Tenable Identity Exposure 2024 版本資訊

• 經過 RSoP 檢查的曝險指標 (IoE)：為了提升整體產品效能，Tenable Identity Exposure 現在會每 30 分鐘針對少量曝險指標 (IoE) 執行 RSoP 檢查，而不會進行即時檢查。詳情請參閱經過 RSoP 檢查的曝險指標。

Tenable Identity Exposure 3.80 版包含下列錯誤修正：

Tenable Identity Exposure 3.79 版包含下列錯誤修正：

• 曝險指標

  • Netlogon 通訊協定的不安全設定：Tenable Identity Exposure 現在會將「跳過登錄機碼檢查」選項的預設值設定為「true」。此變更假設使用者已套用 2021 年 2 月 9 日的更新。此修改僅適用於預設設定檔，自訂設定檔不受影響。

  • 執行過時作業系統的電腦：Tenable Identity Exposure 新增了使用中過時電腦最近的登入資訊。

• Entra ID 曝險指標：下列 Entra ID 曝險指標 (IoE) 現在會略過已停用的使用者和服務主體，

  • 影響租用戶的危險 API 權限

  • 擁有憑證的第一方服務主體

  • 管理員數量過多

  • 特權帳戶缺少 MFA

  • 非特權帳戶缺少 MFA

    這是因為攻擊者無法立即刺探利用這些對象。至於 MFA 曝險指標 (IoE)，Microsoft Graph API 未正確傳回已停用使用者的 MFA 狀態。

• 攻擊指標

  • 如果 DCSync 的來源源自前置詞為 MSOL_ (採用硬式編碼且僅適用於基本模式) 的使用者名稱，便不會觸發警示。

  • 如果目標 IP 不明，本機管理員列舉不會觸發警示。

  • 只有在攻擊者偽造 TGT 然後通過驗證時，Golden Ticket 才會觸發警示 (僅限基本模式)。

  • 如果工具屬於 Arctic Wolf Networks，作業系統認證傾印：LSASS 記憶體不會觸發警示 (僅限基本模式)。

• 電子郵件警示現在僅支援有效的加密通訊協定，例如 TLS 1.2 和 1.3。如果已覆寫安全轉送以強制使用過時的 SMTP 加密標準 (例如 SSL v3)，您必須移除覆寫設定。現在唯一允許的值為「Tls12」、Tls13」或「Tls12、Tls13」(可根據伺服器版本自動切換)。使用不支援的值會導致轉送無法啟動。

Tenable Identity Exposure 3.78 版包含下列錯誤修正：

• 衝突的安全性主體曝險指標 (IoE) — 新的曝險指標 (IoE)，用於確認沒有重複 (衝突) 的使用者、電腦或群組等物件。

• 危險 Kerberos 委派曝險指標 (IoE) — 當帳戶的屬性用於涉及不存在服務主體名稱 (SPN) 的限制委派 (msDS-AllowedToDelegateTo) 時，此新的原因會回報所有此類帳戶。

• Active Directory：Tenable Identity Exposure 針對所管理的 AD 物件增加了大小限制。

Tenable Identity Exposure 3.76 版包含下列錯誤修正：

• 影子憑證曝險指標 (IoE)：新的曝險指標 (IoE)，會偵測「Windows Hello for Business」功能及其相關金鑰憑證中影子憑證的後門程式以及錯誤設定。

• 使用者主要群組 曝險指標 (IoE)：primaryGroupID 屬性因權限不足而顯示為空時，針對所有帳戶報告的額外原因。

• 密碼噴濺攻擊指標 (IoA)：此攻擊指標 (IoA) 在某些情況下會造成記憶體過載等系統效能問題，但現在會將與相同攻擊相關的警示組合為單一警示來解決這些問題。

• 這些攻擊指標不會再於下列情況中觸發警示：

  • DC 同步 — 當來源是與 Azure ADConnect 工具相關的使用者或主機名稱時 (僅限基本模式)。

  • NTDS 擷取 — 當來源工具是 VSS Requestor 或 Veeam (正當備份工具) 時。

  • 列舉本機管理員 — 當攻擊指標 (IoA) 找不到來源使用者 SID 時 (僅限基本模式)。

  • Petit Potam — 當攻擊指標 (IoA) 無法擷取相關聯的登入事件時。

  • Golden Ticket — 當攻擊指標 (IoA) 無法擷取來源媒介時 (僅限基本模式)。

Tenable Identity Exposure 3.75 版包含下列錯誤修正：

• DC 同步、NTDS 擷取、本機系統管理員列舉攻擊指標 (IoA) — 在「基本」模式下，系統不會再針對下列狀況發出警示：

  • 當攻擊指標 (IoA) 在事件提取過程中偵測到事件遺失或明顯延遲時。

  • 當攻擊指標 (IoA) 因缺少事件資料而無法識別攻擊來源時。

• NTDS 擷取攻擊指標 (IoA) — 在「基本」模式和「積極」模式下，新的作用中選項「列入白名單的程序」可避免正當程序在遇到攻擊期間遭到標記。

Tenable Identity Exposure 3.74 版包含下列錯誤修正：

Tenable Identity Exposure 3.73 版包含下列錯誤修正：

• 使用者現在可設定攻擊指標 (IoA) 在觸發分析之前的事件收集持續時間，值的範圍介於 30 秒到 9 分鐘之間 (可在延遲時間與準確性之間取捨)。

• Golden Ticket 攻擊指標 (IoA) — 為了減少誤報，Tenable Identity Exposure 設有 10 小時的延遲期，系統會在此期間自動將正當使用者列入允許清單。

Tenable Identity Exposure 3.72 版包含下列錯誤修正：

• 攻擊指標 (IoA)

• DC 同步：

• 「延遲時間」選項的預設值從 1 小時增加到 12 小時，提供延長正當事件篩選時間的選項。

• 「允許不明來源」選項的預設值從 False 變更為 True，以防止因預設設定檔無法自訂此選項而造成漏報。

• Golden Ticket — 偵測 Windows 事件記錄遺失情況，防止在某些情況下造成誤報。

• 本機系統管理員列舉 — 受管理服務帳戶會進行篩選程序，以降低偵測誤報的情形。

• 曝險指標 (IoE)

  • 未使用的受保護使用者群組 — 曝險指標 (IoE) 中的其他原因會回報所有不在此群組中的特權使用者。

  • KRBTGT 帳戶最近一次密碼變更 — 支援 Windows Hello 企業版中的 krbtgt_AzureAD 帳戶 (雲端信任部署)。

Tenable Identity Exposure 3.71 版包含下列錯誤修正：

• 新曝險指標 (IoE)

  • 受管理服務帳戶的危險錯誤設定 — 確保受管理服務帳戶得到妥善的部署和設定。

  • 已啟用的訪客帳戶 — 檢查內建訪客帳戶是否停用。

• 曝險指標增強內容

  • 沒有電腦強化 GPO 的網域 — 整合了為處理 null 工作階段而設計的全新檢查，以確保所有網域電腦均明確停用 null 工作階段。

  • 原生系統管理群組成員 — 在自訂群組的允許清單中新增「Exchange 伺服器」、「Exchange Windows 權限」和「Exchange 受信任子系統」群組。這項修改僅適用於預設安全性設定檔，不適用於現有自訂安全性設定檔。

  • 使用舊密碼的使用者帳戶 — 新增兩項原因，用於區分特權使用者和一般使用者。

• 為提高處理量，LDAP 搜尋請求現會分批處理轉送服務與 Ceti 服務之間的結果。

Tenable Identity Exposure 3.69 版包含下列錯誤修正：

曝險指標 (IoE) 增強內容：

• 休眠帳戶 — 兩項用於區分特權使用者和一般使用者的新原因。

• 搭載過時作業系統的電腦 — 新值「lastLogonTimestamp」，用於在「非作用中過時作業系統」異常情況中顯示上次使用者成功登入的時間戳記。

• 沒有電腦強化 GPO 的網域

  • 與為網域控制器 (SYSVOL/NETLOGON 共用) 所設定之強化 UNC 路徑相關的新檢查。

  • 與應在網域控制器上維持停用狀態之列印多工緩衝處理器服務相關的新檢查。

  • 用於確保在網域控制器和其他伺服器上適當強制執行伺服器訊息區 (SMB) 簽署的增強內容。其可驗證「預設網域控制器原則」參數，並會檢查其他伺服器上的 GPO 設定是否正確。

• 原則結果集 (RSoP) 曝險指標 (IoE) — 對於使用最新快取之 RSoP 曝險指標 (IoE) 的重新執行，Tenable Identity Exposure 現會在較短的期間內匯總緩衝事件，以減少需要分析的變更數 (預設期間為 1 分鐘，且僅適用於「特權使用者的登入限制」曝險指標 (IoE))。

Tenable Identity Exposure 3.68 版包含下列錯誤修正：

• 電腦無法顯示為異常情況，這是「沒有委派防護措施」所致。Tenable Identity Exposure 已處理並解決與此問題相關的所有現有異常情況。

• 改進曝險指標 (IoE)：在使用者帳戶的 Kerberos 設定曝險指標 (IoE) 中，使用智慧卡的使用者不會遭受 AS-REP Roasting 攻擊，Tenable Identity Exposure 也不會再將此情形標記為安全性問題。

• 攻擊指標 (IoA) 增強內容：

  • 密碼猜測 — 新選項「密碼噴濺偵測時間間隔」會指定要經過多少分鐘，才會將失敗的登入嘗試歸類為進行中的潛在攻擊。

  • 本機管理員列舉

    • 分類進行中的潛在攻擊時，新選項「積極模式中篩選的存取權」僅會考量從「已檢查網路共用物件」事件擷取的特定存取權。此清單僅適用於積極模式。

    • 「使用版本舊於 Windows Server 2016 的網域控制器的啟發式」選項的預設值目前為「False」。

  • DCSync —「允許不明來源」選項的預設值目前為「False」。

  • NTDS 擷取 —「基本模式」下的全新「拒絕清單」：diskshadow、ntdsutil、esentutl、esentutldefrag mode、vssown、copy-vss、wmi-based technique、psexec_ntds_grab、 wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper、WMI-based technique。

  • 憑證傾印 LSASS 記憶體 —「基本模式」下的全新「拒絕清單」：mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump、osqueryi。

Tenable Identity Exposure 3.67 版包含下列錯誤修正：

攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新選項可減少誤報。詳情請參閱《攻擊指標參考指南》。

注意：從此版本開始，每個安全性設定檔的所有攻擊指標 (IoA) 都預設將「積極模式」選項設為「False」。您可以針對個別安全性設定檔的攻擊指標 (IoA)，將此選項切換為「True」。

• 可疑的 DC 密碼變更 — 新選項：

  • 「積極模式」：

• True：無論使用者是否經過驗證，皆偵測攻擊。

• False (預設)：僅偵測經過驗證的使用者。

• 「密碼變更間隔」：在「積極模式」中，此選項可指定兩次密碼變更之間的時間間隔 (預設為 30 天)。

• DCSync — 新選項：

• 「積極模式」：

  • True：根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。

  • False (預設)：只有當電腦不在網域內時，才觸發攻擊。這樣能偵測到的攻擊會減少，但可以避免誤報。

增強功能

• 縮短根據原則結果集 (RSoP) 的曝險指標運算時間後，導致與 RSoP 相關的異常情況運算變慢。詳情請參閱 Tenable Identity Exposure 使用者指南中的根據 RSoP 的曝險指標。

• 新增支援，可限制角色權限管理中 Entra ID 租用戶的資料瀏覽權限。

Tenable Identity Exposure 3.66 版包含下列錯誤修正：

攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新預設值可減少誤報。詳情請參閱《攻擊指標參考指南》。

• Golden Ticket — 新的「積極模式」選項：

  • False (基本、預設)：僅在目標使用者為網域控制者，或使用者屬於網域管理員群組時觸發攻擊。

  • True：即使目標使用者名稱不是「網域管理員」群組的成員或網域控制者，也允許攻擊。同時，即使某些網域控制者未受監控 (換言之，他們不會提供任何 Windows 事件記錄)，也允許攻擊。

• SAMAccountName 假冒 — 新的「積極模式」選項：

  • False (基本、預設)：如果 TargetUserName 不是網域控制者 (DC)，則不觸發攻擊。

  • True：根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。

• 作業系統憑證傾印：LSASS 記憶體 — 新的選項

  • 「積極模式」選項：

  • False (基本、預設)：攻擊指標 (IoA) 識別該工具，並僅將預定義的處理程序視為不正當。

  • True：攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。

  • 「積極模式中允許的處理程序」選項：為選用選項，且僅在「積極模式」選項 = True 時適用。

  • 「基本模式 - 拒絕清單」：在基本模式下，只有指定的工具可以觸發攻擊。

• NTDS 擷取 — 新的選項

  • 「積極模式」選項：

• False (基本、預設)：攻擊指標 (IoA) 識別該工具，並僅將預定義的處理程序視為不正當。

• True：攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。

• 「基本模式 - 拒絕清單」：在基本模式下，只有指定的工具可以觸發攻擊。

• 「基本模式攻擊列入白名單的處理程序」(前稱「列入白名單的處理程序」)：為選用選項，且僅在「積極模式」選項 = True 時適用。

• 大規模電腦偵察 — 以下選項有新的預設值：

  • 電腦數量 — 5000

  • 電腦的最少數量 — 100

  • 電腦百分比 — 95

  • 滑動視窗 — 240

  • 攻擊之間的等待時間 — 240

• 密碼猜測 — 以下選項有新的預設值：

  • 多次嘗試失敗的帳戶數量 — 10000

• 本機系統管理員列舉 —「使用 Windows Server 2016 之前版本的網域控制器啟發式」選項現在預設為「False」。

曝險指標 (IoE)

• 新曝險指標 (IoE)

• 特權驗證獨立環境設定 — 提供為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。

• 特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 — 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。

• 增強功能

  • 危險的 Kerberos 委派曝險指標 (IoE) — 導入偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 上 Kerberos 委派目前設定的新原因。

  • 可逆密碼曝險指標 (IoE) — 根據密碼設定物件 (PSO) 中的 msDS-PasswordReversibleEncryptionEnabled 屬性所定義的設定，驗證設定為以可逆轉格式儲存的密碼。

  • 本機系統管理帳戶管理曝險指標 (IoE) — 新支援新版 Microsoft 本機管理員密碼解決方案 (LAPS)，並導入一個名為「已安裝 LAPS 版本」的新選項，同時根據使用者的選擇驗證 LAPS 版本的設定。

Tenable Identity Exposure 3.65 版包含下列錯誤修正：

Tenable Identity Exposure 3.64 版包含下列錯誤修正：

• 攻擊指標：攻擊指標憑證傾印：LSASS 記憶體和 NTDS 擷取中的「獲允許的處理程序」選項包含已知會引發誤報的處理程序。

Tenable Identity Exposure 3.63 版包含下列錯誤修正：