Installer des indicateurs d'attaque

Rôle utilisateur requis : utilisateur d'organisation disposant des autorisations pour modifier la configuration des indicateurs d'attaqueTenable Identity Exposure. Pour plus d'informations, voir Définir les autorisations d'un rôle.

Le module Indicateurs d'attaque (IoA) de Tenable Identity Exposure nécessite d'exécuter un script d'installation PowerShell avec un compte d'administrateur capable de créer et de lier une nouvelle stratégie de groupe (GPO) à une unité d'organisation (UO). Vous pouvez exécuter ce script à partir de n'importe quelle machine jointe à votre domaine Active Directory que Tenable Identity Exposure surveille et qui peut atteindre les contrôleurs de domaine via le réseau.

Remarque : la version recommandée de PowerShell est la version 5.1.

Vous n'avez à exécuter ce script d'installation qu'une seule fois pour chaque domaine AD, car la GPO nouvellement créée déploie automatiquement l'observateur d'événements sur tous les contrôleurs de domaine (DC) existants et nouveaux.

De plus, les « Mises à jour automatiques » sont une fonctionnalité qui vous permet d'activer ou de désactiver automatiquement un IoA existant sans avoir à le redéployer manuellement. Notez que cette fonctionnalité ne met pas automatiquement à jour le contenu de l'IoA lui-même. Pour obtenir la dernière version d'un IoA, vous devez toujours le redéployer.

  1. Dans Tenable Identity Exposure, cliquez sur Systèmes dans la barre de menu de gauche et sélectionnez l'onglet Configuration.

    Le volet Configuration apparaît.

  2. Cliquez sur Indicateurs d'attaque.

    Le volet de configuration IoA apparaît.

  3. Dans (1) Configuration des domaines, cliquez sur Voir la procédure.

    Une fenêtre de procédure apparaît.

  4. Sous Futures mises à jour automatiques ? :

    • L'option par défaut Activer permet à Tenable Identity Exposure de mettre automatiquement à jour votre configuration IoA chaque fois que vous la modifiez dans Tenable Identity Exposure à l'avenir. Cela permet également d'analyser la sécurité en continu.

    • Si vous désactivez cette option, un message vous demande de l'activer pour obtenir les futures mises à jour automatiques. Cliquez sur Voir la procédure et cliquez sur le curseur pour le passer sur Activer.

  1. Cliquez sur Télécharger pour télécharger le script à exécuter pour chaque domaine (Register-TenableIOA.ps1).

  2. Cliquez sur Télécharger pour télécharger le fichier de configuration des domaines (TadIoaConfig-AllDomains.json).

  1. Cliquez sur pour copier la commande Powershell permettant de configurer vos domaines.

  1. Cliquez en dehors de la fenêtre de procédure pour la fermer.

  1. Ouvrez un terminal PowerShell avec des droits d'administration et exécutez les commandes pour configurer les contrôleurs de domaine pour les IoA.

    Remarque : le compte de service que vous utilisez pour installer les IoA et pour interroger les domaines doit disposer d'autorisations d'écriture dans le dossier GPO Tenable Identity Exposure (anciennement Tenable.ad). Le script d'installation ajoute cette autorisation automatiquement. Si vous supprimez cette autorisation, Tenable Identity Exposure affiche un message d'erreur, et les mises à jour automatiques ne fonctionnent plus. Pour plus d'informations, voir Script d'installation des indicateurs d'attaque.

  1. Dans (2) Configuration de la collecte d'événements, cliquez sur Ouvrir la configuration.

    Une fenêtre de configuration apparaît.

  1. Sous Délai de recherche, déplacez le curseur pour sélectionner la durée de la collecte d'événements avant le déclenchement d'une analyse de sécurité.

  2. Sous Technologie de partage, cliquez sur la flèche déroulante pour sélectionner l'une des options suivantes :

    • Partage SMB dédié — Tenable Identity Exposure crée le partage SMB sur votre émulateur de contrôleur de domaine principal (PDCe), et tous les contrôleurs de domaine écrivent directement sur ce partage SMB. Pour connaître les prérequis pour utiliser ce mode, voir Déploiement des indicateurs d'attaque.

    • Partage SYSVOL intégré — Les fichiers journaux d'événements stockés sur le partage SYSVOL seront disponibles sur tous les contrôleurs de domaine dans le cadre du mécanisme DFSR.

      Remarque : après l'installation du module IoA, vous pouvez basculer entre les modes SMB et SYSVOL à tout moment, à condition de respecter les prérequis pour le mode SMB comme indiqué dans Déploiement des indicateurs d'attaque.

      Remarque : deux vérifications de l'état du système vous aident à évaluer l'état des modules IoA. Pour plus d'informations, voir Vérifications de l'état du système.

  1. Cliquez sur Enregistrer la configuration.

  1. Dans le volet de configuration des IoA, sous Configuration IoA, sélectionnez les IoA à placer dans votre configuration.

    Conseil : l'indicateur d'attaque (IoA) Zerologon Exploitation date de 2020. Si tous vos contrôleurs de domaine (DC) ont reçu des mises à jour au cours des trois dernières années, ils sont protégés contre cette vulnérabilité. Pour déterminer les correctifs requis pour sécuriser vos DC contre cette vulnérabilité, consultez les informations fournies par Microsoft dans Vulnérabilité d'élévation de privilège Netlogon. Une fois que vous avez confirmé la sécurité de vos DC, vous pouvez désactiver cet IoA en toute sécurité pour éviter des alertes inutiles.

  2. Cliquez sur Enregistrer.

    • Si vous avez activé les mises à jour automatiques futures, Tenable Identity Exposure enregistre et met automatiquement à jour votre nouvelle configuration. Attendez quelques minutes pour que cette mise à jour prenne effet.

    • Si vous n'avez pas activé les mises à jour automatiques futures, une fenêtre de procédure apparaît pour vous guider Pour configurer des domaines pour les IoA :

  1. Dans la gestion des stratégies de groupe, vérifiez que la nouvelle GPO Tenable Identity Exposure existe et qu'elle est liée à l'OU Contrôleurs de domaine :

  2. Accédez au chemin C:\Windows\SYSVOL\sysvol\alsid.corp\Policies\{GUID}\Machine\IOA et vérifiez que le fichier .gz existe pour tous les contrôleurs de domaine avant de tester les IoA :

  1. Dans le gestionnaire de fichiers, accédez à \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\Machine\.

  1. Effectuez un clic droit sur le fichier TenableADEventsListener Configuration.json et sélectionnez Propriétés.

  2. Sélectionnez l'onglet Sécurité et cliquez sur Avancé.

  3. Cliquez sur l'onglet Accès effectif.

  4. Cliquez sur Sélectionner un utilisateur.

  5. Saisissez <TENABLE-SERVICE-ACCOUNT-NAME> et cliquez sur OK.

  6. Cliquez sur Afficher l'accès effectif.

  7. Vérifiez que l'autorisation « Écriture » est active pour le compte de service Tenable.

Vous pouvez également utiliser Powershell :

  • Exécutez les commandes suivantes :

Copier 
Install-Module -Name NTFSSecurity -RequiredVersion 4.2.3
Copier 
Get-NTFSEffectiveAccess -Path \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\IOA\ -Account <TENABLE-SERVICE-ACCOUNT-NAME>

Pour éviter de recevoir des faux positifs pour les attaques ou de ne pas pouvoir détecter les vraies attaques, vous devez calibrer vos IoA en fonction de votre environnement, les adapter à la taille de votre infrastructure Active Directory, mettre les outils connus sur liste blanche, etc.

  1. Voir le Guide de référence des indicateurs d'attaque Tenable Identity Exposure pour plus d'informations sur les options et les valeurs recommandées à sélectionner.

  2. Dans le profil de sécurité, appliquez les options et les valeurs à chaque IoA comme décrit dans Personnaliser un indicateur.

Les messages d'erreur suivants peuvent apparaître pendant le déploiement :

Message Remédiation
« Tenable Identity Exposure cannot write to the configuration file because the target folder <targetFolder> does not exist. This indicates that the IoA module deployment may have failed. » (Tenable.ad ne peut pas écrire dans le fichier de configuration car le dossier cible <targetFolder> n'existe pas. Cette situation indique que le déploiement du module IoA a peut-être échoué.) Désinstallez le script et cliquez sur « Voir la procédure » pour obtenir des instructions sur la réinstallation du script.
« Tenable Identity Exposure could not write to the configuration file located on <targetFile> to update it. This can be due to another process locking the file or permission changes. » (Tenable.ad n'a pas pu écrire dans le fichier de configuration situé sur <targetFile> pour le mettre à jour. Cette situation peut être due au fait qu'un autre processus a verrouillé le fichier ou à des modifications d'autorisations.)

  • Vérifiez qu'aucun autre processus que le module IoA n'utilise le fichier de configuration.

  • Vérifiez que le compte de service est autorisé à modifier le contenu du fichier.

  • Si vous ne souhaitez pas accorder d'autorisation au compte de service, désactivez le curseur « Mises à jour automatiques » et cliquez sur « Voir la procédure » pour savoir comment effectuer une mise à jour manuelle chaque fois que vous modifiez votre configuration IoA.
« The target folder <targetFolder> contains a version of Tenable Identity Exposure that cannot run automatic updates. » (Le dossier cible <targetFolder> contient une version de Tenable.ad qui ne peut pas exécuter de mises à jour automatiques.) Le script actuellement installé est une ancienne version utilisant WMI. Désinstallez la version actuelle, téléchargez un nouveau script d'installation et exécutez ce script.
« The configuration file deployment ran into an unexpected error. » (Le déploiement du fichier de configuration a rencontré une erreur inattendue.) Désinstallez le script et cliquez sur « Voir la procédure » pour obtenir des instructions sur la réinstallation du script. Si l'opération échoue, contactez votre représentant du support client.

Pour plus d'informations, voir :