Indicateurs d'exposition

Tenable Identity Exposure mesure la maturité de la sécurité de vos infrastructures AD par le biais d'indicateurs d'exposition (IoE) et attribue des niveaux de sévérité au flux d'événements qu'il surveille et analyse. Tenable Identity Exposure déclenche des alertes lorsqu'il détecte des régressions de sécurité.

Ces IoE sont pré-configurés et toute déviation par rapport aux normes établies déclenche les alertes correspondantes.

  1. Dans Tenable Identity Exposure, cliquez sur Indicateurs d'exposition dans le volet de navigation.

    Le volet Indicateurs d'exposition apparaît. Par défaut, Tenable Identity Exposure affiche uniquement les IoE qui contiennent des déviances.

  2. (Facultatif) Pour afficher tous les IoE, cliquez sur le curseur Afficher tous les indicateurs pour activer l'option Oui.

Les IoE Tenable Identity Exposure sont dotés d'une série de fonctionnalités conçues pour renforcer vos capacités d'investigation :

  • Recherche et filtrage : explorez facilement les IoE en appliquant des filtres basés sur la forêt et le domaine.

  • Fonction d'exportation : l'objet déviant vous permettra d'exporter les IoE au format CSV.

  • Action sur les incidents IoE : supprimez une exposition de la liste blanche pour la réactiver.

Les données des IoE incluent :

  • Section Informations : cette section fournit un résumé de chaque indicateur d'exposition (IoE), en précisant les outils d'attaque connus, les domaines affectés et la documentation pertinente.

  • Détails de la vulnérabilité : cette section fournit des informations plus détaillées concernant la mauvaise configuration d'Active Directory.

  • Objets déviants : cette section met en évidence les mauvaises configurations d'Active Directory qui peuvent contribuer à élargir la surface d'attaque.

  • Recommandation : cette section détaille des stratégies de configuration efficaces pour minimiser votre surface d'attaque.

Les niveaux de sévérité permettent d'évaluer la sévérité des vulnérabilités détectées et de prioriser les actions de remédiation.

Le volet Indicateurs d'exposition affiche les IoE comme suit :

  • Par niveau de sévérité en utilisant des codes couleur.

  • Verticalement — du plus sévère au moins sévère (rouge pour la priorité absolue et bleu pour la priorité la plus basse).

  • Horizontalement — du plus complexe au moins complexe. Tenable Identity Exposure calcule dynamiquement l'indicateur de complexité afin d'indiquer le niveau de difficulté de la correction de l'IoE déviant.

Sévérité Description
Critique — Rouge Indique comment empêcher les attaques et la compromission de l'infrastructure Active Directory par certains utilisateurs sans privilèges.
Élevé — Orange

Traite des techniques de post-exploitation conduisant au vol d'identifiants ou à un contournement de sécurité, ou des techniques d'exploitation qui doivent être enchaînées à d'autres pour être dangereuses.
Moyen – Jaune Indique un risque limité pour l'infrastructure Active Directory.
Faible – Bleu Affiche les bonnes pratiques de sécurité. Certains contextes opérationnels peuvent autoriser des déviances à faible impact qui n'affectent pas nécessairement la sécurité AD. Ces déviances n'ont d'impact sur l'infrastructure AD que si un administrateur commet une erreur, en activant un compte inactif par exemple.

Vous allez prioriser les efforts de remédiation sur les IoE à sévérité élevée identifiés par le système. En outre, vous serez en mesure de prioriser davantage au sein de la catégorie critique, en vous aidant du compteur de risques intégré à l'IoE.

Si vous pensez que l'IoE relève de la compétence ou du mandat opérationnel de votre organisation, vous pouvez l'ajouter à la liste blanche.

Le cas d'utilisation suivant se concentre sur l'IoE appelé « Comptes dotés de mots de passe sans date d'expiration ».

  1. Lorsque Tenable Identity Exposure signale un IoE, ce dernier apparaît dans le volet Indicateurs d'exposition :

  2. Pour obtenir plus d'informations sur l'IoE, cliquez dessus pour accéder à des détails supplémentaires. Sur la page d'informations, vous découvrirez un résumé fournissant une présentation rapide, des détails sur les outils d'attaque potentiels associés à l'IoE, les domaines affectés et de la documentation pour vous aider à comprendre et à résoudre efficacement le problème.

  4. Pour plus de détails sur l'IoE, cliquez sur l'onglet « Détails de la vulnérabilité ».

  5. Pour vérifier sur quels comptes le paramètre « Comptes dotés de mots de passe sans date d'expiration » est activé, cliquez sur « Objets déviants ». Vous aurez alors accès à la liste des comptes qui possèdent cette configuration au sein de votre système.

  6. Cliquez sur l'objet déviant pour afficher les comptes signalés par l'IoE.

  7. Consultez votre administrateur Active Directory pour comprendre pourquoi l'option « Comptes dotés de mots de passe sans date d'expiration » est activée pour le compte concerné.

  8. En fonction de la réponse, vous pouvez soit choisir d'ajouter le compte à la liste blanche, soit aider votre administrateur Active Directory à formuler des recommandations pour résoudre le problème.

  9. Dans le deuxième cas, vous pouvez vous référer à la section « Recommandation » de l'IoE.

  10. Si le compte est associé à une exception ou fonctionne comme prévu, vous pouvez ignorer l'IoE en accédant à Objet déviant  > Sélectionnez la déviance respective > Ignorer l'objet sélectionné (ou) Ne plus ignorer l'objet sélectionné, selon les besoins.

Voir aussi

  • Indicators of Exposure

  • Tutoriel vidéo portant sur les indicateurs d'exposition

  • Customize an Indicator