Notes de version Tenable Identity Exposure 2024

La version 3.84.7 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.83.3 de Tenable Identity Exposure contient le correctif suivant :

• Modification du conteneur Tenable One  – Pour garantir une expérience produit optimale, Tenable Identity Exposure empêche désormais le passage à un autre conteneur Tenable One lors du chargement d'un nouveau fichier de licence.

• Indicateurs d'exposition (IoE)

  • L'indicateur Ordinateurs exécutant un système d'exploitation obsolète affiche désormais l'expiration sous forme de date seulement, et non plus avec la date et l'heure détaillées. Cette mise à jour s'applique à toutes les déviances dans cet IoE.

  • Domaines avec un niveau fonctionnel obsolète  – Cet IoE intègre désormais le nouveau niveau fonctionnel Active Directory (AD) introduit dans Windows Server 2025, lancé en novembre 2024, à la suite de la précédente mise à jour pour Server 2016. Cette mise à jour inclut également d'autres ajustements mineurs sur les IoE, dont une nouvelle version de schéma.

    Remarque : cette mise à jour ne garantit pas la compatibilité de l'hébergement de Tenable Identity Exposure sur Windows Server 2025. Veuillez consulter la documentation future ou les notes de version pour plus de détails sur la compatibilité.

La version 3.83 de Tenable Identity Exposure contient les correctifs suivants :

• Modèle de dashboard – Tenable Identity Exposure propose désormais un modèle de dashboard pour vous aider à gagner en visibilité sur le récent rapport de l'alliance « Five Eyes » et ses agences civiles associées. Ce rapport fournit des conseils sur la détection et l'atténuation des compromissions Active Directory.

• Mauvaise configuration des comptes de service – Un nouvel indicateur d'exposition répertorie les mauvaises pratiques et les mauvaises configurations qui peuvent affecter les comptes de service de domaine.

• Paramétrages dangereux sur des serveurs ADCS – Une amélioration de cet IoE permet d'identifier les politiques d'émission (OID d'entreprise) qui permettent aux principaux de devenir implicitement membres de groupes AD.

La version 3.82 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.81.2 de Tenable Identity Exposure contient le correctif suivant :

• Indicateur d'exposition Domaine sans GPO de durcissement :

  • Nouveau motif lié à la fonction de sécurité Windows Defender Credential Guard utilisée pour protéger les informations d'authentification en mémoire.

  • Nouveau motif lié à la fonction « Pointer et imprimer » de Windows : durcissement pour l'installation et la mise à jour des pilotes d'imprimante.

  • Nouveau motif lié à la signature des sessions LDAP et à la liaison de canaux pour atténuer les attaques de type MiTM et par relecture.

• L'indicateur d'exposition « Comptes dormants » dispose d'un nouveau motif pour signaler les contrôleurs de domaine qui n'ont pas effectué d'authentification (en fonction de l'attribut lastLogonTimestamp) au cours des 45 derniers jours. Cette période peut être personnalisée à l'aide d'une nouvelle option.

• L'indicateur d'exposition « Autorisations à la racine du domaine permettant des attaques comme DCSync inclut désormais une nouvelle option, « Conserver les comptes MSOL_* », qui permet d'exclure ces comptes et de réduire les faux positifs. Par défaut, cette option est désactivée dans le profil de sécurité. L'IOE ne signale donc pas les comptes MSOL_* comme déviants.

• L'indicateur d'attaque « Extraction NTDS » a été renommé « Processus autorisés » pour clarifier son utilisation en mode « agressif » uniquement et l'option non utilisée « Chemins de destination NTDS autorisés » a été supprimée.

• Performance – Tenable Identity Exposure a amélioré les capacités de surveillance interne.

La version 3.81 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateurs d'exposition (IoE) basés sur un RSOP – Pour améliorer les performances globales du produit, Tenable Identity Exposure effectue désormais des vérifications RSOP pour un petit nombre d'IoE toutes les 30 minutes, plutôt qu'en temps réel. Pour plus d'informations, voir Indicateurs d'exposition basés sur un RSoP.

La version 3.80 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.79 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateurs d'exposition

  • Configuration non sécurisée du protocole Netlogon – Tenable Identity Exposure définit désormais la valeur par défaut de l'option « Ignorer la vérification de la clé de registre » sur « vrai ». Ce changement suppose que les utilisateurs ont appliqué les mises à jour du 9 février 2021. Cette modification s'applique uniquement au profil par défaut et n'affecte pas les profils personnalisés.

  • Ordinateurs exécutant un système d'exploitation obsolète – Tenable Identity Exposure a ajouté en dernier les informations de connexion pour les ordinateurs obsolètes actifs.

• Indicateurs d'exposition pour Entra ID : les IoE Entra ID suivants ignorent désormais les utilisateurs et les principaux de service désactivés.

  • Autorisations d'API dangereuses affectant le tenant

  • Principal de service propriétaire (ou interne) avec identifiants

  • Nombre d'administrateurs élevé

  • Authentification MFA manquante pour un compte privilégié

  • Authentification MFA manquante pour un compte non privilégié

    En effet, les attaquants ne peuvent pas les exploiter immédiatement. Comme pour les IoE MFA, l'API Microsoft Graph renvoie à tort le statut MFA des utilisateurs désactivés.

• Indicateurs d'attaque

  • DCSync ne déclenche pas d'alerte si sa source provient d'un nom d'utilisateur avec un préfixe MSOL_ (codé en dur et valide pour le mode de base uniquement).

  • L'énumération des administrateurs locaux ne déclenche pas d'alerte si l'adresse IP cible est inconnue.

  • Golden Ticket ne déclenche une alerte que si un attaquant s'est authentifié après avoir forgé un TGT (mode de base uniquement).

  • Dumping d'identifiants système : mémoire LSASS ne déclenche pas d'alerte si l'outil appartient à Arctic Wolf Network (mode de base uniquement).

• Les alertes par e-mail ne prennent désormais en charge que les protocoles de chiffrement valides, tels que TLS 1.2 et 1.3. Si vous avez modifié votre Secure Relay pour appliquer une norme de chiffrement SMTP obsolète, comme SSL v3, vous devez supprimer la modification. Les seules valeurs autorisées sont désormais « Tls12 », « Tls13 » et « Tls12, Tls13 » (pour la commutation automatique en fonction de la version du serveur). L'utilisation d'une valeur non prise en charge empêche le relais de démarrer.

La version 3.78 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateur d'exposition (IoE) Principaux de sécurité en conflit – Un nouvel IoE s'assure de l'absence de duplication (conflit) d'objets tels que des utilisateurs, des ordinateurs ou des groupes.

• IoE Délégation Kerberos dangereuse – Un nouveau motif signale tous les comptes pour lesquels l'attribut utilisé par la délégation contrainte (msDS-AllowedToDelegateTo) fait référence à un nom de principal de service (SPN) qui n'existe pas.

• Active Directory – La limite de taille des objets AD gérés par Tenable Identity Exposure a été augmentée.

La version 3.76 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateur d'exposition (IoE) Shadow Credentials (Informations d'authentification fantômes) – Un nouvel IoE détecte les portes dérobées et les mauvaises configurations des informations d'authentification fantômes dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés.

• Indicateur d'exposition (IoE) Groupe principal de comptes utilisateur : un motif supplémentaire est signalé sur tous les comptes où l'attribut primaryGroupID apparaît vide en raison de droits insuffisants.

• Indicateur d'attaque (IoA) Pulvérisation de mot de passe : dans certains scénarios, cet IoA pouvait causer des problèmes de performances du système, notamment une surcharge de mémoire. Il regroupe désormais les alertes liées à la même attaque en une seule alerte pour résoudre ces problèmes.

• Ces IoA ne déclenchent plus d'alertes dans les cas suivants :

  • DC Sync – Lorsque la source est un utilisateur ou un nom d'hôte lié à l'outil Azure ADConnect (mode de base uniquement).

  • Extraction NTDS – Lorsque l'outil source est le demandeur VSS ou Veeam (outils de sauvegarde légitimes).

  • Énumération des administrateurs locaux – Lorsque l'IoA ne peut pas trouver le SID de l'utilisateur source (mode de base uniquement).

  • Petit Potam – Lorsque l'IoA ne peut pas récupérer l'événement de connexion associé.

  • Golden Ticket – Lorsque l'IoA ne peut pas récupérer les vecteurs sources (mode de base uniquement).

La version 3.75 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateurs d'attaque (IoA) Synchronisation DC, Extraction NTDS, Énumération des administrateurs locaux – Le mode « De base » ne génère plus d'alertes dans les scénarios suivants :

  • Lorsque l'IoA détecte une perte d'événement ou un retard significatif dans l'ingestion d'un événement.

  • Lorsque l'IoA ne peut pas identifier la source d'une attaque en raison de données d'événement manquantes.

• Indicateur d'attaque (IoA) Extraction NTDS – Une nouvelle option, active en mode « standard » et « agressif » et appelée « Whitelisted Processes » (Processus autorisés), exempte les processus légitimes signalés pendant les attaques.

La version 3.74 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.73 de Tenable Identity Exposure contient les correctifs suivants :

• Les utilisateurs peuvent désormais définir la durée de collecte d'événements pour les indicateurs d'attaque (IoA) avant le déclenchement d'une analyse. Ils peuvent spécifier des valeurs allant de 30 secondes à 9 minutes pour trouver le juste équilibre entre latence et précision.

• Indicateur d'attaque (IoA) Golden Ticket – Afin de réduire le nombre de faux positifs, Tenable Identity Exposure a mis en place une période de report de 10 heures au cours de laquelle les utilisateurs légitimes sont automatiquement placés sur liste d'autorisation.

La version 3.72 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateurs d'attaque (IoA)

• DCSync :

• La valeur par défaut de l'option « Délai avant l'envoi d'alertes » est passée de 1 h à 12 h afin de laisser une plus grande fenêtre pour filtrer les événements légitimes.

• La valeur par défaut de l'option « Autoriser une source inconnue » est passée de Faux à Vrai afin d'éviter un faux négatif, dû à l'impossibilité de personnaliser cette option pour le profil par défaut.

• Golden Ticket – Détection de la perte du journal des événements Windows pour empêcher le déclenchement de faux positifs dans certains cas.

• Énumération des administrateurs locaux – Les comptes de service gérés sont soumis à des processus de filtrage pour réduire les cas de détection de faux positifs.

• Indicateurs d'exposition (IoE)

  • Groupe Protected Users non utilisé – Un motif supplémentaire de l'IoE signale tous les utilisateurs avec privilèges qui ne sont pas dans ce groupe.

  • Date de la dernière modification du mot de passe du compte KRBTGT – Prise en charge du compte krbtgt_AzureAD dans Windows Hello Entreprise (déploiement Cloud Trust).

La version 3.71 de Tenable Identity Exposure contient les correctifs suivants :

• Nouveaux indicateurs d'exposition (IoE)

  • Paramétrages dangereux sur des comptes de service administrés – S'assure que les comptes de service administrés disposent du déploiement et de la configuration appropriés.

  • Compte invité activé – Vérifie que le compte invité intégré est désactivé.

• Améliorations des indicateurs d'exposition

  • Domaine sans GPO de durcissement – Intégration de nouvelles vérifications conçues pour traiter les sessions null, que tous les contrôleurs de domaine doivent explicitement désactiver.

  • Membres des groupes d'administration par défaut – Ajout des groupes « Serveurs Exchange », « Autorisations Exchange Windows » et « Sous-système de confiance Exchange » à la liste d'autorisations des groupes personnalisés. Cette modification ne s'applique qu'au profil de sécurité par défaut et ne concerne pas les profils de sécurité personnalisés existants.

  • Compte utilisateur utilisant un mot de passe trop ancien – Ajout de deux motifs permettant de distinguer les utilisateurs privilégiés des simples utilisateurs.

• Pour optimiser le rendement, les requêtes de recherche LDAP traitent les résultats par lots entre le Relay et le service Ceti.

La version 3.69 de Tenable Identity Exposure contient les correctifs suivants :

Améliorations des indicateurs d'exposition (IoE) :

• Comptes dormants – Ajout de deux nouveaux motifs pour faire la distinction entre les utilisateurs privilégiés et ceux qui ne le sont pas.

• Ordinateurs exécutant un système d'exploitation obsolète – Une nouvelle valeur « lastLogonTimestamp » permet d'afficher l'horodatage de la dernière connexion d'utilisateur réussie dans les déviances « OS inactif obsolète ».

• Domaine sans GPO de durcissement

  • Nouvelles vérifications liées aux chemins UNC durcis configurés pour les contrôleurs de domaine (partages SYSVOL/NETLOGON).

  • Nouvelles vérifications liées au spouleur d'impression qui doit rester désactivé sur les contrôleurs de domaine.

  • Amélioration visant à garantir l'application de la signature Server Message Block (SMB) appropriée sur les contrôleurs de domaine et d'autres serveurs. Elle valide le paramètre « Stratégie par défaut des contrôleurs de domaine » et vérifie si la configuration GPO des autres serveurs est correcte.

• Indicateurs d'exposition liés au jeu de stratégies résultant (RSoP) – Pour la réexécution des IoE RSoP avec un cache à jour, Tenable Identity Exposure agrège désormais les événements mis en mémoire tampon sur une courte durée afin de réduire le nombre de modifications à analyser (une minute par défaut et uniquement pour l'IoE « Restrictions d'authentification des utilisateurs privilégiés »).

La version 3.68 de Tenable Identity Exposure contient les correctifs suivants :

• Les ordinateurs ne peuvent pas apparaître comme déviants à cause du motif « Non protégé contre la délégation ». Tenable Identity Exposure traite et résout toutes les déviances existantes liées à ce problème.

• Amélioration des indicateurs d'exposition (IoE) – Dans l'IoE Configuration Kerberos appliquée aux comptes utilisateur, les utilisateurs possédant une carte à puce (smartcard) sont immunisés contre l'attaque AS-REP Roasting et Tenable Identity Exposure ne les signale plus comme problème de sécurité.

• Améliorations des indicateurs d'attaque (IoA) :

  • Attaque de mot de passe par force brute – Une nouvelle option « Durée pour la détection de pulvérisation de mot de passe » spécifie, en minutes, le nombre de minutes pendant lesquelles chaque tentative de connexion infructueuse est considérée comme une attaque potentielle en cours.

  • Énumération des administrateurs locaux

    • Une nouvelle option, « Droits d'accès filtrés en mode agressif », prend uniquement en compte les droits d'accès spécifiés récupérés à partir de l'événement « Un objet de partage réseau a été vérifié » pour qualifier une attaque potentielle en cours. Cette liste s'applique uniquement en mode agressif.

    • La valeur par défaut de l'option « Heuristique pour les contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais « Faux ».

  • DCSync  : la valeur par défaut de l'option « Autoriser une source inconnue » est désormais « Faux ».

  • Extraction NTDS – Nouvelle « liste de refus » en « mode standard » : diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, wmi-based technique, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI-based technique.

  • Dumping des informations d'identification - Mémoire LSASS – Nouvelle « liste de refus » en « mode standard » : mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.

La version 3.67 de Tenable Identity Exposure contient les correctifs suivants :

Indicateur d'attaque (IoA) – Nouvelles options pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).

Remarque : à partir de cette version, pour tous les IoA de chaque profil de sécurité, l'option « Mode agressif » est définie sur « Faux » par défaut. Vous pouvez définir cette option sur « Vrai » pour chaque IoA dans les profils de sécurité individuels.

• Changement de mot de passe suspect sur un DC – Nouvelles options :

  • « Mode agressif » :

• Vrai : détecte l'attaque, que l'utilisateur soit authentifié ou non.

• Faux (par défaut) : détecte uniquement les utilisateurs authentifiés.

• « Fréquence de modification du mot de passe » : en « mode agressif », cette option précise l'intervalle entre deux changements de mot de passe (30 jours par défaut).

• DCSync – Nouvelle option :

• « Mode agressif » :

  • Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.

  • Faux (par défaut) : ne déclenche une attaque que si la machine ne se trouve pas dans le domaine. Cela détecte moins d'attaques mais évite les faux positifs.

Améliorations

• Optimisation de la durée de calcul pour les indicateurs d'exposition en fonction du jeu de stratégies résultant (RSoP), ce qui a pour effet de ralentir le calcul des déviances liées au RSoP. Pour plus d'informations, voir Indicateurs d'exposition basés sur un RSoP dans le Guide de l'utilisateur Tenable Identity Exposure.

• Ajout de la prise en charge de la limitation de la visibilité des données pour les tenants Entra ID dans la gestion des autorisations des rôles.

La version 3.66 de Tenable Identity Exposure contient les correctifs suivants :

Indicateurs d'attaque (IoA) – Nouvelles valeurs par défaut pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).

• Golden Ticket – Nouvelle option « Mode agressif » :

  • Faux (standard, par défaut) : déclenche une attaque uniquement si l'utilisateur cible est un contrôleur de domaine ou un utilisateur appartenant au groupe Admins de domaine.

  • Vrai : autorise les attaques même si le nom d'utilisateur cible n'est pas membre du groupe Admins de domaine ou un contrôleur de domaine. Autorise également les attaques même si certains contrôleurs de domaine ne sont pas surveillés (en d'autres termes, ils ne génèrent aucune entrée dans le journal d'événements Windows).

• Usurpation de sAMAccountName – Nouvelle option « Mode agressif » :

  • Faux (standard, par défaut) : ne déclenche pas d'attaque si le TargetUserName n'est pas un contrôleur de domaine (DC).

  • Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.

• Dumping des identifiants système du système d'exploitation : mémoire LSASS – Nouvelles options :

  • « Mode agressif » :

  • Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.

  • Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.

  • « Processus autorisés en mode agressif » : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.

  • « Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.

• Extraction NTDS – Nouvelles options :

  • « Mode agressif » :

• Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.

• Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.

• « Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.

• « Processus d'attaque en mode standard sur liste blanche » (anciennement « Whitelisted Processes » (Processus autorisés)) : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.

• Reconnaissance massive de machines – Nouvelles valeurs par défaut pour les options :

  • Nombre d'ordinateurs – 5 000

  • Nombre minimum d'ordinateurs – 100

  • Pourcentage d'ordinateurs – 95

  • Fenêtre glissante – 240

  • Temps d'attente entre les attaques – 240

• Attaque de mot de passe par force brute – Nouvelle valeur par défaut pour l'option :

  • Nombre de comptes soumis à des tentatives de connexion infructueuses – 10 000

• Énumération des administrateurs locaux – L'option « Heuristique pour les contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais définie sur « Faux » par défaut.

Indicateurs d'exposition (IoE)

• Nouveaux IoE

• Configuration de silo d'authentification privilégié – Fournit un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0).

• Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID – Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.

• Améliorations

  • IoE Délégation Kerberos dangereuse – Ajoute un nouveau motif de détecter la configuration actuelle de la délégation Kerberos sur un compte Microsoft Entra Connect (AZUREADSSOACC).

  • IoE Mots de passe utilisant un algorithme de chiffrement réversible – Recherche les mots de passe configurés pour être stockés dans un format réversible, d'après les paramètres définis par l'attribut msDS-PasswordReversibleEncryptionEnabled dans l'Objet de paramètres de mot de passe (PSO).

  • IoE Gestion des comptes d'administration locaux – Ajoute la prise en charge de la nouvelle version de la Solution de mot de passe d'administrateur local (LAPS) de Microsoft à l'aide d'une nouvelle option intitulée « Version LAPS installée », et vérifie la configuration de LAPS en fonction des sélections de l'utilisateur.

La version 3.65 de Tenable Identity Exposure contient les correctifs suivants :

La version 3.64 de Tenable Identity Exposure contient les correctifs suivants :

• Indicateurs d'attaque – L'option « Processus autorisés » dans les indicateurs d'attaque Dumping des identifiants système du système d'exploitation : mémoire LSASS et Extraction NTDS inclut des processus connus pour générer des faux positifs.

La version 3.63 de Tenable Identity Exposure contient les correctifs suivants :