攻擊指標的部署
Tenable Identity Exposure 的攻擊指標 (IoA) 能夠協助您偵測 Active Directory (AD) 上發生的攻擊。每個攻擊指標 (IoA) 都需要安裝指令碼自動啟用的特定稽核原則。如需 Tenable Identity Exposure IoA 及其實作的完整清單,請參閱 Tenable 下載入口網站中的《Tenable Identity Exposure 攻擊指標參考指南》。
攻擊指標和 Active Directory
Tenable Identity Exposure 作為一種非侵入式解決方案,無需部署代理程式即可監控 Active Directory 基礎架構,而且只需在您的環境中進行最少的設定更改。
Tenable Identity Exposure 會使用沒有管理權限的一般使用者帳戶連線至標準 API,以實現安全性監控功能。
Tenable Identity Exposure 會利用 Active Directory 複製機制擷取相關資訊,這只會在每個網域的 PDC 和 Tenable Identity Exposure 的目錄接聽程式之間產生有限的頻寬成本。
為了使用攻擊指標有效率地偵測安全性資安事端,Tenable Identity Exposure 會使用 Windows 事件追蹤 (ETW) 資訊和每個網域控制器上可用的複製機制。如要收集這組資訊,請使用 Tenable Identity Exposure 中的指令碼部署專用的群組原則物件 (GPO),如 安裝攻擊指標 中所述。
此 GPO 會在所有網域控制器上啟動寫入系統磁碟區 (SYSVOL) 的使用 Windows EvtSubscribe API 的事件記錄接聽程式,以便從 AD 複製引擎和 Tenable Identity Exposure 偵聽 SYSVOL 事件的功能中獲益。GPO 會在 SYSVOL 中為每個網域控制器建立一個檔案,並定期清除其內容。
如要啟動安全性監控,Tenable Identity Exposure 必須聯絡 Microsoft 的標準目錄 API。
網域控制器
Tenable Identity Exposure 只需要使用網路流量對照表中描述的網路通訊協定與主要網域控制器模擬器 (PDCe) 通訊。
如果有多個受監控的網域或樹系,Tenable Identity Exposure 必須聯絡每個網域的 PDCe。為了達到最佳效能,Tenable 建議您將 Tenable Identity Exposure 託管在靠近 PDCe 的物理網路上進行監控。
使用者帳戶
Tenable Identity Exposure 使用非管理員使用者帳戶對受監控的基礎架構進行驗證,以存取複製流程。
單一 Tenable Identity Exposure 使用者可存取所有收集的資料。Tenable Identity Exposure 不會存取秘密屬性,例如憑證、密碼雜湊或 Kerberos 金鑰。
Tenable 建議您建立屬於「網域使用者」群組的服務帳戶,如下所示:
-
服務帳戶位於主要的受監控網域上。
-
服務帳戶位於任何組織單位 (OU) 中,最好是在您建立其他安全性服務帳戶的位置。
-
服務帳戶具有標準使用者群組成員資格 (例如,網域使用者 AD 預設群組的成員)。
開始之前
-
檢閱安裝攻擊指標 (IoA) 的限制和潛在影響,如 技術變更和潛在影響 中所述。
-
檢查 DC 是否已安裝適用於 Active Directory 和 GroupPolicy 的 PowerShell 模組並且可用。
-
檢查 DC 是否啟用了分散式檔案系統工具功能 RSAT-DFS-Mgmt-Con,以便部署指令碼可以檢查複製狀態,因為它無法在 DC 複製時建立 GPO。
-
Tenable Identity Exposure 建議您在非高峰時間安裝/升級攻擊指標 (IoA),以限制您的平台中斷。
-
檢查權限 - 如要安裝攻擊指標 (IoA),您必須擁有具有下列權限的使用者角色:
-
在資料實體中,以下項目的「讀取」存取權:
-
所有攻擊指標
-
所有網域
-
-
在介面實體中,以下項目的存取權:
-
管理 > 系統 > 設定
-
管理 > 系統 > 設定 > 應用程式服務 > 攻擊指標
-
管理 > 系統 > 設定 > 應用程式服務 > 攻擊指標 > 下載安裝檔案
-
-
如需有關角色型權限的詳細資訊,請參閱 設定角色的權限。
另請參閱
- 攻擊指標安裝指令碼
- 技術變更和潛在影響
-
安裝 Microsoft Sysmon 是 Tenable Identity Exposure 的某些攻擊指標取得相關系統資料時需要用到的 Windows 系統工具。