Honey Accounts
Un Honey Account (Compte leurre) est un compte dont le seul but est de détecter un attaquant qui tenterait de compromettre le réseau via Active Directory.
Il s'agit d'une condition préalable pour que l'indicateur d'attaque de Tenable Identity Exposure détecte les tentatives d'exploitation Kerberoasting qui cherchent à accéder aux comptes de service en demandant et en extrayant des tickets de service, puis en déchiffrant les identifiants du compte de service hors ligne. L'indicateur d'attaque Kerberoasting envoie des alertes lorsque le Honey Account reçoit des tentatives de connexion ou des demandes de tickets.
Vous associez un Honey Account à chaque domaine. Les Honey Accounts ne sont pas liés aux profils de sécurité.
-
Dans Tenable Identity Exposure, cliquez sur Systèmes > Gestion des domaines.
Le volet Gestion des domaines apparaît.
-
Survolez le domaine pour lequel vous souhaitez ajouter un Honey Account.
-
Sous Statut de configuration du Honey Account, cliquez sur +.
Le volet Ajouter un Honey Account apparaît.
-
Dans la zone Nom, saisissez le nom distinctif (DN) du compte utilisateur à utiliser comme Honey Account.
Conseil : vous pouvez saisir n'importe quelle chaîne. Tenable Identity Exposure recherche et affiche les noms de compte utilisateur correspondants dans la zone déroulante si ce compte utilisateur existe déjà dans Active Directory.
-
Dans la section Déploiement, Tenable Identity Exposure génère un script avec les paramètres appropriés à exécuter pour déployer le Honey Account. Cliquez sur pour copier ce script.
-
Cliquez sur Ajouter.
Un message apparaît pour confirmer que Tenable Identity Exposure a ajouté le Honey Account. Dans le volet Gestion des domaines, le statut de configuration du Honey Account du domaine sélectionné apparaît en orange () pour signaler que vous devez exécuter le script de déploiement du Honey Account pour l'activer.
Remarque : si le statut de configuration du Honey Account est rouge (), cela indique que Tenable Identity Exposure n'a pas trouvé ce compte utilisateur dans Active Directory. Vous devez créer ce compte utilisateur et passer à l'étape suivante.
-
Dans un terminal Windows PowerShell sur une machine pourvue du module Active Directory, exécutez le script de déploiement de Honey Account que vous avez copié.
Dans le volet Gestion des domaines, le statut de configuration du Honey Account du domaine sélectionné apparaît est en vert () pour signaler qu'il est actif.
Remarque : Tenable Identity Exposure peut prendre un certain temps pour traiter et activer le Honey Account.
-
Dans Tenable Identity Exposure, cliquez sur Systèmes > Gestion des domaines.
Le volet Gestion des domaines apparaît.
-
Survolez le domaine pour lequel vous souhaitez ajouter un Honey Account.
-
Sous Statut de configuration du Honey Account, cliquez sur l'icône sur la droite.
Le volet Modifier un Honey Account apparaît.
-
Dans la zone Nom, modifiez le compte utilisateur selon vos besoins.
-
Dans la section Déploiement, cliquez sur pour copier le script de déploiement de Honey Account.
-
Cliquez sur Modifier.
Un message confirme que Tenable Identity Exposure a mis à jour le Honey Account. Dans le volet Gestion des domaines, le statut de configuration du Honey Account du domaine sélectionné apparaît en orange () pour signaler que vous devez exécuter le script de déploiement du Honey Account pour l'activer.
Remarque : si le statut de configuration du Honey Account est rouge (), cela indique que Tenable Identity Exposure n'a pas trouvé ce compte utilisateur dans Active Directory. Vous devez créer ce compte utilisateur et passer à l'étape suivante.
-
Dans un terminal Windows PowerShell sur une machine pourvue du module Active Directory, exécutez le script de déploiement de Honey Account que vous avez copié.
Dans le volet Gestion des domaines, le statut de configuration du Honey Account du domaine sélectionné apparaît en vert () pour signaler qu'il est configuré.
Remarque : Tenable Identity Exposure peut prendre un certain temps pour traiter et activer le Honey Account.
-
Dans Tenable Identity Exposure, cliquez sur Systèmes > Gestion des domaines.
Le volet Gestion des domaines apparaît.
-
Survolez le domaine pour lequel vous souhaitez ajouter un Honey Account.
-
Sous Statut de configuration du Honey Account, cliquez sur l'icône sur la droite.
Le volet Modifier un Honey Account apparaît.
-
Cliquez sur Supprimer.
Un message confirme que Tenable Identity Exposure a supprimé le Honey Account.
Voir aussi