Tenable Identity Exposure 2024 版本資訊
這些版本資訊按時間順序由新到舊列出。
Tenable Identity Exposure 3.74 (2024-06-26)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
-
DC 同步、NTDS 擷取、本機系統管理員列舉攻擊指標 (IoA) — 在「基本」模式下,系統不會再針對下列狀況發出警示:
-
當攻擊指標 (IoA) 在事件提取過程中偵測到事件遺失或明顯延遲時。
-
當攻擊指標 (IoA) 因缺少事件資料而無法識別攻擊來源時。
-
-
NTDS 擷取攻擊指標 (IoA) — 在「基本」模式和「積極」模式下,新的作用中選項「列入白名單的程序」可避免正當程序在遇到攻擊期間遭到標記。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.74 版包含下列錯誤修正:
錯誤修正 |
---|
新機制會確保資料庫的復原能力,以承受 badPwdCount 屬性頻繁修改。在某些邊緣案例中,負責管理錯誤密碼計數事件率的服務會與訊息佇列管理器中斷連線,進而造成事件處理中斷。 |
活動記錄不再報告內部服務活動。 |
Tenable Identity Exposure 3.73 (2024-06-13)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.73 版包含下列錯誤修正:
錯誤修正 |
---|
Tenable Identity Exposure 改進了功能,可避免在小型 SaaS 平台上無限期執行 SQL 查詢,確保資料庫穩定運作。 |
工作區功能表 (應用程式切換器) 減少了占用的使用者介面空間,因此有更多空間來顯示頁面內容。 |
Tenable Identity Exposure 3.72 (2024-05-30)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
-
使用者現在可設定攻擊指標 (IoA) 在觸發分析之前的事件收集持續時間,值的範圍介於 30 秒到 9 分鐘之間 (可在延遲時間與準確性之間取捨)。
-
Golden Ticket 攻擊指標 (IoA) — 為了減少誤報,Tenable Identity Exposure 設有 10 小時的延遲期,系統會在此期間自動將正當使用者列入允許清單。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.72 版包含下列錯誤修正:
錯誤修正 |
---|
Tenable Identity Exposure 在轉送啟動期間採用一種機制,可在轉送和平台之間執行網路檢查。如果平台尚未進入運作狀態,轉送啟動程序會等待以確保連線穩定,然後再繼續。 |
現在遇到中斷情形時,驗證服務會自動還原通訊通道,以確保驗證功能的可靠性。 |
Tenable Identity Exposure 設有安全性機制,以解決帳戶鎖定期間的使用者列舉問題。 |
租用戶篩選功能現在可以正常運作,讓使用者在處理 Entra ID 相關資安事端時,可篩選及檢視租用戶專用的曝險指標。 |
Tenable Identity Exposure 3.71 (2024-05-22)
注意:Tenable Identity Exposure 3.71 版中包含 3.70 版的增強功能和錯誤修正。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
-
攻擊指標 (IoA)
DC 同步:
「延遲時間」選項的預設值從 1 小時增加到 12 小時,提供延長正當事件篩選時間的選項。
「允許不明來源」選項的預設值從 False 變更為 True,以防止因預設設定檔無法自訂此選項而造成漏報。
Golden Ticket — 偵測 Windows 事件記錄遺失情況,防止在某些情況下造成誤報。
本機系統管理員列舉 — 受管理服務帳戶會進行篩選程序,以降低偵測誤報的情形。
-
曝險指標 (IoE)
-
未使用的受保護使用者群組 — 曝險指標 (IoE) 中的其他原因會回報所有不在此群組中的特權使用者。
-
KRBTGT 帳戶最近一次密碼變更 — 支援 Windows Hello 企業版中的 krbtgt_AzureAD 帳戶 (雲端信任部署)。
-
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.71 版包含下列錯誤修正:
錯誤修正 |
---|
攻擊指標 (IoA):
|
KRBTGT 帳戶最近一次密碼變更曝險指標 — 從安全性設定檔自訂選項中移除「保留停用的帳戶」和「保留刪除的帳戶」選項。 |
攻擊指標 (IoA) 和曝險指標 (IoE) 分析偶爾中斷一小時或更久的情形不會再發生。 |
Tenable Identity Exposure 改進了 Identity Explorer 頁面中資料的品質。 |
轉送現在可確保在有延遲情況下跨網路傳遞 Syslog 訊息的可靠性。 |
Web 應用程式現在支援上傳 ECC CA 憑證,可供用於驗證 TLS 連線,包括 LDAPS 驗證、SMTPS 等等。 |
Tenable Identity Exposure 3.69 (2024-04-18)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
- 新曝險指標 (IoE)
受管理服務帳戶的危險錯誤設定 — 確保受管理服務帳戶得到妥善的部署和設定。
已啟用的訪客帳戶 — 檢查內建訪客帳戶是否停用。
-
曝險指標增強內容
- 沒有電腦強化 GPO 的網域 — 整合了為處理 null 工作階段而設計的全新檢查,以確保所有網域電腦均明確停用 null 工作階段。
-
原生系統管理群組成員 — 在自訂群組的允許清單中新增「Exchange 伺服器」、「Exchange Windows 權限」和「Exchange 受信任子系統」群組。這項修改僅適用於預設安全性設定檔,不適用於現有自訂安全性設定檔。
-
使用舊密碼的使用者帳戶 — 新增兩項原因,用於區分特權使用者和一般使用者。
-
為提高處理量,LDAP 搜尋請求現會分批處理轉送服務與 Ceti 服務之間的結果。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.69 版包含下列錯誤修正:
錯誤修正 |
---|
增強 Golden Ticket 攻擊指標中的偵測演算法,以減少漏報和誤報。 |
使用 Windows 2000 之前相容存取控制的帳戶曝險指標 (IoE) 的異常情況修復現會正確顯示。 |
沒有電腦強化 GPO 的網域曝險指標 (IoE) 現會正確偵測發現結果。 |
Tenable Identity Exposure 3.68 (2024-04-08)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
曝險指標 (IoE) 增強內容:
-
休眠帳戶 — 兩項用於區分特權使用者和一般使用者的新原因。
-
搭載過時作業系統的電腦 — 新值「lastLogonTimestamp」,用於在「非作用中過時作業系統」異常情況中顯示上次使用者成功登入的時間戳記。
-
沒有電腦強化 GPO 的網域
-
與為網域控制器 (SYSVOL/NETLOGON 共用) 所設定之強化 UNC 路徑相關的新檢查。
-
與應在網域控制器上維持停用狀態之列印多工緩衝處理器服務相關的新檢查。
-
用於確保在網域控制器和其他伺服器上適當強制執行伺服器訊息區 (SMB) 簽署的增強內容。其可驗證「預設網域控制器原則」參數,並會檢查其他伺服器上的 GPO 設定是否正確。
-
-
原則結果集 (RSoP) 曝險指標 (IoE) — 對於使用最新快取之 RSoP 曝險指標 (IoE) 的重新執行,Tenable Identity Exposure 現會在較短的期間內匯總緩衝事件,以減少需要分析的變更數 (預設期間為 1 分鐘,且僅適用於「特權使用者的登入限制」曝險指標 (IoE))。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.68 版包含下列錯誤修正:
錯誤修正 |
---|
在採用新攻擊指標 (IoA) 選項之前,現可更新所建立自訂安全性設定檔上的攻擊指標 (IoA) 選項。 |
公用 API 端點 /export/profile/:profileId/checkers/:checkerId 現可在沒有選項的情況下正確運作。 |
Tenable Identity Exposure 3.67 (2024-03-21)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
-
電腦無法顯示為異常情況,這是「沒有委派防護措施」所致。Tenable Identity Exposure 已處理並解決與此問題相關的所有現有異常情況。
-
改進曝險指標 (IoE):在使用者帳戶的 Kerberos 設定曝險指標 (IoE) 中,使用智慧卡的使用者不會遭受 AS-REP Roasting 攻擊,Tenable Identity Exposure 也不會再將此情形標記為安全性問題。
-
攻擊指標 (IoA) 增強內容:
-
密碼猜測 — 新選項「密碼噴濺偵測時間間隔」會指定要經過多少分鐘,才會將失敗的登入嘗試歸類為進行中的潛在攻擊。
-
本機管理員列舉
-
分類進行中的潛在攻擊時,新選項「積極模式中篩選的存取權」僅會考量從「已檢查網路共用物件」事件擷取的特定存取權。此清單僅適用於積極模式。
-
「使用版本舊於 Windows Server 2016 的網域控制器的啟發式」選項的預設值目前為「False」。
-
-
DCSync —「允許不明來源」選項的預設值目前為「False」。
-
NTDS 擷取 —「基本模式」下的全新「拒絕清單」:diskshadow、ntdsutil、esentutl、esentutldefrag mode、vssown、copy-vss、wmi-based technique、psexec_ntds_grab、 wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper、WMI-based technique。
-
憑證傾印 LSASS 記憶體 —「基本模式」下的全新「拒絕清單」:mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump、osqueryi。
-
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.67 版包含下列錯誤修正:
錯誤修正 |
---|
現在當您修改以下攻擊指標 (IoA) 設定的下列選項時,Tenable Identity Exposure 會正確更新安全性設定檔:
|
如果您擁有 Tenable One 授權,使用者建立作業會在 Tenable Vulnerability Management 中進行,並套用至 Tenable Identity Exposure。在此情況下,當您按一下 Tenable Identity Exposure 中的「建立使用者」按鈕時,系統會顯示一則訊息,將您導向至 Tenable Vulnerability Management 以建立使用者。 |
Tenable Identity Exposure 現在會在曝險指標 (IoE) 窗格中顯示所有 Entra ID 曝險指標 (IoE)。 |
現在安裝或升級之後,可以在 C:\Tenable\Logs 取得 MSI 記錄檔。 |
Tenable Identity Exposure 3.66 (2024-03-11)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新選項可減少誤報。詳情請參閱《攻擊指標參考指南》。
注意:從此版本開始,每個安全性設定檔的所有攻擊指標 (IoA) 都預設將「積極模式」選項設為「False」。您可以針對個別安全性設定檔的攻擊指標 (IoA),將此選項切換為「True」。
-
可疑的 DC 密碼變更 — 新選項:
-
「積極模式」:
-
True:無論使用者是否經過驗證,皆偵測攻擊。
- False (預設):僅偵測經過驗證的使用者。
「密碼變更間隔」:在「積極模式」中,此選項可指定兩次密碼變更之間的時間間隔 (預設為 30 天)。
-
DCSync — 新選項:
「積極模式」:
True:根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。
False (預設):只有當電腦不在網域內時,才觸發攻擊。這樣能偵測到的攻擊會減少,但可以避免誤報。
增強功能
-
縮短根據原則結果集 (RSoP) 的曝險指標運算時間後,導致與 RSoP 相關的異常情況運算變慢。詳情請參閱 Tenable Identity Exposure 使用者指南中的根據 RSoP 的曝險指標。
-
新增支援,可限制角色權限管理中 Entra ID 租用戶的資料瀏覽權限。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.66 版包含下列錯誤修正:
錯誤修正 |
---|
作業系統憑證傾印 LSASS 攻擊指標 (IoA) — Tenable Identity Exposure 現在會考慮在啟用「積極模式」選項時指定的允許清單。 |
Tenable Identity Exposure 實行新機制,使用節流措施來限制變更,讓資料庫可以應對處理多個 badPwdCount 屬性修改的情況,強化穩定性。 |
Tenable Identity Exposure 已更新中文的命名規則。 |
Tenable Identity Exposure 3.65 (2024-02-27)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新預設值可減少誤報。詳情請參閱《攻擊指標參考指南》。
-
Golden Ticket — 新的「積極模式」選項:
-
False (基本、預設):僅在目標使用者為網域控制者,或使用者屬於網域管理員群組時觸發攻擊。
-
True:即使目標使用者名稱不是「網域管理員」群組的成員或網域控制者,也允許攻擊。同時,即使某些網域控制者未受監控 (換言之,他們不會提供任何 Windows 事件記錄),也允許攻擊。
-
-
SAMAccountName 假冒 — 新的「積極模式」選項:
-
False (基本、預設):如果 TargetUserName 不是網域控制者 (DC),則不觸發攻擊。
-
True:根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。
-
-
作業系統憑證傾印:LSASS 記憶體 — 新的選項
-
「積極模式」選項:
-
False (基本、預設):攻擊指標 (IoA) 識別該工具,並僅將預定義的處理程序視為不正當。
-
True:攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。
-
「積極模式中允許的處理程序」選項:為選用選項,且僅在「積極模式」選項 = True 時適用。
-
「基本模式 - 拒絕清單」:在基本模式下,只有指定的工具可以觸發攻擊。
-
-
NTDS 擷取 — 新的選項
-
「積極模式」選項:
-
False (基本、預設):攻擊指標 (IoA) 識別該工具,並僅將預定義的處理程序視為不正當。
True:攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。
「基本模式 - 拒絕清單」:在基本模式下,只有指定的工具可以觸發攻擊。
「基本模式攻擊列入白名單的處理程序」(前稱「列入白名單的處理程序」):為選用選項,且僅在「積極模式」選項 = True 時適用。
-
大規模電腦偵察 — 以下選項有新的預設值:
-
電腦數量 — 5000
-
電腦的最少數量 — 100
-
電腦百分比 — 95
-
滑動視窗 — 240
-
攻擊之間的等待時間 — 240
-
-
密碼猜測 — 以下選項有新的預設值:
-
多次嘗試失敗的帳戶數量 — 10000
-
-
本機系統管理員列舉 —「使用 Windows Server 2016 之前版本的網域控制器啟發式」選項現在預設為「False」。
曝險指標 (IoE)
-
新曝險指標 (IoE)
- 特權驗證獨立環境設定 — 提供為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。
特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 — 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。
-
增強功能
-
危險的 Kerberos 委派曝險指標 (IoE) — 導入偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 上 Kerberos 委派目前設定的新原因。
-
可逆密碼曝險指標 (IoE) — 根據密碼設定物件 (PSO) 中的 msDS-PasswordReversibleEncryptionEnabled 屬性所定義的設定,驗證設定為以可逆轉格式儲存的密碼。
-
本機系統管理帳戶管理曝險指標 (IoE) — 新支援新版 Microsoft 本機管理員密碼解決方案 (LAPS),並導入一個名為「已安裝 LAPS 版本」的新選項,同時根據使用者的選擇驗證 LAPS 版本的設定。
-
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.65 版包含下列錯誤修正:
錯誤修正 |
---|
Tenable Identity Exposure 解決了與 Microsoft Entra ID 租用戶刪除相關的問題。在未修正以前,當使用者點選刪除垃圾桶圖示時,之前取得的某些資產可能會繼續存在。目前的解決方案可確保在此處理程序期間完全刪除所有資產。 |
Tenable Identity Exposure 已解決低權限本機使用者可在 Tenable Identity Exposure 安全轉送主機上修改應用程式檔案的插入弱點。 |
Tenable Identity Exposure 已修正因 null 值導致的查詢不成功問題,此問題可能是資料庫中的資料不一致所致。例如,如果緊湊型權限指派給尚未達到必要軟體工廠 (SF) 的資產,就可能發生此問題。 |
Tenable Identity Exposure 已增強攻擊路徑功能,以防止在某些罕見的情況下,可能在初始化處理程序期間發生當機的情形。 |
Tenable Identity Exposure 已實行新機制,確保資料庫可在不影響完整性或效能的情況下,處理對 badPwdCount 屬性的多個修改。 |
Tenable Identity Exposure 3.64 (2024-02-07)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.64 版包含下列錯誤修正:
錯誤修正 |
---|
攻擊指標可疑的 DC 密碼變更已解決與 Windows Server 2008 R2 系統 (預設每 30 天變更一次密碼) 相關的誤報問題。 |
Tenable Identity Exposure 3.63 (2024-01-24)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
-
攻擊指標:攻擊指標憑證傾印:LSASS 記憶體和 NTDS 擷取中的「獲允許的處理程序」選項包含已知會引發誤報的處理程序。
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.63 版包含下列錯誤修正:
錯誤修正 |
---|
在移除拓撲網域的關聯網域後,Tenable Identity Exposure 不會再顯示該拓撲網域。 |
Microsoft Entra ID 目前的掃描狀態現在會指示掃描失敗的錯誤,即使之前的掃描成功亦然。 |
Tenable Identity Exposure 現會在 Syslog 警示設定更新後正確重新整理 CA 憑證。 |
Tenable Identity Exposure 的內部技術資料不會再作為資產傳輸至 Tenable Cloud。 |
密碼脆弱程度偵測曝險指標中,與重複使用密碼相關的異常情況現會暴露危險密碼雜湊前置字元。 |
在分析因缺少主機名稱導致來源「不明」的 4776 事件時,Tenable Identity Exposure 現可根據密碼噴濺攻擊指標中的「允許不明來源」選項篩選出此異常情況。 |
Tenable Identity Exposure 3.62 (2024-01-10)
![關閉](../../../Skins/Default/Stylesheets/Images/transparent.gif)
Tenable Identity Exposure 3.62 版包含下列錯誤修正:
錯誤修正 |
---|
在建立名稱超過 500 個字元的屬性時,Tenable Identity Exposure 現在會運算 SYSVOL 檔案。 |
安全轉送現在會反映對 SYSLOG 設定作出的修改,以便將 SYSLOG 的訊息流重新啟用至 SIEM。 |
曝險指標 (IoE) 勒索軟體防範強化措施不足現在可正確管理允許清單排除項目。 |
Tenable Identity Exposure 解決了影響以下曝險指標 (IoE) 中特權群組正確資格的問題:標準使用者上設定的 AdminCount 屬性、特權群組中的已停用帳戶、特權帳戶執行 Kerberos 服務以及帳戶上的對應憑證。 |
現在 Microsoft EntraID 掃描狀態的精準度提升,能夠在出現問題時提供更清楚的指示。 |