Indicateurs d'attaque opérationnels

Il est essentiel de s'assurer que les processus des indicateurs d'attaque fonctionnent correctement pour garantir la précision de la détection et de la réponse. Cette section fournit des instructions pas à pas pour vérifier que les composants des IoA sont opérationnels, résoudre les difficultés courantes et corriger efficacement les problèmes. Suivez les étapes ci-dessous pour vérifier que tout fonctionne comme prévu.

  • Assurez-vous que la surveillance des indicateurs d'attaque (IoA) est opérationnelle sur vos contrôleurs de domaine.

    • Vérifiez la connectivité au domaine — Assurez-vous que la connectivité au domaine est fonctionnelle en vérifiant la configuration. Pour plus d'informations, voir Domaines.

  • Vérifiez le dossier de la GPO de l'IoA dans SYSVOL :

    • Vérifiez le dossier de la GPO de l'IoA dans le répertoire SYSVOL pour confirmer que chaque contrôleur de domaine produit un fichier .gz à jour.

    • Si un contrôleur de domaine ne génère pas ce fichier .gz , passez aux étapes suivantes.

  • Vérifiez que le processus de l'observateur d'événements IoA est en cours d'exécution :

    • Vérifiez que le processus Register-TenableADEventsListener.exe est en cours d'exécution.

    • Dans les dernières versions, outre Register-TenableADEventsListener.exe, ce processus est répertorié comme « Tenable - IOA Events Listener » dans le gestionnaire de tâches.

      Pour plus d'informations, voir Validation de l'observateur des journaux d'événements.

  • Si le processus n'est pas en cours d'exécution :

    • Assurez-vous qu'un logiciel EDR/antivirus présent sur les contrôleurs de domaine ne bloque pas le processus Register-TenableADEventsListener.exe.

      Pour plus d'informations, voir Détection antivirus.

  • Lancez le processus manuellement :

    • Modifiez la tâche associée (TenableADTask_*) dans le planificateur de tâches et cliquez sur OK pour redémarrer le processus.

  • Faites remonter le problème s'il persiste — Si les étapes ci-dessus ne permettent pas de résoudre le problème, déposez une demande d'assistance auprès de Tenable. Un problème sous-jacent empêche peut-être l'exécution du processus Register-TenableADventsListener.exe.