操作攻擊指標

確保攻擊指標處理程序正常運作對於準確偵測和回應而言至關重要。本節提供的逐步指示可以幫助您驗證攻擊指標 (IoA) 元件是否可正常運作、故障排除常見問題,以及有效率地解決問題。請按照下列步驟確認所有情況是否如預期般運作。

  • 確保攻擊指標 (IoA) 監控可在您的網域控制器上正常運作。

    • 檢查網域連線 - 透過驗證設定來確保網域連線運作正常。如需詳細資訊,請參閱 網域

  • 驗證 SYSVOL 中的 IoA GPO 資料夾:

    • 檢查 SYSVOL 目錄中的 IoA GPO 資料夾,確認每個網域控制器都產生最新的 .gz 檔案。

    • 如果任何網域控制器未產生此 .gz 檔案,請繼續執行後續步驟。

  • 確認攻擊指標 (IoA) 事件接聽程式處理程序正在執行:

    • 驗證 Register-TenableADEventsListener.exe 處理程序是否正在執行。

    • 在最新版本中,除了 Register-TenableADEventsListener.exe 以外,此處理程序在工作管理員中也列為「Tenable - 攻擊指標 (IoA) 事件接聽程式」。

      如需詳細資訊,請參閱 事件記錄接聽程式驗證

  • 如果處理程序未執行:

    • 確保網域控制器上的任何 EDR/防毒軟體未封鎖 Register-TenableADEventsListener.exe 處理程序。

      如需詳細資訊,請參閱 防毒軟體偵測

  • 手動啟動處理程序:

    • 編輯工作排程器中的相關工作 (TenableADTask_*),然後按一下「確定」以重新啟動處理程序。

  • 如果問題仍然存在,則向上呈報 - 如果上述步驟未能解決問題,請向 Tenable 提出支援個案。可能有基本問題使得 Register-TenableADEventsListener.exe 處理程序無法執行。