Technische Änderungen und potenzielle Auswirkungen
Das Installationsskript für das Modul „Indicators of Attack“ (IoA) erstellt ein GPO, das die folgenden Änderungen transparent auf die überwachten DCs anwendet:
-
Ein neues GPO mit dem Standardnamen „Tenable.ad“, das standardmäßig mit der Organisationseinheit (OU) des Domänencontrollers verknüpft ist.
-
Änderung eines Registrierungsschlüssels zur Aktivierung der erweiterten Microsoft-Protokollierungsrichtlinie.
-
Aktivierung einer neuen Ereignisprotokollrichtlinie, um Domänencontroller zu zwingen, die von IoAs benötigten ETW-Informationen zu generieren.
Hinweis: Die Ereignisprotokollrichtlinie ist obligatorisch, damit das ETW-Modul die von Tenable Identity Exposure benötigten Einfügezeichenfolgen generieren kann. Diese Richtlinie deaktiviert keine vorhandene Protokollierungsrichtlinie, sondern stellt eine Ergänzung dar. Im Fall eines Konflikts wird das Bereitstellungsskript mit einer Fehlermeldung beendet. -
Hinzufügung einer Schreibberechtigung für das Tenable Identity Exposure-Dienstkonto, das „automatische Updates“ der im GPO-Ordner gespeicherten IoA-Konfiguration zulässt.
Einschränkungen und potenzielle Auswirkungen
Das Modul Indicators of Attack (IoA) kann die folgenden Einschränkungen aufweisen:
-
Das IoA-Modul stützt sich auf die ETW-Daten und arbeitet innerhalb der von Microsoft definierten Einschränkungen.
-
Das installierte GPO muss über die gesamte Domäne repliziert werden und das GPO-Aktualisierungsintervall muss verstrichen sein, damit der Installationsprozess abgeschlossen wird. Während des Replikationszeitraums kann es zu falsch positiven und falsch negativen Ergebnissen kommen, obwohl Tenable Identity Exposure diesen Effekt minimiert, indem die Prüfungen im Modul „Indicators of Attack“ nicht sofort gestartet werden.
-
Tenable nutzt die SYSVOL-Dateifreigabe, um ETW-Informationen von Domänencontrollern abzurufen. Da SYSVOL zu jedem Domänencontroller in der Domäne repliziert, ist während Zeiten mit sehr hoher Active Directory-Aktivität ein erheblicher Anstieg der Replikationsaktivität zu verzeichnen.
-
Beim Replizieren von Dateien zwischen Domänencontrollern und Tenable Identity Exposure wird außerdem Netzwerkbandbreite verbraucht. Tenable Identity Exposure beschränkt diese Auswirkungen durch das automatische Entfernen der erfassten Dateien und beschränkt die Größe dieser Dateien (standardmäßig max. 500 MB).
-
Probleme mit langsamer oder fehlerhafter DFS-Replikation (Distributed File System). Weitere Informationen finden Sie unter Entschärfung von DFS-Replikationsproblemen.
Siehe auch
-
Indicators of Attack and the Active Directory
- Indicators of Attack-Installationsskript
- Problembehebung bei Indicators of Attack