Funktionsfähige Indicators of Attack

Die Sicherstellung der ordnungsgemäßen Funktion von Indicators of Attack-Prozessen ist für eine genaue Erkennung und Reaktion unerlässlich. Dieser Abschnitt enthält Schritt-für-Schritt-Anleitungen, mit denen Sie überprüfen können, ob IoA-Komponenten funktionsfähig sind, sowie gängige Schwierigkeiten beheben und Probleme effizient lösen können. Führen Sie die folgenden Schritte aus, um zu bestätigen, dass alles wie erwartet funktioniert.

  • Stellen Sie sicher, dass die Überwachung von Indicators of Attack (IoA) auf Ihren Domänencontrollern funktioniert.

    • Prüfen Sie die Konnektivität zur Domäne – vergewissern Sie sich, dass die Domänenkonnektivität funktioniert, indem Sie die Konfiguration überprüfen. Weitere Informationen finden Sie unter Domänen.

  • Überprüfen Sie den IoA-GPO-Ordner in SYSVOL:

    • Überprüfen Sie den IoA-GPO-Ordner im SYSVOL-Verzeichnis, um zu bestätigen, dass jeder Domänencontroller eine aktuelle GZ Datei erstellt.

    • Wenn ein Domänencontroller keine GZ-Datei generiert, fahren Sie mit den nächsten Schritten fort.

  • Überprüfen Sie, ob der IoA-Ereignis-Listener-Prozess ausgeführt wird:

    • Vergewissern Sie sich, dass der Prozess Register-TenableADEventsListener.exe ausgeführt wird.

    • In den neuesten Versionen wird dieser Prozess im Task-Manager zusätzlich zu Register-TenableADEventsListener.exe als „Tenable – IOA Events Listener“ aufgeführt.

      Weitere Informationen finden Sie unter Listener-Validierung für Ereignisprotokolle.

  • Wenn der Prozess nicht ausgeführt wird:

    • Vergewissern Sie sich, dass keine EDR-/Antivirus-Software auf den Domänencontrollern den Prozess Register-TenableADEventsListener.exe blockiert.

      Weitere Informationen finden Sie unter Antivirus-Erkennung.

  • Starten Sie den Vorgang manuell:

    • Bearbeiten Sie den zugehörigen Task (TenableADTask_*) in der Aufgabenplanung und klicken Sie auf OK, um den Prozess neu zu starten.

  • Eskalieren Sie, wenn die Probleme bestehen bleiben: Wenn das Problem mit den obigen Schritten nicht behoben wird, eröffnen Sie einen Supportfall bei Tenable. Möglicherweise liegt ein Problem vor, das die Ausführung des Prozesses Register-TenableADEventsListener.exe verhindert.