Tenable Identity Exposure 的安全轉送

自 3.59 版開始,安全轉送元件將接管 Tenable Identity Exposure 平台中的指定工作:

  • 您可以藉此設定網域,從該網域將資料轉送至收集 AD 物件的目錄接聽程式 (DL) 元件。

  • 透過自動更新促成大型基礎架構的設定和維護:不再需要必須同時升級的多個 DL。

  • 在單一 DL 和多種端點 (例如網域控制器、SMTP 或 SYSLOG 伺服器或用於產品內驗證的 LDAP 伺服器) 之間充當橋接器。

  • 連結至一個或數個網域。DL 可管理無限制數量的轉送。

  • 需要在 Tenable Identity Exposure 主控台中進行設定,例如命名和對應 (網域、SMTP、SYSLOG、LDAP 驗證)。

遵照下列準則安裝或升級至具有安全轉送功能的 Tenable Identity Exposure 3.59 版本:

  1. 檢閱 安全轉送需求

  1. 網路需求

    • 在先前和目前版本中,DL 使用 AMQP(S) 通訊協定直接與 SEN 進行通訊。

    • 在 3.59 版本中,取代多個 DL 的轉送會透過 HTTPS 與唯一剩餘的 DL 通訊。

    • Envoy 是反向 Proxy。

  2. 連結金鑰:安裝安全轉送功能需要使用包含您的網路位址和身分驗證權杖的一次性連結金鑰。每次成功安裝安全轉送後,Tenable Identity Exposure 都會重新產生新金鑰。

如要擷取連結金鑰:

  1. Tenable Identity Exposure 主控台中,按一下左側功能表列上的「系統」,然後選取「設定」索引標籤 >「轉送」。

  2. 按一下 以複製連結金鑰。

  1. 角色權限:您必須是具有角色型權限的使用者才能設定轉送。所需權限如下:

    • 資料實體:實體轉送

    • 介面實體

      • 管理 > 系統 > 設定 > 應用程式服務 > 轉送

      • 管理 > 系統 > 轉送管理

      詳情請參閱設定角色的權限

所需使用者角色:本機電腦上的管理員

如要安裝安全轉送:

  1. Tenable 的下載網站下載安全轉送的可執行程式。

  2. 按兩下 tenable.ad_SecureRelay_v3.xx.x 檔案以啟動安裝精靈。

    歡迎」畫面會隨即顯示。

  3. 按一下「下一步」。

    自訂設定」視窗會隨即顯示。

  4. 按一下「瀏覽」,選取您為安全轉送保留的磁碟分割區 (與系統分割區分開)。

  5. 按一下「下一步」。

    轉送設定」視窗會隨即顯示。

  7. 提供以下資訊:

    1. 在「轉送名稱」方塊中輸入安全轉送的名稱。

    2. 在「連結金鑰」方塊中貼上您從 Tenable Identity Exposure 入口網站擷取的連結金鑰。

    3. 如果您選擇使用 Proxy 伺服器,請選取「使用 HTTP Proxy 進行轉送呼叫」選項,並提供 Proxy 位址和連接埠號碼。

  8. 按一下「下一步」。

    「Proxy 設定」視窗會隨即顯示:

  9. 請選取以下選項之一:

    1. :不使用 Proxy 伺服器。

    2. 未經驗證:輸入 Proxy 伺服器的位址和連接埠。

    3. 基本驗證:除了位址和連接埠,也請輸入 Proxy 伺服器的使用者名稱和密碼。

    注意:若要設定使用「未經驗證」或「基本驗證」的 Proxy,轉送僅支援 IPv4 位址 (例如 192.168.0.1) 或不含 http://https:// 的 Proxy URI (例如 myproxy.mycompany. com)。轉送不支援 IPv6 位址 (例如 2001:0db8:85a3:0000:0000:8a2e:0370:7334)。

  1. 按一下「測試連線能力」。可能會發生下列情況:

    • 綠燈 - 連線成功。

    • 無效的連結金鑰 - 從 Tenable Identity Exposure 入口網站擷取連結金鑰。

    • 無效的轉送名稱 - 此方塊不能留空。提供轉送的名稱。

    • 連線失敗 - 檢查您的網際網路存取。

      提示
      - 連線失敗時,請驗證目錄接聽程式伺服器上的環境變數「ALSID_CASSIOPEIA_CETI_Service__Broker__Host」。
      - 確保其已設定為安全引擎節點的 IP 位址。如果變數設為預設的「127.0.0.1」,則會造成安全轉送安裝失敗。
      - 更新環境變數「ALSID_CASSIOPEIA_CETI_Service__Broker__Host」之後, 重新啟動 Ceti 服務
      - 再次開始安全轉送安裝。否則,它會復原,維持轉送和 Envoy 服務的已安裝狀態,並且封鎖任何後續安裝。

  2. 按一下「下一步」。

    準備安裝」視窗會隨即顯示。

  3. 按一下「安裝」。

  4. 安裝完成後,按一下「完成」。

安全轉送安裝完成後,請檢查下列項目:

Tenable Identity Exposure 中已安裝轉送的清單

如要檢閱已安裝的轉送清單:

  • Tenable Identity Exposure 中,按一下左側功能表列上的「系統」,然後選取「轉送管理」索引標籤。

    此窗格會顯示安全轉送及其連結網域的清單。

服務

成功安裝後,系統將執行下列服務:

  • Tenable_Relay

  • tenable_envoy

    注意:您可以在 Tenable Identity Exposure 中的「系統」>「法律」>「Envoy 授權」中找到 Envoy 授權。

環境變數

此安裝項目還新增了 4 個名稱以「ALSID」開頭且與安全轉送相關的新環境變數。如果您選擇使用 Proxy 伺服器,還會有另外 2 個與 Proxy 伺服器 IP 和連接埠有關的變數。

用於疑難排解的記錄

您可以在下列位置找到記錄:

  • 安裝記錄:C:\Users\<your user> \AppData\Local\Temp

  • 轉送記錄:在安裝時指定的資料夾中代管安全轉送的 VM 上。

在您安裝安全轉送之後,Tenable Identity Exposure 會定期檢查新版本。此處理程序完全自動化執行,需要對您的網域具有 HTTPS 存取權 (TCP/443)。網路托盤中有一個圖示會指示 Tenable Identity Exposure 將於何時更新安全轉送。此過程完成後,Tenable Identity Exposure 服務將重新啟動並恢復資料收集。

如要解除安裝安全轉送:

  1. 在 Windows 中,前往「設定」>「應用程式與功能」>「Tenable Identity Exposure 安全轉送」。

  2. 按一下「解除安裝」。

    解除安裝完成後,Tenable Identity Exposure 安全轉送服務和環境變數不會再出現在您的系統中。

  3. Tenable Identity Exposure 中,按一下左側功能表列上的「系統」,然後選取「轉送管理」索引標籤。

  4. 選取您剛剛解除安裝的轉送,然後按一下 即可從可用的轉送清單中刪除它。

另請參閱

  • Troubleshoot Secure Relay Installation