Modifications techniques et impact potentiel

Le script d'installation du module Indicateurs d'attaque (IoA) crée une GPO qui applique les changements suivants de manière transparente sur les DC surveillés :

  • Création d'une nouvelle GPO, nommée « Tenable.ad » par défaut et liée à l'unité d'organisation (UO) du contrôleur de domaine par défaut.

  • Modification d'une clé de registre pour activer la stratégie de journalisation Microsoft Advanced.

  • Activation d'une nouvelle stratégie de journal des événements pour obliger les contrôleurs de domaine à générer les informations ETW requises par les IoA.

    Remarque : la stratégie Journal des événements est obligatoire pour que le moteur ETW puisse générer les chaînes d'insertion requises par Tenable Identity Exposure. Cette stratégie ne désactive aucune stratégie de journalisation existante, mais y ajoute des informations. En cas de conflit, le script de déploiement s'arrête avec un message d'erreur.
  • Ajout d'une autorisation d'écriture pour le compte de service Tenable Identity Exposure qui permet les « mises à jour automatiques » de la configuration IoA stockée dans le dossier GPO.

Limitation et impacts potentiels

Le module Indicateur d'attaque (IoA) peut poser les limitations suivantes :

  • Le module IoA utilise les données ETW et fonctionne dans les limites définies par Microsoft.

  • La GPO installée doit être répliquée sur l'ensemble du domaine, et le délai d'actualisation de la GPO doit s'écouler pour que le processus d'installation soit terminé. Pendant cette période de réplication, des faux positifs et des faux négatifs peuvent se produire, même si Tenable Identity Exposure réduit cet effet en ne lançant pas immédiatement les vérifications dans le moteur d'indicateur d'attaque.

  • Tenable utilise le partage de fichiers SYSVOL pour récupérer les informations ETW des contrôleurs de domaine. Lors de la réplication de SYSVOL sur tous les contrôleurs du domaine, une augmentation significative de l'activité de réplication apparaît pendant un pic élevé d'activité Active Directory.

  • La réplication des fichiers entre les contrôleurs de domaine et Tenable Identity Exposure consomme également de la bande passante réseau. Tenable Identity Exposure contrôle ces impacts avec la suppression automatique des fichiers qu'il collecte et limite la taille de ces fichiers (500 Mo maximum par défaut.)

  • Problèmes de réplication lente ou interrompue du système de fichiers distribués (DFS). Pour plus d'informations, voir Atténuation des problèmes liés à la réplication DFS.

Voir aussi