Tenable Identity Exposure – Versionshinweise 2024

Diese Versionshinweise sind in umgekehrter chronologischer Reihenfolge aufgelistet.

Tenable Identity Exposure 3.67 (2024-03-21)

  • Computer können nicht aus dem Grund „Nicht vor Delegierung geschützt“ als Abweichung eingestuft werden. In Tenable Identity Exposure wurden alle bestehenden Abweichungen im Zusammenhang mit diesem Problem behoben.

  • Erweiterung eines Indicator of Exposure (IoE) – Im IoE Kerberos-Konfiguration in Benutzerkonto sind Benutzer mit Smartcards immun gegen den AS-REP-Roasting-Angriff und werden von Tenable Identity Exposure nicht länger als Sicherheitsproblem gekennzeichnet.

  • Verbesserungen bei Indicators of Attack (IoA):

    • Ermitteln von Passwörtern – Die neue Option „Zeitintervall für Erkennung“ gibt die Anzahl der Minuten an, ab der jeder fehlgeschlagene Login-Versuch als potenzieller laufender Angriff klassifiziert wird.

    • Auflistung lokaler Administratoren

      • Die neue Option „Zugriffsliste“ berücksichtigt nur spezifische Zugriffsrechte, die vom Ereignis „Netzwerkfreigabeobjekt wurde überprüft“ abgerufen werden, als potenziellen laufenden Angriff. Diese Liste gilt nur im aggressiven Modus.

      • Der Standardwert für die Option „Heuristik für Domänencontroller mit Versionen vor Windows Server 2016“ lautet jetzt „Falsch“.

    • DCSync – Der Standardwert für die Option „Unbekannte Quelle zulassen“ lautet jetzt „Falsch“.

    • NTDS-Extrahierung – Neue „Sperrliste“ in „Einfacher Modus“: diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, WMI-basierte Methode, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI-basierte Methode.

    • Credential Dumping: LSASS-Speicher – Neue „Sperrliste“ in „Einfacher Modus“: mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.

Tenable Identity Exposure Version 3.67 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur

Tenable Identity Exposure aktualisiert Sicherheitsprofile jetzt ordnungsgemäß, wenn Sie die nachstehenden Optionen für die folgenden IoA-Konfigurationen ändern:

  • Credential Dumping: LSASS-Speicher: „Aggressiver Modus“ und „Angriffstools“

  • DCSync: „Aggressiver Modus“ und „Verzögerung“

  • Golden Ticket: „Verzögerung“
Wenn Sie über eine Tenable One-Lizenz verfügen, werden Benutzer in Tenable Vulnerability Management erstellt und die Informationen werden an Tenable Identity Exposure übertragen. Wenn Sie in diesem Fall in Tenable Identity Exposure auf die Schaltfläche „Benutzer erstellen“ klicken, wird eine Meldung angezeigt, die Sie zu Tenable Vulnerability Management leitet, um Benutzer zu erstellen.
In Tenable Identity Exposure werden jetzt alle Entra ID-IoEs im IoE-Fensterbereich angezeigt.
Die MSI-Protokolldatei ist nach der Installation oder einem Upgrade jetzt unter „C:\Tenable\Logs“ verfügbar.

Tenable Identity Exposure 3.66 (2024-03-11)

Indicators of Attack (IoA) – Neue Optionen für die folgenden IoAs, um die Anzahl falsch positiver Ergebnisse zu beschränken. Weitere Informationen finden Sie im Referenzhandbuch zu Indicators of Attack.

Hinweis: Ab dieser Version ist für alle IoAs in jedem Sicherheitsprofil die Option „Aggressiver Modus“ standardmäßig auf „Falsch“ festgelegt. Sie können diese Option in einzelnen Sicherheitsprofilen für jeden IoA auf „Wahr“ umstellen.

  • Verdächtige Änderung des DC-Passworts – Neue Optionen:

    • „Aggressiver Modus“:

  • Wahr: Erkennt den Angriff unabhängig davon, ob der Benutzer authentifiziert ist oder nicht.

  • Falsch (Standardeinstellung): Erkennt nur authentifizierte Benutzer.

  • „Zeitintervall für Erkennung von Passwortänderungen“: Im „aggressiven Modus“ gibt diese Option den Zeitraum zwischen zwei Passwortänderungen an (standardmäßig 30 Tage).

  • DCSync – Neue Option:

  • „Aggressiver Modus“:

    • Wahr: Es werden alle Angriffe auf der Grundlage der IoA-Regeln erkannt und gemeldet, wodurch zahlreiche Fehlalarme generiert werden können.

    • Falsch (Standardeinstellung): Erkennt und meldet nur dann einen Angriff, wenn sich der Computer nicht in der Domäne befindet. Dadurch werden weniger Angriffe erkannt, aber falsch positive Ergebnisse vermieden.

Erweiterungen

  • Die Berechnungsdauer für RSoP-basierte Indicators of Exposure (Resultant Set of Policy, resultierender Richtliniensatz) wurde optimiert, was dazu führt, dass Abweichungen im Zusammenhang mit dem RSoP langsamer berechnet werden. Weitere Informationen finden Sie unter RSoP-basierte Indicators of Exposure im Tenable Identity Exposure-Benutzerhandbuch.

  • In der Verwaltung von Rollenberechtigungen kann jetzt die Sichtbarkeit von Daten für Entra ID-Mandanten eingeschränkt werden.

Tenable Identity Exposure Version 3.66 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur
IoA OS Credential Dumping: LSASS-Speicher – Tenable Identity Exposure berücksichtigt jetzt die Zulassungsliste, die für die Option „Aggressiver Modus“ angegeben ist.
In Tenable Identity Exposure wurde ein neuer Mechanismus implementiert, um die Resilienz der Datenbank bei der Verarbeitung zahlreicher Änderungen des Attributs badPwdCount zu verbessern. Hierbei wird mittels Drosselungsmaßnahmen die Anzahl der Änderungen beschränkt.
In Tenable Identity Exposure wurden die Namenskonventionen für die Sprache Chinesisch aktualisiert.

Tenable Identity Exposure 3.65 (2024-02-27)

Indicators of Attack (IoA) – Neue Standardwerte für die folgenden IoAs, um die Anzahl falsch positiver Ergebnisse zu beschränken. Weitere Informationen finden Sie im Referenzhandbuch zu Indicators of Attack.

  • Golden Ticket – Neue Option „Aggressiver Modus“:

    • Falsch (einfacher Modus, Standard): Es wird nur dann eine Angriffsmeldung ausgelöst, wenn der Zielbenutzer ein Domänencontroller oder ein Benutzer ist, der zur Gruppe „Domänenadministratoren“ gehört.

    • Wahr: Erkennt und meldet Angriffe auch dann, wenn der Ziel-Benutzername kein Mitglied der Gruppe „Domänenadministratoren“ oder ein Domänencontroller ist. Außerdem werden Angriffe auch dann erkannt und gemeldet, wenn einzelne Domänencontroller nicht überwacht werden (d. h., wenn sie kein Windows-Ereignisprotokoll ausgeben).

  • Identitätswechsel bei SAMAccountName – Neue Option „Aggressiver Modus“:

    • Falsch (einfacher Modus, Standard): Es wird keine Angriffsmeldung ausgelöst, wenn TargetUserName kein Domänencontroller (DC) ist.

    • Wahr: Es werden alle Angriffe auf der Grundlage der IoA-Regeln erkannt und gemeldet, wodurch zahlreiche Fehlalarme generiert werden können.

  • OS Credential Dumping: LSASS-Speicher – Neue Optionen:

    • „Aggressiver Modus“:

    • Falsch (einfacher Modus, Standard): Der IoA erkennt das Tool und betrachtet nur die vordefinierten Prozesse als nicht legitim.

    • Wahr: Der IoA betrachtet alle Angriffstools als nicht legitim, es sei denn, sie sind in der Zulassungsliste enthalten.

    • „Zulässige Prozesse im aggressiven Modus“: Optional. Gilt nur, wenn die Option „Aggressiver Modus“ = „Wahr“ ist.

    • „Einfacher Modus – Sperrliste“: Im einfachen Modus können nur die angegebenen Tools Angriffe auslösen.

  • NTDS-Extrahierung – Neue Optionen:

    • „Aggressiver Modus“:

  • Falsch (einfacher Modus, Standard): Der IoA erkennt das Tool und betrachtet nur die vordefinierten Prozesse als nicht legitim.

  • Wahr: Der IoA betrachtet alle Angriffstools als nicht legitim, es sei denn, sie sind in der Zulassungsliste enthalten.

  • „Einfacher Modus – Sperrliste“: Im einfachen Modus können nur die angegebenen Tools Angriffe auslösen.

  • „Einfacher Modus – Angriff durch Prozesse auf der Zulassungsliste“ (vormals „Prozesse auf der Zulassungsliste“): Optional; gilt nur, wenn die Option „Aggressiver Modus“ = „Wahr“ ist.

  • Massive Auskundschaftung von Computern – Neue Standardwerte für Optionen:

    • Anzahl an Computern – 5.000

    • Mindestanzahl an Computern – 100

    • Prozentsatz der Computer – 95

    • Anpassbarer Zeitraum – 240

    • Wartezeit zwischen Angriffen – 240

  • Ermitteln von Passwörtern – Neuer Standardwert für Option:

    • Anzahl Konten mit fehlgeschlagenen Versuchen – 10.000

  • Auflistung lokaler Administratoren – Die Option „Heuristik für Domänencontroller mit Versionen vor Windows Server 2016“ ist jetzt standardmäßig auf „Falsch“ festgelegt.

Indicators of Exposure (IoE)

  • Neue IoEs

  • Konfiguration des privilegierten Authentifizierungssilos – Stellt eine Schrittanleitung zur Konfiguration eines Authentifizierungssilos für privilegierte Konten (Stufe 0) bereit.

  • Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten – Überprüft, dass privilegierte Active Directory-Benutzerkonten nicht mit Microsoft Entra ID synchronisiert werden.

  • Erweiterungen

    • IoE Gefährliche Kerberos-Delegierung – Führt einen neuen Grund ein, um die aktuelle Konfiguration der Kerberos-Delegierung für ein Microsoft Entra Connect-Konto (AZUREADSSOACC) zu ermitteln.

    • IoE Umkehrbare Passwörter – Validiert Passwörter, die so konfiguriert sind, dass sie in einem umkehrbaren Format gespeichert werden, basierend auf den Einstellungen, die vom Attribut msDS-PasswordReversibleEncryptionEnabled im Passworteinstellungsobjekt (Password Settings Object, PSO) definiert werden.

    • IoE Lokale Administratorkonto-Verwaltung – Stellt eine neue Option namens „Installierte LAPS-Version“ bereit, um die neue Microsoft LAPS-Funktion (Local Administrator Password Solution) zu unterstützen, und validiert die LAPS-Versionskonfiguration basierend auf den vom Benutzer ausgewählten Optionen.

Tenable Identity Exposure Version 3.65 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur
In Tenable Identity Exposure wurde ein Problem im Zusammenhang mit der Löschung von Microsoft Entra ID-Mandanten behoben. Bisher konnte es vorkommen, dass nach dem Klicken auf das Papierkorbsymbol bestimmte zuvor erfasste Assets erhalten blieben. Mit der aktuellen Lösung wird die vollständige Löschung aller Assets während dieses Vorgangs sichergestellt.
In Tenable Identity Exposure wurde eine Einschleusungsschwachstelle behoben, bei der ein lokaler Benutzer mit geringen Privilegien Anwendungsdateien auf dem Tenable Identity Exposure Secure Relay-Host ändern konnte.
In Tenable Identity Exposure wurde ein Problem mit erfolglosen Abfragen aufgrund eines NULL-Werts behoben, das wahrscheinlich auf eine Dateninkonsistenz in der Datenbank zurückzuführen ist. Dieses Problem könnte beispielsweise auftreten, wenn eine kompakte Berechtigung auf ein Asset gerichtet ist, das noch nicht die erforderliche Software Factory (SF) erreicht hat.
In Tenable Identity Exposure wurde die Angriffspfad-Funktionalität verbessert, um Abstürze während des Initialisierungsprozesses zu verhindern, die in bestimmten seltenen Szenarien auftreten können.
In Tenable Identity Exposure wurde ein neuer Mechanismus implementiert, um sicherzustellen, dass die Datenbank mehrere Änderungen am Attribut badPwdCount verarbeiten kann, ohne dessen Integrität oder Leistung zu beeinträchtigen.

Tenable Identity Exposure 3.64 (2024-02-07)

Tenable Identity Exposure Version 3.64 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur
Im Indicator of Attack Verdächtige Änderung des DC-Passworts wurde das Problem behoben, dass falsch positive Ergebnisse für Windows Server 2008 R2-Systeme gemeldet wurden, deren Passwörter standardmäßig alle 30 Tage geändert werden.

Tenable Identity Exposure 3.63 (2024-01-24)

  • Indicators of Attack – Die Option „Zulässige Prozesse“ in den Indicators of Attack Credential Dumping: LSASS-Speicher und NTDS-Extrahierung enthält Prozesse, von denen bekannt ist, dass sie Fehlalarme auslösen.

Tenable Identity Exposure Version 3.63 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur
In Tenable Identity Exposure werden Topologiedomänen nicht mehr angezeigt, nachdem ihre zugeordnete Domäne entfernt wurde.
Der aktuelle Scan-Status von Microsoft Entra ID zeigt jetzt den Fehler für einen fehlgeschlagenen Scan an, selbst wenn vorherige Scans erfolgreich waren.
In Tenable Identity Exposure werden CA-Zertifikate nach einer Aktualisierung der Konfiguration von Syslog-Warnmeldungen jetzt korrekt aktualisiert.
Die internen technischen Daten von Tenable Identity Exposure werden nicht mehr als Assets an die Tenable Cloud übertragen, wenn diese Funktion aktiv ist.
Bei Abweichungen vom Indicator of Exposure Erkennung von Passwortschwächen, die mit der Wiederverwendung von Passwörtern zusammenhängen, werden jetzt die Passwort-Hash-Präfixe angezeigt, die die Abweichung verursachen.
Bei der Analyse eines 4776-Ereignisses mit fehlendem Hostnamen, wodurch als Quelle „Unbekannt“ angegeben wird, filtert Tenable Identity Exposure diese Abweichung jetzt gemäß der Option „Unbekannte Quelle zulassen“ im Indicator of Attack Password Spraying heraus.

Tenable Identity Exposure 3.62 (2024-01-10)

Tenable Identity Exposure Version 3.62 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur
Tenable Identity Exposure berechnet jetzt SYSVOL-Dateien, wenn ein Attribut mit einem Namen von mehr als 500 Zeichen erstellt wird.
In Secure Relay werden jetzt die Änderungen übernommen, die an SYSLOG-Konfigurationen vorgenommen wurden, damit SYSLOG-Meldungen wieder an das SIEM übertragen werden können.
Der Indicator of Exposure (IoE) Unzureichende Härtung gegen Ransomware kann Zulassungslistenausschlüsse jetzt korrekt verarbeiten
In Tenable Identity Exposure wurde ein Problem behoben, das die präzise Qualifizierung von privilegierten Gruppen in den folgenden IoEs beeinträchtigte: AdminCount-Attribut für Standardbenutzer festgelegt, Deaktivierte Konten in privilegierten Gruppen, Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden und Zugeordnete Zertifikate für Konten.
Scan-Status in Microsoft Entra ID sind jetzt genauer und geben klarere Hinweise, wenn ein Problem auftritt.