Notes de version Tenable Identity Exposure 2025 – Sur site

• Indicateur d'exposition Délégation Kerberos dangereuse – Mis à jour avec du contenu supplémentaire.

• Indicateurs d'attaque

  • Introduction d'un filtrage temporel fin pour améliorer le filtre existant uniquement basé sur la date, afin de vous permettre de spécifier l'heure, les minutes et les secondes.

  • Ajout de l'URL basée sur le temps au paramètre clé du message Syslog de l'indicateur d'attaque. Exemple :

    Copier

    "IOA_url"="https://custoresp.tenable.ad/profile/tenable/indicators-of-attacks/incidents?attacksFilters[0].dateStart=2025-08-04T12%3A34%3A27.142Z&attacksFilters[0].dateEnd=2025-08-04T12%3A34%3A27.142Z&attacksFilters[0].resourceType=directory&attacksFilters[0].resourceValue=1&attacksFilters[0].attackTypeIds[0]=6&attacksFilters[0].includeClosed=true"
    
    

La version 3.77.15 de Tenable Identity Exposure contient les correctifs suivants :

• RabbitMQ – Résilience renforcée par la mise en œuvre d'une récupération automatique des connexions interrompues. Cela garantit un traitement continu des messages et évite les interruptions de service.

La version 3.77.14 de Tenable Identity Exposure contient les correctifs suivants :

• Nouveau modèle de dashboard — Un nouveau modèle de dashboard aide les organisations à surveiller et à améliorer la conformité aux normes de cyber-sécurité de l'ACSC. Il permet de gagner en visibilité sur un récent rapport de l'alliance « Five Eyes » consacré à la détection et à l'atténuation des compromissions Active Directory, offrant à la fois un aperçu général et des informations détaillées pour vous aider à prioriser la remédiation.

• Amélioration du processus de déploiement des IoA — Remplace le long bloc de commande dans la tâche planifiée par un script PowerShell dédié :

  • Lanceur d'écouteur dédié : le nouveau déploiement utilise un script launcher.ps1 d'écouteur signé, stocké sur le SYSVOL. Ce script simplifie la tâche planifiée tout en améliorant la sécurité.

  • Déploiement du certificat : le certificat Tenable est désormais déployé automatiquement via la stratégie de groupe (GPO), qui est nécessaire pour exécuter le script signé.

• RabbitMQ – Résilience renforcée par la mise en œuvre d'une récupération automatique des connexions interrompues. Cela garantit un traitement continu des messages et évite les interruptions de service.

La version 3.93.3 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.77.13 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.93.2 de Tenable Identity Exposure contient les correctifs suivants :

• Alertes SMTP OAuth – Nouvelle prise en charge des fonctionnalités d'alerte de OAuth, le protocole d'authentification moderne et sécurisé de Microsoft 365.

  Pour plus d'informations, voir Microsoft 365 SMTP OAuth Configuration (Configuration de Microsoft 365 SMTP OAuth) dans le Guide de l'utilisateur Tenable Identity Exposure.

La version 3.77.12 de Tenable Identity Exposure contient les correctifs suivants :

• Centre d'exposition – Cet outil améliore la posture de sécurité des identités de votre organisation. Il identifie les faiblesses et les mauvaises configurations qui augmentent le risque sur la surface d'attaque de vos identités, et couvre aussi bien les systèmes d'identité sous-jacents, tels qu'Entra ID, que les identités au sein de ces systèmes.

  • La fonctionnalité Vue d'ensemble de la cyber-exposition fonctionne avec les données Active Directory et/ou Entra ID.

  • La fonctionnalité Instances d'exposition ne fonctionne actuellement qu'avec les données Entra ID.

• Identités 360 – Une nouvelle fonctionnalité centrée sur les identités fournit un inventaire complet de toutes les identités sur la surface de risques liés aux identités de votre organisation. Elle unifie les identités d'Active Directory et d'Entra ID, vous permettant de les évaluer et de les classer par score de risque, afin d'identifier et de prioriser rapidement les identités les plus vulnérables de votre environnement.

  • La fonctionnalité Identités 360 fonctionne avec les données Active Directory et/ou Entra ID.

  Conseil : pour utiliser les fonctionnalités cloud Tenable, vous devez activer des paramètres spécifiques afin de partager des données avec le cloud Tenable à des fins d'analyse. Voir Identity 360, Exposure Center, and Microsoft Entra ID Support Activation (Activation de la prise en charge de « Identités 360 », « Centre d'exposition » et « Microsoft Entra ID ») et Tenable Cloud Data Collection (Collecte de données via Tenable Cloud) pour obtenir des instructions.

Indicateurs d'exposition (IoE) Active Directory (AD)

• Autorisations Exchange sensibles – Cet IoE gère les autorisations liées aux groupes et aux ressources Exchange au sein du domaine. Il affiche désormais exclusivement toutes les autorisations provenant de la solution Exchange ou qui la ciblent, afin d'améliorer la lisibilité dans d'autres IoE.

• Membres de groupes Exchange – Cet IoE suit les membres de groupes Exchange sensibles.

• Serveurs Exchange non pris en charge ou obsolètes – Cet IoE détecte les serveurs Exchange obsolètes que Microsoft ne prend plus en charge, ainsi que ceux qui n'ont pas reçu les dernières mises à jour cumulées. Pour maintenir un environnement Exchange sûr et entièrement pris en charge, occupez-vous rapidement des serveurs obsolètes ou non corrigés. À défaut, vous risquez d'augmenter le risque d'exploitation, exposant ainsi votre organisation à des violations de données et à des attaques par ransomware.

• Paramétrages dangereux sur Exchange – Cet IoE répertorie les mauvaises configurations qui impactent les ressources Exchange ou les objets sous-jacents du schéma Active Directory.

• Membres de groupes Exchange – Cet IoE suit les membres de groupes Exchange sensibles.

• Paramétrages dangereux sur des serveurs ADCS – Cet IoE identifie les politiques d'émission (OID d'entreprise) qui permettent aux principaux de devenir implicitement membres de groupes AD.

• Domaine sans GPO de durcissement – Cet IoE vérifie le paramètre GPO « Blocage NTLM sur SMB ».

Autres fonctionnalités

• Vérification de l'état du système – Une nouvelle vérification de l'état du système d'un domaine renforce la confiance dans votre déploiement d'indicateurs d'attaque en identifiant et en traitant par domaine les erreurs connues. Pour plus d'informations, voir Vérification de l'état du système dans le Guide de l'utilisateur Tenable Identity Exposure.

• Convivialité – Tenable Identity Exposure aide désormais les clients à obtenir une visibilité sur le dernier rapport du « Five Eyes » ou de leurs agences civiles.

Indicateurs d'exposition

• Groupe AD/Entra à membre unique – L'IoE affiche désormais le membre du groupe dans la description « Pourquoi c'est important ».

• Principal de service propriétaire (ou interne) avec identifiants – L'IoE affiche désormais les détails des informations d'identification identifiées dans la description « Pourquoi c'est important ».

• Groupe AD/Entra à membre unique et Groupe vide – Ces IoE ne comptabilisent désormais que les membres directs pour des résultats plus précis et significatifs.

• Certificats associés aux comptes

  • Cet IoE signale maintenant les mappages de certificats explicites faibles pour lutter contre la technique d'abus AD CS ESC14.

  • Cet IoE signalait auparavant les utilisateurs avec privilèges à l'aide de deux types de mappages seulement : X509IssuerSubject et X509SubjectOnly. Sa portée d'origine a été élargie pour inclure des mappages supplémentaires – X509RFC822, X509IssuerSerialNumber, X509SKI et X509SHA1PublicKey.

• Domaine sans GPO de durcissement – Nouvelles vérifications liées à la fonction de sécurité Windows Defender Credential Guard utilisée pour protéger les informations d'authentification en mémoire.

• S'assurer de la cohérence de SDProp – Amélioration des recommandations.

• Shadow Credentials – Amélioration des recommandations de remédiation de la vulnérabilité ROCA (Return of Coppersmith's Attack). Introduction d'une nouvelle option pour supprimer les faux positifs potentiels liés aux environnements hybrides avec Entra ID lorsque la fonction « réécriture de l'appareil » est désactivée. Cela a un impact sur le motif « Identifiants de clé orpheline » de cet IoE.

• Paramétrages dangereux sur des comptes de service administrés – Cet IoE a été amélioré pour inclure la prise en charge des groupes, simplifiant ainsi le contrôle d'accès à un compte de service géré par groupe (gMSA).

• Personnalisation du profil de sécurité – La description des options « Propriétaire autorisé d'un objet (par appartenance à un groupe) » a été améliorée pour les IoE concernés.

• Deux nouvelles options pour améliorer le contrôle de la propriété et des autorisations des objets en fonction de l'appartenance à un groupe :

  • Propriétaire autorisé d'un objet (par appartenance à un groupe) : permet de désigner les principaux de sécurité comme propriétaires d'objets via leur appartenance à un groupe.

  • Liste des DN de confiance autorisés (par appartenance à un groupe) : permet l'attribution d'autorisations spéciales aux principaux de sécurité en fonction de leur appartenance à un groupe.

• Configuration non sécurisée du protocole Netlogon – Tenable Identity Exposure définit désormais la valeur par défaut de l'option « Ignorer la vérification de la clé de registre » sur « vrai ». Ce changement suppose que les utilisateurs ont appliqué les mises à jour du 9 février 2021. Cette modification s'applique uniquement au profil par défaut et n'affecte pas les profils personnalisés.

• Gestion du risque des mots de passe – Ajout du widget IoE Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory dans le modèle de dashboard.

• L'indicateur d'exposition Autorisations à la racine du domaine permettant des attaques comme DCSync – Inclut désormais une nouvelle option, « Conserver les comptes MSOL_* », qui permet d'exclure ces comptes et de réduire les faux positifs. Par défaut, cette option est désactivée dans le profil de sécurité. L'IOE ne signale donc pas les comptes MSOL_* comme déviants.

Indicateurs d'attaque

• IoA Golden Ticket – Amélioration du texte du vecteur d'attaque.

• DCSync ne déclenche pas d'alerte si sa source provient d'un nom d'utilisateur avec un préfixe MSOL_ (codé en dur et valide pour le mode de base uniquement).

• L'énumération des administrateurs locaux ne déclenche pas d'alerte si l'adresse IP cible est inconnue.

• Golden Ticket ne déclenche une alerte que si un attaquant s'est authentifié après avoir forgé un TGT (mode de base uniquement).

• Dumping d'identifiants système : mémoire LSASS ne déclenche pas d'alerte si l'outil appartient à Arctic Wolf Network (mode de base uniquement).

• Ces IoA ne déclenchent plus d'alertes dans les cas suivants :

  • DC Sync – Lorsque la source est un utilisateur ou un nom d'hôte lié à l'outil Azure ADConnect (mode de base uniquement).

  • Extraction NTDS – Lorsque l'outil source est le demandeur VSS ou Veeam (outils de sauvegarde légitimes).

  • Énumération des administrateurs locaux – Lorsque l'IoA ne peut pas trouver le SID de l'utilisateur source (mode de base uniquement).

  • Petit Potam – Lorsque l'IoA ne peut pas récupérer l'événement de connexion associé.

  • Golden Ticket – Lorsque l'IoA ne peut pas récupérer les vecteurs sources (mode de base uniquement).

Autres améliorations

• Identités 360 et Vue d'ensemble de la cyber-exposition redirigent désormais vers la page Instances d'exposition lors de l'exploration des faiblesses associées.

• Attributs et types d'approbation dans les services d'annuaire

  • L'attribut trustType prend désormais en charge la valeur TTAAD (TRUST_TYPE_AAD).

  • L'attribut trustAttributes prend désormais en charge la valeur TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

• Modification du conteneur Tenable One  – Pour garantir une expérience produit optimale, Tenable Identity Exposure empêche désormais le passage à un autre conteneur Tenable One lors du chargement d'un nouveau fichier de licence.

• Fonction d'exportation – Les utilisateurs peuvent choisir le séparateur (virgule ou point-virgule) lors d'une exportation CSV, pour l'adapter facilement à de nombreux cas d'utilisation. Le navigateur mémorise le dernier séparateur utilisé pour faciliter les exportations futures.

• Identités 360 – Amélioration du temps de chargement des pages, telles que les détails d'un asset dans les onglets « Accès » et « Droit d'accès ».

• Autorisations de collecter les données du domaine – Les détails « Autorisations accordées pour collecter les données privilégiées » sont désormais masqués lorsque l'analyse privilégiée est désactivée dans l'interface utilisateur. Assurez-vous que votre Relay est à jour pour pouvoir utiliser cette fonctionnalité.

La version 3.93 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.77.10 de Tenable Identity Exposure contient les correctifs suivants :

• Tenable Identity Exposure a rationalisé le processus d'annulation (rollback) pour rétablir efficacement l'environnement dans son état précédent, en veillant à ce qu'il ne reste aucun élément résiduel ni aucune incohérence.

  Nouvelle condition préalable : assurez-vous que Storage Manager dispose d'au moins 20 Go d'espace disque disponible avant de lancer la procédure d'annulation. Pour plus d'informations, voir Dimensionnement des ressources dans le Guide de l'utilisateur Tenable Identity Exposure.

La version 3.77.9 de Tenable Identity Exposure contient les correctifs suivants :