Script d'installation des indicateurs d'attaque
Après avoir téléchargé et exécuté le fichier d'installation des indicateurs d'attaque (IoA), le script IoA crée un objet de stratégie de groupe (GPO) qui s'appelle Tenable.ad par défaut dans la base de données Active Directory (AD). Le système lie la GPO Tenable Identity Exposure uniquement à l'unité d'organisation (OU) des contrôleurs de domaine qui contient tous les contrôleurs de domaine (DC). La nouvelle stratégie se réplique automatiquement entre tous les DC en utilisant le mécanisme GPO.
Script d'installation (Tenable Identity Exposure v. 3.29 et versions ultérieures)
La GPO contient des scripts PowerShell que tous les DC exécutent localement pour collecter des données d'intérêt, comme suit :
-
Le script configure un observateur de journaux d'événements sur chaque contrôleur de domaine à l'aide de l'API Windows EvtSubscribe. Le script permet de s'abonner à chaque canal de journal d'événements nécessaire, comme spécifié dans le fichier de configuration TenableADventsListenerConfiguration.json, en soumettant une demande et un rappel déclenché par EvtSubscribe pour chaque journal d'événements correspondant.
-
L'observateur d'événements reçoit les journaux d'événements et les place en mémoire tampon avant de les vider régulièrement dans un fichier stocké dans un partage réseau appelé Sysvol. Chaque DC se connecte à un fichier Sysvol unique qui stocke les événements collectés et le réplique sur d'autres contrôleurs de domaine.
-
Le script crée également un consommateur WMI pour que ce mécanisme persiste en réenregistrant l'abonné à l'événement lorsqu'un DC redémarre. WMI notifie le consommateur chaque fois qu'un contrôleur de domaine redémarre, afin de permettre au consommateur de réenregistrer l'observateur d'événements.
-
À ce stade, la réplication du système de fichiers distribués (DFS) se produit et synchronise automatiquement les fichiers entre les contrôleurs de domaine. La plateforme de Tenable Identity Exposure écoute le trafic de réplication DFS entrant et utilise ces données pour collecter des événements, exécuter une analyse de sécurité, puis générer des alertes IoA.
Récupération de données locales
Les journaux d'événements Windows enregistrent tous les événements qui se produisent dans le système d'exploitation et ses applications. Les journaux d'événements utilisent un ensemble de composants intégrés à Windows.
À l'aide de l'API EvtSubscribe, l'observateur des journaux d'événements IoA Tenable Identity Exposure ne collecte que les segments de données utiles sous forme de chaînes d'insertion qu'il extrait des journaux d'événements. Tenable Identity Exposure écrit ces chaînes d'insertion dans un fichier stocké dans le dossier Sysvol et les réplique via le moteur DFS. Ainsi, Tenable Identity Exposure collecte à partir des journaux d'événements la juste quantité de données de sécurité nécessaire pour exécuter une analyse et détecter les attaques.
Résumé du script IoA
Le tableau suivant offre un aperçu du déploiement du script Tenable Identity Exposure.
| Étapes | Description | Composant impliqué | Action technique |
|---|---|---|---|
| 1 | Enregistrer le déploiement IoA de Tenable Identity Exposure | Gestion GPO | Crée la GPO Tenable.ad (nom par défaut) et la lie à l'OU Contrôleurs de domaine. |
| 2 | Lancer le déploiement de l'IoA de Tenable Identity Exposure sur le DC | Système local du DC | Chaque DC détecte la nouvelle GPO à appliquer, en fonction de la réplication AD et des intervalles d'actualisation de la stratégie de groupe. |
| 3 | Contrôler l'état de la politique de journalisation avancée | Système local du DC | Le système active la stratégie de journalisation avancée en définissant la clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy. |
| 4 | Mettre à jour la stratégie de journalisation locale | Système local du DC | En fonction des IoA à détecter, Tenable Identity Exposure génère et active de manière dynamique des stratégies d'audit spécifiques. Cette stratégie ne désactive aucune stratégie de journalisation existante ; elle les enrichit uniquement si nécessaire. S'il détecte un conflit, le script d'installation de la GPO s'arrête et affiche le message « Tenable Identity Exposure requires the audit policy “...” but the current AD configuration prevents its usage » (Tenable.ad requiert la stratégie d'audit “...”, mais la configuration AD actuelle empêche son utilisation). |
| 5 | Inscrire un observateur d'événements et un producteur WMI | Système local du DC | Le système enregistre et exécute le script contenu dans la GPO. Ce script exécute un processus PowerShell pour s'abonner aux journaux d'événements à l'aide de l'API EvtSubscribe et pour créer une instance d'ActiveScriptEventConsumer à des fins de persistance. Tenable Identity Exposure utilise ces objets pour recevoir et stocker le contenu des journaux d'événements. |
| 6 | Collecter les messages des journaux d'événements | Système local du DC |
Tenable Identity Exposure capture les messages pertinents du journal des événements, les met régulièrement en mémoire tampon et les enregistre dans des fichiers (un par DC) stockés dans le dossier Sysvol associé à la GPO Tenable Identity Exposure (...{GPO_GUID}\Machine\IOA<nom_DC>). |
| 7 | Répliquer les fichiers dans le dossier DC SYSVOL déclaré | Active Directory | À l'aide du DFS, l'infrastructure AD réplique les fichiers dans le domaine – plus précisément, dans le DC déclaré. La plateforme Tenable Identity Exposure reçoit une notification pour chaque fichier et lit son contenu. |
| 8 | Remplacer ces fichiers | Active Directory | Chaque contrôleur de domaine écrit automatiquement et en continu les événements régulièrement mis en mémoire tampon dans le même fichier. |
Script d'installation (Tenable Identity Exposure v. 3.19.11 et versions antérieures)
La GPO contient des scripts PowerShell que tous les DC exécutent localement pour collecter des données d'intérêt, comme suit :
-
Le script configure un observateur d'événements et un producteur/consommateur WMI (Windows Management Instrumentation) dans la mémoire de la machine. WMI est un composant Windows qui fournit des informations sur le statut des systèmes informatiques locaux ou distants.
-
L'observateur d'événements reçoit les journaux d'événements et les place en mémoire tampon avant de les vider régulièrement dans un fichier stocké dans un partage réseau appelé Sysvol. Chaque DC se connecte à un fichier Sysvol unique qui stocke les événements collectés et le réplique sur d'autres contrôleurs de domaine.
-
Le consommateur WMI rend ce mécanisme persistant en enregistrant à nouveau l'observateur d'événements lorsqu'un DC redémarre. Le producteur s'active et notifie le consommateur chaque fois qu'un DC redémarre. Par conséquent, le consommateur enregistre à nouveau l'observateur d'événements.
-
À ce stade, la réplication du système de fichiers distribués (DFS) se produit et synchronise automatiquement les fichiers entre les contrôleurs de domaine. La plateforme de Tenable Identity Exposure écoute le trafic de réplication DFS entrant et utilise ces données pour collecter des événements, exécuter une analyse de sécurité, puis générer des alertes IoA.
Récupération de données locales
Les journaux d'événements Windows enregistrent tous les événements qui se produisent dans le système d'exploitation et ses applications. Les journaux d'événements, appelés Event Tracing for Windows (ETW), utilisent un ensemble de composants intégrés dans Windows. ETW se trouve dans le noyau et produit des données stockées localement sur les DC et qui ne sont pas répliquées par les protocoles AD.
En utilisant le moteur WMI, Tenable Identity Exposure ne collecte que les segments de données ETW utiles sous forme de chaînes d'insertion qu'il extrait des journaux d'événements. Tenable Identity Exposure écrit ces chaînes d'insertion dans un fichier stocké dans le dossier Sysvol et les réplique via le moteur DFS. Ainsi, Tenable Identity Exposure peut collecter juste la bonne quantité de données de sécurité à partir d'ETW pour exécuter une analyse de sécurité et détecter les attaques.
Résumé du script IoA
Le tableau suivant offre un aperçu du déploiement du script Tenable Identity Exposure.
| Étapes | Description | Composant impliqué | Action technique |
|---|---|---|---|
| 1 | Enregistrer le déploiement IoA de Tenable Identity Exposure | Gestion GPO | Crée la GPO Tenable.ad (nom par défaut) et la lie à l'OU Contrôleurs de domaine. |
| 2 | Lancer le déploiement de l'IoA de Tenable Identity Exposure sur le DC | Système local du DC | Chaque DC détecte la nouvelle GPO à appliquer, en fonction de la réplication AD et des intervalles d'actualisation de la stratégie de groupe. |
| 3 | Inscrire un observateur d'événements et un producteur/consommateur WMI | Système local du DC | Le système enregistre et exécute une tâche immédiate. Cette tâche exécute un processus PowerShell pour créer des instances ManagementEventWatcher et ActiveScriptEventConsumer. Tenable Identity Exposure utilise ces objets pour recevoir et stocker les messages ETW. |
| 4 | Contrôler l'état de la politique de journalisation avancée | Système local du DC | Le système active la stratégie de journalisation avancée en définissant la clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy. |
| 5 | Mettre à jour la stratégie de journalisation locale | Système local du DC | En fonction des IoA à détecter, Tenable Identity Exposure génère et active de manière dynamique une stratégie de journalisation avancée. Cette stratégie ne désactive aucune stratégie de journalisation existante ; elle les enrichit uniquement si nécessaire. S'il détecte un conflit, le script d'installation de la GPO s'arrête et affiche le message « Tenable Identity Exposure requires the audit policy “...” but the current AD configuration prevents its usage » (Tenable.ad requiert la stratégie d'audit “...”, mais la configuration AD actuelle empêche son utilisation). |
| 6 | Collecter les messages ETW | Système local du DC |
Tenable Identity Exposure capture les messages ETW pertinents, les met régulièrement en mémoire tampon et les enregistre dans des fichiers (un par DC) stockés dans le dossier Sysvol associé à la GPO Tenable Identity Exposure (...{GPO_GUID}\Machine\IOA<nom_DC>). |
| 7 | Répliquer les fichiers vers la plateforme Tenable Identity Exposure | Active Directory | À l'aide du DFS, l'infrastructure AD réplique les fichiers dans le domaine. La plateforme Tenable Identity Exposure reçoit également les fichiers. |
| 8 | Remplacer ces fichiers | Active Directory | Chaque contrôleur de domaine écrit automatiquement et en continu les événements régulièrement mis en mémoire tampon dans le même fichier. |
Voir aussi