Honey-Konten

Erforderliche Benutzerrolle: Administrator auf dem lokalen Computer.

Bei einem Honey-Konto handelt es sich um ein Scheinkonto, dessen einziger Zweck es ist, einen Angreifer zu erkennen, der versucht, das Netzwerk über Active Directory zu kompromittieren.

Es ist eine Voraussetzung für Indicators of Attack von Tenable Identity Exposure, um Kerberoasting-Angriffsversuche zu erkennen, die darauf abzielen, Zugang zu Dienstkonten zu erhalten, indem sie Diensttickets anfordern und extrahieren und dann die Anmeldedaten des Dienstkontos offline knacken. Der Kerberoasting-Indicator of Attack sendet Warnmeldungen aus, wenn das Honey-Konto Login-Versuche oder Ticketanfragen erhält.

Pro Domäne weisen Sie ein Honey-Konto zu. Honey-Konten sind nicht mit Sicherheitsprofilen verbunden.

  1. Klicken Sie in Tenable Identity Exposure auf System > Domänenverwaltung.

    Daraufhin wird der Fensterbereich Domänenverwaltung angezeigt.

  2. Bewegen Sie den Mauszeiger über die Domäne, für die Sie ein Honey-Konto hinzufügen möchten.

  3. Klicken Sie unter Honey-Konto-Konfigurationsstatus auf +.

    Der Fensterbereich Honey-Konto hinzufügen wird angezeigt.

  4. Geben Sie im Feld Name einen Distinguished Name (DN) für das Benutzerkonto ein, das als Honey-Konto verwendet werden soll.

    Tipp: Sie können eine beliebige Zeichenfolge eingeben. Tenable Identity Exposure sucht dann nach übereinstimmenden Benutzerkontonamen und zeigt diese im Dropdown-Feld an, wenn das Benutzerkonto bereits im Active Directory vorhanden ist.

  5. Im Abschnitt Bereitstellung generiert Tenable Identity Exposure ein Skript mit den entsprechenden Einstellungen, das Sie zur Bereitstellung des Honey-Kontos ausführen können. Klicken Sie auf , um dieses Skript zu kopieren.

  6. Klicken Sie auf Hinzufügen.

    Es wird eine Meldung angezeigt, die bestätigt, dass Tenable Identity Exposure das Honey-Konto hinzugefügt hat. Im Bereich „Domänenverwaltung“ wird der Honey-Konto-Konfigurationsstatus für die ausgewählte Domäne orange () angezeigt. Das weist darauf hin, dass Sie das Skript zur Bereitstellung des Honey-Kontos ausführen müssen, um es zu aktivieren.

    Hinweis: Wenn der Honey-Konto-Konfigurationsstatus rot angezeigt wird (), bedeutet das, dass Tenable Identity Exposure dieses Benutzerkonto nicht im Active Directory gefunden hat. Sie müssen dieses Benutzerkonto erstellen und mit dem nächsten Schritt fortfahren.

  7. Führen Sie in einer Windows-PowerShell auf einem Computer mit dem Active Directory-Modul das kopierte Skript zur Bereitstellung des Honey-Kontos aus.

    Im Bereich Domänenverwaltung wird der Honey-Konto-Konfigurationsstatus der ausgewählten Domäne mit einem grünen Status () angezeigt. Das weist darauf hin, dass es aktiv ist.

    Hinweis: In Tenable Identity Exposure kann es einige Zeit dauern, bis das Honey-Konto bearbeitet und aktiviert ist.

  1. Klicken Sie in Tenable Identity Exposure auf System > Domänenverwaltung.

    Daraufhin wird der Fensterbereich Domänenverwaltung angezeigt.

  2. Bewegen Sie den Mauszeiger über die Domäne, für die Sie ein Honey-Konto hinzufügen möchten.

  3. Klicken Sie unter Honey-Konto-Konfigurationsstatus rechts auf das Symbol .

    Der Fensterbereich Honey-Konto bearbeiten wird angezeigt.

  4. Ändern Sie im Feld Name das Benutzerkonto nach Bedarf.

  5. Klicken Sie im Abschnitt Bereitstellung auf , um das Bereitstellungsskript des Honey-Kontos zu kopieren.

  6. Klicken Sie auf Bearbeiten.

    Es wird eine Meldung angezeigt, die bestätigt, dass Tenable Identity Exposure das Honey-Konto aktualisiert hat. Im Bereich „Domänenverwaltung“ wird der Honey-Konto-Konfigurationsstatus für die ausgewählte Domäne orange () angezeigt. Das weist darauf hin, dass Sie das Skript zur Bereitstellung des Honey-Kontos ausführen müssen, um es zu aktivieren.

    Hinweis: Wenn der Honey-Konto-Konfigurationsstatus rot angezeigt wird (), bedeutet das, dass Tenable Identity Exposure dieses Benutzerkonto nicht im Active Directory gefunden hat. Sie müssen dieses Benutzerkonto erstellen und mit dem nächsten Schritt fortfahren.

  7. Führen Sie in einer Windows-PowerShell auf einem Computer mit dem Active Directory-Modul das kopierte Skript zur Bereitstellung des Honey-Kontos aus.

    Im Bereich Domänenverwaltung wird der Honey-Konto-Konfigurationsstatus der ausgewählten Domäne mit einem grünen Status () angezeigt. Das weist drauf hin, dass es konfiguriert ist.

    Hinweis: In Tenable Identity Exposure kann einige Zeit dauern, bis das Honey-Konto bearbeitet und aktiviert ist.

  1. Klicken Sie in Tenable Identity Exposure auf System > Domänenverwaltung.

    Daraufhin wird der Fensterbereich Domänenverwaltung angezeigt.

  2. Bewegen Sie den Mauszeiger über die Domäne, für die Sie ein Honey-Konto hinzufügen möchten.

  3. Klicken Sie unter Honey-Konto-Konfigurationsstatus rechts auf das Symbol .

    Der Fensterbereich Honey-Konto bearbeiten wird angezeigt.

  4. Klicken Sie auf Löschen.

    Es wird eine Meldung angezeigt, die bestätigt, dass Tenable Identity Exposure das Honey-Konto gelöscht hat.

Siehe auch