Installer des indicateurs d'attaque

Rôle utilisateur requis : utilisateur d'organisation disposant des autorisations pour modifier la configuration des indicateurs d'attaqueTenable Identity Exposure. Pour plus d'informations, voir Définir les autorisations d'un rôle.

Le module Indicateurs d'attaque (IoA) de Tenable Identity Exposure nécessite d'exécuter un script d'installation PowerShell avec un compte d'administrateur capable de créer et de lier une nouvelle stratégie de groupe (GPO) à une unité d'organisation (UO). Vous pouvez exécuter ce script à partir de n'importe quelle machine jointe à votre domaine Active Directory que Tenable Identity Exposure surveille et qui peut atteindre les contrôleurs de domaine via le réseau.

Remarque : vous devez redéployer le script d'installation des IoA à chaque nouvelle version majeure de Tenable Identity Exposure.
Remarque : la version recommandée de PowerShell est la version 5.1.

Vous n'avez à exécuter ce script d'installation qu'une seule fois pour chaque domaine AD, car la GPO nouvellement créée déploie automatiquement l'observateur d'événements sur tous les contrôleurs de domaine (DC) existants et nouveaux.

De plus, l'activation de l'option « Mises à jour automatiques » évite d'avoir à réexécuter le script d'installation, même si vous modifiez la configuration de l'IoA.

  1. Dans Tenable Identity Exposure, cliquez sur Systèmes dans la barre de menu de gauche et sélectionnez l'onglet Configuration.

    Le volet Configuration apparaît.

  2. Cliquez sur Indicateurs d'attaque.

    Le volet de configuration IoA apparaît.

  3. Dans (1) Configuration des domaines, cliquez sur Voir la procédure.

    Une fenêtre de procédure apparaît.

  4. Sous Futures mises à jour automatiques ? :

    • L'option par défaut Activer permet à Tenable Identity Exposure de mettre automatiquement à jour votre configuration IoA chaque fois que vous la modifiez dans Tenable Identity Exposure à l'avenir. Cela permet également d'analyser la sécurité en continu.

    • Si vous désactivez cette option, un message vous demande de l'activer pour obtenir les futures mises à jour automatiques. Cliquez sur Voir la procédure et cliquez sur le curseur pour le passer sur Activer.

  1. Cliquez sur Télécharger pour télécharger le script à exécuter pour chaque domaine (Register-TenableIOA.ps1).

  2. Cliquez sur Télécharger pour télécharger le fichier de configuration des domaines (TadIoaConfig-AllDomains.json).

  1. Cliquez sur pour copier la commande Powershell permettant de configurer vos domaines.

  1. Cliquez en dehors de la fenêtre de procédure pour la fermer.

  1. Ouvrez un terminal PowerShell avec des droits d'administration et exécutez les commandes pour configurer les contrôleurs de domaine pour les IoA.

    Remarque : le compte de service que vous utilisez pour installer les IoA et pour interroger les domaines doit disposer d'autorisations d'écriture dans le dossier GPO Tenable Identity Exposure (anciennement Tenable.ad). Le script d'installation ajoute cette autorisation automatiquement. Si vous supprimez cette autorisation, Tenable Identity Exposure affiche un message d'erreur, et les mises à jour automatiques ne fonctionnent plus. Pour plus d'informations, voir Script d'installation des indicateurs d'attaque.

  1. Dans le volet de configuration des IoA, sous Configuration IoA, sélectionnez les IoA à placer dans votre configuration.

    Conseil : l'indicateur d'attaque (IoA) Zerologon Exploitation date de 2020. Si tous vos contrôleurs de domaine (DC) ont reçu des mises à jour au cours des trois dernières années, ils sont protégés contre cette vulnérabilité. Pour déterminer les correctifs requis pour sécuriser vos DC contre cette vulnérabilité, consultez les informations fournies par Microsoft dans Vulnérabilité d'élévation de privilège Netlogon. Une fois que vous avez confirmé la sécurité de vos DC, vous pouvez désactiver cet IoA en toute sécurité pour éviter des alertes inutiles.

  2. Cliquez sur Enregistrer.

    • Si vous avez activé les mises à jour automatiques futures, Tenable Identity Exposure enregistre et met automatiquement à jour votre nouvelle configuration. Attendez quelques minutes pour que cette mise à jour prenne effet.

    • Si vous n'avez pas activé les mises à jour automatiques futures, une fenêtre de procédure apparaît pour vous guider Pour configurer des domaines pour les IoA :

  1. Dans la gestion des stratégies de groupe, vérifiez que la nouvelle GPO Tenable Identity Exposure existe et qu'elle est liée à l'OU Contrôleurs de domaine :

  2. Accédez au chemin C:\Windows\SYSVOL\sysvol\alsid.corp\Policies\{GUID}\Machine\IOA et vérifiez que le fichier .gz existe pour tous les contrôleurs de domaine avant de tester les IoA :

  1. Dans le gestionnaire de fichiers, accédez à \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\Machine\.

  1. Cliquez avec le bouton droit sur le dossier « IOA » et sélectionnez Propriétés.

  2. Sélectionnez l'onglet Sécurité et cliquez sur Avancé.

  3. Cliquez sur l'onglet Accès effectif.

  4. Cliquez sur Sélectionner un utilisateur.

  5. Saisissez <TENABLE-SERVICE-ACCOUNT-NAME> et cliquez sur OK.

  6. Cliquez sur Afficher l'accès effectif.

  7. Vérifiez que l'autorisation « Écriture » est activée.

Vous pouvez également utiliser Powershell :

  • Exécutez les commandes suivantes :

Copier 
Install-Module -Name NTFSSecurity -RequiredVersion 4.2.3
Copier 
Get-NTFSEffectiveAccess -Path \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\IOA\ -Account <TENABLE-SERVICE-ACCOUNT-NAME>

Pour éviter de recevoir des faux positifs pour les attaques ou de ne pas pouvoir détecter les vraies attaques, vous devez calibrer vos IoA en fonction de votre environnement, les adapter à la taille de votre infrastructure Active Directory, mettre les outils connus sur liste blanche, etc.

  1. Voir le Guide de référence des indicateurs d'attaque Tenable Identity Exposure pour plus d'informations sur les options et les valeurs recommandées à sélectionner.

  2. Dans le profil de sécurité, appliquez les options et les valeurs à chaque IoA comme décrit dans Personnaliser un indicateur.

Les messages d'erreur suivants peuvent apparaître pendant le déploiement :

Message Remédiation
« Tenable Identity Exposure cannot write to the configuration file because the target folder <targetFolder> does not exist. This indicates that the IoA module deployment may have failed. » (Tenable.ad ne peut pas écrire dans le fichier de configuration car le dossier cible <targetFolder> n'existe pas. Cette situation indique que le déploiement du module IoA a peut-être échoué.) Désinstallez le script et cliquez sur « Voir la procédure » pour obtenir des instructions sur la réinstallation du script.
« Tenable Identity Exposure could not write to the configuration file located on <targetFile> to update it. This can be due to another process locking the file or permission changes. » (Tenable.ad n'a pas pu écrire dans le fichier de configuration situé sur <targetFile> pour le mettre à jour. Cette situation peut être due au fait qu'un autre processus a verrouillé le fichier ou à des modifications d'autorisations.)

  • Vérifiez qu'aucun autre processus que le module IoA n'utilise le fichier de configuration.

  • Vérifiez que le compte de service est autorisé à modifier le contenu du fichier.

  • Si vous ne souhaitez pas accorder d'autorisation au compte de service, désactivez le curseur « Mises à jour automatiques » et cliquez sur « Voir la procédure » pour savoir comment effectuer une mise à jour manuelle chaque fois que vous modifiez votre configuration IoA.
« The target folder <targetFolder> contains a version of Tenable Identity Exposure that cannot run automatic updates. » (Le dossier cible <targetFolder> contient une version de Tenable.ad qui ne peut pas exécuter de mises à jour automatiques.) Le script actuellement installé est une ancienne version utilisant WMI. Désinstallez la version actuelle, téléchargez un nouveau script d'installation et exécutez ce script.
« The configuration file deployment ran into an unexpected error. » (Le déploiement du fichier de configuration a rencontré une erreur inattendue.) Désinstallez le script et cliquez sur « Voir la procédure » pour obtenir des instructions sur la réinstallation du script. Si l'opération échoue, contactez votre représentant du support client.

Pour plus d'informations, voir :