Netzwerkanforderungen
Tenable Identity Exposure erfordert Zugriff auf Ihre Active Directory-Infrastrukturen, um die Sicherheitsüberwachung zu initiieren. Sie müssen Netzwerkflüsse zwischen den verschiedenen Tenable Identity Exposure-Diensten zulassen, wie unter Network Flow Matrix beschrieben.
Bandbreite
Als Überwachungsplattform empfängt Tenable Identity Exposure kontinuierlich Active Directory-Ereignisse. Je nach Größe der Infrastruktur kann dieser Prozess ein beträchtliches Datenvolumen generieren.
Sie müssen eine angemessene Bandbreite zuteilen, um die Datenübertragung an Tenable Identity Exposure zu gewährleisten, damit die Analyse innerhalb eines angemessenen Zeitraums durchgeführt werden kann.
Die folgende Tabelle definiert die erforderliche Bandbreite basierend auf der Größe des überwachten AD.
| Aktive AD-Benutzer |
Durchschnittliche Anzahl empfangener Objekte (pro Minute) |
Mindestbandbreite |
Empfohlene Bandbreite |
|---|---|---|---|
|
1–5.000 |
10 |
1 Mbit/s |
2 Mbit/s |
|
5.001–75.000 |
150 |
5 Mbit/s |
10 Mbit/s |
|
75.001–400.000 |
700 |
15 Mbit/s |
30 Mbit/s |
Microsoft-APIs
Um die Replikationsflüsse zu abonnieren und deren Überwachung zu starten, muss Tenable Identity Exposure Standard-Verzeichnis-APIs von Microsoft kontaktieren. Zur Kommunikation mit dem Primary Domain Controller-Emulator (PDCe) benötigt Tenable Identity Exposure lediglich ein normales Benutzerkonto. Sie müssen außerdem ein neues Gruppenrichtlinienobjekt (GPO) bereitstellen, um das Modul zur Angriffserkennung zu aktivieren.
Kommunikation mit AD
Bei einer On-Premises-Installation ist Tenable Identity Exposure ein Softwarepaket, das Sie in Ihrer Windows Server-Umgebung bereitstellen. Tenable Identity Exposure muss mit dem überwachten Active Directory kommunizieren.
Internetzugang
Tenable bietet einen kontinuierlichen Integrationsprozess, um regelmäßige Veröffentlichungen neuer Erkennungsfunktionen und -features zu ermöglichen. Tenable empfiehlt, einen Internetzugang für regelmäßige Upgrades von Tenable Identity Exposure einzuplanen.
Netzwerkprotokolle
Über spezifische Netzwerkprotokolle (wie Syslog, SMTP oder HTTP) kann Tenable Identity Exposure Folgendes anbieten: native Warnfunktionen, die Möglichkeit, spezifische Arbeitsabläufe für Analysen zu entwerfen, die an eine Security Information and Event Management (SIEM)-Plattform gebunden sind, sowie eine REST-API, die in ein Cybersecurity-Ökosystem integriert werden kann.