Script d'installation des indicateurs d'attaque

Configurer des exclusions EDR pour le déploiement des IoA

Pour assurer la réussite du déploiement des indicateurs d'attaque (IoA), vous devez mettre en place une coordination avec votre logiciel de sécurité des endpoints. Étant donné que le déploiement utilise un script PowerShell déclenché par une tâche planifiée, certains outils de détection et de réponse des endpoints (EDR) peuvent signaler l'activité comme suspecte.

Pour autoriser le script :

  1. Générez la signature du script : identifiez l'empreinte de fichier unique pour votre version spécifique du script de déploiement.

    1. Ouvrez PowerShell.

    2. Exécutez la commande suivante à l'aide du script Register-TenableIOA.ps1 :

      Copier 
      .\Register-TenableIOA.ps1 -GetSignatureToWhitelist

    3. Copiez l'empreinte de fichier SHA256 affichée dans la sortie :

  1. Autorisez l'empreinte dans votre solution EDR :

    1. Connectez-vous à votre interface de configuration EDR.

    2. Accédez à la section « Exclusions » ou « Liste d'autorisation ».

    3. Ajoutez l'empreinte SHA256 que vous avez copiée à l'étape 1.

    4. Enregistrez les modifications et attendez quelques minutes pour que la politique se propage à vos endpoints.

  1. Terminez le déploiement : exécutez le script d'installation des IoA.

Exécuter le script d'installation des IoA

Pour exécuter le script IoA :

  1. Ouvrez PowerShell en tant qu'administrateur, accédez au répertoire du script, ajustez la stratégie d'exécution et exécutez le script :

    Copier 
    .\Register-TenableIOA.ps1

  2. Saisissez les paramètres pertinents pour votre configuration :

    Paramètre Description
    GPODisplayName Nom d'affichage de la GPO utilisée pour créer la tâche qui enregistre l'observateur d'événements. Valeur par défaut : Tenable.ad.
    TemporaryFolderLocation Dossier temporaire utilisé pour stocker la sauvegarde de la GPO pendant le déploiement. Valeur par défaut : %TEMP%\Tenable.ad\.
    DomainControllerAddress Nom de domaine complet (FQDN) ou adresse IP du contrôleur de domaine sur lequel est effectué le déploiement. Indiquez si le script est exécuté à partir d'un serveur ou d'un poste de travail qui n'est pas un contrôleur de domaine. En cas d'omission, les informations du domaine sont récupérées à partir de la machine locale.
    DomainControllerOU Nom distinctif de l'unité d'organisation contenant vos contrôleurs de domaine. Renseignez ce paramètre si vos contrôleurs de domaine ont été déplacés hors de l'unité d'organisation par défaut. Exemple : OU=Domain Controllers,DC=ROOT,DC=DOMAIN.
    TenableServiceAccount Nom du compte de service utilisé par Tenable Identity Exposure, qui nécessite une autorisation explicite pour la lecture des stratégies de groupe.
    Uninstall Désinstalle l'observateur d'événements et le WMI Active Script Consumer pour interrompre la collecte des journaux d'événements. Valeur par défaut : false.
    ConfigurationFileLocation Chemin d'accès au fichier qui sera utilisé pour mettre à jour la configuration de la GPO.
    Target

    Liste séparée par des virgules des contrôleurs de domaine ciblés par ce script d'enregistrement. Exemple : DC-ROOT1,DC-ROOT2. Ce paramètre est facultatif.

    Conseil : si ce paramètre est utilisé, assurez-vous que la liste inclut le PDCE ; sinon, le déploiement des IoA échouera.
    CleaningGPODisplayName Nom d'affichage de la GPO utilisée pour créer la tâche de nettoyage qui supprime l'observateur d'événements et le WMI Active Script Consumer. Valeur par défaut : Tenable.ad cleaning.
    EventLogsFileWriteFrequency Fréquence (en secondes) à laquelle le fichier journal d'événements est généré en mode DFSR pour les contrôleurs de domaine non-PDCE. Valeur par défaut : 15 secondes. Valeur maximale : 300 secondes (5 minutes). Paramètre facultatif.
    SmbShareLocation Chemin d'accès au disque (absolu) de l'emplacement du partage SMB lors de l'exécution sur le PDCE en mode « Partage SMB dédié ». Ce dossier est géré par Tenable Identity Exposure. Valeur par défaut : C:\Tenable\IdentityExposure\IOALogs. Paramètre facultatif.
    UseXmlEventRender Active le rendu d'événements basé sur XML pour les observateurs. Cette méthode est plus lente mais plus stable que le moteur de rendu basé sur les valeurs. Ce paramètre est désactivé par défaut.
    OutputCertificate Autorise la sortie du certificat Tenable dans le répertoire actuel (utile lorsqu'il est nécessaire de l'ajouter à la liste blanche dans votre solution EDR/AV). Ce paramètre est facultatif.
    GetSignatureToWhitelist Permet d'afficher l'empreinte du script listenerLauncher.ps1 déployé pour l'ajouter à la liste d'autorisation dans votre solution EDR/AV avant le déploiement.
    TimerInMinutes Définit un délai (en minutes) avant le début du déploiement de l'IoA. Utilisez ce temporisateur pendant l'installation pour mettre en pause le processus avant le début du déploiement.

Maintenance de la validité du certificat IoA

Pour vous assurer que le déploiement des indicateurs d'attaque (IoA) reste actif et sécurisé, vous devez régulièrement redéployer la dernière version du script IoA. Ce processus permet à Tenable Identity Exposure d'installer un certificat de signature de code Tenable mis à jour avant l'expiration du certificat actuel.

Objet de stratégie de groupe

Après avoir téléchargé et exécuté le fichier d'installation des indicateurs d'attaque (IoA), le script IoA crée un objet de stratégie de groupe (GPO) qui s'appelle Tenable.ad par défaut dans la base de données Active Directory (AD). Le système lie la GPO Tenable Identity Exposure uniquement à l'unité d'organisation (OU) des contrôleurs de domaine qui contient tous les contrôleurs de domaine (DC). La nouvelle stratégie se réplique automatiquement entre tous les DC en utilisant le mécanisme GPO.

La GPO contient des scripts PowerShell que tous les DC exécutent localement pour collecter des données d'intérêt, comme suit :

  • Le script configure un observateur de journaux d'événements sur chaque contrôleur de domaine à l'aide de l'API Windows EvtSubscribe. Le script permet de s'abonner à chaque canal de journal d'événements nécessaire, comme spécifié dans le fichier de configuration TenableADventsListenerConfiguration.json, en soumettant une demande et un rappel déclenché par EvtSubscribe pour chaque journal d'événements correspondant.

  • L'observateur d'événements reçoit les journaux d'événements et les place en mémoire tampon avant de les vider régulièrement dans un fichier stocké dans un partage réseau appelé SYSVOL. Chaque DC se connecte à un fichier SYSVOL unique qui stocke les événements collectés et le réplique sur d'autres contrôleurs de domaine.

  • Comportement d'exécution de l'écouteur : l'écouteur est déclenché par une tâche planifiée qui se comporte différemment selon la version du déploiement :

    • Sur site :

      • Avant la version 3.93 : l'écouteur démarre via une commande.

      • À partir de la version 3.93 : l'écouteur s'exécute à partir d'un script PowerShell signé par Tenable, et la GPO inclut le certificat Tenable en tant qu'éditeur de confiance. Vérifiez que la stratégie d'exécution du script n'est pas définie sur Restricted (Restreinte).

    • SaaS (à partir de la version 3.102) : l'écouteur s'exécute à partir d'un script PowerShell signé par Tenable avec le certificat Tenable en tant qu'éditeur de confiance. Vérifiez que la stratégie d'exécution du script n'est pas définie sur Restricted (Restreinte).

Important : ne modifiez pas la GPO de l'IOA Tenable Identity Exposure, car elle est automatiquement gérée par l'écouteur.

  • Le script crée également un consommateur WMI pour que ce mécanisme persiste en réenregistrant l'abonné à l'événement lorsqu'un DC redémarre. WMI notifie le consommateur chaque fois qu'un contrôleur de domaine redémarre, afin de permettre au consommateur de réenregistrer l'observateur d'événements.

  • À ce stade, la réplication du système de fichiers distribués (DFS) se produit et synchronise automatiquement les fichiers entre les contrôleurs de domaine. La plateforme de Tenable Identity Exposure écoute le trafic de réplication DFS entrant et utilise ces données pour collecter des événements, exécuter une analyse de sécurité, puis générer des alertes IoA.

  • Partage SMB dédié :

    • L'observateur d'événements capture les journaux d'événements, les place en mémoire tampon et les vide régulièrement dans un fichier stocké dans un partage SMB dédié, hébergé sur votre PDCe. Tenable Identity Exposure conserve et sécurise automatiquement ce partage SMB via l'observateur d'événements. Chaque contrôleur de domaine écrit dans un fichier unique du partage SMB dédié sur le SMB PDCe.

    • La plateforme de Tenable Identity Exposure écoute les mises à jour SMB sur ce partage dédié pour collecter des données d'événement, effectuer des analyses de sécurité et générer des alertes IoA.

Récupération de données locales

Les journaux d'événements Windows enregistrent tous les événements qui se produisent dans le système d'exploitation et ses applications. Les journaux d'événements utilisent un ensemble de composants intégrés à Windows.

À l'aide de l'API EvtSubscribe, l'observateur des journaux d'événements IoA Tenable Identity Exposure ne collecte que les segments de données utiles sous forme de chaînes d'insertion qu'il extrait des journaux d'événements. Tenable Identity Exposure écrit ces chaînes d'insertion dans un fichier stocké dans le dossier SYSVOL et les réplique via le moteur DFS. Ainsi, Tenable Identity Exposure collecte à partir des journaux d'événements la juste quantité de données de sécurité nécessaire pour exécuter une analyse et détecter les attaques.

Résumé du script IoA

Le tableau suivant offre un aperçu du déploiement du script Tenable Identity Exposure.

Étapes Description Composant impliqué Action technique
1 Enregistrer le déploiement IoA de Tenable Identity Exposure Gestion GPO

Crée la GPO Tenable.ad (nom par défaut) et la lie à l'OU Contrôleurs de domaine.
2 Lancer le déploiement de l'IoA de Tenable Identity Exposure sur le DC Système local du DC Chaque DC détecte la nouvelle GPO à appliquer, en fonction de la réplication AD et des intervalles d'actualisation de la stratégie de groupe.
3 Contrôler l'état de la politique de journalisation avancée Système local du DC Le système active la stratégie de journalisation avancée en définissant la clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy.
4 Mettre à jour la stratégie de journalisation locale Système local du DC En fonction des IoA à détecter, Tenable Identity Exposure génère et active de manière dynamique des stratégies d'audit spécifiques. Cette stratégie ne désactive aucune stratégie de journalisation existante ; elle les enrichit uniquement si nécessaire. S'il détecte un conflit, le script d'installation de la GPO s'arrête et affiche le message « Tenable Identity Exposure requires the audit policy “...” but the current AD configuration prevents its usage » (Tenable.ad requiert la stratégie d'audit “...”, mais la configuration AD actuelle empêche son utilisation).
5 Inscrire un observateur d'événements et un producteur WMI Système local du DC Le système enregistre et exécute le script contenu dans la GPO. Ce script exécute un processus PowerShell pour s'abonner aux journaux d'événements à l'aide de l'API EvtSubscribe et pour créer une instance d'ActiveScriptEventConsumer à des fins de persistance. Tenable Identity Exposure utilise ces objets pour recevoir et stocker le contenu des journaux d'événements.
6 Collecter les messages des journaux d'événements Système local du DC

  • Mode SYSVOL — Tenable Identity Exposure capture les messages pertinents du journal des événements, les met régulièrement en mémoire tampon et les enregistre dans des fichiers (un par DC) stockés dans le dossier SYSVOL associé à la GPO Tenable Identity Exposure (...{GPO_GUID}\Machine\IOA<DC_name>).

  • Mode SMB

    • Le chemin d'accès physique où les fichiers sont stockés par défaut est SmbShareLocation sur le PDCe, ce qui correspond par défaut à C:\Tenable\IdentityExposure\IOALog. Vous pouvez modifier ce paramètre selon vos besoins, à l'aide des instructions disponibles dans la documentation sur les paramètres du script d'installation des IoA.

    • Le chemin réseau utilisé par les écouteurs pour envoyer des fichiers est \\{PDCe_HOSTNAME}\TIE-IOA-Logs$, où {PDCe_HOSTNAME} représente le nom d'hôte du PDCe.
7 Répliquer les fichiers dans le dossier DC SYSVOL déclaré Active Directory À l'aide du DFS, l'infrastructure AD réplique les fichiers dans le domaine – plus précisément, dans le DC déclaré. La plateforme Tenable Identity Exposure reçoit une notification pour chaque fichier et lit son contenu.
8 Remplacer ces fichiers Active Directory Chaque contrôleur de domaine écrit automatiquement et en continu les événements régulièrement mis en mémoire tampon dans le même fichier.

Voir aussi