Tenable Identity Exposure 2025 年リリースノート

ヒント: Tenable ドキュメントの更新に関するアラートを受け取るようにサブスクリプション登録できます。

以下のリリースノートは、新しいリリース順にリストされています。

Tenable Identity Exposure 3.86 (2025 年 1 月 23 日)

  • 露出インジケーター (IoE) — 新しい IoE ハイブリッド Entra ID 情報は、オンプレミスの Active Directory にレプリケーションされている Microsoft Entra ID データに関するインサイトを提供します。これにより、組織は潜在的なセキュリティリスクを特定し、ポリシーの不整合に対処できるようになります。

  • 露出インジケーター

    • 管理サービスアカウントの危険な設定ミス — この IoE の改善により、グループのサポートが追加され、gMSA へのアクセスの制御が効率化できるようになりました。

    • SDProp の一貫性を確保する — 推奨事項を改善しました。

    • シャドウ認証情報 — ROCA (Return of Coppersmith’s Attack) の修正の推奨事項を改善しました。

    • 次の2 つの新しいオプションにより、グループメンバーシップによるオブジェクトの所有権とアクセス許可の管理が強化されています。

    • 許可されたオブジェクト所有者 (グループメンバーシップ別): グループメンバーシップを通じて、セキュリティプリンシパルをオブジェクト所有者として指定できます。

    • 許可されたトラスティのリスト (グループメンバーシップ別): グループメンバーシップに基づいて、セキュリティプリンシパルに特別なアクセス許可を割り当てることができます。

  • 攻撃インジケーターゴールデンチケット IoA の攻撃手法のテキストが改善されました。

  • ディレクトリサービスのトラスト属性とタイプ

    • trustType 属性が、TTAAD (TRUST_TYPE_AAD) 値をサポートするようになりました。

    • trustAttributes 属性が、TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 値をサポートするようになりました。

  • エクスポート機能 — ユーザーは CSV エクスポートを実行する際にセパレーター (コンマまたはセミコロン) を選択できるため、さまざまな用途に合わせて柔軟に対応できます。ブラウザは、その後のエクスポートのために最後に使用したセパレーターを記憶します。

Tenable Identity Exposure バージョン 3.86 には、以下のバグ修正が含まれています。

バグ修正
ウェブインターフェースが、ヘルスチェックで報告された特殊文字を処理できるようになりました。
危険な Kerberos 委任 IoE に、孤立した SPN に関連する、危険の原因となっている属性がすべて含まれるようになりました。
資産ビューの Tier0 ノードが、一貫して利用できるようになりました。
Tenable Identity Exposure は、内部サービスでの認証なしの呼び出しがアクティビティログに保存されないようにし、より明確かつ正確なログ記録を行います。
リレーとデータコレクターのバージョンがメジャーアップデートとマイナーアップデートの両方で一致する場合、またはマイナーバージョンが 1 だけ異なる場合、データコレクター/リレーバージョンのヘルスチェックが正常 (緑) と見なされるようになりました。これにより、自動アップデートや、ソフトウェアのアップデートがロールアウト時にプラットフォームより若干先行する場合に、柔軟に対応できます。
機密データ収集が適切に設定されていない場合でも、Tenable Identity Exposure によってクロールが成功しなくなることはなくなりました。
Tenable Identity Exposure は、Windows イベントログの解析速度を改善し、製品の遅延蓄積を防ぎます。この変更の恩恵を受けるには、攻撃インジケーターを再デプロイする必要があります。

Tenable Identity Exposure (2025 年 1 月 10 日)

  • アイデンティティ 360 — Tenable Identity Exposure の ID 中心の新しい機能は、組織の ID リスクサーフェス全体のすべての ID の豊富で網羅的なインベントリを提供します。

    この機能は、Active Directory と Entra ID の ID を統合し、リスク別にランク付けできるようにするため、組織全体の ID を最もリスクの高いものから低いものへとランク付けできます。

    さらに、アイデンティティ 360 を使用すると、特定の ID に関連付けられているアカウント、弱点、デバイスなど、さまざまなコンテキストの視点から各 ID を深く理解し、その ID を完全に把握することができます。

    詳細については、Tenable Identity Exposure ユーザーガイドのアイデンティティ 360 を参照してください。

Tenable Identity Exposure 3.85 (2025 年 1 月 8 日)

  • ヘルスチェック — 新しいドメインヘルスチェックは、ドメインごとに既知のエラーを特定して対処することで、攻撃インジケーターを確実にデプロイできるようにします。

    詳細については、Tenable Identity Exposure ユーザーガイドのヘルスチェックを参照してください。

Tenable Identity Exposure バージョン 3.85 には、以下のバグ修正が含まれています。

バグ修正
Tenable Identity Exposure は、以前の pwdLastSet 属性を取得して、疑わしい DC のパスワード変更 IoA によって警告された攻撃における 2 回のパスワードリセットの間隔を計算するようになりました。
Tenable Identity Exposure は、IoE ユーザーの弱いパスワードポリシーの適用の「ロックアウトしきい値」および「ロックアウト期間」オプションを修正しました。これにより、値が 0 の場合に許可リスト逸脱を許可できるようになります。
攻撃が NT AUTHORITY\SYSTEM によってトリガーされたときに、IoA OS 認証情報のダンプが、ソース IP、ソースホスト名、およびターゲット IP を適切に解決するようになりました。
Tenable Identity Exposure は、認証情報漏洩の脆弱性に対処し、保存されている SMTP アカウントの認証情報を管理者が抽出できないようにしました。