Tenable Identity Exposure 2024 版本資訊

• DC 同步、NTDS 擷取、本機系統管理員列舉攻擊指標 (IoA) — 在「基本」模式下，系統不會再針對下列狀況發出警示：

  • 當攻擊指標 (IoA) 在事件提取過程中偵測到事件遺失或明顯延遲時。

  • 當攻擊指標 (IoA) 因缺少事件資料而無法識別攻擊來源時。

• NTDS 擷取攻擊指標 (IoA) — 在「基本」模式和「積極」模式下，新的作用中選項「列入白名單的程序」可避免正當程序在遇到攻擊期間遭到標記。

Tenable Identity Exposure 3.74 版包含下列錯誤修正：

Tenable Identity Exposure 3.73 版包含下列錯誤修正：

• 使用者現在可設定攻擊指標 (IoA) 在觸發分析之前的事件收集持續時間，值的範圍介於 30 秒到 9 分鐘之間 (可在延遲時間與準確性之間取捨)。

• Golden Ticket 攻擊指標 (IoA) — 為了減少誤報，Tenable Identity Exposure 設有 10 小時的延遲期，系統會在此期間自動將正當使用者列入允許清單。

Tenable Identity Exposure 3.72 版包含下列錯誤修正：

• 攻擊指標 (IoA)

• DC 同步：

• 「延遲時間」選項的預設值從 1 小時增加到 12 小時，提供延長正當事件篩選時間的選項。

• 「允許不明來源」選項的預設值從 False 變更為 True，以防止因預設設定檔無法自訂此選項而造成漏報。

• Golden Ticket — 偵測 Windows 事件記錄遺失情況，防止在某些情況下造成誤報。

• 本機系統管理員列舉 — 受管理服務帳戶會進行篩選程序，以降低偵測誤報的情形。

• 曝險指標 (IoE)

  • 未使用的受保護使用者群組 — 曝險指標 (IoE) 中的其他原因會回報所有不在此群組中的特權使用者。

  • KRBTGT 帳戶最近一次密碼變更 — 支援 Windows Hello 企業版中的 krbtgt_AzureAD 帳戶 (雲端信任部署)。

Tenable Identity Exposure 3.71 版包含下列錯誤修正：

• 新曝險指標 (IoE)

  • 受管理服務帳戶的危險錯誤設定 — 確保受管理服務帳戶得到妥善的部署和設定。

  • 已啟用的訪客帳戶 — 檢查內建訪客帳戶是否停用。

• 曝險指標增強內容

  • 沒有電腦強化 GPO 的網域 — 整合了為處理 null 工作階段而設計的全新檢查，以確保所有網域電腦均明確停用 null 工作階段。

  • 原生系統管理群組成員 — 在自訂群組的允許清單中新增「Exchange 伺服器」、「Exchange Windows 權限」和「Exchange 受信任子系統」群組。這項修改僅適用於預設安全性設定檔，不適用於現有自訂安全性設定檔。

  • 使用舊密碼的使用者帳戶 — 新增兩項原因，用於區分特權使用者和一般使用者。

• 為提高處理量，LDAP 搜尋請求現會分批處理轉送服務與 Ceti 服務之間的結果。

Tenable Identity Exposure 3.69 版包含下列錯誤修正：

曝險指標 (IoE) 增強內容：

• 休眠帳戶 — 兩項用於區分特權使用者和一般使用者的新原因。

• 搭載過時作業系統的電腦 — 新值「lastLogonTimestamp」，用於在「非作用中過時作業系統」異常情況中顯示上次使用者成功登入的時間戳記。

• 沒有電腦強化 GPO 的網域

  • 與為網域控制器 (SYSVOL/NETLOGON 共用) 所設定之強化 UNC 路徑相關的新檢查。

  • 與應在網域控制器上維持停用狀態之列印多工緩衝處理器服務相關的新檢查。

  • 用於確保在網域控制器和其他伺服器上適當強制執行伺服器訊息區 (SMB) 簽署的增強內容。其可驗證「預設網域控制器原則」參數，並會檢查其他伺服器上的 GPO 設定是否正確。

• 原則結果集 (RSoP) 曝險指標 (IoE) — 對於使用最新快取之 RSoP 曝險指標 (IoE) 的重新執行，Tenable Identity Exposure 現會在較短的期間內匯總緩衝事件，以減少需要分析的變更數 (預設期間為 1 分鐘，且僅適用於「特權使用者的登入限制」曝險指標 (IoE))。

Tenable Identity Exposure 3.68 版包含下列錯誤修正：

• 電腦無法顯示為異常情況，這是「沒有委派防護措施」所致。Tenable Identity Exposure 已處理並解決與此問題相關的所有現有異常情況。

• 改進曝險指標 (IoE)：在使用者帳戶的 Kerberos 設定曝險指標 (IoE) 中，使用智慧卡的使用者不會遭受 AS-REP Roasting 攻擊，Tenable Identity Exposure 也不會再將此情形標記為安全性問題。

• 攻擊指標 (IoA) 增強內容：

  • 密碼猜測 — 新選項「密碼噴濺偵測時間間隔」會指定要經過多少分鐘，才會將失敗的登入嘗試歸類為進行中的潛在攻擊。

  • 本機管理員列舉

    • 分類進行中的潛在攻擊時，新選項「積極模式中篩選的存取權」僅會考量從「已檢查網路共用物件」事件擷取的特定存取權。此清單僅適用於積極模式。

    • 「使用版本舊於 Windows Server 2016 的網域控制器的啟發式」選項的預設值目前為「False」。

  • DCSync —「允許不明來源」選項的預設值目前為「False」。

  • NTDS 擷取 —「基本模式」下的全新「拒絕清單」：diskshadow、ntdsutil、esentutl、esentutldefrag mode、vssown、copy-vss、wmi-based technique、psexec_ntds_grab、 wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper、WMI-based technique。

  • 憑證傾印 LSASS 記憶體 —「基本模式」下的全新「拒絕清單」：mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump、osqueryi。

Tenable Identity Exposure 3.67 版包含下列錯誤修正：

攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新選項可減少誤報。詳情請參閱《攻擊指標參考指南》。

注意：從此版本開始，每個安全性設定檔的所有攻擊指標 (IoA) 都預設將「積極模式」選項設為「False」。您可以針對個別安全性設定檔的攻擊指標 (IoA)，將此選項切換為「True」。

• 可疑的 DC 密碼變更 — 新選項：

  • 「積極模式」：

• True：無論使用者是否經過驗證，皆偵測攻擊。

• False (預設)：僅偵測經過驗證的使用者。

• 「密碼變更間隔」：在「積極模式」中，此選項可指定兩次密碼變更之間的時間間隔 (預設為 30 天)。

• DCSync — 新選項：

• 「積極模式」：

  • True：根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。

  • False (預設)：只有當電腦不在網域內時，才觸發攻擊。這樣能偵測到的攻擊會減少，但可以避免誤報。

增強功能

• 縮短根據原則結果集 (RSoP) 的曝險指標運算時間後，導致與 RSoP 相關的異常情況運算變慢。詳情請參閱 Tenable Identity Exposure 使用者指南中的根據 RSoP 的曝險指標。

• 新增支援，可限制角色權限管理中 Entra ID 租用戶的資料瀏覽權限。

Tenable Identity Exposure 3.66 版包含下列錯誤修正：

攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新預設值可減少誤報。詳情請參閱《攻擊指標參考指南》。

• Golden Ticket — 新的「積極模式」選項：

  • False (基本、預設)：僅在目標使用者為網域控制者，或使用者屬於網域管理員群組時觸發攻擊。

  • True：即使目標使用者名稱不是「網域管理員」群組的成員或網域控制者，也允許攻擊。同時，即使某些網域控制者未受監控 (換言之，他們不會提供任何 Windows 事件記錄)，也允許攻擊。

• SAMAccountName 假冒 — 新的「積極模式」選項：

  • False (基本、預設)：如果 TargetUserName 不是網域控制者 (DC)，則不觸發攻擊。

  • True：根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。

• 作業系統憑證傾印：LSASS 記憶體 — 新的選項

  • 「積極模式」選項：

  • False (基本、預設)：攻擊指標 (IoA) 識別該工具，並僅將預定義的處理程序視為不正當。

  • True：攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。

  • 「積極模式中允許的處理程序」選項：為選用選項，且僅在「積極模式」選項 = True 時適用。

  • 「基本模式 - 拒絕清單」：在基本模式下，只有指定的工具可以觸發攻擊。

• NTDS 擷取 — 新的選項

  • 「積極模式」選項：

• False (基本、預設)：攻擊指標 (IoA) 識別該工具，並僅將預定義的處理程序視為不正當。

• True：攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。

• 「基本模式 - 拒絕清單」：在基本模式下，只有指定的工具可以觸發攻擊。

• 「基本模式攻擊列入白名單的處理程序」(前稱「列入白名單的處理程序」)：為選用選項，且僅在「積極模式」選項 = True 時適用。

• 大規模電腦偵察 — 以下選項有新的預設值：

  • 電腦數量 — 5000

  • 電腦的最少數量 — 100

  • 電腦百分比 — 95

  • 滑動視窗 — 240

  • 攻擊之間的等待時間 — 240

• 密碼猜測 — 以下選項有新的預設值：

  • 多次嘗試失敗的帳戶數量 — 10000

• 本機系統管理員列舉 —「使用 Windows Server 2016 之前版本的網域控制器啟發式」選項現在預設為「False」。

曝險指標 (IoE)

• 新曝險指標 (IoE)

• 特權驗證獨立環境設定 — 提供為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。

• 特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 — 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。

• 增強功能

  • 危險的 Kerberos 委派曝險指標 (IoE) — 導入偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 上 Kerberos 委派目前設定的新原因。

  • 可逆密碼曝險指標 (IoE) — 根據密碼設定物件 (PSO) 中的 msDS-PasswordReversibleEncryptionEnabled 屬性所定義的設定，驗證設定為以可逆轉格式儲存的密碼。

  • 本機系統管理帳戶管理曝險指標 (IoE) — 新支援新版 Microsoft 本機管理員密碼解決方案 (LAPS)，並導入一個名為「已安裝 LAPS 版本」的新選項，同時根據使用者的選擇驗證 LAPS 版本的設定。

Tenable Identity Exposure 3.65 版包含下列錯誤修正：

Tenable Identity Exposure 3.64 版包含下列錯誤修正：

• 攻擊指標：攻擊指標憑證傾印：LSASS 記憶體和 NTDS 擷取中的「獲允許的處理程序」選項包含已知會引發誤報的處理程序。

Tenable Identity Exposure 3.63 版包含下列錯誤修正：