Integritätsprüfungen

Die Funktion zur Integritätsprüfung in Tenable Identity Exposure bietet Ihnen Echtzeit-Einblick in die Konfiguration Ihrer Domänen und Dienstkonten in einer konsolidierten Ansicht. Von dieser aus können Sie einen Drilldown durchführen, um alle Konfigurationsanomalien zu untersuchen und zu beheben, die zu Problemen mit der Konnektivität oder anderen Problemen in Ihrer Infrastruktur führen. Es wird überprüft, ob alles ordnungsgemäß eingerichtet ist, um den reibungslosen Betrieb von Tenable Identity Exposure zu gewährleisten. Außerdem haben Sie die Möglichkeit, schnelle und präzise Maßnahmen zur Behebung von Problemen zu ergreifen. Sie können darauf vertrauen, dass Ihre Konfigurationseinstellungen optimal sind, um die effiziente Funktion von Tenable Identity Exposure zu ermöglichen.

Integritätsprüfungen sind standardmäßig für Administratorrollen und durch die Berechtigung für bestimmte Benutzerrollen sichtbar. Sie können außerdem Syslog- oder E-Mail-Warnungen für jede Änderung des Systemdiagnosestatus erstellen.

Integritätsprüfungen und DC Sync-Angriffserkennung

Integritätsprüfungen liefern wertvolle Informationen über den Status und die Benutzerfreundlichkeit von Tenable Identity Exposure-Diensten. Sie prüfen, ob das Dienstkonto in der Lage ist, sensible Informationen wie Passwort-Hashes und DPAPI-Sicherungsschlüssel zu erfassen, die für die privilegierte Analyse verwendet werden. Im Integritätsprüfungsbericht versucht Tenable, sensible Daten zu erfassen, um zu ermitteln, ob die Funktion „Privilegierte Analyse“ für das Dienstkonto ordnungsgemäß konfiguriert ist, ohne dabei tatsächlich Daten zu erfassen, wenn diese Funktion nicht verwendet wird. Um zu verhindern, dass während dieses Vorgangs ein DCSync-Angriff erkannt wird, setzt Tenable das bereitgestellte Dienstkonto automatisch für den DCSync-Indicator of Attack auf die Zulassungsliste.

Domänenstatus

Tenable Identity Exposure führt für jede Domäne die folgenden Prüfungen durch:

  • Authentifizierung bei der AD-Domäne – LDAP-Einstellungen und -Status, Anmeldeinformationen und SMB-Zugriff

  • Erreichbarkeit der Domäne – Funktionierende Verbindung zum dynamischen RPC-Port, ein erreichbarer SMB-Server, eine erreichbare IP-Adresse oder FQDN des Domänencontrollers, eine funktionierende Verbindung zum RPC-Port, ein erreichbarer LDAP-Server und ein erreichbarer LDAP-Server des globalen Katalogs.

  • Berechtigungen – Fähigkeit, auf AD-Domänendaten zuzugreifen und privilegierte Daten zu erfassen.

  • Domäne mit Relay verknüpft – Die Domäne ist korrekt mit einem Relay-Dienst verknüpft.

  • Indicators of Attack: Domänencontroller-Aktivität – Tenable Identity Exposure empfängt Windows-Ereignisprotokolle von allen Domänencontrollern.

  • Indicators of Attack: Domäneninstallation – Sicherstellen, dass die Konfiguration des Tenable IoA-GPO korrekt ist

Plattformstatus

Tenable Identity Exposure führt die folgenden Prüfungen Ihrer Plattformkonfiguration durch:

  • Ausgeführter Relay-Dienst – Ermittelt, ob die Relay-Konfiguration korrekt ist und gibt Tipps zur Fehlerbehebung.

  • Konsistenz der Relay-Version – Ermittelt, ob die Relay-Version mit der Tenable Identity Exposure-Version übereinstimmt.

  • Ausführung von AD-Datensammlerdienst – Ermittelt, ob der Datensammlerdienst, der Broker und die Datensammler-Bridge in Betrieb sind und Daten an andere Dienste weiterleiten.

  1. Bewegen Sie mit den Mauszeiger auf der Seite Tenable Identity Exposure unten links über das Symbol , um den globalen Status Ihrer Infrastruktur anzuzeigen.

  2. Klicken Sie auf das Symbol, um die Seite Integritätsprüfung zu öffnen. Auf der Registerkarte Domänenstatus oder Plattformstatus wird eines der folgenden Elemente angezeigt:

    • Eine Meldung, dass alle Integritätsprüfungen bestanden wurden

    • Eine Liste mit Warnungen oder Problemen mit bestimmten Status:

      Die Prüfung war erfolgreich und zeigt ein normales Ergebnis.
      Die Prüfung ist fehlgeschlagen und hat ein Problem identifiziert.

      Die Prüfung ist fehlgeschlagen, aber das Problem verhindert nicht, dass Tenable Identity Exposure ordnungsgemäß funktioniert.

      Beispielsweise führt die Prüfung der Datensammlung zu einem Fehler, wenn Active Directory auf der Clientseite nicht ordnungsgemäß konfiguriert ist und das Dienstkonto keine privilegierten Daten erfassen kann. Dies ist jedoch kein schwerwiegendes Problem, da Sie die Funktion „Privilegierte Analyse“ für diese Domäne nicht in Tenable Identity Exposure aktiviert haben. Daher tritt diese Warnung auf. Wenn Sie die Funktion „Privilegierte Analyse“ jedoch aktivieren, schlägt die Prüfung sofort fehl.
      Die Prüfung zeigt ein unbekanntes Ergebnis, da eine abhängige Prüfung fehlgeschlagen ist. Beispielsweise kann die Prüfung auf Erreichbarkeit des Netzwerks nicht fortgesetzt werden, wenn die Prüfung auf Authentifizierung fehlgeschlagen ist.

  • Klicken Sie rechts über der Liste mit den Integritätsprüfungen auf den Umschalter Erfolgreiche Prüfungen anzeigen, um alle Prüfungen, die Tenable Identity Exposure durchgeführt hat, mit den folgenden Informationen aufzulisten:

    • Name der Integritätsprüfung

    • Status (Bestanden, Nicht bestanden, Nicht blockierender Fehler und Unbekannt)

    • Betroffene Domäne und die zugehörige Gesamtstruktur (nur bei Integritätsprüfungen für Domänen)

    • Zeitpunkt der zuletzt durchgeführten Prüfung

    • Dauer, wie lange sich die Prüfung in diesem Status befindet

  • Obwohl Tenable Identity Exposure regelmäßig Integritätsprüfungen durchführt, wird die Seite nicht in Echtzeit mit den Ergebnissen aktualisiert. Klicken Sie auf , um die Liste mit den Ergebnissen zu aktualisieren.

  1. Klicken Sie rechts über der Liste mit den Integritätsprüfungen auf n/n Integritätsprüfungen oder n/n Domänen (nur für Domänenstatus).

    Der Fensterbereich Integritätsprüfungen oder Gesamtstrukturen und Domänen wird geöffnet.

  2. Wählen Sie die Typen von Integritätsprüfungen oder Gesamtstrukturen/Domänen (falls zutreffend) aus und klicken Sie auf Auswahlbasierter Filter.

  1. Klicken Sie in der Liste mit den Integritätsprüfungen auf den Namen einer Integritätsprüfung oder auf den blauen Pfeil () am Ende der Zeile.

    Der Fensterbereich Details wird geöffnet und zeigt eine Beschreibung der Prüfung sowie eine Liste der relevanten Details an. Weitere Informationen finden Sie unten unter Liste der Integritätsprüfungen .

  2. Klicken Sie auf den Pfeil am Ende der Detailzeile, um sie zu erweitern und weitere Informationen über das Ergebnis anzuzeigen.

Standardmäßig zeigt Tenable Identity Exposure das Symbol für den Status der Integritätsprüfung unten links auf dem Bildschirm an.

  1. Wechseln Sie in Tenable Identity Exposure in der linken Navigationsleiste zu System und wählen Sie die Registerkarte Konfiguration aus.

    Alternativ können Sie auch auf der Seite „Integritätsprüfung“ oben rechts auf klicken und Konfiguration auswählen.

  2. Wählen Sie unter Anwendungsdienste die Option Integritätsprüfung.

  3. Klicken Sie auf den Umschalter Globalen Status der Integritätsprüfung zeigen, um die Option zu deaktivieren.

    Tenable Identity Exposure blendet das Symbol für den Status der Integritätsprüfung unten links auf dem Bildschirm aus.

  1. Wechseln Sie in Tenable Identity Exposure in der linken Navigationsleiste zu Konten und wählen Sie die Registerkarte Rollenverwaltung aus.

  2. Wählen Sie in der Liste der Rollen eine Benutzerrolle aus und klicken Sie am Ende der Zeile auf .

    Der Fensterbereich Rolle bearbeiten wird geöffnet.

  3. Wählen Sie die Registerkarte Systemkonfigurationsentitäten aus.

  4. Wählen Sie die Entität Integrationsprüfung aus und klicken Sie auf den Umschalter für die Berechtigung, um ihn von Nicht autorisiert auf Erteilt umzustellen.

  5. Klicken Sie auf Anwenden und schließen.

Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen für eine Rolle festlegen.

  1. Wechseln Sie in Tenable Identity Exposure in der linken Navigationsleiste zu System und wählen Sie die Registerkarte Konfiguration aus.

    Alternativ können Sie auch auf der Seite „Integritätsprüfung“ oben rechts auf klicken und Warnungen auswählen.

  2. Wählen Sie unter Warnungsmodul die Option Syslog oder E-Mail aus.

  3. Klicken Sie auf SYSLOG-Warnung hinzufügen oder E-Mail-Warnung hinzufügen.

    Ein neuer Fensterbereich wird geöffnet. Das vollständige Verfahren finden Sie unter Warnmeldungen.

  4. Wählen Sie unter Warnungsparameter im Feld Warnung auslösen im Dropdown-Menü die Option Bei Integritätsprüfung-Statusänderung aus.

  5. Klicken Sie auf den Pfeil im Feld Integritätsprüfungen, um den Typ der Integritätsprüfung auszuwählen, bei dem eine Warnung ausgelöst werden soll. Klicken Sie dann auf Auswahlbasierter Filter.

  6. Klicken Sie auf Hinzufügen.

Liste der Integritätsprüfungen

Name der Integritätsprüfung Typ Beschreibung der Prüfung Details

Erreichbarkeit der Domäne

(HC-DOMAIN-REACHABILITY)

 Domäne Fähigkeit, eine Verbindung zur AD-Domäne herzustellen

  • Erreichbare IP-Adresse oder FQDN des Domänencontrollers

  • Erreichbarer LDAP-Server des globalen Katalogs

  • Erreichbarer LDAP-Server

  • Erreichbarer SMB-Server

  • Funktionsfähige Verbindung zum dynamischen RPC-Port

  • Funktionsfähige Verbindung zum RPC-Port

Authentifizierung bei der AD-Domäne

(HC-DOMAIN-AUTHENTICATION)

 Domäne Fähigkeit, sich bei der AD-Domäne zu authentifizieren

  • Gültige Anmeldeinformationen

  • LDAP-Server im Leerlauf

  • Verfügbarer LDAP-Server

  • LDAP-Zugriff erteilt

  • SMB-Zugriff erteilt

Berechtigungen zum Sammeln der AD-Domänendaten

(HC-DOMAIN-DATA-COLLECTION)

 Domäne Fähigkeit, die AD-Domänendaten zu erfassen

  • Berechtigungen zum Sammeln privilegierter Daten gewährt

Berechtigungen zum Zugriff auf die AD-Container

(HC-DOMAIN-CONTAINER-ACCESS)

 Domäne Fähigkeit, auf die AD-Container zuzugreifen

  • Berechtigungen zum Zugriff auf Container mit gelöschten Objekten gewährt

  • Berechtigungen zum Zugriff auf Container mit Passworteinstellungen gewährt

Domäne mit Relay verknüpft

(HC-DOMAIN-LINKED-TO-RELAY)

 Domäne Die Domäne ist mit einem Relay verknüpft.

  • Domäne mit einem Relay verknüpft
IoAs – Domänencontroller-Aktivität Domäne Tenable Identity Exposure empfängt Windows-Ereignisprotokolle von allen Domänencontrollern.

  • Inaktive Domänencontroller
IoAs – Domäneninstallation Domäne Sicherstellen, dass die Konfiguration des Tenable IoA-GPO korrekt ist

  • Tenable IoA-GPO ist in LDAP vorhanden

  • Tenable IoA-GPO-Ordner ist im SYSVOL vorhanden

  • IoA-Ordner für Tenable IoA-GPO ist im SYSVOL vorhanden

  • EVT Subscribe-Listener-Datei für Tenable IoA-GPO ist im SYSVOL vorhanden

  • Tenable IoA-GPO-Konfigurationsdatei ist im SYSVOL vorhanden

  • Tenable IoA-GPO-Datei audit.csv ist im SYSVOL vorhanden

Relay-Dienst aktiv

(HC-PLATFORM-RELAY-UP)

 Plattform Das Relay funktioniert wie erwartet.

  • Ausführung von Relay-Dienst

Version des Relay-Diensts

(HC-PLATFORM-RELAY-VERSION)

 Plattform Die Relay-Version ist auf das Produkt abgestimmt.

  • Konsistenz der Relay-Version

AD-Datensammler aktiv

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

 Plattform Der AD-Datensammler funktioniert wie erwartet.

  • Ausführung von AD-Datensammler-Bridge

  • Ausführung von AD-Datensammlerdienst

  • Ausführung von Broker
Synchronisierung zwischen Tenable Cloud- und Tenable Identity Exposure-Services Plattform Die erstellte Tenable Cloud-Gruppe sowie zugehörige Berechtigungen und Benutzer werden mit der Tenable Identity Exposure-Datenbank synchronisiert.

  • Tenable Cloud-Verfügbarkeit