Atténuation des problèmes liés à la réplication DFS

Dans le script de déploiement de l'indicateur d'attaque, un paramètre supplémentaire (-EventLogsFileWriteFrequency X) vous permet de résoudre les problèmes potentiels de lenteur ou d'interruption de la réplication dans le système de fichiers distribués (DFS).

Ce paramètre est facultatif. Tenable recommande de ne l'utiliser que si vous rencontrez des problèmes de réplication DFS ou que vous en avez remarqués depuis le déploiement du script IoA. Dans des conditions normales, le paramètre conserve sa valeur par défaut, et vous n'avez pas besoin de l'inclure dans la ligne de commande lors de l'exécution du script.

Dans quelles circonstances modifier le paramètre

La valeur [X] du paramètre -EventLogsFileWriteFrequency X désigne l'intervalle auquel l'écouteur Tenable Identity Exposure génère un fichier de journaux d'événements sur les contrôleurs de domaine (DC) non-PDCe. La valeur par défaut et recommandée, utilisée par l'écouteur Tenable Identity Exposure, est de 15 secondes. Cependant, la valeur personnalisée ne s'applique pas aux DC PDCe, et la valeur d'intervalle par défaut de 15 secondes est utilisée pour que les fonctionnalités de détection d'attaque soient totalement opérationnelles. Tenable recommande d'utiliser ce paramètre et d'augmenter sa valeur par défaut de 15 secondes à 300 secondes (5 minutes) maximum uniquement si votre infrastructure est sujette à des problèmes de réplication DFS.

Recommandations

Notez que l'augmentation de l'intervalle d'écriture du fichier journal des événements générera le fichier moins souvent. Autrement dit, le délai de détection d'attaque va augmenter (par exemple, si le fichier est généré toutes les 30 secondes et non pas toutes les 15 secondes comme c'est le cas par défaut sur les CD non-PDCe). De plus, l'augmentation du délai augmente la taille des fichiers journaux d'événements générés dans les limites définies dans Modifications techniques et impact potentiel. Par conséquent, utilisez ce paramètre uniquement comme stratégie d'atténuation et non pas pour remplacer l'examen des problèmes de réplication DFS.

Pour appliquer le paramètre :

  1. Configurez vos domaines pour les IoA comme décrit dans la procédure. Pour plus d'informations, voir Installer des indicateurs d'attaque.

  2. Ouvrez un terminal PowerShell avec des droits d'administration.

  3. Exécutez le script pour configurer vos contrôleurs de domaine pour les IoA et ajoutez le paramètre  X -EventLogsFileWriteFrequency X, où [X] est l'intervalle que vous souhaitez définir pour les fichiers des journaux d'événements.