Vérifications de l'état du système

La fonctionnalité Vérification de l'état du système dans Tenable Identity Exposure vous offre une visibilité en temps réel sur la configuration de vos domaines et comptes de service dans une vue consolidée unique, à partir de laquelle vous pouvez lancer une exploration détaillée pour rechercher toute anomalie de configuration entraînant des problèmes de connectivité ou autres dans vos infrastructures. Elle vérifie que tout est correctement configuré pour assurer le bon fonctionnement de Tenable Identity Exposure et vous donne la possibilité de prendre des mesures rapidement et précisément pour remédier aux problèmes. Elle vous donne également l'assurance que vos paramètres de configuration sont optimaux pour permettre à Tenable Identity Exposure de fonctionner efficacement.

Les vérifications de l'état du système sont visibles par défaut pour les rôles d'administrateur et en fonction des autorisations pour certains rôles d'utilisateur. Vous pouvez également créer des alertes Syslog ou par e-mail à chaque modification du statut de vérification de l'état du système.

Vérifications de l'état du système et détection d'attaque DCSync

Les vérifications de l'état du système fournissent des informations précieuses sur le statut et l'utilisation des services Tenable Identity Exposure. Elles vérifient la capacité du compte de service à collecter des informations sensibles telles que les empreintes de mot de passe et les clés de sauvegarde DPAPI utilisées pour l'analyse privilégiée. Dans le rapport de vérification de l'état du système, Tenable tente de collecter des données sensibles pour déterminer si la fonctionnalité Analyse privilégiée est correctement configurée pour le compte de service. Rien n'est collecté si elle n'est pas utilisée. Pour empêcher la détection d'une attaque DCSync pendant ce processus, Tenable ajoute automatiquement le compte de service fourni à la liste d'autorisation pour l'indicateur d'attaque DCSync.

Statut des domaines

Tenable Identity Exposure effectue les vérifications suivantes pour chaque domaine :

  • Authentification au domaine AD — Paramètres et statut LDAP, identifiants, et accès SMB

  • Accessibilité du domaine — Connexion au port RPC dynamique fonctionnelle, à un serveur SMB accessible, à une adresse IP ou au FQDN d'un contrôleur de domaine accessible, connexion fonctionnelle au port RPC, à un serveur LDAP accessible et à un serveur LDAP de catalogue global accessible.

  • Autorisations — Possibilité d'accéder aux données du domaine AD et de collecter des données privilégiées.

  • Domaine lié à un Relay — Le domaine est correctement associé à un service Relay.

  • Indicateurs d'attaque : activité des contrôleurs de domaine — Tenable Identity Exposure Reçoit les journaux d'événements Windows de tous les contrôleurs de domaine.

  • Indicateurs d'attaque : installation du domaine – Vérifie que la configuration de la GPO de l'IoA Tenable est correcte.

Statut de la plateforme

Tenable Identity Exposure effectue les vérifications suivantes sur la configuration de votre plateforme :

  • Fonctionnement du service Relay — Vérifie si la configuration du Relay est correcte ou non en fournissant des conseils de dépannage.

  • Cohérence de la version du Relay — Vérifie si la version du Relay est compatible ou non avec la version de Tenable Identity Exposure.

  • Fonctionnement du service Collecteur de données AD — Vérifie si le service Collecteur de données, le Broker et le pont du collecteur sont opérationnels et capables de relayer les données vers d'autres services.

Pour accéder aux vérifications de l'état du système :

  1. Dans l'angle inférieur gauche de la page Tenable Identity Exposure, survolez l'icône pour identifier l'état global de votre infrastructure.

  2. Cliquez sur l'icône pour ouvrir la page Vérification de l'état du système. Sous l'onglet Statut du domaine ou Statut de la plateforme, figure l'un ou l'autre des éléments suivants :

    • Message indiquant que les vérifications de l'état du système ont réussi

    • Liste d'avertissements ou de problèmes avec des statuts spécifiques :

      La vérification a réussi et affiche un résultat normal.
      La vérification a échoué et identifie un problème.

      La vérification a échoué, mais le problème n'empêche pas Tenable Identity Exposure de fonctionner correctement.

      Par exemple, la vérification de la collecte de données entraînera un échec en raison d'une mauvaise configuration d'Active Directory côté client si le compte de service ne peut pas collecter de données privilégiées. Cependant, il ne s'agit pas d'un problème grave, car vous n'avez pas activé la fonctionnalité Analyse privilégiée sur ce domaine dans Tenable Identity Exposure, d'où l'avertissement. Mais si vous l'activez, la vérification échoue immédiatement.
      La vérification affiche un résultat inconnu, car une vérification dépendante a échoué. Par exemple, la vérification de l'accessibilité du réseau ne peut pas continuer si la vérification de l'authentification a échoué.

Pour voir toutes les vérifications de l'état du système :

  • Au-dessus de la liste des vérifications de l'état du système sur la droite, cliquez sur le curseur Afficher les vérifications réussies pour afficher la liste de toutes les vérifications que Tenable Identity Exposure a effectuées avec les informations suivantes :

    • Nom de la vérification de l'état du système

    • Statut (succès, échec, échec mais non bloquant ou inconnu)

    • Domaine impacté et sa forêt associée (uniquement pour les vérifications de statut de domaine)

    • Date/heure de la dernière vérification effectuée

    • Durée du statut de la vérification

Pour actualiser la page Vérification de l'état du système :

  • Bien qu'il vérifie régulièrement l'état du système, Tenable Identity Exposure n'actualise pas la page des résultats en temps réel. Cliquez sur pour actualiser la liste des résultats.

Pour filtrer les résultats par type de vérification d'état du système ou par domaine :

  1. Au-dessus de la liste des vérifications de l'état du système sur la droite, cliquez sur n/n vérifications ou n/n domaines (uniquement pour le statut de domaine).

    Le volet Vérifications de l'état du système ou Forêts et domaines apparaît.

  2. Sélectionnez les types de vérifications de l'état du système ou les forêts/domaines (le cas échéant) et cliquez sur Filtrer sur la sélection.

Pour obtenir plus d'informations sur chaque vérification d'état du système :

  1. Dans la liste des vérifications de l'état du système, cliquez sur un nom de vérification du système ou sur la flèche bleue () à la fin de la ligne.

    Le volet Détails apparaît et affiche la description de la vérification et la liste des détails pertinents. Pour plus d'informations, voir Liste des vérifications de l'état du système ci-dessous.

  2. Cliquez sur la flèche à la fin de la ligne de détail pour la développer et afficher plus d'informations sur le résultat.

Pour masquer l'icône de statut de vérification de l'état du système :

Par défaut, Tenable Identity Exposure affiche cette icône dans l'angle inférieur gauche de l'écran.

  1. Dans Tenable Identity Exposure, accédez à Système dans la barre de navigation de gauche et sélectionnez l'onglet Configuration.

    Vous pouvez également cliquer sur dans l'angle supérieur droit de la page Vérification de l'état du système et sélectionner Configuration.

  2. Sous Services de l'application, sélectionnez Vérification de l'état du système.

  3. Cliquez sur le curseur Afficher le statut global de l'état du système pour désactiver la fonctionnalité.

    Tenable Identity Exposure masque l'icône de vérification de l'état du système dans l'angle inférieur gauche de l'écran.

Pour attribuer des autorisations de vérification de l'état du système à des rôles utilisateur :

  1. Dans Tenable Identity Exposure, accédez à Comptes dans la barre de navigation de gauche et sélectionnez l'onglet Gestion des rôles.

  2. Dans la liste des rôles, sélectionnez le rôle utilisateur et cliquez sur à la fin de la ligne.

    Le volet Modifier un rôle apparaît.

  3. Sélectionnez l'onglet Entités de type Configuration système.

  4. Sélectionnez l'entité Vérification de l'état du système et cliquez sur le curseur d'autorisation pour passer de Non autorisé à Autorisé.

  5. Cliquez sur Appliquer et fermer.

Pour plus d'informations sur les autorisations, voir Définir les autorisations d'un rôle.

Pour configurer des alertes en cas de changement du statut des vérifications de l'état du système :

  1. Dans Tenable Identity Exposure, accédez à Système dans la barre de navigation de gauche et sélectionnez l'onglet Configuration.

    Vous pouvez également cliquer sur dans l'angle supérieur droit de la page Vérification de l'état du système et sélectionner Alertes.

  2. Sous Moteur de remontée d'alertes, sélectionnez Syslog ou E-mail.

  3. Cliquez sur Ajouter une alerte Syslog ou Ajouter une alerte par e-mail.

    Un nouveau volet apparaît. Pour la procédure complète, voir Alertes.

  4. Sous Paramètres d'alerte, dans la zone Déclencher l'alerte, sélectionnez À chaque changement de statut de l'état du système dans le menu déroulant.

  5. Cliquez sur la flèche dans la zone Vérifications de l'état du système pour sélectionner le type de vérification de l'état du système qui déclenchera une alerte, puis cliquez sur Filtrer sur la sélection.

  6. Cliquez sur Ajouter.

Liste des vérifications de l'état du système

Nom de la vérification de l'état du système Type Description de la vérification Détails

Accessibilité du domaine

(HC-DOMAIN-REACHABILITY)

 Domaine

Possibilité d'établir une connexion avec le domaine AD.

  • Adresse IP ou FQDN du contrôleur de domaine joignable

  • Serveur LDAP catalogue global joignable

  • Serveur LDAP joignable

  • Serveur SMB joignable

  • Connexion au port dynamique RPC fonctionnelle

  • Connexion au port RPC fonctionnelle

Authentification au domaine AD

(HC-DOMAIN-AUTHENTICATION)

 Domaine Possibilité de s'authentifier au domaine AD.

  • Identifiants valides

  • Serveur LDAP non occupé

  • Serveur LDAP disponible

  • Accès LDAP autorisé

  • Accès SMB autorisé

Autorisations de collecter les données du domaine

(HC-DOMAIN-DATA-COLLECTION)

 Domaine Possibilité de collecter les données du domaine AD.

  • Autorisations accordées pour collecter les données privilégiées

Autorisations d'accéder aux conteneurs AD

(HC-DOMAIN-CONTAINER-ACCESS)

 Domaine Possibilité d'accéder aux conteneurs AD.

  • Autorisations accordées pour accéder au conteneur des objets supprimés

  • Autorisations accordées pour accéder au conteneur des paramètres de mot de passe

Domaine AD lié à un Relay

(HC-DOMAIN-LINKED-TO-RELAY)

 Domaine Le domaine est lié à un Relay.

  • Liaison du domaine AD à un Relay

IoA – Activité des contrôleurs de domaine

(HC-DOMAIN-EVENT-LOGS-COLLECTION-DOMAIN-CONTROLLER-ACTIVITY)

 Domaine Tenable Identity Exposure reçoit les journaux d'événements Windows de tous les contrôleurs de domaine.

  • Contrôleurs de domaine inactifs

Le contrôleur de domaine supervisé possède le rôle PDCe

(HC-DOMAIN-PRIMARY-ROLE)		 Domaine Le contrôleur de domaine surveillé détient le rôle d'émulateur de PDC (PDCe), qui est essentiel pour certaines fonctionnalités de sécurité.

  • Assure le fonctionnement optimal des indicateurs d'exposition (IoE) et des indicateurs d'attaque (IoA)

IoA – Configuration du partage SMB

(HC-DOMAIN-EVENT-LOGS-COLLECTION-SMB-SHARE-CONFIGURATION)

 Domaine La collecte des journaux d'événements Windows de Tenable Identity Exposure est correctement configurée pour le mode de partage SMB (ne s'affichera pas si le mode SMB est désactivé).  

IoA – Partage SMB accessible

(HC-DOMAIN-EVENT-LOGS-COLLECTION-SMB-SHARE-REACHABILITY)

 

 Domaine Le partage SMB pour la collecte de journaux d'événements Tenable Identity Exposure est joignable (ne s'affichera pas si le mode SMB est désactivé).  

IoA – Installation du domaine

(HC-DOMAIN-IOA-CONFIGURATION)

 Domaine Vérifie que la configuration de la GPO de l'IoA Tenable est correcte.

  • La GPO de l'IoA Tenable existe dans LDAP

  • Le dossier de la GPO de l'IoA Tenable existe dans le SYSVOL

  • Le dossier de l'IoA de la GPO de l'IOA Tenable existe dans le SYSVOL

  • Le fichier de l'écouteur Tenable IoA GPO EVT Subscribe existe dans le SYSVOL

  • Le fichier de configuration de la GPO de l'IoA Tenable existe dans le SYSVOL

  • Le fichier audit.csv de la GPO de l'IoA Tenable existe dans le SYSVOL

Alertes par e-mail

(HC-PLATFORM-ALERTING)

 

 Plateforme Les alertes par e-mail utilisant les serveurs MS 365/Open SMTP via OAuth 2 fonctionnent correctement.

  • Configuration de serveur SMTP correcte pour OAuth 2

Fonctionnement du Service Relay

(HC-PLATFORM-RELAY-UP)

 Plateforme Le Relay fonctionne comme prévu.

  • Le Service Relay fonctionne

Version du Service Relay

(HC-PLATFORM-RELAY-VERSION)

 Plateforme La version du Relay est conforme à celle du produit.

  • Cohérence de la version du Relay

Fonctionnement du collecteur de données AD

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

 Plateforme Le collecteur de données AD fonctionne comme prévu.

  • Le pont du collecteur de données AD fonctionne

  • Le service Collecteur de données AD fonctionne

  • Le Broker fonctionne

Synchronisation entre les services Tenable Cloud et Tenable Identity Exposure

(HC-PLATFORM-TENABLE-CLOUD-SYNC)

 Plateforme Le groupe, les autorisations et les utilisateurs Tenable Cloud créés sont synchronisés avec la base de données Tenable Identity Exposure.

  • Disponibilité de Tenable Cloud