Tenable Identity Exposure 2024 年リリースノート

ヒント: Tenable ドキュメントの更新に関するアラートを受け取るようにサブスクリプション登録できます。

以下のリリースノートは、新しいリリース順にリストされています。

Tenable Identity Exposure 3.81.2 (2024 年 10 月 29 日)

Tenable Identity Exposure バージョン 3.81.2 には、以下のバグ修正が含まれています。

バグ修正
攻撃インジケーターリスナーが、非 ASCII エンコーディングをサポートするようになりました。

Tenable Identity Exposure 3.81 (2024 年 10 月 21 日)

  • コンピューター堅牢化 GPO のないドメイン露出インジケーター

    • メモリ内の認証情報を保護するために使用される、Windows Defender Credential Guard セキュリティ機能に関連する新しい理由。

    • Windows の「ポイントアンドプリント」機能に関連する新しい理由: プリントドライバーのインストールとアップデートの強化。

    • MiTM とリプレイ攻撃を軽減するための、LDAP セッション署名とチャネルバインディングに関連する新しい理由。

  • 休止アカウント露出インジケーターに、(lastLogonTimestamp 属性に基づき) 過去 45 日間に認証を実行していないドメインコントローラーを報告するための新しい理由が追加されました。この期間は、新しいオプションでカスタマイズできます。

  • DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可露出インジケーターに [MSOL_* アカウントを保持する] という新しいオプションが追加されました。このオプションにより、これらのアカウントを除外し、誤検出を減らすことができます。デフォルトでは、このオプションはセキュリティプロファイルで無効になっているため、IOE は MSOL_* アカウントを逸脱としてフラグしません。

  • NTDS 抽出攻撃インジケーターでは、「許可されたプロセス」の名前が変更され、「アグレッシブ」モードでのみ使用されることが明確になり、未使用の [許可された NTDS の宛先パス] オプションは削除されました。

  • パフォーマンスTenable Identity Exposure の内部監視機能が改善されました。

Tenable Identity Exposure バージョン 3.81 には、以下のバグ修正が含まれています。

バグ修正
セキュアリレーのスケジュールタスクに、有効なパラメーター -AfadRolePath が追加されました。アップグレード中に、Tenable Identity Exposure がスケジュールタスクを削除して再作成します。
Envoy は、最初に IPv4 を使用して解決し、IPv6 にフォールバックするようになりました。これにより、反対の優先順位を付けていた以前の設定が修正されました。
Tenable Identity Exposure は、遅延して取り込まれた Windows イベントログを分析できるようになりました。
Tenable Identity Exposure は、ログイン後にヘッダーの可視性が維持されるようになりました。
Tenable Identity Exposure は、ID エクスプローラーの読み込みエラーを解決しました。
Tenable Identity Exposure は、攻撃アラートブレードの読み込みパフォーマンスを強化しました。
セキュアリレーは、ディレクトリリスナーがもはや必要としない LDAP クエリ結果をループで送信しなくなりました。
保護されたユーザーグループが使用されてない露出インジケーターの [許可されたユーザー] オプションで、以前の識別名のみでなく、ユーザープリンシパル名 (UPN)、SID、sAMAccountName でユーザーを許可リストに追加できるようになりました。

Tenable Identity Exposure 3.80 (2024 年 10 月 3 日)

  • RSOP ベースの露出インジケーター (IoE) — 製品全体のパフォーマンスを高めるため、Tenable Identity Exposure は、リアルタイムではなく、少数の IoE の RSOP チェックを 30 分ごとに実行するようになりました。詳細については、RSOP ベースの露出インジケーターを参照してください。

Tenable Identity Exposure バージョン 3.80 には、以下のバグ修正が含まれています。

バグ修正
[許可されたトラスティのリスト] オプションで、以前の形式 (DN 形式) に加えて、アカウントの SID 形式を使用できるようになりました。
危険な Kerberos 委任露出インジケーターは、無効化されたオブジェクトのホワイトリスト登録を強制するようになりました。
ローカライズされている場合、危険の原因となっている属性に詳細な値が表示されるようになりました。
露出インジケーター (IoE) は、直近の検出日をより正確に表示するようになりました。
Tenable Identity Exposure は、ヘルスチェックの問題について、不明なステータスで成功した場合の説明を表示します。
Tenable Identity Exposure は、信頼属性を適切に解析し (まれなシナリオで欠落している場合でも)、問題なくトポロジービューを表示します。
逸脱詳細ビューを終了した後、ページが前の [Active Directory] または [Microsoft Entra ID] タブに正しく戻ります。
Tenable Identity Exposure で、[UserNameVariants] フィールドが DCSyncData に追加され、形式に依存することなくユーザー名 (SID、UPN、sAMAccountName) のホワイトリスト登録ができるようになりました。現在、この変更は DCSync 攻撃の攻撃インジケーター (IoA) にのみ適用されます。
Tenable Identity Exposure は、改善された相関エンジンにより、PetitPotam に対する攻撃手法を正確に特定するようになりました。IoA イベントリスナーを再デプロイする必要があります。
DCSync IoA は、Tenable サービスアカウントの [samAccountName] が 20 文字を超えるエッジケースに対応するようになりました。これにより、特権分析機能が有効なときにアラートがトリガーされなくなります。

Tenable Identity Exposure 3.79 (2024 年 9 月 16 日)

Tenable Identity Exposure バージョン 3.79 には、以下のバグ修正が含まれています。

バグ修正
dnsProperty 属性のデコーダーが、動的更新に関連するバイナリデータを正確に解析するようになりました。
逸脱が検出されない場合でも、露出インジケーターの詳細ペインが正しく表示されるようになりました。
Tenable Identity Exposure は、Tenable クラウドサービスの編集アクセス許可のないユーザーに対して、Tenable クラウド設定を無効にします。
特定のエッジケースでは、Tenable Identity Exposure で、ティア 0 資産グラフの構築が確実に成功するようになりました。
セキュリティ分析サービスは、大規模なデータセットを処理して脅威を徹底的に検出するため、セキュリティチェックなど負荷がかかるタスクの実行中に CPU 使用率が高くなります。これにより、CPU の負荷が急激に上昇する可能性がありますが、包括的なセキュリティ範囲が保証されます。
Tenable Identity Exposure で、二重引用符 (") をエスケープすることで CSV が正しくエクスポートされるようになり、エクスポートされたデータの精度が向上します。
IoE の最新検出日の精度が向上しました。
Tenable Identity Exposure は、孤立した GPO の理由が関連付けられている、以前に発生した逸脱を適切に閉じるようになりました。
[Microsoft Entra ID と同期している特権 AD ユーザーアカウント] IoE に、[コンピューターのホワイトリスト] オプションが不要になりました。
[セキュリティプリンシパルの競合] IoE により、セキュリティ分析サービス起動時の過剰なチェックを減らし、CPU の高消費を解決しました。
Tenable Identity Exposure は、パフォーマンスの低下を防ぐために RMQ メモリ制限を引き上げました。
Tenable Identity Exposure は、GPO や dnsNode などの技術的なオブジェクトに特に重点を置いて、特定の AD オブジェクトの表示名を向上しました。
Tenable Identity Exposure は、samAccountName の表示を改善し、検索可能にしました。

Tenable Identity Exposure 3.78 (2024 年 8 月 27 日)

  • 露出インジケーター

    • Netlogon プロトコルの安全でない設定 - Tenable Identity Exposure は、[レジストリキーのチェックをスキップする] オプションのデフォルト値を [true] に設定するようになりました。この変更は、ユーザーが 2021 年 2 月 9 日の更新を適用していることを前提としています。この変更が適用されるのはデフォルトプロファイルのみで、カスタムプロファイルは影響を受けません。

    • 廃止になった OS を実行しているコンピューター - Tenable Identity Exposure は、廃止になったアクティブ状態のコンピューターの前回のログオン情報を追加しました。

  • Entra ID の露出インジケーター (IoE): 以下は、無効になっているユーザーとサービスプリンシパルを無視するようになった Entra ID IoE です。

    • テナントに影響を与える危険な API アクセス許可

    • 認証情報を持つファーストパーティサービスプリンシパル

    • 管理者数が多い

    • 特権アカウントに MFA がない

    • 非特権アカウントに MFA がない

      これは、攻撃者が即座にこれらを悪用できないためです。MFA IoE に関しては、Microsoft Graph API が無効なユーザーの MFA ステータスを間違って返します。

  • 攻撃インジケーター

    • DCSync は、ソースがプレフィックス MSOL_ を持つユーザー名に由来する場合、アラートをトリガーしません (ハードコードされ、基本モードでのみ有効)。

    • ローカル管理者の列挙は、ターゲット IP が不明な場合、アラートをトリガーしません。

    • ゴールデンチケットは、攻撃者が TGT を偽造した後に認証した場合にのみ、アラートをトリガーします (基本モードのみ)。

    • OS 認証情報ダンプ - LSASS メモリは、ツールが Arctic Wolf Network に属する場合、アラートをトリガーしません (基本モードのみ)。

  • メールアラートは、TLS 1.2 や 1.3 などの有効な暗号化プロトコルのみをサポートするようになりました。セキュアリレーをオーバーライドして SSL v3 などの廃止された SMTP 暗号化標準を強制していた場合は、オーバーライドを削除する必要があります。現在、許可される値は「Tls12」、「Tls13」、または「Tls12, Tls13」(サーバーバージョンに基づく自動切り替え) のみです。サポートされていない値を使用すると、リレーは開始しません。

Tenable Identity Exposure バージョン 3.78 には、以下のバグ修正が含まれています。

バグ修正
Pendo 機能が特定の Tenable Identity Exposure 環境でアクティブになりました。
Tenable Identity Exposure 環境のベース URL (<environment>.tenable.ad) にアクセスする際に、Tenable Identity Exposure ユーザーインターフェースが 2 回読み込まれなくなりました。
Tenable Identity Exposure は、セキュアリレーインストーラーを更新して、現在のユーザーがローカル管理者であるかどうかをチェックする方法を改善しました。これにより、ドメインに参加しているマシンでもインストーラーが機能するようになりました。
Tenable Identity Exposure は、イベント取り込み中のデッドロックを防ぐため、サービス間の内部リクエスト/応答フローを改善しました。

Entra ID 露出インジケーター (IoE) の [危険なオブジェクト] ペインを閉じると、フィルタリング設定を保持したまま、適切な Entra ID IoE リストに正しくリダイレクトされるようになりました。この機能強化は、[危険なオブジェクト] の URL 構造の変更によるもので、IoE リストに最初にアクセスしたときに表示していたタブに応じて、「ad」または「meid」が含まれるようになりました。
攻撃インジケーター (IoA) のデッドロック問題が、セキュリティ分析サービスをホストしているマシンで発生しなくなりました。
インバウンドの信頼の場合、Tenable Identity Exposure の計算に必要なデータはローカルではなく他のドメインに保存されます。この他のドメインが製品に含まれている場合、適切に監視され「保護」されます。そのドメインから見ると、この信頼関係はアウトバウンドの信頼と見なされます。この信頼が危険であると判断された場合、Tenable Identity Exposure は、この特定の信頼に対してドメインの逸脱を検出します。
リンクなし、無効、または孤立した GPO の IoE で、削除された GPO を伴うシナリオがより効果的に処理されるようになりました。
Tenable Identity Exposure は、セキュアリレーとディレクトリリスナー間の 504 エラーを減らして、パフォーマンスを向上させ、製品の中断を防ぎます。

Tenable Identity Exposure 3.76 (2024 年 7 月 25 日)

  • セキュリティプリンシパルの競合露出インジケーター (IoE) — ユーザー、コンピューター、グループなど、重複している (競合する) オブジェクトがないことをチェックする新たな IoE。

  • 危険な Kerberos 委任露出インジケーター (IoE) — 新しく追加された理由により、制限付き委任で使用される属性 (msDS-AllowedToDelegateTo) が存在しないサービスプリンシパル名 (SPN) を参照しているすべてのアカウントが報告されるようになりました。

  • Active DirectoryTenable Identity Exposure が管理する AD オブジェクトのサイズ制限が引き上げられました。

Tenable Identity Exposure バージョン 3.76 には、以下のバグ修正が含まれています。

バグ修正
ID エクスプローラーで、[テナントを検索] ラベルがフランス語で正しくローカライズされるようになりました。
シャドウ認証情報 IoE が、孤立している鍵認証情報の誤検出を適切に処理するようになりました。
ドメインに参加しているマシンにセキュアリレーをインストールする際にドメイン管理者アカウントが使用されている場合、ローカル管理者アカウントを使用するように指示するポップアップメッセージが表示されます。
Tenable Identity Exposure は、露出インジケーターページに関連するアクセス許可の動作をアップデートしました。
NTDS 抽出攻撃インジケーター (IoA) で、特定のエッジケースで適切な動作を妨げていたログの問題がなくなりました。

Tenable Identity Exposure 3.75 (2024 年 7 月 16 日)

  • シャドウ認証情報 露出インジケーター (IoE) - 新しい IoE は、「Windows Hello for Business」機能とそれに関連する鍵認証情報のシャドウ認証情報のバックドアと設定ミスを検出します。

  • ユーザープライマリグループ IoE - 理由が追加され、権限不足のために primaryGroupID 属性が空として表示されるアカウントをすべて報告するようになりました。

  • パスワードスプレー 攻撃インジケーター (IoA) - 一部のシナリオでは、この IoA によってメモリオーバーロードなどのシステムパフォーマンスの問題が発生していましたが、現在はこれらの問題を解決するために、同じ攻撃に関連するアラートが 1 つのアラートにグループ化されています。

  • 以下の IoA は、次の場合にアラートをトリガーしなくなりました。

    • DC 同期 - ソースが Azure ADConnect ツールに関連するユーザーまたはホスト名である場合 (基本モードのみ)

    • NTDS 抽出 - ソースツールが VSS Requestor または Veeam (正規のバックアップツール) のいずれかである場合

    • ローカル管理者の列挙 - IoA がソースユーザーの SID を見つけられない場合 (基本モードのみ)

    • Petit Potam - IoA が関連するログオンイベントを取得できない場合

    • ゴールデンチケット - IoA がソースベクトルをフェッチできない場合 (基本モードのみ)

Tenable Identity Exposure バージョン 3.75 には、以下のバグ修正が含まれています。

バグ修正
パスワード推測 IoA のオプション [検知時間間隔] が、正しいラベルを表示するようになりました。
ユーザーに対する弱いパスワードポリシーの適用 IoE が、正しい言語のリソースにリンクするようになりました。
[ID エクスプローラー] ページに ID データがより速く読み込まれるようになりました。

Tenable Identity Exposure 3.74 (2024 年 6 月 26 日)

  • DC 同期、NTDS 抽出、ローカル管理者の列挙攻撃インジケーター (IoA) — [基本] モードでは、次のシナリオでアラートが発生しなくなりました。

    • IoA がイベントの損失またはイベント取り込みの大幅な遅延を検出した場合

    • イベントデータがないために IoA が攻撃元を特定できない場合

  • NTDS 抽出 IoA — [基本] モードと [アグレッシブ] モードで [ホワイトリスト登録プロセス] と呼ばれる新しいオプションをアクティブにすると、攻撃中に正当なプロセスにフラグが立てられないようにできます。

Tenable Identity Exposure バージョン 3.74 には、以下のバグ修正が含まれています。

バグ修正
新しいメカニズムにより、badPwdCount 属性の変更が多すぎる場合のデータベースの回復力が確保されるようになりました。特定のエッジケースでは、不適切なパスワードカウントイベントのレートを管理するサービスが、メッセージキューマネージャーから接続解除され、イベント処理が中断する原因となっていました。
アクティビティログが、内部サービスアクティビティを報告しなくなりました。

Tenable Identity Exposure 3.73 (2024 年 6 月 13 日)

Tenable Identity Exposure バージョン 3.73 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、小規模な SaaS プラットフォーム上で SQL クエリが無期限に実行されるのを防ぐ機能を強化し、信頼性の高いデータベースアクセスを確保しました。
[ワークスペース] メニュー (アプリスイッチャー) がユーザーインターフェース内で占めるスペースが減り、ページコンテンツを表示するためのスペースが広くなりました。

Tenable Identity Exposure 3.72 (2024 年 5 月 30 日)

  • ユーザーは、分析をトリガーする前に攻撃インジケーター (IoA) のイベント収集期間を 30 秒から 9 分の範囲の値で設定できるようになりました (レイテンシと精度の間のトレードオフ)。

  • ゴールデンチケット IoA — 誤検出を減らすために、Tenable Identity Exposure は 10 時間の延期期間を実装しました。その間に、正当なユーザーは自動的に許可リストに追加されます。

Tenable Identity Exposure バージョン 3.72 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure で、リレーの起動時にリレーとプラットフォーム間のネットワークチェックを実行するメカニズムが導入されました。プラットフォームがまだ動作していない場合、接続が安定するのを待ってからリレー起動プロセスが続行されます。
認証サービスでは、中断が発生した場合に通信チャネルが自動的に復元され、認証機能の信頼性が確保されるようになりました。
Tenable Identity Exposure は、アカウントロックアウト中のユーザー列挙機能に対処するために、セキュリティメカニズムを実装しました。
テナントのフィルタリング機能が正しく機能するようになり、ユーザーは Entra ID 関連のインシデントを処理する際に、テナントに固有の露出インジケーター (IoE) をフィルタリングして表示できるようになりました。

Tenable Identity Exposure 3.71 (2024 年 5 月 22 日)

注意: バージョン 3.71 には、3.70 用 Tenable Identity Exposure の拡張機能とバグ修正が含まれています。

  • 攻撃インジケーター (IoA)

  • DC Sync

  • [遅延時間] オプションのデフォルト値が 1 時間から 12 時間に増え、より大きな時間枠で正当なイベントをフィルターで除外できるようになりました。

  • [不明なソースを許可する] オプションのデフォルト値が False から True に変更され、デフォルトプロファイルでこのオプションをカスタマイズできないことによる誤検出が発生しないようになりました。

  • ゴールデンチケット — Windows イベントログの損失を検出し、特定のケースにおける誤検出を防止します。

  • ローカル管理者の列挙 — 管理対象のサービスアカウントは、誤検出の発生を減らすためのフィルタリングプロセスの対象となります。

  • 露出インジケーター (IoE)

    • 保護ユーザーグループが使用されていない — IoE の追加の理由により、このグループに属していないすべての特権ユーザーが報告されます。

    • KRBTGT アカウントで前回行ったパスワード変更 — Windows Hello for Business の krbtgt_AzureAD アカウントをサポートします (Cloud Trust デプロイメント)。

Tenable Identity Exposure バージョン 3.71 には、以下のバグ修正が含まれています。

バグ修正

攻撃インジケーター (IoA)

  • 認証情報のダンプ: LSASS メモリ

    • 未知の数を減らすための、この IoA の攻撃経路にあるプロセス名の相関における変更。

    • 基本モードでの拒否リストフィルタリングの改善。

  • NTDS 抽出 — 基本モードでの拒否リストフィルタリングの改善。
KRBTGT アカウントで前回行ったパスワード変更露出インジケーター (IoE) — セキュリティプロファイルのカスタマイズからオプション [無効化されたアカウントを保持する] および [削除されたアカウントを保持する] を削除しました。
IoA および IoE の分析が 1 時間以上中断されることがなくなりました。
Tenable Identity Exposure は、[ID エクスプローラー] ページのデータ品質を改善しました。
リレーにより、遅延のあるネットワークを介しても、信頼性の高い Syslog メッセージ配信が保証されるようになりました。
ウェブアプリケーションで、LDAPS 認証などの TLS 接続や SMTPS などの検証に使用する ECC CA 証明書のアップロードがサポートされるようになりました。

Tenable Identity Exposure 3.69 (2024 年 4 月 18 日)

  • 新しい露出インジケーター (IoE)

    • 管理サービスアカウントの危険な設定ミス — 管理サービスアカウントのデプロイメントと設定が適切であることを確認します。

    • ゲストアカウントの有効化 — ビルトインのゲストアカウントが無効であることをチェックします。

  • 露出インジケーターの機能強化

    • コンピューター堅牢化 GPO のないドメイン — 本来すべてのドメインコンピューターで明示的に無効化されているべき null セッションに対応するために、新しいチェック機能を統合しました。

    • ネイティブ管理グループメンバー —「Exchange Servers」、「Exchange Windows Permissions」、「Exchange Trusted Subsystem」のグループをカスタムグループの許可リストに追加しました。この変更は、デフォルトのセキュリティプロファイルにのみ適用され、既存のカスタムセキュリティプロファイルには適用されません。

    • 古いパスワードを使用しているユーザーアカウント — 特権ユーザーと通常のユーザーを見分けるために 2 つの理由を追加しました。

  • スループットを上げるため、LDAP 検索リクエストで、リレーと Ceti サービス間で結果を一括処理できるようになりました。

Tenable Identity Exposure バージョン 3.69 には、以下のバグ修正が含まれています。

バグ修正
ゴールデンチケット攻撃インジケーターの検出アルゴリズムが強化され、誤検出や検出漏れが減りました。
Windows 2000 以前と互換性のあるアクセス制御を使用するアカウントの IoE の逸脱修正が、正しく表示されるようになりました。
コンピューター堅牢化 GPO のないドメインの IoE が、検出結果を正確に表示するようになりました。

Tenable Identity Exposure 3.68 (2024 年 4 月 8 日)

露出インジケーター (IoE) の機能強化

  • 休止アカウント — 特権ユーザーと通常ユーザーを区別する 2 つの新しい理由。

  • 廃止になった OS を実行しているコンピューター —「廃止になった非アクティブ OS」の逸脱で、最後に成功したユーザーログオンのタイムスタンプを表示する新しい値「lastLogonTimestamp」が追加されました。

  • コンピューター堅牢化 GPO のないドメイン

    • ドメインコントローラー (SYSVOL/NETLOGON 共有) に対して設定された堅牢化された UNC パスに関連する新しいチェック

    • ドメインコントローラーで無効のままにするべき印刷スプーラーサービスに関連する新しいチェック。

    • ドメインコントローラーおよびその他のサーバーで適切な Server Message Block (SMB) 署名を強制するための機能強化。[デフォルトドメインコントローラーポリシー] パラメーターを検証し、他のサーバーに正しい GPO 設定がないかチェックします。

  • ポリシーの結果セット (RSoP) IoETenable Identity Exposure で、最新のキャッシュを使用して RSoP IoE を再実行できるよう、短期間のバッファされたイベントを集約して、分析する変更の数を減らせるようになりました (デフォルトでは 1 分。「特権ユーザーのログオン制限」IoE のみ)。

Tenable Identity Exposure バージョン 3.68 には、以下のバグ修正が含まれています。

バグ修正
新しい IoA オプションの導入前に作成された、カスタマイズされたセキュリティプロファイルの攻撃インジケーター (IoA) オプションを変更できるようになりました。
公開 API エンドポイント /export/profile/:profileId/checkers/:checkerId が、オプションなしで正しく動作するようになりました。

Tenable Identity Exposure 3.67 (2024 年 3 月 21 日)

  • 「委任に対して保護されていない」という理由でコンピューターが逸脱としてみなされず、表示されません。Tenable Identity Exposure は、この問題に関連する既存の逸脱に対処し、解決します。

  • 露出インジケーター (IoE) の強化 — ユーザーアカウントの Kerberos 設定 IoE で、スマートカードを持つユーザーは AS-REP ロースト攻撃の影響を受けず、Tenable Identity Exposure がセキュリティ問題としてそれらのユーザーにフラグを立てることがなくなりました。

  • 攻撃インジケーター (IoA) の機能強化

    • パスワード推測 — 新しい [パスワードスプレー検知時間間隔] オプションで、ログイン試行の失敗が進行中の潜在的な攻撃として分類される場合の各ログイン試行の間隔を分単位で指定します。

    • ローカル管理者の列挙

      • 新しいオプション [アグレッシブモードでのフィルタリングされたアクセス権] を使用すると、イベント「ネットワーク共有オブジェクトがチェックされました」から取得された指定アクセス権のみを考慮して、進行中の潜在的な攻撃を分類します。このリストはアグレッシブモードでのみ適用されます。

      • 現在、オプション [Windows Server 2016 より前のバージョンを使用したドメインコントローラーのヒューリスティック] のデフォルト値は [False] です。

    • DCSync — [不明なソースを許可する] オプションのデフォルト値が [False] になりました。

    • NTDS 抽出 — [基本モード] の新しい「拒否リスト」: diskshadowntdsutilesentutlesentutldefrag モードvssown、copy-vss、wmi ベースの手法、psexec_ntds_grab wmiprvsevssadminvssimpacket-secretsdumpvss_requestorVeeamGuestHelper、WMI ベースの手法

    • 認証情報ダンプの LSASS メモリ — [基本モード] の新しい「拒否リスト」: mimikatztaskmgripconfigarppowershellnetauditpolwhoamicmdrouteprocesshackernet1cscprocdumposqueryi

Tenable Identity Exposure バージョン 3.67 には、以下のバグ修正が含まれています。

バグ修正

以下の IoA 設定の次のオプションを変更した場合に、Tenable Identity Exposure はセキュリティプロファイルを適切に更新するようになりました。

  • 認証情報ダンプの LSASS メモリ: 「アグレッシブモード」および「攻撃ツール」

  • DCSync: 「アグレッシブモード」および「遅延期間」

  • ゴールデンチケット: 「遅延時間」
Tenable One ライセンスを所有している場合、ユーザーの作成は Tenable Vulnerability Management で行われ、Tenable Identity Exposure に反映されます。この場合、Tenable Identity Exposure で [ユーザーの作成] ボタンをクリックすると、Tenable Vulnerability Management でユーザーを作成するように促すメッセージが表示されます。
Tenable Identity Exposure で、Entra ID のすべての IoE が IoE ペインに表示されるようになりました。
インストールまたはアップグレード後、MSI ログファイルが C:\Tenable\Logs で利用できるようになりました。

Tenable Identity Exposure 3.66 (2024 年 3 月 11 日)

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいオプション。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

注意: このリリースから、各セキュリティプロファイルのすべての IoA の [アグレッシブモード] オプションが、デフォルトで [False] に設定されます。このオプションは、各セキュリティプロファイルの IoA ごとに [True] に切り替えることができます。

  • 不審な DC パスワードの変更 — 新しいオプション

    • 「アグレッシブモード」

  • True: ユーザーが認証されているかどうかにかかわらず、攻撃を検出します。

  • False (デフォルト): 認証されたユーザーのみを検出します。

  • 「パスワード変更間隔」: [アグレッシブモード] では、このオプションによってパスワード変更の間隔を指定します (デフォルトでは 30 日)。

  • DCSync — 新しいオプション

  • 「アグレッシブモード」

    • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

    • False (デフォルト): マシンがドメインにない場合にのみ攻撃をトリガーします。これにより、検出される攻撃の数は減ってしまいますが、誤検出は回避できます。

機能強化

  • ポリシーの結果セット (RSoP) に依存する露出インジケーターの計算時間を最適化しました。ただし、RSoP に関連する逸脱の計算の時間は長くなります。詳細については、Tenable Identity Exposure ユーザーガイドの RSoP ベースの露出インジケーターを参照してください。

  • ロールのアクセス許可管理で Entra ID テナントのデータ表示を制限するためのサポートを追加しました。

Tenable Identity Exposure バージョン 3.66 には、以下のバグ修正が含まれています。

バグ修正
OS 認証情報ダンプ LSASS IoA — Tenable Identity Exposure は、[アグレッシブモード] オプションに指定された許可リストを考慮するようになりました。
Tenable Identity Exposure は、変更を制限するスロットリング基準を使用して、badPwdCount 属性への大量の変更を処理する際のデータベースのレジリエンスを強化する、新しいメカニズムを実装しました。
Tenable Identity Exposure は、中国語の命名規則を更新しました。

Tenable Identity Exposure 3.65 (2024 年 2 月 27 日)

攻撃インジケーター (IoA) — 誤検出を制限するための、以下の IoA に対する新しいデフォルト値。詳細については、攻撃インジケーターリファレンスガイドを参照してください。

  • ゴールデンチケット — 新しい「アグレッシブモード」オプション

    • False (基本、デフォルト): ターゲットのユーザーがドメインコントローラーまたはドメイン管理者グループに属するユーザーである場合にのみ、攻撃をトリガーします。

    • True: ターゲットのユーザー名が「ドメイン管理者」グループのメンバーまたはドメインコントローラーでない場合でも、攻撃を許可します。また、一部のドメインコントローラーが監視されていない場合 (つまり、それらのドメインコントローラーが Windows イベントログを一切出力しない場合) でも、攻撃が許可されます。

  • SAMAccountName なりすまし — 新しい「アグレッシブモード」オプション

    • False (基本、デフォルト): TargetUserName がドメインコントローラー (DC) でない場合は攻撃をトリガーしません。

    • True: 大量の誤検出を生成する可能性のある IoA ルールに基づいてすべての攻撃をトリガーします。

  • OS 認証情報のダンプ: LSASS メモリ — 新しいオプション

    • 「アグレッシブモード」

    • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

    • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

    • 「アグレッシブモードのプロセスを許可」: 「アグレッシブモード」オプションが True の場合にのみ適用されます (オプション)。

    • 「基本モード— 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

  • NTDS 抽出 — 新しいオプション

    • 「アグレッシブモード」

  • False (基本、デフォルト): IoA はツールを認識し、事前定義されたプロセスのみを非正規と見なします。

  • True: IoA は、許可リストに載っていないすべての攻撃ツールを非正規と見なします。

  • 「基本モード — 拒否リスト」: 基本モードでは、指定されたツールのみが攻撃をトリガーできます。

  • 「基本モードの攻撃のホワイトリストに登録されたプロセス」(旧「ホワイトリストに登録されたプロセス」): 「アグレッシブモード」オプションが True の場合にのみ適用されます (オプション)。

  • 大規模なコンピューターの偵察 — オプションの新しいデフォルト値

    • コンピューターの数 — 5000

    • コンピューターの最小数 — 100

    • コンピューターの割合 — 95

    • スライディングウィンドウ — 240

    • 攻撃間の待ち時間 — 240

  • パスワードの推測 — オプションの新しいデフォルト値

    • 試行に失敗したアカウントの数 — 10000

  • ローカル管理者の列挙 — 「Windows Server 2016 より前のバージョンを使用するドメインコントローラーのヒューリスティック」オプションが、デフォルトで False に設定されるようになりました。

露出インジケーター (IoE)

  • 新しい IoE

  • 特権認証サイロ設定 — 特権 (ティア 0) アカウントの認証サイロ設定手順を示すガイドを提供します。

  • Microsoft Entra ID と同期している特権 AD ユーザーアカウント — 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。

  • 機能強化

    • 危険な Kerberos 委任 IoE — Microsoft Entra Connect アカウント (AZUREADSSOACC) の Kerberos 委任の現在の設定を検出するための新しい理由を導入します。

    • 可逆パスワード IoE — パスワード設定オブジェクト (PSO) 内の msDS-PasswordReversibleEncryptionEnabled 属性で定義された設定に基づいて、可逆形式で保存するために設定されたパスワードを検証します。

    • ローカル管理アカウント管理 IoE — 「インストール済みの LAPS バージョン」と呼ばれる新しいオプションで新しい Microsoft Local Administrator Password Solution (LAPS) のサポートを追加し、ユーザーの選択に基づいて LAPS バージョン設定を検証します。

Tenable Identity Exposure バージョン 3.65 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、Microsoft Entra ID テナントの削除に関連する問題に対処しました。以前は、ごみ箱アイコンをクリックして削除しても、以前に取得した特定の資産が保持される可能性がありました。現在の解決策では、このプロセス中にすべての資産が完全に削除されます。
Tenable Identity Exposure は、権限の低いローカルユーザーが Tenable Identity Exposure セキュアリレーホストのアプリケーションファイルを変更できるというインジェクションの脆弱性を解決しました。
Tenable Identity Exposure は、NULL 値によるクエリの失敗の問題を修正しました。この問題は、データベースのデータの不一致に起因していた可能性があります。たとえば、必要なソフトウェアファクトリー (SF) に到達していない資産に対してコンパクトな権限が行われた場合に、この問題が発生する可能性がありました。
Tenable Identity Exposure は、特定の稀なシナリオにおける初期化プロセス中の潜在的なクラッシュを回避できるよう、攻撃経路の機能性を強化しました。
Tenable Identity Exposure は新しいメカニズムを実装し、データベースが badPwdCount 属性への複数の変更を、その整合性やパフォーマンスを損なうことなく処理できるようにしました。

Tenable Identity Exposure 3.64 (2024 年 2 月 7 日)

Tenable Identity Exposure バージョン 3.64 には、以下のバグ修正が含まれています。

バグ修正
デフォルトで 30 日ごとにパスワードを変更する Windows Server 2008 R2 システムに関連した攻撃インジケーター、不審な DC パスワードの変更の誤検出を解決しました。

Tenable Identity Exposure 3.63 (2024 年 1 月 24 日)

  • 攻撃インジケーター - 攻撃インジケーターの認証情報のダンプ: LSASS メモリおよび NTDS 抽出の「許可されたプロセス」オプションに、誤検出を引き起こすことが知られているのプロセスが含まれます。

Tenable Identity Exposure バージョン 3.63 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure で、トポロジードメインに関連するドメインを削除した後は、トポロジードメインが表示されないようになりました。
以前のスキャンが成功していた場合でも、Microsoft Entra ID の現在のスキャンステータスが、スキャン失敗のエラーを示すようになりました。
Tenable Identity Exposure は、Syslog アラート設定の更新に続いて、CA 証明書を正しくリフレッシュするようになりました。
Tenable Identity Exposure の内部技術データは、この機能がアクティブな場合、資産として Tenable Cloud に送信されなくなりました。
パスワードの脆弱性検出露出インジケーター (IoE) からのパスワード再利用に関連する逸脱が、危険な状態のパスワードハッシュプレフィックスを公開するようになりました。
ホスト名のない 4776 イベントを分析すると「不明な」ソースになる場合、Tenable Identity Exposureパスワードスプレー攻撃インジケーターの [不明なソースを許可する] オプションに従って、この逸脱をフィルターで除外するようになりました。

Tenable Identity Exposure 3.62 (2024 年 1 月 10 日)

Tenable Identity Exposure バージョン 3.62 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、500 文字を超える名前で属性を作成する際に、SYSVOL ファイルを計算するようになりました。
セキュアリレーは、SYSLOG 設定に加えられた変更を反映し、SIEM への SYSLOG メッセージのフローを再度有効にするようになりました。
ランサムウェアに対する不十分な強化露出インジケーター (IoE) が、許可リストの除外を適切に管理するようになりました。
Tenable Identity Exposure は、標準ユーザーの AdminCount 属性セット特権グループの無効なアカウントKerberos サービスを実行している特権アカウントアカウントのマップされた証明書の IoE で特権グループの正確な認定に影響を与えていた問題を解決しました。
Microsoft EntraID スキャンステータスがより正確になり、問題が発生したときにより明確な表示を示すようになりました。