Tenable Identity Exposure 2024 年リリースノート

以下のリリースノートは、新しいリリース順にリストされています。

Tenable Identity Exposure 3.67 (2024 年 3 年 21 日)

  • 「委任に対して保護されていない」という理由でコンピュータが逸脱としてみなされず、表示されません。Tenable Identity Exposure は、この問題に関連する既存の逸脱に対処し、解決します。

  • 露出インジケーター (IoE) の強化 — ユーザーアカウントの Kerberos 設定 IoE で、スマートカードを持つユーザーは AS-REP ロースト攻撃の影響を受けず、Tenable Identity Exposure がセキュリティ問題としてそれらのユーザーにフラグを立てることがなくなりました。

  • 攻撃インジケーター (IoA) の機能強化

    • パスワード推測 — 新しい [検知時間間隔] オプションで、失敗した各ログイン試行が進行中の潜在的な攻撃として分類される時間 (分) を指定します。

    • ローカル管理者の列挙

      • 新しいオプション [アクセスリスト] は、イベント [ネットワーク共有オブジェクトがチェックされました] から取得された指定済みアクセス権のみを考慮して、進行中の潜在的な攻撃を分類します。このリストはアグレッシブモードでのみ適用されます。

      • 現在、オプション [Windows Server 2016 より前のバージョンを使用したドメインコントローラーのヒューリスティック] のデフォルト値は [False] です。

    • DCSync — [不明なソースを許可する] オプションのデフォルト値が [False] になりました。

    • NTDS 抽出 — [基本モード] の新しい「拒否リスト」: diskshadowntdsutilesentutlesentutldefrag モードvssown、copy-vss、wmi ベースの手法、psexec_ntds_grab wmiprvsevssadminvssimpacket-secretsdumpvss_requestorVeeamGuestHelper、WMI ベースの手法

    • 認証情報ダンプの LSASS メモリ — [基本モード] の新しい「拒否リスト」: mimikatztaskmgripconfigarppowershellnetauditpolwhoamicmdrouteprocesshackernet1cscprocdumposqueryi

Tenable Identity Exposure バージョン 3.67 には、以下のバグ修正が含まれています。

バグ修正

以下の IoA 設定の次のオプションを変更した場合に、Tenable Identity Exposure はセキュリティプロファイルを適切に更新するようになりました。

  • 認証情報ダンプの LSASS メモリ: 「アグレッシブモード」および「攻撃ツール」

  • DCSync: 「アグレッシブモード」および「遅延期間」

  • ゴールデンチケット: 「遅延時間」
Tenable One ライセンスを所有している場合、ユーザーの作成は Tenable Vulnerability Management で行われ、Tenable Identity Exposure に反映されます。この場合、Tenable Identity Exposure で [ユーザーの作成] ボタンをクリックすると、Tenable Vulnerability Management でユーザーを作成するように促すメッセージが表示されます。
Tenable Identity Exposure で、すべての Entra ID IoE が IoE ペインに表示されるようになりました。
インストールまたはアップグレード後、MSI ログファイルが C:\Tenable\Logs で利用できるようになりました。

Tenable Identity Exposure 3.66 (2024 年 3 月 11 日)

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいオプション。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

注意: このリリースから、各セキュリティプロファイルのすべての IoA の [アグレッシブモード] オプションが、デフォルトで [False] に設定されます。このオプションは、各セキュリティプロファイルの IoA ごとに [True] に切り替えることができます。

  • 不審な DC パスワードの変更 — 新しいオプション

    • 「アグレッシブモード」

  • True: ユーザーが認証されているかどうかにかかわらず、攻撃を検出します。

  • False (デフォルト): 認証されたユーザーのみを検出します。

  • 「パスワード変更間隔」: [アグレッシブモード] では、このオプションによってパスワード変更の間隔を指定します (デフォルトでは 30 日)。

  • DCSync — 新しいオプション

  • 「アグレッシブモード」

    • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

    • False (デフォルト): マシンがドメインにない場合にのみ攻撃をトリガーします。これにより、検出される攻撃の数は減ってしまいますが、誤検出は回避できます。

機能強化

  • ポリシーの結果セット (RSoP) に依存する露出インジケーターの計算時間を最適化しました。ただし、RSoP に関連する逸脱の計算の時間は長くなります。詳細については、Tenable Identity Exposure ユーザーガイドの RSoP ベースの露出インジケーターを参照してください。

  • ロールのアクセス許可管理で Entra ID テナントのデータ表示を制限するためのサポートを追加しました。

Tenable Identity Exposure バージョン 3.66 には、以下のバグ修正が含まれています。

バグ修正
OS 認証情報ダンプ LSASS IoA — Tenable Identity Exposure は、[アグレッシブモード] オプションに指定された許可リストを考慮するようになりました。
Tenable Identity Exposure は、変更を制限するスロットリング基準を使用して、badPwdCount 属性への大量の変更を処理する際のデータベースのレジリエンスを強化する、新しいメカニズムを実装しました。
Tenable Identity Exposure は、中国語の命名規則を更新しました。

Tenable Identity Exposure 3.65 (2024 年 2 月 27 日)

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいデフォルト値。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

  • ゴールデンチケット — 新しい「アグレッシブモード」オプション

    • False (基本、デフォルト): ターゲットのユーザーがドメインコントローラーまたはドメイン管理者グループに属するユーザーである場合にのみ、攻撃をトリガーします。

    • True: ターゲットのユーザー名が「ドメイン管理者」グループのメンバーまたはドメインコントローラーでない場合でも、攻撃を許可します。また、一部のドメインコントローラーが監視されていない場合 (つまり、それらのドメインコントローラーが Windows イベントログを一切出力しない場合) でも、攻撃が許可されます。

  • SAMAccountName なりすまし — 新しい「アグレッシブモード」オプション

    • False (基本、デフォルト): TargetUserName がドメインコントローラー (DC) でない場合は攻撃をトリガーしません。

    • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

  • OS 認証情報のダンプ: LSASS メモリ — 新しいオプション

    • 「アグレッシブモード」

    • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

    • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

    • 「アグレッシブモードのプロセスを許可」: 「アグレッシブモード」オプションが True の場合にのみ適用されます (オプション)。

    • 「基本モード— 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

  • NTDS 抽出 — 新しいオプション

    • 「アグレッシブモード」

  • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

  • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

  • 「基本モード — 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

  • 「基本モードの攻撃のホワイトリストに登録されたプロセス」(旧「ホワイトリストに登録されたプロセス」): 「アグレッシブモード」オプションが True の場合にのみ 適用されます (オプション)。

  • 大規模なコンピューターの偵察 — オプションの新しいデフォルト値

    • コンピューターの数 — 5000

    • コンピューターの最小数 — 100

    • コンピューターの割合 — 95

    • スライディングウィンドウ — 240

    • 攻撃間の待ち時間 — 240

  • パスワードの推測 — オプションの新しいデフォルト値

    • 試行に失敗したアカウントの数 — 10000

  • ローカル管理者の列挙 — 「Windows Server 2016 より前のバージョンを使用するドメインコントローラーのヒューリスティック」オプションが、デフォルトで False に設定されるようになりました。

露出インジケーター (IoE)

  • 新しい IoE

  • 特権認証サイロ設定 — 特権 (ティア 0) アカウントの認証サイロ設定手順を示すガイドを提供します。

  • Microsoft Entra ID と同期している特権 AD ユーザーアカウント — 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。

  • 機能強化

    • 危険な Kerberos 委任 IoE — Microsoft Entra Connect アカウント (AZUREADSSOACC) の Kerberos 委任の現在の設定を検出するための新しい理由を導入します。

    • 可逆パスワード IoE — パスワード設定オブジェクト (PSO) 内の msDS-PasswordReversibleEncryptionEnabled 属性で定義された設定に基づいて、可逆形式で保存するために設定されたパスワードを検証します。

    • ローカル管理アカウント管理 IoE — 「インストール済みの LAPS バージョン」と呼ばれる新しいオプションで新しい Microsoft Local Administrator Password Solution (LAPS) のサポートを追加し、ユーザーの選択に基づいて LAPS バージョン設定を検証します。

Tenable Identity Exposure バージョン 3.65 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、Microsoft Entra ID テナントの削除に関連する問題に対処しました。以前は、ごみ箱アイコンをクリックして削除しても、以前に取得した特定の資産が保持される可能性がありました。現在の解決策では、このプロセス中にすべての資産が完全に削除されます。
Tenable Identity Exposure は、権限の低いローカルユーザーが Tenable Identity Exposure セキュアリレーホストのアプリケーションファイルを変更できるというインジェクションの脆弱性を解決しました。
Tenable Identity Exposure は、NULL 値によるクエリの失敗の問題を修正しました。この問題は、データベースのデータの不一致に起因していた可能性があります。たとえば、必要なソフトウェアファクトリー (SF) に到達していない資産に対してコンパクトな権限が行われた場合に、この問題が発生する可能性がありました。
Tenable Identity Exposure は、特定の稀なシナリオにおける初期化プロセス中の潜在的なクラッシュを回避できるよう、攻撃経路の機能性を強化しました。
Tenable Identity Exposure は新しいメカニズムを実装し、データベースが badPwdCount 属性への複数の変更を、その整合性やパフォーマンスを損なうことなく処理できるようにしました。

Tenable Identity Exposure 3.64 (2024-02-07)

Tenable Identity Exposure バージョン 3.64 には、以下のバグ修正が含まれています。

バグ修正
デフォルトで 30 日ごとにパスワードを変更する Windows Server 2008 R2 システムに関連した攻撃インジケーター、不審な DC パスワードの変更の誤検出を解決しました。

Tenable Identity Exposure 3.63 (2024-01-24)

  • 攻撃インジケーター - 攻撃インジケーターの認証情報のダンプ: LSASS メモリおよび NTDS 抽出の「許可されたプロセス」オプションに、誤検出を引き起こすことが知られているのプロセスが含まれます。

Tenable Identity Exposure バージョン 3.63 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure で、トポロジードメインに関連するドメインを削除した後は、トポロジードメインが表示されないようになりました。
以前のスキャンが成功していた場合でも、Microsoft Entra ID の現在のスキャンステータスが、スキャン失敗のエラーを示すようになりました。
Tenable Identity Exposure は、Syslog アラート設定の更新に続いて、CA 証明書を正しくリフレッシュするようになりました。
Tenable Identity Exposure の内部技術データは、この機能がアクティブな場合、資産として Tenable Cloud に送信されなくなりました。
パスワードの脆弱性検出露出インジケーター (IoE) からのパスワード再利用に関連する逸脱が、危険な状態のパスワードハッシュプレフィックスを公開するようになりました。
ホスト名のない 4776 イベントを分析すると「不明な」ソースになる場合、Tenable Identity Exposureパスワードスプレー攻撃インジケーターの [不明なソースを許可する] オプションに従って、この逸脱をフィルターで除外するようになりました。

Tenable Identity Exposure 3.62 (2024 年 1 月 10 日)

Tenable Identity Exposure バージョン 3.62 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、500 文字を超える名前で属性を作成する際に、SYSVOL ファイルを計算するようになりました。
セキュアリレーは、SYSLOG 設定に加えられた変更を反映し、SIEM への SYSLOG メッセージのフローを再度有効にするようになりました。
ランサムウェアに対する不十分な強化露出インジケーター (IoE) が、許可リストの除外を適切に管理するようになりました。
Tenable Identity Exposure は、標準ユーザーの AdminCount 属性セット特権グループの無効なアカウントKerberos サービスを実行している特権アカウントアカウントのマップされた証明書の IoE で特権グループの正確な認定に影響を与えていた問題を解決しました。
Microsoft EntraID スキャンステータスがより正確になり、問題が発生したときにより明確な表示を示すようになりました。