Tenable Identity Exposure 3.19 On-Premises (20.04.2022)
Neue Funktionen
-
Skalierbarkeit – Dynamische Aktivierung und Deaktivierung von Indicators of Exposure.
-
LDAP-Authentifizierung – Die Möglichkeit zur Aktivierung/Deaktivierung von SASL-Bindings. Weitere Informationen finden Sie unter Authentifizierung mit LDAP im Tenable Identity Exposure Administratorhandbuch.
-
Speichercache – Die Speichernutzung in Tenable Identity Exposure wurde deutlich optimiert, sodass Indicators of Attack (IoAs) davon profitieren.
-
Neue Indicators of Attack Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.
-
Extrahierung des DPAPI-Domänensicherungsschlüssels: Der Indicator of Attack kann eine Vielzahl von Angriffstools erkennen, die mithilfe von LSA RPC-Aufrufen auf Sicherungsschlüssel zugreifen.
-
Massiver Aufklärungsangriff auf Computer: Erkennt Auskundschaftungsangriffe, bei denen eine enorme Anzahl Authentifizierungsanfragen für Active Directory-Ziele generiert wird.
-
Auflistung lokaler Administratoren: Erkennt Active Directory-Datenauflistungsangriffe.
-
NTDS-Extrahierung: Die NTDS-Exfiltration bezieht sich auf die Methode, mit deren Hilfe Angreifer die NTDS.dit-Datenbank abrufen, in der Active Directory-Geheimnisse wie Passwort-Hashes und Kerberos-Schlüssel gespeichert sind.
-
Identitätswechsel des SAM-Namens: Dieser Indicator of Attack erkennt einen Angreifer, der versucht, zwei Schwachstellen auszunutzen, über die er, ohne jegliche Sicherheitskenntnisse zu besitzen, von einem Standardkonto aus seine Rechte in der Domäne erhöhen kann.
-
Kerberoasting: IoA zur Erkennung und Warnung vor Kerberoasting-Angriffen, die auf die Anmeldeinformationen von Active Directory-Dienstkonten abzielen.
-
-
Windows Server 2022 – On-Premises-Unterstützung für Windows Server 2022.
-
Ausmusterung der Caroli-Komponente – Wurde ausgemustert, um die Plattformleistung zu optimieren.
-
Ausmusterung von InfluxDB & Equuleus – Wurde ausgemustert, um Plattformleistung und Datenkonsistenz zu optimieren.
Hinweis: Bei On-Premises-Installationen führt die Änderung bei der Datenbankimplementierung von Tenable Identity Exposure während des Upgrades zum Verlust von historischen Daten in den Dashboards. Auf On-Premises-Plattformen geht der Verlauf der Statistiken für Benutzer, Abweichungen und Konformitätsbewertung verloren. Nach der erneuten Initialisierung werden die aktuellen Werte der Widgets für Benutzer-/Abweichungsanzahl und Konformitätsbewertung wiederhergestellt. Widgets für Liniendiagramme haben jedoch nur einen Datenpunkt und ihre Werte werden nach und nach wiederhergestellt. -
Domänenkonnektivitätstests – Ermöglicht es Ihnen, eine Domänenkonnektivität (LDAP und SYSVOL) zu testen, bevor Sie diese hinzufügen oder ändern.
- Skalierbarkeit – Tenable Identity Exposure betrachtet aufgelöste Abweichungen als nicht mehr nützlich und löscht sie nach 6 Monaten aus der Datenbank.
- Indicator of Exposure – An dem Indicator of Exposure Login-Beschränkungen für privilegierte Benutzer wurden Verbesserungen vorgenommen.
-
Workload-Kontingent – Neue Möglichkeit zur Anpassung der Anzahl gleichzeitig ausgeführter Indicators of Attack.
-
Angriffspfad: Neue grafische Darstellungen zur Untersuchung von Active Directory-Beziehungen:
-
Angriffsradius: Evaluiert laterale Bewegungen im AD, die von einem potenziell kompromittierten Asset ausgehen.
-
Angriffspfad: Antizipiert Techniken zur Rechteausweitung, um von einem bestimmten Einstiegspunkt aus auf ein Asset zuzugreifen.
-
Asset Exposure: Misst die Anfälligkeit eines Assets mithilfe der Asset Exposure-Visualisierung und berücksichtigt alle Eskalationspfade.
-
-
Honey-Konten – Ermöglicht es dem Indicator of Attack für Kerberoasting, Login- oder Dienstanforderungen zu erkennen zu erkennen. Weitere Informationen finden Sie unter Honey-Konten im Tenable Identity Exposure-Administratorhandbuch.
-
API-Endgerät – Abruf von Active Directory-Objekten aus der Datenbank mithilfe der API.
-
Tenable Identity Exposure überträgt Änderungen in einem LDAP-Container, wie etwa Verschiebungen oder Umbenennungen, an die untergeordneten Elemente des Containers.
Fehlerkorrekturen
Zusätzlich zu den Leistungsverbesserungen beinhaltet Tenable Identity Exposure Version 3.19 die folgenden Fehlerkorrekturen:
| Fehlerkorrektur | Fehler-ID |
|---|---|
| Tenable Identity Exposure gibt die API-Bewertungsinformationen erneut zurück. | N/A |
| Die Widget-Edition berücksichtigt von nun an zuvor ausgewählte Domänen. | N/A |
| Tenable Identity Exposure bietet dank neuem SQL-Index nun eine bessere Analyseleistung. | N/A |
| Tenable Identity Exposure zeigt Angriffe, die am ersten Tag des Monats stattfinden, im richtigen Monat an. | N/A |
| Wenn Sie ein GPO entfernen, zeigt Tenable Identity Exposure nur das gelöschte Ereignis an. | N/A |
| Wenn die SYSVOL-Verbindung unterbrochen wird, stellt Tenable Identity Exposure die Verbindung wieder her, damit der Listener neue Ereignisse abrufen kann. | N/A |
| Die Zulassungsliste für Benutzer und Gruppen mit servergespeicherten Anmeldeinformationen akzeptiert jetzt das samAccountName-Format. | N/A |
| Tenable Identity Exposure betrachtet aufgelöste Abweichungen als nicht mehr nützlich und löscht sie nach 6 Monaten aus der Datenbank. | N/A |
| Tenable Identity Exposure zählt Benutzer mit einem unbekannten userAccountControl-Attribut jetzt als aktive AD-Benutzer. Dies kann passieren, wenn das in Tenable Identity Exposure angegebene Konto nicht zum Lesen dieses Attributs oder eines entsprechenden Attributsatzes berechtigt ist. Dies kann zu einem Anstieg der Gesamtzahl von Benutzern im Dashboard oder in der Lizenz führen. Weitere Informationen finden Sie unter „User Accounts“ im Dokument „Technical Prerequisites“. | N/A |
| Tenable Identity Exposure überträgt Änderungen in einem LDAP-Container, wie etwa Verschiebungen oder Umbenennungen, an die untergeordneten Elemente des Containers. | N/A |
| Die Verbindung zur SYSVOL-Freigabe ist auch dann erfolgreich, wenn Sie die Anmeldeinformationen ändern. | N/A |
| Die gefährliche Kerberos-Delegierung wird jetzt aufgelöst, nachdem der privilegierte Pfad durch Löschen und Neuerstellen der Domäne korrigiert wurde. | N/A |
| Die Zulassungsliste gibt das erwartete Format jetzt klar an. | N/A |
| Der SQL-Server funktioniert nach der Angriffspfad-Aktivierung korrekt. | N/A |
| Die Benachrichtigungs-E-Mail enthält das richtige Bildformat. | N/A |
| Kontrollpfadbeziehungen berücksichtigen jetzt den Quell- und Zieltyp. | N/A |
| Tenable Identity Exposure aktualisiert den untergeordneten DN, wenn eine Containerverschiebung erkannt wird. | N/A |
| Es ist nicht mehr möglich, den letzten Benutzer mit einer Administratorrolle über die öffentliche API zu löschen. | N/A |
|
Indicator of Exposure (IoE) C-PKI-DANG-ACCESS:
|
N/A |
| Der IoE C-DC-ACCESS-CONSISTENCY berücksichtigt die Aktualisierung des Umschalters „Gelöschte DCs beibehalten“. | N/A |
| Der IoA/IoE-Dienst wird nach Aktualisierung eines Umschalters neu gestartet. | N/A |
| Der IoE C-PASSWORD-POLICY lässt jetzt alle nicht globalen Sicherheitsgruppen zu. | N/A |
| Tenable Identity Exposure beschränkt die Länge von Dashboard-Namen auf 30 Zeichen und kürzt vorhandene Namen, die diesen Grenzwert überschreiten, auf 30 Zeichen. | N/A |
| Tenable Identity Exposure stabilisiert den Abruf von AD-Objekten vom SQL-Server, wenn eine geringe Anzahl von Objekten mit zahlreichen Änderungen gefunden wird. | N/A |
| Die Gefährliche RBCD-Delegierung Backdoor löst jetzt die Konto-SID auf. | N/A |
| Tenable Identity Exposure versucht nicht wiederholt, große Nachrichten zu verarbeiten. | N/A |
| IoE „Native Administratorgruppenmitglieder“ (C-NATIVE-ADM-GROUP-MEMBERS): Das Platzieren integrierter Administratorgruppen in der Option für benutzerdefinierte Gruppen verursacht nicht länger inkonsistentes Verhalten. | N/A |
| Der IoE „Login-Beschränkungen für privilegierte Benutzer“ (C-ADMIN-RESTRICT-AUTH) wird jetzt aufgelöst, wenn Sie einen Computer aus einer Unterorganisationseinheit entfernen. | N/A |
| Der IoE Konten im Ruhezustand zählt keine gelöschten Benutzer mehr. | N/A |
| Die Tenable Identity Exposure API sendet jetzt einen 400-Fehler, wenn bei der Benutzererstellung kein aktiver angegeben wird. | N/A |
| Tenable Identity Exposure unterstützt jetzt Windows LTS-Versionen. | N/A |
| Gelöschte Standorte werden nicht länger in Abweichungen angezeigt. | N/A |
| Tenable Identity Exposure aktualisiert Gruppenmitglieder, wenn sie die Organisationseinheit wechseln. | N/A |
| Wenn das Active Directory langsam ist, wird die reguläre Durchforstung nicht mehr gestartet, falls bereits eine Durchforstung läuft. | N/A |
| Bei der Migration von 3.1 auf 3.11 werden keine falsch positiven Abweichungen für GPOs generiert. | N/A |
| Die Durchforstungsphase von Tenable Identity Exposure unterstützt mehr Grenzfälle. | N/A |
| Das On-Premises-Installationsprogramm von Tenable Identity Exposure stellt jetzt sicher, dass es aktuelle NodeJs-Module verwendet. | N/A |
| Der Analysedienst von Tenable Identity Exposure stellt die Verbindung zum RabbitMQ-Server nach Ausfällen erfolgreich wieder her. | N/A |
| Die teilweise erneute Durchforstung von groupPolicyContainers-Objekten berücksichtigt alle Attribute. | N/A |
Patches
Tenable Identity Exposure 3.19.12
Tenable Identity Exposure Version Tenable Identity Exposure 3.19.12 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| CVE-2022-37026 wurde behoben, indem die Abhängigkeit der RabbitMQ-Bibliothek aktualisiert wurde. | N/A |
| Windows Server 2022 – Bei Installation von Indicators of Attack auf einem Windows 2022-Domänencontroller muss der Server nicht mehr neu gestartet werden. | N/A |
Tenable Identity Exposure 3.19.10
Tenable Identity Exposure Version Tenable Identity Exposure3.19.10 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Tenable Identity Exposure erfasst das AD-Attribut msds-revealedusers nicht mehr und zeigt es nicht mehr im Trail Flow an. Es war für die Sicherheitsanalyse nicht hilfreich. | N/A |
| Die Resilienz der Verbindung über den RabbitMQ-Kanal wurde verbessert. | N/A |
| Auf der IoE-Seite werden beim Filtern einer bestimmten Domäne keine unerwarteten konformen IoEs vom Typ „Keine Domäne“ mehr angezeigt. | N/A |
Tenable Identity Exposure 3.19.9
Tenable Identity Exposure Version Tenable Identity Exposure3.19.9 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Tenable Identity Exposure führt keine EKU-Prüfung zur Serverauthentifizierung für SecProbe mehr durch. | N/A |
| Bei Rechnern, die einer Domäne nur teilweise beigetreten sind, werden in Tenable Identity Exposure jetzt erfolgreich alle SDDL-Bigramme dekodiert, die sich auf die Domäne beziehen (z. B. DA für Domänenadministratoren). | N/A |
| Der IoE Gefährliche sensible Rechte ist richtig, wenn ein AdObjectGptTmpl-Objekt, das die UAC deaktiviert, zuletzt kommt. | N/A |
Tenable Identity Exposure 3.19.8
Tenable Identity Exposure Version Tenable Identity Exposure 3.19.8 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Beim Durchforsten und Abhören des SYSVOL wird dieselbe Verbindung verwendet, sodass die Vorgänge nicht mehr kollidieren. | N/A |
Tenable Identity Exposure 3.19.7
Tenable Identity Exposure Version Tenable Identity Exposure 3.19.7 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Tenable Identity Exposure hat die Effizienz der internen Meldungsnutzung verbessert. | N/A |
| Tenable Identity Exposure hat die Resilienz der Verbindung über den RabbitMQ-Kanal verbessert. | N/A |
| Tenable Identity Exposure erfasst das Attribut userCertificate nicht mehr. | N/A |
| RabbitMQ-Verbraucher wiederholen jetzt Verbindungsversuche in einer exklusiven Warteschlange. | N/A |
| Der Indicator of Attack (IoA) Auflistung lokaler Administratoren filtert jetzt die Auflistung lokaler Administratoren heraus, wenn der Vorgang lokal erfolgt, da es sich dabei höchstwahrscheinlich um eine legitime Aktion handelt. | N/A |
| Tenable Identity Exposure löst Abweichungen im Zusammenhang mit einer entfernten Domäne oder einem entfernten Sicherheitsprofil in internen Aufrufen automatisch auf. | N/A |
| Das Installationsprogramm berücksichtigt beim Überprüfen des Ablaufdatums von benutzerdefinierten Zertifikaten jetzt das Gebietsschema. | N/A |
Tenable Identity Exposure 3.19.5
In Tenable Identity Exposure Version Tenable Identity Exposure 3.19.5 wurde der Indicator of Exposure Ransomware-Härtung aufgrund einer vorzeitigen Veröffentlichung entfernt.
Tenable Identity Exposure 3.19.4 (On-Premises)
Tenable Identity Exposure Version Tenable Identity Exposure 3.19.4 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Der PDF-Export der konsolidierten Ansicht der IoAs ist für On-Premises-Installationen verfügbar. | N/A |
Tenable Identity Exposure 3.19.2 (On-Premises)
Tenable Identity Exposure Version Tenable Identity Exposure 3.19.2 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Tenable Identity Exposure zeigt die Domänendetails der Topologieansicht mit den neuen Zeitreihendaten an. | N/A |
| Das Tenable Identity Exposure-Installationsprogramm kann regionale Datums-/Uhrzeitangaben verarbeiten (On-Premises). | N/A |
Tenable Identity Exposure 3.19.1
Tenable Identity Exposure Version Tenable Identity Exposure 3.19.1 beinhaltet die folgenden Patches.
| Patch | Fehler-ID |
|---|---|
| Indicators of Exposure nutzen wieder einen Thread-sicheren Hashing-Cache. | N/A |
| Tenable Identity Exposure entfernt Attribute mit mehreren Werten effizient, ohne dabei die Datenbank zu blockieren. | N/A |