操作攻擊指標
確保攻擊指標處理程序正常運作對於準確偵測和回應而言至關重要。本節提供的逐步指示可以幫助您驗證攻擊指標 (IoA) 元件是否可正常運作、故障排除常見問題,以及有效率地解決問題。請按照下列步驟確認所有情況是否如預期般運作。
-
確保攻擊指標 (IoA) 監控可在您的網域控制器上正常運作。
-
檢查網域連線:透過驗證設定來確保網域連線運作正常。如需詳細資訊,請參閱 網域。
-
-
驗證 SYSVOL 中的 IoA GPO 資料夾:
-
檢查 SYSVOL 目錄中的 IoA GPO 資料夾,確認每個網域控制器都產生最新的 .gz 檔案。
-
如果任何網域控制器未產生此 .gz 檔案,請繼續執行後續步驟。
-
-
確認攻擊指標 (IoA) 事件接聽程式處理程序正在執行:
-
驗證 Register-TenableADEventsListener.exe 處理程序是否正在執行。
-
在最新版本中,除了 Register-TenableADEventsListener.exe 以外,此處理程序在工作管理員中也列為「Tenable - 攻擊指標 (IoA) 事件接聽程式」。
如需詳細資訊,請參閱 事件記錄接聽程式驗證。
-
-
如果處理程序未執行:
-
確保網域控制器上的任何 EDR/防毒軟體未封鎖 Register-TenableADEventsListener.exe 處理程序。
如需詳細資訊,請參閱 防毒軟體偵測。
-
-
手動啟動處理程序:
-
編輯工作排程器中的相關工作 (TenableADTask_*),然後按一下「確定」以重新啟動處理程序。
-
-
如果問題仍然存在,則向上呈報:如果上述步驟未能解決問題,請向 Tenable 提出支援個案。可能有基本問題使得 Register-TenableADEventsListener.exe 處理程序無法執行。