Entschärfung von DFS-Replikationsproblemen

Ein zusätzlicher Parameter, -EventLogsFileWriteFrequency X, im Indicator of Attack-Bereitstellungsskript erlaubt Ihnen die Behandlung potenzieller Probleme durch langsame oder fehlerhafte Distributed File System-Replikation (DFS).

Dieser Parameter ist optional und Tenable empfiehlt, ihn nur zu verwenden, wenn Sie DFS-Replikationsprobleme haben oder diese seit der Bereitstellung des IoA-Skripts bemerkt haben. Unter normalen Umständen behält der Parameter seinen Standardwert bei, und Sie müssen ihn beim Ausführen des Skripts nicht in die Befehlszeile einfügen.

Wann der Parameter geändert werden sollte

Der Wert [X] des Parameters -EventLogsFileWriteFrequency X ist die Häufigkeit, mit der der Tenable Identity Exposure-Listener eine Ereignisprotokolldatei auf Nicht-PDCe-Domänencontrollern (DCs) generiert. Der vom Tenable Identity Exposure-Listener verwendete Standard und empfohlene Wert beträgt 15 Sekunden. Der angepasste Wert gilt jedoch nicht für PDCe-DCs und bleibt beim Standardintervall von 15 Sekunden, um sicherzustellen, dass die Funktionen zur Angriffserkennung voll funktionsfähig sind. Tenable empfiehlt, diesen Parameter nur dann zu verwenden und seinen Wert über den Standardwert von 15 Sekunden hinaus auf bis zu 300 Sekunden (5 Minuten) zu erhöhen, wenn in Ihrer Infrastruktur DFS-Replikationsprobleme auftreten oder sie anfällig dafür ist.

Empfehlungen

Beachten Sie, dass eine Erhöhung der Schreibhäufigkeit der Ereignisprotokolldatei dazu führt, dass die Datei seltener erstellt wird, wodurch sich die Verzögerung bei der Angriffserkennung erhöht (z. B. wenn die Datei alle 30 Sekunden statt der standardmäßigen 15 Sekunden auf Nicht-PDCe-DCs generiert wird). Durch die Erhöhung der Verzögerung vergrößert sich außerdem der Umfang der generierten Ereignisprotokolldatei innerhalb der festgelegten Grenzen, wie in Technische Änderungen und potenzielle Auswirkungen definiert. Verwenden Sie diesen Parameter daher nur als Entschärfungsstrategie und nicht als Ersatz für die ordnungsgemäße Untersuchung von DFS-Replikationsproblemen.

So wenden Sie den Parameter an:

  1. Konfigurieren Sie Ihre Domänen für IoAs wie im Verfahren beschrieben. Weitere Informationen finden Sie unter Indicators of Attack installieren.

    IoA-Konfigurationsverfahren

  2. Öffnen Sie als Administrator ein PowerShell-Terminal.

  3. Führen Sie das Skript aus, um Ihre Domänencontroller für IoAs zu konfigurieren, und hängen Sie den Parameter -EventLogsFileWriteFrequency X an, wobei [X] die Häufigkeit ist, die Sie für die Häufigkeit der Ereignisprotokolldateien festlegen möchten.