Script d'installation des indicateurs d'attaque

Exécuter le script d'installation des IoA

Pour exécuter le script IoA :

1. Ouvrez PowerShell en tant qu'administrateur, accédez au répertoire du script, ajustez la stratégie d'exécution et exécutez le script :

   Copier

   .\Register-TenableIOA.ps1
   

2. Saisissez les paramètres pertinents pour votre configuration :

   Paramètre	Description
   GPODisplayName	Nom d'affichage de la GPO utilisée pour créer la tâche qui enregistre l'observateur d'événements. Valeur par défaut : Tenable.ad.
   TemporaryFolderLocation	Dossier temporaire utilisé pour stocker la sauvegarde de la GPO pendant le déploiement. Valeur par défaut : %TEMP%\Tenable.ad\.
   DomainControllerAddress	Nom de domaine complet (FQDN) ou adresse IP du contrôleur de domaine sur lequel est effectué le déploiement. Indiquez si le script est exécuté à partir d'un serveur ou d'un poste de travail qui n'est pas un contrôleur de domaine. En cas d'omission, les informations du domaine sont récupérées à partir de la machine locale.
   DomainControllerOU	Nom distinctif de l'unité d'organisation contenant vos contrôleurs de domaine. Renseignez ce paramètre si vos contrôleurs de domaine ont été déplacés hors de l'unité d'organisation par défaut. Exemple : OU=Domain Controllers,DC=ROOT,DC=DOMAIN.
   TenableServiceAccount	Nom du compte de service utilisé par Tenable Identity Exposure, qui nécessite une autorisation explicite pour la lecture des stratégies de groupe.
   Uninstall	Désinstalle l'observateur d'événements et le WMI Active Script Consumer pour interrompre la collecte des journaux d'événements. Valeur par défaut : false.
   ConfigurationFileLocation	Chemin d'accès au fichier qui sera utilisé pour mettre à jour la configuration de la GPO.
   Target	Liste séparée par des virgules des contrôleurs de domaine ciblés par ce script d'enregistrement. Exemple : DC-ROOT1,DC-ROOT2. Ce paramètre est facultatif. Conseil : si ce paramètre est utilisé, assurez-vous que la liste inclut le PDCE ; sinon, le déploiement des IoA échouera.
   CleaningGPODisplayName	Nom d'affichage de la GPO utilisée pour créer la tâche de nettoyage qui supprime l'observateur d'événements et le WMI Active Script Consumer. Valeur par défaut : Tenable.ad cleaning.
   EventLogsFileWriteFrequency	Fréquence (en secondes) à laquelle le fichier journal d'événements est généré en mode DFSR pour les contrôleurs de domaine non-PDCE. Valeur par défaut : 15 secondes. Valeur maximale : 300 secondes (5 minutes). Paramètre facultatif.
   SmbShareLocation	Chemin d'accès au disque (absolu) de l'emplacement du partage SMB lors de l'exécution sur le PDCE en mode « Partage SMB dédié ». Ce dossier est géré par Tenable Identity Exposure. Valeur par défaut : C:\Tenable\IdentityExposure\IOALogs. Paramètre facultatif.
   UseXmlEventRender	Active le rendu d'événements basé sur XML pour les observateurs. Cette méthode est plus lente mais plus stable que le moteur de rendu basé sur les valeurs. Ce paramètre est désactivé par défaut.

Objet de stratégie de groupe

Après avoir téléchargé et exécuté le fichier d'installation des indicateurs d'attaque (IoA), le script IoA crée un objet de stratégie de groupe (GPO) qui s'appelle Tenable.ad par défaut dans la base de données Active Directory (AD). Le système lie la GPO Tenable Identity Exposure uniquement à l'unité d'organisation (OU) des contrôleurs de domaine qui contient tous les contrôleurs de domaine (DC). La nouvelle stratégie se réplique automatiquement entre tous les DC en utilisant le mécanisme GPO.

Voir aussi

• Installer des indicateurs d'attaque

• Modifications techniques et impact potentiel