Commencer à utiliser Tenable Identity Exposure

Une fois Tenable Identity Exposure déployé, cette section vous guide à travers les étapes clés pour commencer à utiliser Tenable Identity Exposure efficacement.

Chaque section contient des liens vers des descriptions et des instructions plus détaillées pour la tâche associée.

    • Connectez-vous au portail Se connecter à Tenable Identity Exposure. La page d'accueil, représentée ci-dessous, apparaît.

    • Votre identifiant initial est [email protected] et le mot de passe [email protected]!.

    • Développez ou réduisez la barre de navigation latérale :

      • Pour la développer : cliquez sur le menu dans l'angle supérieur gauche de la fenêtre.

      • Pour la réduire : cliquez sur le signe dans l'angle supérieur gauche de la fenêtre.

  2. Un Secure Relay transfère en toute sécurité les données Active Directory de votre réseau vers la plateforme Tenable Identity Exposure SaaS en utilisant le chiffrement TLS au lieu d'une connexion VPN. Plusieurs Secure Relays sont possibles en fonction de vos besoins.

    Conditions préalables :

    • Accès administrateur à un serveur Windows pour la machine virtuelle (VM) Secure Relay

    • Dernier programme d'installation de Secure Relay téléchargé depuis le portail des téléchargements Tenable Identity Exposure

    • Une clé de liaison à usage unique du portail Tenable Identity Exposure contenant l'adresse réseau et le jeton d'authentification

    Pour plus de détails sur les conditions préalables, voir Secure Relay pour Tenable Identity Exposure

    1. Connectez-vous au portail web Tenable Identity Exposure avec un compte administrateur.

    2. Cliquez sur Système > Configuration > onglet Relay.

    3. Cliquez sur l'icône Copier dans le presse-papiers à côté de la clé de liaison.

    1. Sur votre VM de serveur Windows, effectuez un clic droit sur le fichier d'installation et sélectionnez Exécuter en tant qu'administrateur.

    2. Dans l'assistant d'installation, cliquez sur Next (Suivant) sur l'écran de bienvenue.

    3. Dans la fenêtre Custom Setup (Configuration personnalisée), cliquez sur Browse (Parcourir) pour modifier la partition de disque si nécessaire, puis sur Next (Suivant).

    4. Dans la fenêtre Linking Key (Clé de liaison) :

      • Collez la clé de liaison copiée à partir du portail.

      • Donnez un nom à votre Secure Relay.

      • Cliquez sur Test Connectivity (Tester la connectivité).

    1. Si le test réussit (icône verte), cliquez sur Next (Suivant). Si ce n'est pas le cas, cliquez sur Back (Retour) pour corriger les erreurs.

    2. Dans la fenêtre Ready to Install (Prêt pour l'installation), cliquez sur Install (Installer).

    3. Une fois l'installation réussie, cliquez sur Finish (Terminé).

      Pour la procédure détaillée, voir Secure Relay pour Tenable Identity Exposure .

    1. Revenez au portail Tenable Identity Exposure.

    2. Cliquez sur Système > onglet Gestion des Relays.

      Le Relay nouvellement installé apparaît dans la liste des Relays.

    Lorsque vous ajoutez des domaines à surveiller, une nouvelle option apparaît pour vous permettre de sélectionner le Secure Relay en charge de ce domaine. Pour la procédure complète, voir Configurer le Relay.

    Mises à jour automatiques :

    Tenable Identity Exposure recherche automatiquement et installe régulièrement les mises à jour Secure Relay (nécessite un accès HTTPS). Une icône de la barre réseau indique quand des mises à jour sont effectuées. Après la mise à jour, les services Tenable Identity Exposure redémarrent et la collecte de données reprend.

  3. Avant de configurer les indicateurs d'exposition, vous devez posséder ou créer un compte de service Active Directory avec les autorisations appropriées. Bien que Tenable Identity Exposure ne nécessite pas de privilèges administrateur pour la surveillance de la sécurité, certains conteneurs exigent une configuration manuelle pour autoriser l'accès en lecture pour l'utilisateur du compte de service.

    Pour des informations complètes, voir Accès aux objets ou conteneurs AD.

    1. Connectez-vous au portail web Tenable Identity Exposure avec des identifiants administrateur tels que le compte par défaut « [email protected] ».

    2. Cliquez sur l'icône de menu dans l'angle supérieur gauche pour développer le panneau de navigation, puis cliquez sur Système dans le panneau de gauche.

    1. Dans l'onglet Gestion des forêts, cliquez sur Ajouter une forêt.

    2. Indiquez un nom d'affichage pour la forêt (par exemple, Tenable).

    3. Saisissez l'identifiant et le mot de passe du compte de service pour vous connecter à tous les domaines de cette forêt.

    4. Cliquez sur Ajouter.

      Pour des informations complètes, voir Forêts.

    1. Cliquez sur Ajouter un domaine.

    2. Indiquez un nom d'affichage pour le domaine à surveiller (par exemple, HQ).

    3. Saisissez le nom de domaine complet (par exemple, sky.net).

    4. Sélectionnez la forêt correspondante dans la liste déroulante.

    5. Si vous utilisez SaaS avec Secure Relay, sélectionnez le relais destiné à gérer ce domaine.

    6. Activez le curseur « Analyse privilégiée » si le compte dispose des privilèges requis.

    7. Si vous activez la fonctionnalité Analyse privilégiée, activez également l'option Transfert des données privilégiées pour Tenable Cloud.

    8. Fournissez des détails pour le contrôleur de domaine avec le rôle FSMO d'émulateur de contrôleur de domaine principal :

      • Adresse IP ou nom d'hôte

      • Pour les ports LDAP, de catalogue global et SMB, conservez les valeurs par défaut pré-remplies

    1. Cliquez sur Tester la connectivité en bas de l'écran.

    2. En cas de succès, cliquez sur Ajouter.

      Dans la vue Gestion des domaines, vous verrez des colonnes pour les statuts d'initialisation de l'analyseur LDAP, d'initialisation de l'analyseur SISFul et de configuration du honey account (compte leurre) affichant une icône de chargement circulaire jusqu'à ce que le scan initial soit terminé.

      Pour des informations complètes, voir Domaines.

    1. Basculez vers la vue Trail Flow. Après quelques minutes, les données commencent à affluer une fois l'analyse lancée.

    2. Revenez à Système > Gestion des domaines.

    3. Attendez que les icônes vertes indiquant l'achèvement de l'initialisation de l'analyseur LDAP et de l'analyseur SYSVOL apparaissent.

      Vous avez maintenant activé la surveillance des indicateurs d'exposition pour ce domaine. Sur le portail web, les notifications apparaissent après quelques minutes/heures selon la taille de l'environnement.

    1. Cliquez sur Indicateurs d'exposition dans le menu de gauche pour voir tous les indicateurs déclenchés pour le domaine ajouté.

    2. Cliquez sur un indicateur pour afficher les détails d'un objet déviant à l'origine d'une non-conformité.

    3. Fermez les détails et accédez à Dashboards pour voir les métriques de l'environnement.

  4. Pour déployer les IoA, vous devez d'abord effectuer les trois configurations décrites ci-dessous :

    1. Le script IoA est obligatoire pour tous les scénarios d'attaque.

    2. Le honey account (compte leurre) configuré pour détecter des attaques spécifiques telles que l'attaque Kerberoasting.

    3. Installation de Sysmon sur tous les contrôleurs de domaine du domaine surveillé pour détecter les attaques telles que le dumping des identifiants système.

    Tenable Identity Exposure fournit le script IoA, sa ligne de commande et la ligne de commande de configuration du honey account (compte leurre). Cependant, vous devez remplir ces conditions préalables directement sur les contrôleurs de domaine ou sur une machine administrateur disposant des droits appropriés.

    Pour des informations complètes, voir Déploiement des indicateurs d'attaque.

    1. Connectez-vous au portail web Tenable Identity Exposure à l'aide d'identifiants administrateur (par exemple, [email protected]).

    2. Accédez à Système > Configuration > Indicateurs d'attaque.

    3. Sélectionnez les scénarios d'attaque que vous souhaitez activer pour votre environnement.

    4. Cochez la case sous le nom de domaine pour activer tous les scénarios d'attaque disponibles.

    5. Cliquez sur Enregistrer dans l'angle inférieur droit.

    6. Cliquez sur Voir la procédure en haut.

      Une fenêtre montrant la procédure de déploiement du moteur IoA apparaît.

    1. Utilisez le curseur pour activer ou désactiver la fonction de mises à jour automatiques.

    2. Cliquez sur le premier bouton Télécharger pour télécharger le fichier PS1.

    3. Cliquez sur le deuxième bouton Télécharger pour télécharger le fichier JSON.

    4. Notez l'emplacement où vous avez téléchargé les fichiers d'installation.

    5. Localisez le champ étiqueté Exécuter les commandes PowerShell suivantes.

    6. Copiez le contenu du champ de texte et collez-le dans un fichier texte.

    7. Copiez les fichiers PS1 et JSON dans un contrôleur de domaine ou un serveur d'administrateur disposant des droits appropriés.

    8. Démarrez le module Active Directory pour Windows PowerShell en tant qu'administrateur et accédez au dossier hébergeant les fichiers.

    9. Collez la commande copiée à partir du portail web Tenable Identity Exposure et appuyez sur Entrée.

    10. Ouvrez la console de gestion des stratégies de groupe et trouvez la GPO nommée « Tenable.ad » liée à l'OU du contrôleur de domaine.

    Pour la procédure détaillée, voir Installer des indicateurs d'attaque.

    1. Revenez au portail web Tenable Identity Exposure.

    2. Accédez à Système > onglet Gestion des domaines.

    3. Cliquez sur l'icône + sous Statut de configuration du Honey Account à droite de votre domaine (disponible une fois que les deux autres statuts sont verts).

    4. Dans la zone de recherche Nom, saisissez le nom du compte à utiliser comme honey pot (compte leurre).

    5. Sélectionnez le nom distinctif de l'objet dans la liste déroulante.

    6. Copiez le contenu du champ de texte de la ligne de commande et collez-le dans un fichier texte.

    7. Revenez sur le serveur sur lequel vous avez exécuté le script IoA.

    8. Ouvrez ou démarrez une ligne de commande PowerShell en tant qu'administrateur.

    9. Collez la commande copiée à partir du portail web Tenable Identity Exposure et appuyez sur Entrée.

    10. Vérifiez que la ligne de commande s'est exécutée correctement.

    11. Revenez au portail web Tenable Identity Exposure et cliquez sur le bouton Ajouter en bas.

      Après quelques secondes, le statut de configuration du honey account (compte leurre) doit afficher un point vert.

    Pour la procédure détaillée, voir Honey Accounts.

    Le portail web Tenable Identity Exposure ne fournit pas de déploiement automatique pour Sysmon. Voir Programme d'installation de Microsoft Sysmon pour le fichier de configuration de Sysmon requis. Vous pouvez installer Sysmon manuellement comme indiqué dans la documentation ou par GPO.

    Pour la procédure détaillée, voir Programme d'installation de Microsoft Sysmon.

  5. Tenable Identity Exposure prend également en charge Microsoft Entra ID conjointement avec Active Directory avec des IoE spécifiques pour les identités Entra ID.

    Pour des informations complètes, voir Prise en charge de Microsoft Entra ID.

    1. Connectez-vous au portail d'administration Azure à l'adresse portal.azure.com avec les identifiants appropriés.

    2. Cliquez sur la tuile Azure Active Directory, puis sur Inscriptions d'application dans le menu de gauche.

    3. Cliquez sur Nouvelle inscription et indiquez un nom d'application (par exemple, « Application Identity Exposure »).

    4. Cliquez sur S'inscrire en bas de l'écran.

    5. Sur la page Vue d'ensemble de l'application, notez l'« ID de l'application (client) » et l'« ID de l'annuaire (locataire) ».

    6. Cliquez sur Certificats et secrets dans le menu de gauche.

    7. Cliquez sur Nouvelle clé secrète client, fournissez une description et définissez l'expiration par politique.

    8. Cliquez sur Ajouter, puis enregistrez la valeur secrète affichée de manière sécurisée.

    9. Cliquez sur Autorisations d'API et Ajouter une autorisation.

    10. Sélectionnez Microsoft Graph, puis Autorisations de l'application.

    11. Ajoutez les autorisations suivantes : Audit Log.Read.All, Directory.Read.All, IdentityProvider.Read.All, Policy.Read.All, lReports.Read.All, RoleManagement.Read.All, UserAuthenticationMethod.Read.All.

    12. Cliquez sur Ajouter des autorisations et Accorder le consentement administrateur.

    1. Connectez-vous au portail web Tenable Vulnerability Management avec le compte approprié.

    2. Cliquez sur Menu > Paramètres > Informations d'identification.

    3. Cliquez sur Créer des informations d'authentification et sélectionnez le type Microsoft Azure.

    4. Saisissez un nom et une description, puis collez l'ID de tenant, l'ID d'application et le secret de client.

    5. Cliquez sur Créer.

    6. Cliquez sur Menu > Paramètres > Mon compte > Clés API.

    7. Cliquez sur Générer, passez en revue l'avertissement et cliquez sur Continuer.

    8. Copiez les valeurs Clé d'accès et Clé secrète.

    1. Connectez-vous avec un compte d'administrateur global.

    2. Cliquez sur Menu > Système > Configuration > Tenable Cloud.

    3. Activez l'option Activer la prise en charge de Microsoft Entra ID à l'aide du curseur.

    4. Saisissez la clé d'accès et la clé secrète générées précédemment.

    5. Cliquez sur la coche pour soumettre les clés API.

    6. Cliquez sur l'onglet Gestion des tenants, puis sur Ajouter un tenant.

    7. Donnez un nom au tenant Azure AD.

    8. Sélectionnez l'identifiant Azure créé précédemment.

    9. Cliquez sur Ajouter.

    1. Tenable Identity Exposure scanne le tenant. Pour voir la date et l'heure du prochain scan, passez le pointeur de la souris sur Statut du scan.

    2. Lorsque le premier scan est terminé, une icône verte apparaît dans la colonne Statut du scan.

    3. Cliquez sur Indicateurs d'exposition dans le menu de gauche.

    4. Utilisez les onglets pour filtrer les indicateurs AD et Azure AD.

    5. Activez Afficher tous les indicateurs pour voir tous les indicateurs disponibles.

    6. Trois onglets fournissent des détails sur les indicateurs, des détections de tenant et des recommandations.

    7. Examinez les risques d'exposition potentiels et les conseils de remédiation.

  6. Tenable Identity Exposure utilise des indicateurs d'exposition pour mesurer la maturité de la sécurité de votre infrastructure Active Directory et attribuer des niveaux de sévérité au flux d'événements qu'il surveille et analyse.

    Pour des informations complètes sur les IoE, voir Indicateurs d'exposition.

    Accéder aux IoE :

    1. Connectez-vous à Tenable Identity Exposure.

    2. Cliquez sur l'icône dans l'angle supérieur gauche pour développer le panneau.

    3. Cliquez sur Indicateurs d'exposition sur le côté gauche pour voir les IoE.

      La vue par défaut affiche les éléments de configuration de votre environnement qui sont potentiellement vulnérables, classés par sévérité : critique, élevée, moyenne et faible.

    • Cliquez sur le curseur à droite de l'option Afficher tous les indicateurs.

      • Vous pouvez voir tous les IoE disponibles dans votre instance Tenable Identity Exposure. Les éléments n'affichant aucun domaine sont ceux où cette exposition n'est pas présente.

      • À droite de l'option Afficher tous les indicateurs, vous pouvez voir Domaine. Si votre environnement contient plusieurs domaines, cliquez dessus et sélectionnez les domaines à afficher.

    • Cliquez sur Rechercher un indicateur et saisissez un mot-clé, tel que « mot de passe ».

      Tous les IoE liés aux mots de passe apparaissent.

    • Pour afficher plus d'informations sur un indicateur, cliquez dessus.

      • La vue détaillée commence par un résumé de l'exposition particulière.

      • Elle répertorie ensuite les documents connexes et les outils d'attaque connus qui peuvent exposer cet élément particulier.

    • À droite, vous pouvez voir les Domaines impactés.

      • Cliquez sur l'onglet Détails de la vulnérabilité pour lire des informations supplémentaires sur les vérifications effectuées pour cet IoE.

      • Cliquez sur l'onglet Objets déviants pour voir la liste des objets et des motifs qui ont déclenché l'exposition.

      • Si vous développez un objet de la liste, vous pouvez obtenir plus de détails sur l'origine de la déviance.

    1. Pour créer une requête, cliquez sur Saisir une expression et saisissez une requête booléenne pour un élément. Vous pouvez également cliquer sur l'icône de filtre à gauche pour générer une requête.

    2. Définissez les dates de début et de fin, choisissez des domaines et recherchez les éléments ignorés en cliquant sur le curseur Ignorer.

      Pour les procédures complètes, voir Rechercher des objets déviants.

    • Vous pouvez masquer des objets de la liste en les ignorant.

      • Sélectionnez un ou plusieurs objets, puis cliquez sur Sélectionner une action en bas de la page.

      • Sélectionnez Ignorer les objets sélectionnés et cliquez sur OK.

      • Choisissez la date jusqu'à laquelle vous souhaitez ignorer les objets sélectionnés.

      • Vous pouvez cesser d'ignorer les objets de la même manière à l'aide de l'option Ne plus ignorer les objets sélectionnés.

    • Pour exporter la liste de tous les objets déviants de cet indicateur dans un fichier CSV, cliquez sur le bouton Tout exporter.

      Pour les procédures complètes, voir Objets déviants.

  7. Le Trail Flow affiche la surveillance et l'analyse en temps réel des événements qui affectent vos infrastructures AD. Il permet d'identifier les vulnérabilités critiques et les mesures correctives recommandées.

    Pour des informations complètes, voir Trail Flow et Cas d'utilisation du Trail Flow.

    Accéder au Trail Flow :

    1. Connectez-vous à Tenable Identity Exposure.

    2. Cliquez sur l'icône dans l'angle supérieur gauche pour développer la barre de navigation.

    3. Cliquez sur Trail Flow.

    La page Trail Flow apparaît et affiche une liste d'événements, dont le type de source, le chemin de l'objet, le domaine et la date.

    1. Cliquez dans la zone de la date dans l'angle supérieur droit pour indiquer les dates recherchées.

    2. Cliquez sur Domaine pour modifier les serveurs ou les forêts Active Directory.

    3. Cliquez sur le bouton pause dans le coin supérieur droit pour suspendre ou redémarrer la capture de Trail Flow.

    Vous pouvez créer des requêtes pour votre recherche de deux manières : manuellement ou à l'aide de l'assistant.

    • Pour filtrer manuellement les événements, saisissez une expression dans la zone de recherche afin d'affiner les résultats à l'aide des opérateurs booléens.

      Pour des informations complètes, voir Recherche manuelle dans Trail Flow.

    Une fois que vous avez identifié un événement important :

    1. Cliquez sur l'événement. Cela fera apparaître les attributs de la modification de cet objet.

    2. Survolez l'icône du point bleu à gauche pour comparer les valeurs avant et pendant l'événement.

    3. Survolez les éléments pour voir des informations supplémentaires.

    4. Cliquez sur Voir la valeur entière et cliquez sur le bouton pour copier ces informations dans le presse-papiers.

    L'un des défis liés à la cyber-sécurité des serveurs Active Directory réside dans le grand nombre de changements de configuration qui n'affectent pas la cyber-exposition. Pour identifier les changements de configuration :

    1. Cliquez sur l'icône de la baguette magique.

    2. Activez Déviants uniquement.

    3. Cliquez sur Valider.

    Vous remarquerez qu'un symbole de losange figure en regard des événements. Cliquez sur un événement pour afficher des informations concernant le changement de configuration. Un onglet supplémentaire étiqueté « Déviances » est disponible. Cliquez dessus pour voir les éléments de cyber-exposition spécifiques qui ont été créés ou résolus.

  8. Accéder aux IoA :

    1. Connectez-vous à Tenable Identity Exposure.

    2. Cliquez sur l'icône dans l'angle supérieur gauche pour développer la barre de navigation.

    3. Cliquez sur Indicateurs d'attaque.

    Par défaut, vous voyez la chronologie de la détection d'attaque d'aujourd'hui. Pour changer le filtre :

    • Cliquez sur Jour, Mois ou Année.

    • Pour modifier la période, cliquez sur l'icône du calendrier et sélectionnez la période appropriée.

    Vous pouvez filtrer la vue sur des domaines ou des IoA spécifiques à l'aide du sélecteur sur le côté droit du portail.

    1. Cliquez sur Domaines pour afficher les choix et effectuer des sélections.

    2. Cliquez sur la croix X pour fermer.

    3. Cliquez sur Indicateurs pour afficher les choix et effectuer des sélections.

    4. Cliquez sur la croix X pour fermer.

    À titre d'exemple, concentrons-nous sur ce qui s'est passé en 2022 :

    1. Cliquez sur le bouton Année et sélectionnez « 2022 ».

    2. Cliquez sur la barre rouge et jaune dans la chronologie.

    3. Vous pouvez désormais voir une nouvelle vue avec les trois principales attaques critiques et les trois principales attaques moyennes détectées ce mois-là.

    4. Fermez la vue en cliquant en dehors de la zone noire.

    Sous la chronologie, vous pouvez voir une carte du domaine surveillé sur lequel l'attaque a été détectée.

    • Cliquez sur le menu déroulant Trier par.

    • Vous pouvez trier la carte par domaine, par criticité d'indicateur ou par forêt.

    • Pour rechercher un domaine ou une attaque spécifique, utilisez la zone de recherche.

    • Par défaut, vous ne voyez qu'une carte pour le domaine attaqué. Changez de vue pour voir chaque domaine en faisant passer la fonction N'afficher que les domaines attaqués de Oui à Non.

    Une carte contient deux types d'informations : un graphique et les trois principales attaques.

    1. Pour modifier le type de graphique, cliquez sur l'icône de crayon dans l'angle supérieur droit de la carte.

    2. Sélectionnez Distribution des attaques ou Nombre d'événements.

    3. Cliquez sur Enregistrer.

    Pour voir plus de détails sur l'attaque détectée :

    • Cliquez sur la carte pour voir les incidents relatifs au domaine.

    • Pour filtrer, utilisez la zone de recherche, sélectionnez une date de début ou de fin, des indicateurs spécifiques, ou activez la case Non/Oui pour afficher ou masquer les incidents clos.

    • Pour clore des incidents, sélectionnez une alerte, cliquez sur le menu Sélectionner une action en bas, sélectionnez Clore les incidents sélectionnés et cliquez sur OK.

    • Pour rouvrir des incidents, sélectionnez une alerte, cliquez sur le menu Sélectionner une action en bas, puis sélectionnez Rouvrir les incidents sélectionnés et cliquez sur OK.

    • Cliquez sur une attaque pour ouvrir la vue détaillée. Dans le panneau Description se trouvent la description de l'incident de l'attaque, les informations sur le cadre MITRE ATT&CK et des ressources supplémentaires contenant des liens vers des sites web externes.

    • Cliquez sur le panneau Règles de détection YARA pour voir un exemple de règle permettant d'effectuer des recherches de malwares dans les outils de détection.

    • Exportez la liste des incidents en cliquant sur Tout exporter. Le format CSV est le seul format disponible.

    L'icône de cloche dans l'angle supérieur droit affiche une notification lorsque Tenable Identity Exposure détecte une attaque. Ces attaques apparaissent dans l'onglet Alertes d'attaque.

  9. Le système d'alerte de Tenable Identity Exposure permet d'identifier les régressions de sécurité ou les attaques au sein de votre infrastructure Active Directory supervisée. Il envoie les données d'analyse sur les vulnérabilités et les attaques en temps réel par e-mail ou par notification Syslog.

    Pour les procédures complètes, voir Alertes.

    1. Connectez-vous à Tenable Identity Exposure.

    2. Cliquez sur Système > Configuration.

    3. Configurez le serveur SMTP à partir de ce menu.

    1. Sous Moteur de remontée d'alertes, cliquez sur E-mail.

    2. Cliquez sur le bouton Ajouter une alerte e-mail.

    3. Dans la zone Adresse e-mail, saisissez l'adresse e-mail du destinataire.

    4. Dans la zone Description, saisissez la description de l'adresse du destinataire.

    5. Dans la liste déroulante Déclencher les alertes, sélectionnez En cas de changement, À chaque déviance ou À chaque attaque.

    6. Dans le menu déroulant Profils, sélectionnez les profils à utiliser pour cette alerte e-mail.

    7. Cochez la case Envoyer des alertes quand des déviances sont détectées pour envoyer des notifications par e-mail lorsqu'un redémarrage du système déclenche des alertes.

    8. Dans le menu déroulant Seuil de sévérité, sélectionnez le seuil auquel Tenable Identity Exposure enverra des alertes.

    9. Sélectionnez les indicateurs pour lesquels envoyer des alertes.

    10. Sélectionnez des domaines pour les alertes :

      1. Cliquez sur Domaines pour sélectionner les domaines pour lesquels Tenable Identity Exposure envoie des alertes.

      2. Sélectionnez la forêt ou le domaine et cliquez sur le bouton Filtrer sur la sélection.

    11. Cliquez sur le bouton Tester la configuration.

      Un message confirme que Tenable Identity Exposure a envoyé une alerte e-mail au serveur.

    1. Cliquez sur le bouton Ajouter.

      Un message confirme que Tenable Identity Exposure a créé l'alerte e-mail.

    1. Cliquez sur Syslog puis sur le bouton Ajouter une alerte Syslog.

    2. Dans la zone Adresse IP ou nom d'hôte du collecteur, saisissez l'adresse IP ou le nom d'hôte du serveur recevant les notifications.

    3. Dans la zone Port, saisissez le numéro de port du collecteur.

    4. Dans le menu déroulant Protocole, sélectionnez UDP ou TCP.

    5. Si vous choisissez TCP, cochez la case de l'option TLS pour activer le protocole de sécurité TLS.

    6. Dans la zone Description, saisissez une brève description du collecteur.

    7. Choisissez l'une des trois options de déclenchement des alertes : En cas de changement, À chaque déviance ou À chaque attaque.

    8. Dans le menu déroulant Profils, sélectionnez les profils à utiliser pour cette alerte Syslog.

    9. Pour envoyer des alertes après le redémarrage ou la mise à niveau du système, cochez la case Envoyer des alertes quand des déviances sont détectées pendant la phase d'analyse initiale.

    10. Si vous avez configuré des alertes pour qu'elles se déclenchent en cas de changement, saisissez une expression pour déclencher la notification d'événement.

    11. Cliquez sur le bouton Tester la configuration.

      Un message confirme que Tenable Identity Exposure a envoyé une alerte Syslog au serveur.

    12. Cliquez sur Ajouter.

      Un message confirme que Tenable Identity Exposure a créé l'alerte Syslog.

  10. Les dashboards vous permettent de visualiser des données et des tendances sur la sécurité de votre infrastructure Active Directory. Vous pouvez les personnaliser avec des widgets pour afficher des graphes et des compteurs selon vos besoins.

    Pour des informations complètes, voir Dashboards.

    Accéder aux dashboards :

    1. Connectez-vous à Tenable Identity Exposure.

    2. Cliquez sur l'icône dans l'angle supérieur gauche pour développer la barre de navigation.

    1. Accédez à Dashboards et cliquez sur Ajouter.

    2. Cliquez sur Ajouter un dashboard.

    3. Nommez-le et cliquez sur OK.

    1. Cliquez sur Ajouter dans l'angle supérieur droit.

    2. Sélectionnez Ajouter un widget sur ce dashboard ou cliquez sur le bouton au centre de l'écran.

    3. Choisissez le type de widget (histogramme, courbe ou compteur).

    1. Cliquez sur Courbes.

    2. Nommez le widget, par exemple « Déviances au cours des 30 derniers jours ».

    3. Choisissez le type de données (nombre d'utilisateurs, nombre de déviances ou score de conformité).

    4. Sélectionnez Déviances et choisissez une période d'un mois.

    5. Cliquez sur Aucun indicateur et sélectionnez les indicateurs à utiliser.

    6. Nommez l'ensemble de données, par exemple « Critique ».

    7. Ajoutez d'autres ensembles de données selon les besoins (par exemple, pour le niveau moyen et faible).

    1. Cliquez sur Ajouter.

    1. Cliquez sur Histogramme.

    2. Nommez-le Conformité et choisissez le type de données Score de conformité.

    3. Sélectionnez tous les indicateurs.

    4. Nommez l'ensemble de données, par exemple « IoE ».

    5. Cliquez sur Ajouter.

    1. Cliquez sur Compteur.

    2. Nommez le widget, par exemple « Utilisateurs », et définissez le type de données sur Nombre d'utilisateurs.

    3. Choisissez le statut Tout et sélectionnez le domaine.

    4. Nommez l'ensemble de données et cliquez sur Ajouter.

  11. Tenable Identity Exposure offre plusieurs façons de visualiser la vulnérabilité potentielle d'un asset opérationnel à l'aide de représentations graphiques.

    Pour des informations complètes, voir Chemin d'attaque.

    Accéder à la fonctionnalité Chemin d'attaque :

    1. Connectez-vous à Tenable Identity Exposure.

    2. Cliquez sur l'icône de menu dans l'angle supérieur gauche pour développer la barre de navigation.

    3. Dans la section Analyse de sécurité, cliquez sur Chemin d'attaque. La fonction Chemin d'attaque comporte trois modes :

      • Chemin d'attaque

      • Blast Radius (rayon d'impact)

      • Exposition d'un asset

    1. Dans la zone de recherche, saisissez le nom de l'asset (par exemple, « John Doe »).

    2. Sélectionnez le compte dans la liste et cliquez sur l'icône de loupe.

    3. Explorez le Blast Radius (rayon d'impact) à partir du compte compromis sélectionné.

    4. Filtrez et affichez les nœuds selon vos besoins.

    5. Survolez les terminaux pour afficher le chemin d'attaque.

    6. Activez l'option pour afficher toutes les info-bulles des nœuds.

    7. Utilisez la barre de zoom pour ajuster la vue.

    8. Pour modifier l'objet de la recherche, cliquez sur la croix (X) à côté du nom du compte et lancez une nouvelle recherche.

    1. Dans la zone de recherche, saisissez le nom du serveur sensible (par exemple, « srv-fin »).

    2. Sélectionnez l'objet dans la liste et cliquez sur l'icône de loupe.

    3. Explorez l'exposition de l'asset au serveur sensible sélectionné.

    4. Utilisez des options similaires à celles utilisées pour le mode Blast Radius.

    5. Survolez les chemins pour afficher les détails.

    6. Activez l'option pour afficher toutes les info-bulles des nœuds.

    7. Ajustez la vue à l'aide de la barre inférieure.

    1. Dans la zone de recherche Nœud de départ, saisissez le nom du compte compromis (par exemple, « John Doe »).

    2. Cliquez sur le nom du compte.

    3. Dans la zone de recherche Nœud d'arrivée, saisissez le nom de l'asset sensible (par exemple, « s or v-fin »).

    4. Cliquez sur le nom de l'asset.

    5. Cliquez sur l'icône de loupe.

    6. Explorez les chemins d'attaque disponibles entre le compte compromis et l'asset sensible.

    7. Utilisez des options similaires à celles utilisées pour les modes Blast Radius et Exposition d'un asset.

    • Qui a un contrôle sur mes assets privilégiés ? : affiche tous les comptes utilisateur et machine dont un chemin d'attaque mène à un asset privilégié.

    • Quels sont mes assets privilégiés ? : répertorie les assets et les comptes Tier 0 avec les chemins d'attaque potentiels menant aux assets.

    • Passez d'un onglet à l'autre pour afficher les listes.

    • Cliquez sur l'icône de loupe en regard d'un élément pour changer de vue.

    • Cliquez sur la flèche bleue et l'icône représentant un point pour ouvrir la vue d'exposition des assets filtrée afin d'afficher uniquement cet asset.

    1. Utilisez la fonctionnalité Chemin d'attaque pour confirmer les hypothèses et visualiser les chemins d'attaque dangereux entre les entités.

    2. Prenez des mesures de remédiation pour fermer les chemins d'attaque identifiés.

Conseil : pour plus d'informations sur Tenable Identity Exposure, consultez les supports de formation suivants :