Détection antivirus

Tenable et Microsoft ne recommandent pas d'installer un antivirus, une EPP (plateforme de protection des terminaux) ou un logiciel EDR (Détection et réponse des terminaux) sur les contrôleurs de domaine (ou tout autre outil avec une console de gestion centrale). Si vous le faites, votre antivirus/EPP/EDR pourrait détecter et même bloquer ou supprimer les éléments requis pour la collecte des événements d'indicateur d'attaque (IoA) sur les contrôleurs de domaine.

Le script de déploiement de Tenable Identity Exposure pour les indicateurs d'attaque n'inclut pas de code malveillant et n'est même pas brouillé. Cependant, les détections occasionnelles sont normales, étant donné son utilisation de PowerShell et WMI, ainsi que la nature sans agent de l'implémentation.

Si vous rencontrez des problèmes tels que :

  • Messages d'erreur lors de l'installation

  • Détection de faux positifs ou de faux négatifs

Pour dépanner la détection des scripts d'installation par les antivirus :

  1. Examinez les journaux de sécurité de votre antivirus/EPP/EDR pour vérifier si composants Tenable Identity Exposure sont détectés, bloqués ou supprimés. Un antivirus/EPP/EDR peuvent affecter les composants suivants :

    • Le fichier ScheduledTasks.xml dans la GPO Tenable Identity Exposure appliquée aux contrôleurs de domaine.

    • La tâche planifiée Tenable Identity Exposure sur les contrôleurs de domaine qui lance PowerShell.exe.

    • Le processus Tenable Identity Exposure Register-TenableADEventsListener.exe lancé sur les contrôleurs de domaine.

  1. Ajoutez des exceptions de sécurité dans vos outils pour les composants affectés.

    • En particulier, la protection des terminaux Symantec peut détecter CL.Downloader!gen27 pendant le processus d'installation de l'IoA. Vous pouvez ajouter ce risque connu spécifique à votre politique d'exceptions.

    • Une fois le planificateur de tâches configuré, exécutez PowerShell pour lancer le processus Register-TenableADEventsListener.exe. Le logiciel antivirus/EPP/EDR peut potentiellement bloquer ce script PowerShell, entravant la bonne exécution des indicateurs d'attaque. Suivez attentivement ce processus et assurez-vous qu'il ne s'exécute qu'une seule fois sur tous les contrôleurs de domaine surveillés.

      Exemples de chemins de fichier à exclure pour votre antivirus/EPP/EDR :

    Copier 
    Register-TenableADEventsListener.exe process
     "\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"

     

    Copier 
    ScheduledTasks.xml file
        C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
        C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml     
        \\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml