプの LSASS メモリ: 「アグレッシブモード」および「攻撃ツール」

  • DCSync: 「アグレッシブモード」および「遅延期間」

  • ゴールデンチケット: 「遅延時間」
Tenable One ライセンスを所有している場合、ユーザーの作成は Tenable Vulnerability Management で行われ、Tenable Identity Exposure に反映されます。この場合、Tenable Identity Exposure で [ユーザーの作成] ボタンをクリックすると、Tenable Vulnerability Management でユーザーを作成するように促すメッセージが表示されます。
Tenable Identity Exposure で、すべての Entra ID IoE が IoE ペインに表示されるようになりました。
インストールまたはアップグレード後、MSI ログファイルが C:\Tenable\Logs で利用できるようになりました。

Tenable Identity Exposure 3.66 (2024-03-11)

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいオプション。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

注意: このリリースから、各セキュリティプロファイルのすべての IoA の [アグレッシブモード] オプションが、デフォルトで [False] に設定されます。このオプションは、各セキュリティプロファイルの IoA ごとに [True] に切り替えることができます。

  • 不審な DC パスワードの変更 — 新しいオプション

    • 「アグレッシブモード」

  • True: ユーザーが認証されているかどうかにかかわらず、攻撃を検出します。

  • False (デフォルト): 認証されたユーザーのみを検出します。

  • 「パスワード変更間隔」: [アグレッシブモード] では、このオプションによってパスワード変更の間隔を指定します (デフォルトでは 30 日)。

  • DCSync — 新しいオプション

  • 「アグレッシブモード」

    • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

    • False (デフォルト): マシンがドメインにない場合にのみ攻撃をトリガーします。これにより、検出される攻撃の数は減ってしまいますが、誤検出は回避できます。

機能強化

  • ポリシーの結果セット (RSoP) に依存する露出インジケーターの計算時間を最適化しました。ただし、RSoP に関連する逸脱の計算の時間は長くなります。詳細については、Tenable Identity Exposure ユーザーガイドの RSoP ベースの露出インジケーターを参照してください。

  • ロールのアクセス許可管理で Entra ID テナントのデータ表示を制限するためのサポートを追加しました。

Tenable Identity Exposure バージョン 3.66 には、以下のバグ修正が含まれています。

バグ修正
OS 認証情報ダンプ LSASS IoA — Tenable Identity Exposure は、[アグレッシブモード] オプションに指定された許可リストを考慮するようになりました。
Tenable Identity Exposure は、変更を制限するスロットリング基準を使用して、badPwdCount 属性への大量の変更を処理する際のデータベースのレジリエンスを強化する、新しいメカニズムを実装しました。
Tenable Identity Exposure は、中国語の命名規則を更新しました。

Tenable Identity Exposure 3.65 (2024-02-27)

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいデフォルト値。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

  • ゴールデンチケット — 新しい「アグレッシブモード」オプション

    • False (基本、デフォルト): ターゲットのユーザーがドメインコントローラーまたはドメイン管理者グループに属するユーザーである場合にのみ、攻撃をトリガーします。

    • True: ターゲットのユーザー名が「ドメイン管理者」グループのメンバーまたはドメインコントローラーでない場合でも、攻撃を許可します。また、一部のドメインコントローラーが監視されていない場合 (つまり、それらのドメインコントローラーが Windows イベントログを一切出力しない場合) でも、攻撃が許可されます。

  • SAMAccountName なりすまし — 新しい「アグレッシブモード」オプション

    • False (基本、デフォルト): TargetUserName がドメインコントローラー (DC) でない場合は攻撃をトリガーしません。

    • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

  • OS 認証情報のダンプ: LSASS メモリ — 新しいオプション

    • 「アグレッシブモード」

    • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

    • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

    • 「アグレッシブモードのプロセスを許可」: 「アグレッシブモード」オプションが True の場合にのみ適用されます (オプション)。

    • 「基本モード— 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

  • NTDS 抽出 — 新しいオプション

    • 「アグレッシブモード」

  • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

  • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

  • 「基本モード — 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

  • 「基本モードの攻撃のホワイトリストに登録されたプロセス」(旧「ホワイトリストに登録されたプロセス」): 「アグレッシブモード」オプションが True の場合にのみ 適用されます (オプション)。

  • 大規模なコンピューターの偵察 — オプションの新しいデフォルト値

    • コンピューターの数 — 5000

    • コンピューターの最小数 — 100

    • コンピューターの割合 — 95

    • スライディングウィンドウ — 240

    • 攻撃間の待ち時間 — 240

  • パスワードの推測 — オプションの新しいデフォルト値

    • 試行に失敗したアカウントの数 — 10000

  • ローカル管理者の列挙 — 「Windows Server 2016 より前のバージョンを使用するドメインコントローラーのヒューリスティック」オプションが、デフォルトで False に設定されるようになりました。

露出インジケーター (IoE)

  • 新しい IoE

  • 特権認証サイロ設定 — 特権 (ティア 0) アカウントの認証サイロ設定手順を示すガイドを提供します。

  • Microsoft Entra ID と同期している特権 AD ユーザーアカウント — 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。

  • 機能強化

    • 危険な Kerberos 委任 IoE — Microsoft Entra Connect アカウント (AZUREADSSOACC) の Kerberos 委任の現在の設定を検出するための新しい理由を導入します。

    • 可逆パスワード IoE — パスワード設定オブジェクト (PSO) 内の msDS-PasswordReversibleEncryptionEnabled 属性で定義された設定に基づいて、可逆形式で保存するために設定されたパスワードを検証します。

    • ローカル管理アカウント管理 IoE — 「インストール済みの LAPS バージョン」と呼ばれる新しいオプションで新しい Microsoft Local Administrator Password Solution (LAPS) のサポートを追加し、ユーザーの選択に基づいて LAPS バージョン設定を検証します。

Tenable Identity Exposure バージョン 3.65 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、Microsoft Entra ID テナントの削除に関連する問題に対処しました。以前は、ごみ箱アイコンをクリックして削除しても、以前に取得した特定の資産が保持される可能性がありました。現在の解決策では、このプロセス中にすべての資産が完全に削除されます。
Tenable Identity Exposure は、権限の低いローカルユーザーが Tenable Identity Exposure セキュアリレーホストのアプリケーションファイルを変更できるというインジェクションの脆弱性を解決しました。
Tenable Identity Exposure は、NULL 値によるクエリの失敗の問題を修正しました。この問題は、データベースのデータの不一致に起因していた可能性があります。たとえば、必要なソフトウェアファクトリー (SF) に到達していない資産に対してコンパクトな権限が行われた場合に、この問題が発生する可能性がありました。
Tenable Identity Exposure は、特定の稀なシナリオにおける初期化プロセス中の潜在的なクラッシュを回避できるよう、攻撃経路の機能性を強化しました。
Tenable Identity Exposure は新しいメカニズムを実装し、データベースが badPwdCount 属性への複数の変更を、その整合性やパフォーマンスを損なうことなく処理できるようにしました。

Tenable Identity Exposure 3.64 (2024-02-07)

Tenable Identity Exposure バージョン 3.64 には、以下のバグ修正が含まれています。

バグ修正
デフォルトで 30 日ごとにパスワードを変更する Windows Server 2008 R2 システムに関連した攻撃インジケーター、不審な DC パスワードの変更の誤検出を解決しました。

Tenable Identity Exposure 3.63 (2024-01-24)

  • 攻撃インジケーター - 攻撃インジケーターの認証情報のダンプ: LSASS メモリおよび NTDS 抽出の「許可されたプロセス」オプションに、誤検出を引き起こすことが知られているのプロセスが含まれます。

Tenable Identity Exposure バージョン 3.63 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure で、トポロジードメインに関連するドメインを削除した後は、トポロジードメインが表示されないようになりました。
以前のスキャンが成功していた場合でも、Microsoft Entra ID の現在のスキャンステータスが、スキャン失敗のエラーを示すようになりました。
Tenable Identity Exposure は、Syslog アラート設定の更新に続いて、CA 証明書を正しくリフレッシュするようになりました。
Tenable Identity Exposure の内部技術データは、この機能がアクティブな場合、資産として Tenable Cloud に送信されなくなりました。
パスワードの脆弱性検出露出インジケーター (IoE) からのパスワード再利用に関連する逸脱が、危険な状態のパスワードハッシュプレフィックスを公開するようになりました。
ホスト名のない 4776 イベントを分析すると「不明な」ソースになる場合、Tenable Identity Exposureパスワードスプレー攻撃インジケーターの [不明なソースを許可する] オプションに従って、この逸脱をフィルターで除外するようになりました。

Tenable Identity Exposure 3.62 (2024-01-10)

Tenable Identity Exposure バージョン 3.62 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、500 文字を超える名前で属性を作成する際に、SYSVOL ファイルを計算するようになりました。
セキュアリレーは、SYSLOG 設定に加えられた変更を反映し、SIEM への SYSLOG メッセージのフローを再度有効にするようになりました。
ランサムウェアに対する不十分な強化露出インジケーター (IoE) が、許可リストの除外を適切に管理するようになりました。
Tenable Identity Exposure は、標準ユーザーの AdminCount 属性セット特権グループの無効なアカウントKerberos サービスを実行している特権アカウントアカウントのマップされた証明書の IoE で特権グループの正確な認定に影響を与えていた問題を解決しました。
Microsoft EntraID スキャンステータスがより正確になり、問題が発生したときにより明確な表示を示すようになりました。