Indicateurs d'exposition

Tenable Identity Exposure mesure la maturité de la sécurité de vos infrastructures AD par le biais d'indicateurs d'exposition (IoE) et attribue des niveaux de sévérité au flux d'événements qu'il surveille et analyse. Tenable Identity Exposure déclenche des alertes lorsqu'il détecte des régressions de sécurité.

Pour afficher les IoE :

1. Dans Tenable Identity Exposure, cliquez sur Indicateurs d'exposition dans le volet de navigation.

   Le volet Indicateurs d'exposition apparaît. Par défaut, Tenable Identity Exposure affiche uniquement les IoE qui contiennent des déviances.

2. (Facultatif) Pour afficher tous les IoE, cliquez sur le curseur Afficher tous les indicateurs pour activer l'option Oui.

Les IoE Tenable Identity Exposure sont dotés d'une série de fonctionnalités conçues pour renforcer vos capacités d'investigation :

• Recherche et filtrage : explorez facilement l'IoE en appliquant des filtres basés sur la forêt et le domaine.

• Capacité d'exportation : l'objet déviant vous permettra d'exporter les IoE au format CSV.

• Action sur les incidents IoE : supprimez une exposition de la liste blanche pour la réactiver.

Les données des IoE incluent :

• Section Informations : cette section fournit un résumé de chaque indicateur d'exposition (IoE), en précisant les outils d'attaque connus, les domaines affectés et la documentation pertinente.

• Détails de la vulnérabilité : cette section fournit des informations plus détaillées concernant la mauvaise configuration d'Active Directory.

• Objets déviants : cette section met en évidence les mauvaises configurations d'Active Directory qui peuvent contribuer à élargir la surface d'attaque.

• Recommandation : cette section détaille des stratégies de configuration efficaces pour minimiser votre surface d'attaque.

Pour rechercher un IoE :

1. En haut de la page Indicateurs d'exposition, saisissez une chaîne dans la zone de recherche. Vous pouvez saisir n'importe quel terme lié à un IoE (mot de passe, utilisateur, connexion, etc.).

2. Appuyez sur Entrée.

   La page IoE est actualisée et affiche les indicateurs associés à votre terme de recherche.

Pour filtrer les IoE d'une forêt ou d'un domaine spécifique :

1. Cliquez sur n/n domaines.

   Le volet Forêts et domaines apparaît.

2. Sélectionnez la forêt ou le domaine.

3. Cliquez sur Filtrer sur la sélection.

Niveau de sévérité

Les niveaux de sévérité permettent d'évaluer la sévérité des vulnérabilités détectées et de prioriser les actions de remédiation.

Le volet Indicateurs d'exposition affiche les IoE comme suit :

• Par niveau de sévérité en utilisant des codes couleur.

• Verticalement — du plus sévère au moins sévère (rouge pour la priorité absolue et bleu pour la priorité la plus basse).

• Horizontalement — du plus complexe au moins complexe. Tenable Identity Exposure calcule dynamiquement l'indicateur de complexité afin d'indiquer le niveau de difficulté de la correction de l'IoE déviant.

Sévérité	Description
Critique — Rouge	Indique comment empêcher les attaques et la compromission de l'infrastructure Active Directory par certains utilisateurs sans privilèges.
Élevé — Orange	Traite des techniques de post-exploitation conduisant au vol d'identifiants ou à un contournement de sécurité, ou des techniques d'exploitation qui doivent être enchaînées à d'autres pour être dangereuses.
Moyen – Jaune	Indique un risque limité pour l'infrastructure Active Directory.
Faible – Bleu	Affiche les bonnes pratiques de sécurité. Certains contextes opérationnels peuvent autoriser des déviances à faible impact qui n'affectent pas nécessairement la sécurité AD. Ces déviances n'ont d'impact sur l'infrastructure AD que si un administrateur commet une erreur, en activant un compte inactif par exemple.

Date de résolution et de détection de la déviance

Tenable Identity Exposure affiche la dernière détection, qui correspond à la dernière mise à jour enregistrée pour l'objet déviant, et non le moment où la déviance a été déclenchée.

Étant donné que les objets AD peuvent s'influencer mutuellement, la modification d'un objet peut créer ou résoudre une déviance sur un autre objet. Dans de tels cas, Tenable Identity Exposure utilise la date du dernier événement enregistré de l'objet affecté, même si le changement de déclenchement s'est produit sur un objet différent.

Exemple

Si l'objet A change et que cela entraîne une déviance sur l'objet B, Tenable Identity Exposure affiche l'heure de la dernière mise à jour de B comme date de détection.

Cela suit la logique de mise en cache standard de Tenable Identity Exposure : chaque objet AD stocke sa propre date d'événement le plus récent, et Tenable Identity Exposure utilise cet horodatage chaque fois qu'une déviance est détectée ou résolue pour cet objet.

Indicateur TrailFlow

Tenable Identity Exposure associe l'indicateur en forme de losange TrailFlow à l'objet déviant. Si cet objet n'a pas été mis à jour récemment, Tenable Identity Exposure peut ne pas l'afficher dans la vue TrailFlow actuelle.

Voir aussi

• Détails d'un indicateur d'exposition

• Objets déviants

• Rechercher des objets déviants

• Ignorer un objet déviant ou une raison (Déviance)

• Attributs incriminants