Indicators of Attack-Installationsskript
Nachdem Sie die Indicators of Attack (IoA)-Installationsdatei heruntergeladen und ausgeführt haben, erstellt das IoA-Skript in der Active Directory (AD)-Datenbank ein neues Gruppenrichtlinienobjekt (GPO) mit dem Standardnamen Tenable.ad. Das System verknüpft das Tenable Identity Exposure-GPO nur mit der Organisationseinheit (OU) der Domänencontroller, die alle Domänencontroller (DCs) enthält. Die neue Richtlinie führt automatisch eine Replikation zwischen allen DCs mit dem GPO-Mechanismus durch.
Installationsskript (Tenable Identity Exposure Version 3.29 und höher)
Das GPO enthält PowerShell-Skripts, die alle DCs lokal ausführen, um relevante Daten wie folgt zu erfassen:
-
Das Skript konfiguriert mithilfe der Windows EvtSubscribe-API einen Ereignisprotokoll-Listener auf jedem Domänencontroller. Das Skript erstellt ein Abonnement für jeden erforderlichen Ereignisprotokollkanal, wie in der Konfigurationsdatei TenableADEventsListenerConfiguration.json angegeben, indem es für jedes übereinstimmende Ereignisprotokoll eine Anfrage und einen von EvtSubscribe ausgelösten Rückruf sendet.
-
Der Ereignis-Listener erhält Ereignisprotokolle und puffert sie, bevor er sie in regelmäßigen Abständen in eine Datei leert, die auf einer Netzwerkfreigabe namens „Sysvol“ gespeichert ist. Jeder DC leert seinen Inhalt in eine einzige Sysvol-Datei, die erfasste Ereignisse speichert und sie auf andere Domänencontroller repliziert.
-
Das Skript erstellt auch einen WMI-Consumer, um sicherzustellen, dass dieser Mechanismus persistent ist. Hierzu wird der Ereignisabonnent beim Neustart eines DC erneut registriert. WMI benachrichtigt den Consumer jedes Mal, wenn ein DC neu gestartet wird, damit der Consumer den Ereignis-Listener erneut registrieren kann.
-
An diesem Punkt findet eine DFS-Replikation (Distributed File System, Verteiltes Dateisystem) statt, bei der Dateien automatisch zwischen Domänencontrollern synchronisiert werden. Die Tenable Identity Exposure-Plattform lauscht auf eingehenden DFS-Replikationsdatenverkehr und nutzt diese Daten, um Ereignisse zu sammeln, eine Sicherheitsanalyse auszuführen und IoA-Warnungen zu generieren.
Lokaler Datenabruf
Windows-Ereignisprotokolle zeichnen alle Ereignisse auf, die im Betriebssystem und den Anwendungen eintreten. Ereignisprotokolle basieren auf einem Framework von Komponenten, die in Windows integriert sind.
Mithilfe der EvtSubscribe-API erfasst der IoA-Ereignisprotokoll-Listener von Tenable Identity Exposure nur nützliche Datensegmente von Ereignisprotokollen in Form von Einfügezeichenfolgen, die aus den Ereignisprotokollen extrahiert werden. Tenable Identity Exposure schreibt diese Einfügezeichenfolgen in eine Datei, die im Sysvol-Ordner gespeichert ist, und repliziert sie über das DFS-Modul. Dies erlaubt es Tenable Identity Exposure, genau die richtige Menge an Sicherheitsdaten aus Ereignisprotokollen zu sammeln, um eine Sicherheitsanalyse auszuführen und Angriffe zu erkennen.
IoA-Skript – Zusammenfassung
Die folgende Tabelle enthält eine Übersicht über die Bereitstellung des Tenable Identity Exposure-Skripts.
| Schritte | Beschreibung | Beteiligte Komponente | Technische Aktion |
|---|---|---|---|
| 1 | Tenable Identity Exposure IoA-Bereitstellung registrieren | GPO-Verwaltung | Erstellt das GPO Tenable.ad (Standardname) und verknüpft es mit der OU der Domänencontroller. |
| 2 | Tenable Identity Exposure IoA-Bereitstellung auf DC starten | Lokales DC-System | Jeder DC erkennt das neue anzuwendende GPO, abhängig von der AD-Replikation und den Aktualisierungsintervallen der Gruppenrichtlinie. |
| 3 | Status der erweiterten Protokollierungsrichtlinie kontrollieren | Lokales DC-System | Das System aktiviert die erweiterte Protokollierungsrichtlinie durch Festlegen des Registrierungsschlüssels HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy. |
| 4 | Lokale Protokollierungsrichtlinie aktualisieren | Lokales DC-System | Abhängig von den zu erkennenden IoAs generiert und aktiviert Tenable Identity Exposure dynamisch bestimmte Überwachungsrichtlinien. Diese Richtlinie deaktiviert keine vorhandenen Protokollierungsrichtlinien, sondern erweitert sie lediglich bei Bedarf. Wenn ein Konflikt erkannt wird, wird das GPO-Installationsskript beendet und die folgende Meldung angezeigt: „Tenable Identity Exposure requires the audit policy ... but the current AD configuration prevents its usage.“ |
| 5 | Event-Listener und WMI-Consumer registrieren | Lokales DC-System | Das System registriert das im GPO enthaltene Skript und führt es aus. Dieses Skript führt einen PowerShell-Prozess aus, um Ereignisprotokolle mit der EvtSubscribe-API zu abonnieren und eine Instanz von ActiveScriptEventConsumer für Persistenzzwecke zu erstellen. Tenable Identity Exposure verwendet diese Objekte zum Empfangen und Speichern von Ereignisprotokollinhalten. |
| 6 | Ereignisprotokollmeldungen erfassen | Lokales DC-System |
Tenable Identity Exposure erfasst relevante Ereignisprotokollmeldungen, puffert sie regelmäßig und speichert sie in Dateien (eine pro DC), die im Sysvol-Ordner gespeichert sind, der dem Tenable Identity Exposure-GPO zugeordnet ist (...{GPO_GUID}\Machine\IOA<DC-Name>). |
| 7 | Dateien in den angegebenen DC-SYSVOL-Ordner replizieren | Active Directory | Das AD repliziert die Dateien unter Verwendung von DFS in der Domäne und insbesondere im deklarierten DC. Die Tenable Identity Exposure-Plattform erhält eine Benachrichtigung für jede Datei und liest ihren Inhalt. |
| 8 | Diese Dateien überschreiben | Active Directory | Jeder DC schreibt die regelmäßig gepufferten Ereignisse automatisch und kontinuierlich in dieselbe Datei. |
Installationsskript (Tenable Identity Exposure Version 3.19.11 und früher)
Das GPO enthält PowerShell-Skripts, die alle DCs lokal ausführen, um relevante Daten wie folgt zu erfassen:
-
Die Skripts konfigurieren einen Ereignis-Watcher und einen WMI-Producer/Consumer (Windows-Verwaltungsinstrumentation) im Arbeitsspeicher des Computers. WMI ist eine Windows-Komponente, die Ihnen Informationen über den Status von lokalen oder Remote-Computersystemen liefert.
-
Der Ereignis-Watcher erhält Ereignisprotokolle und puffert sie regelmäßig, bevor er sie in eine Datei leert, die auf einer Netzwerkfreigabe namens „Sysvol“ gespeichert ist. Jeder DC leert seinen Inhalt in eine einzige Sysvol-Datei, die erfasste Ereignisse speichert und sie auf andere Domänencontroller repliziert.
-
Der WMI-Consumer macht diesen Mechanismus persistent, indem er den Ereignis-Watcher erneut registriert, wenn ein DC neu gestartet wird. Der Producer wird aktiviert und benachrichtigt den Consumer bei jedem Neustart eines DC. Der Consumer registriert dann den Ereignis-Watcher erneut.
-
An diesem Punkt findet eine DFS-Replikation (Verteiltes Dateisystem) statt, bei der Dateien automatisch zwischen Domänencontrollern synchronisiert werden. Die Tenable Identity Exposure-Plattform lauscht auf eingehenden DFS-Replikationsdatenverkehr und nutzt diese Daten, um Ereignisse zu sammeln, eine Sicherheitsanalyse auszuführen und IoA-Warnungen zu generieren.
Lokaler Datenabruf
Windows-Ereignisprotokolle zeichnen alle Ereignisse auf, die im Betriebssystem und den Anwendungen eintreten. Ereignisprotokolle mit der Bezeichnung „Ereignisablaufverfolgung für Windows“ (ETW) basieren auf einem Framework von Komponenten, die in Windows integriert sind. ETW befindet sich im Kernel und erzeugt Daten, die lokal auf DCs gespeichert sind und nicht von AD-Protokollen repliziert werden.
Mithilfe des WMI-Moduls erfasst Tenable Identity Exposure nur nützliche ETW-Datensegmente in Form von Einfügezeichenfolgen, die aus den Ereignisprotokollen extrahiert werden. Tenable Identity Exposure schreibt diese Einfügezeichenfolgen in eine Datei, die im Sysvol-Ordner gespeichert ist, und repliziert sie über das DFS-Modul. Dies erlaubt es Tenable Identity Exposure, genau die richtige Menge an Sicherheitsdaten von ETW zu sammeln, um eine Sicherheitsanalyse auszuführen und Angriffe zu erkennen.
IoA-Skript – Zusammenfassung
Die folgende Tabelle enthält eine Übersicht über die Bereitstellung des Tenable Identity Exposure-Skripts.
| Schritte | Beschreibung | Beteiligte Komponente | Technische Aktion |
|---|---|---|---|
| 1 | Tenable Identity Exposure IoA-Bereitstellung registrieren | GPO-Verwaltung | Erstellt das GPO Tenable.ad (Standardname) und verknüpft es mit der OU der Domänencontroller. |
| 2 | Tenable Identity Exposure IoA-Bereitstellung auf DC starten | Lokales DC-System | Jeder DC erkennt das neue anzuwendende GPO, abhängig von der AD-Replikation und den Aktualisierungsintervallen der Gruppenrichtlinie. |
| 3 | Event-Watcher und WMI-Producer/Consumer registrieren | Lokales DC-System | Das System registriert eine sofortige Aufgabe und führt sie aus. Dieses Aufgabe führt einen PowerShell-Prozess aus, um Instanzen der folgenden Klassen zu erstellen: ManagementEventWatcher und ActiveScriptEventConsumer. Tenable Identity Exposure verwendet diese Objekte zum Empfangen und Speichern von ETW-Meldungen. |
| 4 | Status der erweiterten Protokollierungsrichtlinie kontrollieren | Lokales DC-System | Das System aktiviert die erweiterte Protokollierungsrichtlinie durch Festlegen des Registrierungsschlüssels HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy. |
| 5 | Lokale Protokollierungsrichtlinie aktualisieren | Lokales DC-System | Abhängig von den zu erkennenden IoAs generiert und aktiviert Tenable Identity Exposure dynamisch eine erweiterte Protokollierungsrichtlinie. Diese Richtlinie deaktiviert keine vorhandenen Protokollierungsrichtlinien, sondern erweitert sie lediglich bei Bedarf. Wenn ein Konflikt erkannt wird, wird das GPO-Installationsskript beendet und die folgende Meldung angezeigt: „Tenable Identity Exposure requires the audit policy ... but the current AD configuration prevents its usage.“ |
| 6 | ETW-Meldungen erfassen | Lokales DC-System |
Tenable Identity Exposure erfasst relevante ETW-Meldungen, puffert sie regelmäßig und speichert sie in Dateien (eine pro DC), die im Sysvol-Ordner gespeichert sind, der dem Tenable Identity Exposure-GPO zugeordnet ist (...{GPO_GUID}\Machine\IOA<DC_name>). |
| 7 | Dateien auf die Tenable Identity Exposure-Plattform replizieren | Active Directory | Das AD repliziert die Dateien unter Verwendung von DFS in der Domäne. Auch die Tenable Identity Exposure-Plattform erhält die Dateien. |
| 8 | Diese Dateien überschreiben | Active Directory | Jeder DC schreibt die regelmäßig gepufferten Ereignisse automatisch und kontinuierlich in dieselbe Datei. |
Siehe auch
-
Indicators of Attack and the Active Directory
- Technische Änderungen und potenzielle Auswirkungen