攻擊指標安裝指令碼

GPO 包含所有 DC 為收集相關資料而在本機執行的 PowerShell 指令碼，如下所示：

• 此指令碼使用 Windows EvtSubscribe API 在每個網域控制器上設定事件記錄接聽程式。如 TenableADEventsListenerConfiguration.json 設定檔中所指定，此指令碼透過為每個符合的事件記錄提交請求和由 EvtSubscribe 觸發的回呼來訂閱每個必要的事件記錄通道。

• 事件接聽程式會接收事件記錄並進行緩衝，然後定期將它們排清到儲存在 Sysvol 網路共用的一個檔案中。每個 DC 的內容都會被排清到一個儲存所收集事件的 Sysvol 檔案中，然後複製到其他網域控制器。

• 此指令碼還會建立一個 WMI 消費者，通過在 DC 重新啟動時重新註冊事件訂閱者來確保此機制的持久性。每次 DC 重新啟動時，WMI 都會通知消費者，以便消費者再次註冊事件接聽程式。

• 此時，分散式檔案系統 (DFS) 會複製，並在網域控制器之間自動同步檔案。Tenable Identity Exposure 的平台會接聽傳入的 DFS 複製流量，並使用此資料收集事件、執行安全性分析，然後產生攻擊指標 (IoA) 警示。

本機資料擷取

Windows 事件記錄會記錄作業系統及其應用程式中發生的所有事件。事件記錄依賴 Windows 中整合的元件架構。

Tenable Identity Exposure 攻擊指標 (IoA) 事件記錄接聽程式只會使用 EvtSubscribe API，以插入字串形式收集其從事件記錄中擷取的有用事件記錄資料區段。Tenable Identity Exposure 會將這些插入字串寫入儲存在 Sysvol 資料夾中的檔案，並透過 DFS 引擎複製這些字串。這樣，Tenable Identity Exposure 就可從事件記錄中收集正確數量的安全性資料，以執行安全性分析並偵測攻擊。

攻擊指標 (IoA) 指令碼摘要

下表提供 Tenable Identity Exposure 指令碼部署的概覽。

步驟	說明	涉及的元件	技術動作
1	註冊 Tenable Identity Exposure 的 IoA 部署	GPO 管理	建立 Tenable.ad (預設名稱) GPO 並將其連結至網域控制器 OU。
2	在 DC 上啟動 Tenable Identity Exposure 的 IoA 部署	DC 本機系統	每個 DC 都會偵測要套用的新 GPO，具體取決於 AD 複製和群組原則重新整理間隔。
3	控制進階記錄原則狀態	DC 本機系統	系統透過設定登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 來啟動進階記錄原則。
4	更新本機記錄原則	DC 本機系統	根據要偵測的攻擊指標 (IoA)，Tenable Identity Exposure 會動態產生並啟動特定的稽核原則。此原則不會停用任何現有的記錄原則，而只會在必要時加以擴充。如果偵測到衝突，GPO 安裝指令碼會停止並顯示訊息「Tenable Identity Exposure 需要稽核原則 '...'，但目前的 AD 設定禁止使用。」
5	註冊事件接聽程式和 WMI 生產者	DC 本機系統	系統會註冊並執行 GPO 中包含的指令碼。此指令碼會執行 PowerShell 處理程序，以使用 EvtSubscribe API 訂閱事件記錄，並建立 ActiveScriptEventConsumer 的執行個體以供持續使用。Tenable Identity Exposure 會使用這些物件接收和儲存事件記錄內容。
6	收集事件記錄訊息	DC 本機系統	Tenable Identity Exposure 會擷取相關的事件記錄訊息，然後定期緩衝，並將其儲存在與 Tenable Identity Exposure GPO (...{GPO_GUID}\Machine\IOA<DC_name>) 相關聯的 Sysvol 資料夾中儲存的檔案 (每個 DC 一個檔案) 中。
7	將檔案複製到宣告的 DC SYSVOL 資料夾	Active Directory	AD 可使用 DFS 跨網域複製檔案，特別是在宣告的 DC 中。Tenable Identity Exposure 平台會取得每個檔案的通知並讀取其內容。
8	覆寫這些檔案	Active Directory	每個 DC 都會自動且持續地將定期緩衝的事件寫入相同的檔案中。

GPO 包含所有 DC 為收集相關資料而在本機執行的 PowerShell 指令碼，如下所示：

• 這些指令碼可在電腦的記憶體中設定事件監控程式和 Windows Management Instrumentation (WMI) 生產者/消費者。WMI 是一個 Windows 元件，可為您提供有關本機或遠端電腦系統狀態的資訊。

• 事件監控程式會接收事件記錄並定期進行緩衝，然後將它們清除至 Sysvol 網路共用中儲存的一個檔案中。每個 DC 的內容都會被清除至一個儲存所收集事件的 Sysvol 檔案中，然後複製到其他網域控制器。

• 當 DC 重新啟動時，WMI 消費者會再次註冊事件監控程式，從而使此機制持續存在。每次 DC 重新啟動時，生產者都會喚醒並通知消費者。因此，消費者會再次註冊事件監控程式。

• 此時，分散式檔案系統 (DFS) 會複製，並在網域控制器之間自動同步檔案。Tenable Identity Exposure 的平台會接聽傳入的 DFS 複製流量，並使用此資料收集事件、執行安全性分析，然後產生攻擊指標 (IoA) 警示。

本機資料擷取

Windows 事件記錄會記錄作業系統及其應用程式中發生的所有事件。名為 Windows 事件追蹤 (ETW) 的事件記錄服務依賴 Windows 中整合的元件架構。ETW 位於核心中，產生的資料儲存在 DC 上，不會由 AD 通訊協定複製。

Tenable Identity Exposure 只會使用 WMI API，以插入字串形式收集其從事件記錄中擷取的有用的 ETW 資料區段。Tenable Identity Exposure 會將這些插入字串寫入儲存在 Sysvol 資料夾中的檔案，並透過 DFS 引擎複製這些字串。這樣，Tenable Identity Exposure 就可從 ETW 收集正確數量的安全性資料，以執行安全性分析並偵測攻擊。

攻擊指標 (IoA) 指令碼摘要

下表提供 Tenable Identity Exposure 指令碼部署的概覽。

步驟	說明	涉及的元件	技術動作
1	註冊 Tenable Identity Exposure 的 IoA 部署	GPO 管理	建立 Tenable.ad (預設名稱) GPO 並將其連結至網域控制器 OU。
2	在 DC 上啟動 Tenable Identity Exposure 的 IoA 部署	DC 本機系統	每個 DC 都會偵測要套用的新 GPO，具體取決於 AD 複製和群組原則重新整理間隔。
3	註冊事件監控程式和 WMI 生產者	DC 本機系統	系統註冊並執行立即工作。此工作會執行 PowerShell 處理程序，以建立下列類別的執行個體： ManagementEventWatcher 和 ActiveScriptEventConsumer。Tenable Identity Exposure 會使用這些物件接收和儲存 ETW 訊息。
4	控制進階記錄原則狀態	DC 本機系統	系統透過設定登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 來啟動進階記錄原則。
5	更新本機記錄原則	DC 本機系統	根據要偵測的攻擊指標 (IoA)，Tenable Identity Exposure 會動態產生並啟動特定的記錄原則。此原則不會停用任何現有的記錄原則，而只會在必要時加以擴充。如果偵測到衝突，GPO 安裝指令碼會停止並顯示訊息「Tenable Identity Exposure 需要稽核原則 '...'，但目前的 AD 設定禁止使用。」
6	收集 ETW 訊息	DC 本機系統	Tenable Identity Exposure 會擷取相關的 ETW 訊息，然後定期緩衝，並將其儲存在與 Tenable Identity Exposure GPO (...{GPO_GUID}\Machine\IOA<DC_name>) 相關聯的 Sysvol 資料夾中儲存的檔案 (每個 DC 一個檔案) 中。
7	將檔案複製到 Tenable Identity Exposure 平台	Active Directory	AD 可使用 DFS 跨網域複製檔案。Tenable Identity Exposure 平台也會接收檔案。
8	覆寫這些檔案	Active Directory	每個 DC 都會自動且持續地將定期緩衝的事件寫入相同的檔案中。