運作狀況檢查
Tenable Identity Exposure 中的運作狀況檢查功能讓您可以在整合檢視畫面中即時查看網域和服務帳戶的設定,藉此向下切入調查會導致基礎架構中出現連線或其他問題的任何設定異常。它會驗證所有項目是否已正確設定,以確保 Tenable Identity Exposure 運作順暢,並讓您能夠採取快速精確的動作來解決問題,以及確保您的組態設定最適合讓 Tenable Identity Exposure 有效運作。
系統管理角色依預設可查看運作狀況檢查功能,而特定使用者角色可依權限查看此功能。您也可以在每次運作狀況檢查狀態變更時,建立 Syslog 或電子郵件警示。
運作狀況檢查和 DC 同步攻擊偵測
運作狀況檢查可提供有關 Tenable Identity Exposure 服務狀態和可用性的重要資訊。此功能可驗證服務帳戶是否能夠收集敏感資訊,例如用於特權分析的密碼雜湊和 DPAPI 備份金鑰。在運作狀況檢查報告中,Tenable 會嘗試收集敏感資料來判斷服務帳戶是否已正確設定「特權分析」功能,但若此功能未處於使用中狀態,則不會實際收集任何資料。為防止在此處理程序期間偵測 DCSync 攻擊,Tenable 會自動將所提供的 DCSync 攻擊指標服務帳戶列入白名單。
網域狀態
Tenable Identity Exposure 會針對每個網域執行下列檢查:
-
AD 網域驗證:LDAP 設定和狀態、憑證和 SMB 存取權
-
網域可連線性:動態 RPC 連接埠的工作連線、可連線的 SMB 伺服器、可連線的網域控制器 IP 位址或 FQDN、RPC 連接埠的工作連線、可連線的 LDAP 伺服器,以及可連線的全域目錄 LDAP 伺服器。
-
權限:能夠存取 AD 網域資料和收集特權資料。
-
網域已連結至轉送:網域已正確關聯至轉送服務。
-
攻擊指標:網域控制器活動 — Tenable Identity Exposure 會接收來自所有網域控制器的 Windows 事件記錄。
-
攻擊指標:網域安裝 - 確認 Tenable 攻擊指標 (IoA) GPO 設定正確無誤。
平台狀態
Tenable Identity Exposure 會針對您的平台設定執行下列檢查:
-
執行中的轉送服務:轉送設定是否正確包含疑難排解提示。
-
轉送版本一致性:轉送版本是否與 Tenable Identity Exposure 版本一致。
-
執行中的 AD 資料收集器服務:資料收集器服務、代理人和收集器橋接器是否可將資料轉送至其他服務。
如要存取運作狀況檢查:
-
在 Tenable Identity Exposure 頁面左下角,將游標移動至
圖示上可查看基礎架構的全域狀態。 -
按一下此圖示以開啟「運作狀況檢查」頁面。在「網域狀態」或「平台狀態」索引標籤下,您會看到下列任一項目:
-
顯示已通過所有運作狀況檢查的訊息
-
包含特定狀態的警告或問題清單:
檢查成功並顯示正常結果。 
檢查失敗,並發現一個問題。 
檢查失敗,但問題並未阻止 Tenable Identity Exposure 正確運作。
例如,如果服務帳戶無法收集特權資料,則資料收集檢查會因為用戶端上的 Active Directory 錯誤設定而導致失敗。不過,這不是嚴重問題,因為您尚未在 Tenable Identity Exposure 中的此網域上啟動特權分析功能,因此會出現警告。但是如果您啟動特權分析,檢查會立即失敗。
由於相依檢查失敗,檢查會顯示未知結果。例如,如果驗證檢查失敗,則無法進行網路連線性檢查。
-
如要查看所有運作狀況檢查:
-
在右側的運作狀況檢查清單上方,按一下「顯示成功的檢查」切換為啟用,以列出 Tenable Identity Exposure 已執行的所有檢查並包含下列資訊:
-
運作狀況檢查名稱
-
狀態 (通過、失敗、失敗但未阻礙正常運作或不明)
-
受影響的網域及其相關聯的樹系 (僅適用於網域狀態檢查)
-
上次執行檢查的時間
-
檢查保持此狀態的時間
-
如要重新整理運作狀況檢查頁面:
-
雖然 Tenable Identity Exposure 會定期執行運作狀況檢查,但它不會用結果即時更新此頁面。按一下
以重新整理結果清單。
如要依運作狀況檢查類型或依網域篩選結果:
-
在右側的運作狀況檢查清單上方,按一下「n/n 運作狀況檢查」或「n/n 網域」(僅限網域狀態)。
「運作狀況檢查」或「樹系和網域」窗格會隨即開啟。
-
選取運作狀況檢查類型或樹系/網域 (若適用),然後按一下「篩選選取的項目」。
如要深入瞭解每項運作狀況檢查的詳細資訊:
-
在運作狀況檢查清單中,按一下某個運作狀況檢查名稱或行尾的藍色箭頭 (
)。「詳細資料」窗格會隨即開啟,並顯示此檢查的相關描述和相關詳細資料清單。如需詳細資訊,請參閱下方的運作狀況檢查清單。
-
按一下詳細資料行末尾的箭頭,將其展開並顯示有關結果的更多資訊。
如要隱藏運作狀況檢查狀態圖示:
根據預設,Tenable Identity Exposure 會在畫面的左下角顯示運作狀況檢查狀態圖示。
-
在 Tenable Identity Exposure 中,前往左側導覽列中的「系統」,然後選取「設定」索引標籤。
或者,您可以按一下「運作狀況檢查」頁面右上角的
,然後選取「設定」。 -
在「應用程式服務」下,選取「運作狀況檢查」。
-
按一下「顯示全域運作狀況檢查狀態」切換為停用。
Tenable Identity Exposure 會隱藏畫面左下角的運作狀況檢查圖示。
如要指派運作狀況檢查權限給使用者角色:
-
在 Tenable Identity Exposure 中,前往左側導覽列中的「帳戶」,然後選取「角色管理」索引標籤。
-
在角色清單中選取使用者角色,然後按一下行尾的
。「編輯角色」窗格會隨即開啟。
-
選取「系統設定實體」索引標籤。
-
選取「運作狀況檢查」實體,然後按一下權限切換開關,將權限從「未授權」切換為「已授權」。
-
按一下「套用並關閉」。
如需有關權限的詳細資訊,請參閱 設定角色的權限。
如要設定運作狀況檢查狀態變更警示:
-
在 Tenable Identity Exposure 中,前往左側導覽列中的「系統」,然後選取「設定」索引標籤。
或者,您可以按一下「運作狀況檢查」頁面右上角的
,然後選取「警示」。 -
在「警示引擎」下,選取「Syslog」或「電子郵件」。
-
按一下「新增 Syslog 警示」或「新增電子郵件警示」。
新窗格會隨即開啟。如需完整程序,請參閱 警示。
-
在「警示參數」下的「觸發警示」方塊中,從下拉式功能表中選取「運作狀況檢查狀態變更時」。
-
按一下「運作狀況檢查」方塊中的箭頭,選取要觸發警示的運作狀況檢查類型,然後按一下「篩選選取的項目」。
-
按一下「新增」。
運作狀況檢查清單
| 運作狀況檢查名稱 | 類型 | 檢查描述 | 詳細資料 |
|---|---|---|---|
|
網域連線性 (HC-DOMAIN-REACHABILITY) |
網域 | 可與 AD 網域連線 |
|
|
AD 網域驗證 (HC-DOMAIN-AUTHENTICATION) |
網域 | 可在 AD 網域中進行驗證 |
|
|
收集 AD 網域資料的權限 (HC-DOMAIN-DATA-COLLECTION) |
網域 | 可收集 AD 網域資料 |
|
|
存取 AD 容器的權限 (HC-DOMAIN-CONTAINER-ACCESS) |
網域 | 可存取 AD 容器 |
|
|
網域已連結至轉送 (HC-DOMAIN-LINKED-TO-RELAY) |
網域 | 網域已連結至轉送 |
|
| 攻擊指標 (IoA) - 網域控制器活動 | 網域 | Tenable Identity Exposure 會接收來自所有網域控制器的 Windows 事件記錄 |
|
| 攻擊指標 (IoA) - 網域安裝 | 網域 | 確認 Tenable 攻擊指標 (IoA) GPO 設定正確無誤 |
|
|
轉送服務已啟動 (HC-PLATFORM-RELAY-UP) |
平台 | 轉送目前正常運作 |
|
|
轉送服務版本 (HC-PLATFORM-RELAY-VERSION) |
平台 | 轉送版本與產品相符 |
|
|
AD 資料收集器已啟動 (HC-PLATFORM-AD-DATA-COLLECTOR-UP) |
平台 | AD 資料收集器目前正常運作 |
|
| Tenable 雲端與 Tenable Identity Exposure 服務之間的同步處理 | 平台 | 建立的 Tenable 雲端群組、權限和使用者與 Tenable Identity Exposure 資料庫同步。 |
|