Indicators of Attack installieren

Erforderliche Benutzerrolle: Organisationsbenutzer mit der Berechtigung, die Konfiguration der Indicators of Attack in Tenable Identity Exposure zu ändern. Weitere Informationen finden Sie unter Berechtigungen für eine Rolle festlegen.

Für das Tenable Identity Exposure-Modul „Indicators of Attack“ (IoA) müssen Sie ein PowerShell-Installationsskript mit einem Administratorkonto ausführen, das ein neues Gruppenrichtlinienobjekt (GPO) erstellen und mit einer Organisationseinheit (OU) verknüpfen kann. Sie können dieses Skript auf einem beliebigen Computer ausführen, der Ihrer von Tenable Identity Exposure überwachten Active Directory-Domäne beigetreten ist und der Domänencontroller über das Netzwerk erreichen kann.

Hinweis: Die empfohlene Version von PowerShell ist 5.1.

Sie müssen dieses Installationsskript nur einmal in jeder AD-Domäne ausführen, da das erstellte GPO den Event-Listener automatisch auf alle vorhandenen und neuen Domänencontroller (DC) anwendet.

Darüber hinaus ist „Automatische Updates“ eine Funktion, mit der Sie einen vorhandenen IoAs automatisch aktivieren oder deaktivieren können, ohne ihn manuell erneut bereitstellen zu müssen. Beachten Sie, dass diese Funktion den IoA-Inhalt selbst nicht automatisch aktualisiert. Um die neueste Version eines IoA zu erhalten, müssen Sie ihn trotzdem erneut bereitstellen.

  1. Klicken Sie in Tenable Identity Exposure in der linken Menüleiste auf System und dann auf die Registerkarte Konfiguration.

    Der Fensterbereich Konfiguration wird angezeigt.

  2. Klicken Sie auf Indicators of Attack.

    Das IoA-Konfigurationsfenster wird angezeigt.

  3. Klicken Sie unter (1) Domänenkonfiguration auf Siehe Vorgehensweise.

    Ein Verfahrensfenster wird geöffnet.

  4. Unter Zukünftige automatische Updates?:

    • Die Standardoption Aktivieren ermöglicht es Tenable Identity Exposure, Ihre IoA-Konfiguration automatisch zu aktualisieren, wenn Sie sie in Zukunft in Tenable Identity Exposure ändern. Damit ist auch eine kontinuierliche Sicherheitsanalyse gewährleistet.

    • Wenn Sie diese Option deaktivieren, werden Sie in einer Meldung aufgefordert, sie zu aktivieren, um zukünftige automatische Updates zu erhalten. Klicken Sie auf Siehe Vorgehensweise und schalten Sie die Option auf Aktivieren um.

  1. Klicken Sie auf Herunterladen, um das Skript herunterzuladen, das für jede Domäne ausgeführt werden soll (Register-TenableIOA.ps1).

  2. Klicken Sie auf Herunterladen, um die Konfigurationsdatei für die Domänen herunterzuladen (TadIoaConfig-AllDomains.json).

  1. Klicken Sie auf , um den PowerShell-Befehl zum Konfigurieren Ihrer Domänen zu kopieren.

  1. Klicken Sie auf eine Stelle außerhalb des Verfahrensfensters, um dieses zu schließen.

  1. Öffnen Sie ein PowerShell-Terminal mit Administratorrechten und führen Sie die Befehle aus, um Ihre Domänencontroller für IoAs zu konfigurieren.

    Hinweis: Das Dienstkonto, das Sie zum Installieren von IoAs und zum Abfragen der Domänen verwenden, muss im GPO-Ordner über Schreibberechtigungen in Tenable Identity Exposure (früher Tenable.ad) verfügen. Das Installationsskript fügt diese Berechtigung automatisch hinzu. Wenn Sie diese Berechtigung entfernen, zeigt Tenable Identity Exposure eine Fehlermeldung an, und automatische Updates funktionieren nicht mehr. Weitere Informationen finden Sie unter Indicators of Attack-Installationsskript.

  1. Klicken Sie unter (2) Konfiguration der Ereignissammlung auf Konfiguration öffnen.

    Daraufhin wird ein Konfigurationsfenster geöffnet.

  1. Verschieben Sie den Schieberegler unter Suchverzögerung, um festzulegen, wie lange die Ereignissammlung durchgeführt werden soll, bevor eine Sicherheitsanalyse ausgelöst wird.

  2. Klicken Sie auf den Dropdown-Pfeil unter Freigabetechnologie, um eine der folgenden Optionen auszuwählen:

    • Dedizierte SMB-Freigabe – Tenable Identity Exposure erstellt die SMB-Freigabe auf Ihrem primären Domänencontroller-Emulator (PDCe), und alle Domänencontroller schreiben direkt auf diese SMB-Freigabe. Die Voraussetzungen für die Verwendung dieses Modus finden Sie unter Bereitstellung von Indicators of Attack.

    • Integrierte SYSVOL-Freigabe – Auf der SYSVOL-Freigabe gespeicherte Ereignisprotolldateien sind als Teil des DFSR-Mechanismus auf allen Domänencontrollern verfügbar.

      Hinweis: Nach der Installation des IoA-Moduls können Sie jederzeit zwischen dem SMB- und SYSVOL-Modus wechseln, vorausgesetzt, Sie erfüllen die Voraussetzungen für den SMB-Modus, wie in Bereitstellung von Indicators of Attack angegeben.

      Hinweis: Zwei Domänen-Integritätsprüfungen helfen Ihnen, den Status der IoA-Module zu bewerten. Weitere Informationen finden Sie unter Integritätsprüfungen.

  1. Klicken Sie auf Konfiguration speichern.

  1. Wählen Sie im IoA-Konfigurationsfenster unter IoA-Setup die IoAs aus, die Sie in Ihrer Konfiguration verwenden möchten.

    Tipp: Der Indicator of Attack (IoA) Zerologon-Ausnutzung stammt aus dem Jahr 2020. Wenn auf allen Ihren Domänencontrollern (DCs) innerhalb der letzten drei Jahre Updates installiert wurden, sind sie vor dieser Schwachstelle geschützt. Informationen über die erforderlichen Patches zum Absichern Ihrer DCs gegen diese Schwachstelle finden Sie im Artikel Sicherheitsanfälligkeit in Netlogon bezüglich Rechteerweiterungen von Microsoft. Nachdem Sie die Sicherheit Ihrer DCs bestätigt haben, können Sie diesen IoA bedenkenlos deaktivieren, um unnötige Warnungen zu vermeiden.

  2. Klicken Sie auf Speichern.

    • Wenn Sie Zukünftige automatische Updates aktiviert haben, speichert Tenable Identity Exposure Ihre neue Konfiguration und aktualisiert sie automatisch. Warten Sie einige Minuten, bis diese Aktualisierung wirksam wird.

    • Wenn Sie Zukünftige automatische Updates nicht aktiviert haben, wird ein Verfahrensfenster angezeigt, das Sie anleitet (So konfigurieren Sie Domänen für IoAs:).

  1. Überprüfen Sie in der Gruppenrichtlinienverwaltung, ob das neue Tenable Identity Exposure-GPO vorhanden und mit der OE Domänencontroller verknüpft ist:

  2. Wechseln Sie zum Pfad C:\Windows\SYSVOL\sysvol\alsid.corp\Policies\{GUID}\Machine\IOA und überprüfen Sie, ob die .gz-Datei für alle Domänencontroller vorhanden ist, bevor Sie die IoAs testen:

  1. Gehen Sie im Datei-Manager zu \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\Machine\.

  1. Klicken Sie mit der rechten Maustaste auf die Datei TenableADEventsListenerConfiguration.json und wählen Sie Eigenschaften aus.

  2. Wählen Sie die Registerkarte Sicherheit aus und klicken Sie auf Erweitert.

  3. Klicken Sie auf die Registerkarte Effektiver Zugriff.

  4. Klicken Sie auf Einen Benutzer auswählen.

  5. Geben Sie <TENABLE-SERVICE-ACCOUNT-NAME> ein und klicken Sie auf OK.

  6. Klicken Sie auf Effektiven Zugriff anzeigen.

  7. Überprüfen Sie, ob die Berechtigung „Schreiben“ für das Tenable-Dienstkonto aktiv ist.

Alternativ können Sie PowerShell verwenden:

  • Führen Sie die folgenden Befehle aus:

Kopieren 
Install-Module -Name NTFSSecurity -RequiredVersion 4.2.3
Kopieren 
Get-NTFSEffectiveAccess -Path \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\IOA\ -Account <TENABLE-SERVICE-ACCOUNT-NAME>

Um falsch positive Angriffe oder die mangelnde Erkennung legitimer Angriffe zu vermeiden, müssen Sie Ihre IoAs entsprechend Ihrer Umgebung kalibrieren, indem Sie sie an die Größe Ihres Active Directory anpassen, bekannte Tools auf die Whitelist setzen usw.

  1. Informationen zu den Optionen und empfohlenen Werten zur Auswahl finden Sie im Tenable Identity Exposure − Referenzhandbuch zu Indicators of Attack.

  2. Wenden Sie im Sicherheitsprofil die Optionen und Werte auf jeden IoA an, wie in Indikatoren anpassenbeschrieben.

Während der Bereitstellung können folgende Fehlermeldungen angezeigt werden:

Meldung Behebung
Tenable Identity Exposure kann nicht in die Konfigurationsdatei schreiben, da der Zielordner <Zielorder> nicht vorhanden ist. Dies weist darauf hin, dass die Bereitstellung des IoA-Moduls möglicherweise fehlgeschlagen ist.“ Deinstallieren Sie das Skript und klicken Sie auf „Siehe Vorgehensweise“, um Anweisungen zur Neuinstallation des Skripts zu erhalten.
Tenable Identity Exposure konnte nicht in die Konfigurationsdatei in <Zieldatei> schreiben, um sie zu aktualisieren. Dies kann daran liegen, dass ein anderer Prozess die Datei sperrt oder dass Berechtigungen geändert wurden.“

  • Stellen Sie sicher, dass außer dem IoA-Modul kein anderer Prozess die Konfigurationsdatei verwendet.

  • Überprüfen Sie, ob das Dienstkonto berechtigt ist, den Dateiinhalt zu ändern.

  • Wenn Sie dem Dienstkonto keine Berechtigung erteilen möchten, deaktivieren Sie den Umschalter „Automatische Updates“ und klicken Sie auf „Siehe Vorgehensweise“, um Anweisungen zum Durchführen eines manuellen Updates zu erhalten, wenn Sie Ihre IoA-Konfiguration ändern.
„Der Zielordner <Zielordner> enthält eine Version von Tenable Identity Exposure, die keine automatischen Updates ausführen kann.“ Das derzeit installierte Skript ist eine alte Version, die WMI verwendet. Deinstallieren Sie die aktuelle Version, laden Sie ein neues Installationsskript herunter und führen Sie dieses Skript aus.
„Bei der Bereitstellung der Konfigurationsdatei ist ein unerwarteter Fehler aufgetreten.“ Deinstallieren Sie das Skript und klicken Sie auf „Siehe Vorgehensweise“, um Anweisungen zur Neuinstallation des Skripts zu erhalten. Wenn dies nicht funktioniert, wenden Sie sich an Ihren Kundendienstmitarbeiter.

Weitere Informationen finden Sie in folgenden Ressourcen: