Notes de version Tenable Identity Exposure 2024
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.82 (2024-11-13)
-
Modèle de dashboard — Tenable Identity Exposure propose désormais un modèle de dashboard pour vous aider à gagner en visibilité sur le récent rapport de l'alliance « Five Eyes » et ses agences civiles associées. Ce rapport fournit des conseils sur la détection et l'atténuation des compromissions Active Directory.
-
Mauvaise configuration des comptes de service — Un nouvel indicateur d'exposition répertorie les mauvaises pratiques et les mauvaises configurations qui peuvent affecter les comptes de service de domaine.
-
Paramétrages dangereux sur des serveurs ADCS — Une amélioration de cet IoE permet d'identifier les politiques d'émission (OID d'entreprise) qui permettent aux principaux de devenir implicitement membres de groupes AD.
La version 3.82 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure teste désormais correctement la connectivité au cloud.tenable.com. |
Les identités ayant des comptes sur plusieurs tenants Tenable Identity Exposure configurés (annuaires AD ou tenants Entra ID) ne disparaissent plus de la liste des identités. |
Lorsque Tenable Identity Exposure est configuré pour apparaître en espagnol, les descriptions des IoE Entra ID apparaissent en anglais américain. |
La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
Les alertes TCP Syslog fonctionnent comme prévu sur Windows Server 2016. |
La vérification de l'état du système de la collecte de données indique désormais avec précision le statut lorsque le Relay est connecté à plusieurs domaines. |
Dans certains cas extrêmes, Tenable Identity Exposure ne peut pas analyser les empreintes de mot de passe. |
Les détections d'une déviance Microsoft Entra ID correspondent désormais correctement au tenant sélectionné. |
Après un problème de connectivité LDAP, le Directory Listener redémarre automatiquement après 12 heures pour se resynchroniser avec tous les états ADObject qu'il aurait pu manquer. |
Lorsque les plateformes nécessitent un Secure Relay, les configurations LDAP et SMTP appliquent désormais la sélection d'un Secure Relay spécifique à utiliser. |
Les alertes UDP Syslog tronquent désormais la charge de travail une fois qu'elle a atteint la taille de la MTU. |
Le motif « Autorisations laxistes sur l'objet ordinateur » dans l'IoE Gestion des comptes d'administration locaux apparaît désormais correctement dans les langues autres que l'anglais américain. |
Tenable Identity Exposure 3.81.2 (2024-10-29)
La version 3.81.2 de Tenable Identity Exposure contient le correctif suivant :
Correctif |
---|
L'observateur des indicateurs d'attaque prend désormais en charge le codage non ASCII. |
Tenable Identity Exposure 3.81 (2024-10-21)
-
Indicateur d'exposition Domaine sans GPO de durcissement :
-
Nouveau motif lié à la fonction de sécurité Windows Defender Credential Guard utilisée pour protéger les informations d'authentification en mémoire.
-
Nouveau motif lié à la fonction « Pointer et imprimer » de Windows : durcissement pour l'installation et la mise à jour des pilotes d'imprimante.
-
Nouveau motif lié à la signature des sessions LDAP et à la liaison de canaux pour atténuer les attaques de type MiTM et par relecture.
-
-
L'indicateur d'exposition « Comptes dormants » dispose d'un nouveau motif pour signaler les contrôleurs de domaine qui n'ont pas effectué d'authentification (en fonction de l'attribut lastLogonTimestamp) au cours des 45 derniers jours. Cette période peut être personnalisée à l'aide d'une nouvelle option.
-
L'indicateur d'exposition « Autorisations à la racine du domaine permettant des attaques comme DCSync inclut désormais une nouvelle option, « Conserver les comptes MSOL_* », qui permet d'exclure ces comptes et de réduire les faux positifs. Par défaut, cette option est désactivée dans le profil de sécurité. L'IOE ne signale donc pas les comptes MSOL_* comme déviants.
-
L'indicateur d'attaque « Extraction NTDS » a été renommé « Processus autorisés » pour clarifier son utilisation en mode « agressif » uniquement et l'option non utilisée « Chemins de destination NTDS autorisés » a été supprimée.
-
Performance — Tenable Identity Exposure a amélioré les capacités de surveillance interne.
La version 3.81 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
Envoy commence désormais le processus de résolution par IPv4 avant de revenir à IPv6, corrigeant ainsi la précédente configuration qui appliquait l'ordre inverse. |
Tenable Identity Exposure s'adapte désormais pour analyser les journaux d'événements Windows importés avec un retard. |
Tenable Identity Exposure veille désormais à ce que la visibilité de l'en-tête ne change pas après la connexion. |
Tenable Identity Exposure a résolu l'erreur de chargement dans Identity Explorer. |
Tenable Identity Exposure a amélioré les performances de chargement du panneau Alertes d'attaque. |
Le Secure Relay n'envoie plus les résultats de requête LDAP dans une boucle dont le Directory Listener n'a plus besoin. |
L'option « Liste blanche d'utilisateurs » dans l'indicateur d'exposition Groupe Protected Users non utilisé permet désormais d'autoriser les utilisateurs à l'aide du nom principal d'utilisateur (UPN), du SID et du sAMAccountName, et non plus uniquement par nom distinctif, comme c'était le cas auparavant. |
Tenable Identity Exposure 3.80 (2024-10-03)
-
Indicateurs d'exposition (IoE) basés sur un RSOP — Pour améliorer les performances globales du produit, Tenable Identity Exposure effectue désormais des vérifications RSOP pour un petit nombre d'IoE toutes les 30 minutes, plutôt qu'en temps réel. Pour plus d'informations, voir Indicateurs d'exposition basés sur un RSoP.
La version 3.80 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
L'option « Liste des DN de confiance autorisés » permet désormais d'utiliser le format SID d'un compte en plus du format précédent (format DN). |
L'indicateur d'exposition « Délégation Kerberos dangereuse » applique désormais la liste blanche des objets désactivés. |
Les attributs incriminants affichent désormais des valeurs détaillées lorsqu'ils sont localisés. |
Les indicateurs d'exposition (IoE) affichent désormais la date de la dernière détection avec une plus grande précision. |
Tenable Identity Exposure affiche une description de réussite lorsque des problèmes de vérification de l'état du système présentent un statut inconnu. |
Tenable Identity Exposure analyse correctement les attributs d'approbation (même lorsqu'ils sont manquants dans de rares scénarios) pour afficher la vue topologique sans problèmes. |
Après avoir quitté la vue des détails de la déviance, la page retourne correctement à l'onglet Active Directory ou Microsoft Entra ID précédent. |
Tenable Identity Exposure a ajouté le champ « UserNameVariants » à DCSyncData, permettant la création d'une liste blanche de noms d'utilisateurs indépendamment du format (SID, UPN, sAMAccountName). Actuellement, cette modification s'applique uniquement à l'indicateur d'attaque DCSync (IoA). |
Tenable Identity Exposure fournit désormais les vecteurs d'attaque corrects pour PetitPotam via un moteur de corrélation amélioré. Vous devez redéployer l'observateur d'événements IoA. |
L'IoA DCSync prend désormais en compte le cas extrême où le « samAccountName » du compte de service Tenable dépasse 20 caractères, garantissant que les alertes ne se déclenchent pas lorsque la fonction « Analyse privilégiée » est activée. |
Tenable Identity Exposure 3.79 (2024-09-16)
La version 3.79 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Le décodeur de l'attribut dnsProperty analyse désormais avec précision les données binaires associées aux mises à jour dynamiques. |
Le volet Détails d'un indicateur d'exposition s'affiche désormais correctement lorsqu'aucune déviance n'est détectée. |
Tenable Identity Exposure désactive la configuration de Tenable Cloud pour les utilisateurs sans autorisations de modification pour le service Tenable Cloud. |
Pour certains cas extrêmes, Tenable Identity Exposure assure désormais une construction réussie du graphe des assets Tier 0. |
Le service d'analyse de sécurité affiche une utilisation élevée du processeur lors de tâches intensives telles que les contrôles de sécurité, car il traite de grands ensembles de données pour assurer une détection approfondie des menaces. Bien que cela puisse provoquer des pics de CPU, cela garantit une couverture de sécurité complète. |
Tenable Identity Exposure assure désormais des exportations au format CSV correctes en échappant les guillemets doubles ("), améliorant ainsi la précision des données exportées. |
La précision de la date de la dernière détection des IoE a été améliorée. |
Tenable Identity Exposure ferme désormais correctement les déviances précédemment signalées associées au motif GPO orphelines. |
L'IoE « Comptes utilisateur AD privilégiés synchronisés avec Microsoft Entra ID » ne nécessite plus l'option « Mettre des ordinateurs sur liste blanche ». |
L'IoE « Principaux de sécurité en conflit » a réduit les contrôles excessifs lors du démarrage du service d'analyse de sécurité pour corriger la consommation de processeur élevée. |
Tenable Identity Exposure a relevé la limite de mémoire RMQ pour empêcher le ralentissement des performances. |
Tenable Identity Exposure a amélioré les noms affichés de certains objets AD, en ciblant particulièrement les objets techniques tels que les GPO et les dnsNode. |
Tenable Identity Exposure a amélioré l'affichage de samAccountName et l'a rendu interrogeable. |
Tenable Identity Exposure 3.78 (2024-08-27)
-
Indicateurs d'exposition
-
Configuration non sécurisée du protocole Netlogon — Tenable Identity Exposure définit désormais la valeur par défaut de l'option « Ignorer la vérification de la clé de registre » sur « vrai ». Ce changement suppose que les utilisateurs ont appliqué les mises à jour du 9 février 2021. Cette modification s'applique uniquement au profil par défaut et n'affecte pas les profils personnalisés.
-
Ordinateurs exécutant un système d'exploitation obsolète — Tenable Identity Exposure a ajouté en dernier les informations de connexion pour les ordinateurs obsolètes actifs.
-
-
Indicateurs d'exposition pour Entra ID : les IoE Entra ID suivants ignorent désormais les utilisateurs et les principaux de service désactivés.
-
Autorisations d'API dangereuses affectant le tenant
-
Principal de service propriétaire (ou interne) avec identifiants
-
Nombre d'administrateurs élevé
-
Authentification MFA manquante pour un compte privilégié
-
Authentification MFA manquante pour un compte non privilégié
En effet, les attaquants ne peuvent pas les exploiter immédiatement. Comme pour les IoE MFA, l'API Microsoft Graph renvoie à tort le statut MFA des utilisateurs désactivés.
-
-
Indicateurs d'attaque
-
DCSync ne déclenche pas d'alerte si sa source provient d'un nom d'utilisateur avec un préfixe MSOL_ (codé en dur et valide pour le mode de base uniquement).
-
L'énumération des administrateurs locaux ne déclenche pas d'alerte si l'adresse IP cible est inconnue.
-
Golden Ticket ne déclenche une alerte que si un attaquant s'est authentifié après avoir forgé un TGT (mode de base uniquement).
-
Dumping d'identifiants système : mémoire LSASS ne déclenche pas d'alerte si l'outil appartient à Arctic Wolf Network (mode de base uniquement).
-
-
Les alertes par e-mail ne prennent désormais en charge que les protocoles de chiffrement valides, tels que TLS 1.2 et 1.3. Si vous avez modifié votre Secure Relay pour appliquer une norme de chiffrement SMTP obsolète, comme SSL v3, vous devez supprimer la modification. Les seules valeurs autorisées sont désormais « Tls12 », « Tls13 » et « Tls12, Tls13 » (pour la commutation automatique en fonction de la version du serveur). L'utilisation d'une valeur non prise en charge empêche le relais de démarrer.
La version 3.78 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Les fonctionnalités Pendo sont désormais actives dans certains environnements Tenable Identity Exposure. |
L'interface utilisateur Tenable Identity Exposure ne se charge plus deux fois lors de l'accès à l'URL de base de l'environnement Tenable Identity Exposure (<environment>.tenable.ad). |
Tenable Identity Exposure a mis à jour le programme d'installation de Secure Relay pour améliorer la façon dont il vérifie si l'utilisateur actuel est un administrateur local, permettant ainsi au programme de fonctionner sur des machines jointes à un domaine. |
Tenable Identity Exposure a amélioré le flux interne de demandes/réponses entre les services pour éviter les blocages pendant l'ingestion d'événements. |
La fermeture du volet « Objets déviants » dans les indicateurs d'exposition (IoE) Entra ID vous redirige désormais correctement vers la liste d'IoE Entra ID appropriée, les préférences de filtrage étant préservées. Cette amélioration est due à une modification de la structure d'URL des objets déviants, qui inclut désormais « ad » ou « meid », selon l'onglet que vous visualisiez lorsque vous avez accédé pour la première fois à la liste des IoE. |
Le problème de blocage des indicateurs d'attaque (IoA) ne se produit plus sur la machine hébergeant le service d'analyse de sécurité. |
Pour une approbation entrante, les données nécessaires aux calculs Tenable Identity Exposure ne sont pas stockées localement, mais dans l'autre domaine. Si cet autre domaine est inclus dans le produit, il est correctement surveillé et « protégé ». Du point de vue de ce domaine, cette relation d'approbation serait considérée comme une approbation sortante. Si cette approbation était jugée dangereuse, Tenable Identity Exposure détecterait une déviance dans ce domaine pour cette approbation particulière. |
L'IoE « GPO non liées, désactivées ou orphelines » gère désormais plus efficacement les scénarios impliquant des GPO supprimées. |
Tenable Identity Exposure a réduit les erreurs 504 entre le Secure Relay et le Directory Listener pour améliorer les performances et éviter les interruptions du produit. |
Tenable Identity Exposure 3.76 (2024-07-25)
-
Indicateur d'exposition (IoE) Principaux de sécurité en conflit — Un nouvel IoE s'assure de l'absence de duplication (conflit) d'objets tels que des utilisateurs, des ordinateurs ou des groupes.
-
IoE Délégation Kerberos dangereuse — Un nouveau motif signale tous les comptes pour lesquels l'attribut utilisé par la délégation contrainte (msDS-AllowedToDelegateTo) fait référence à un nom de principal de service (SPN) qui n'existe pas.
-
Active Directory — La limite de taille des objets AD gérés par Tenable Identity Exposure a été augmentée.
La version 3.76 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Dans l'Explorateur d'identités, l'étiquette « Rechercher un tenant » affiche désormais la localisation correcte en français. |
L' IoE Shadow Credential gère désormais correctement les faux positifs provenant d'identifiants de clé orpheline. |
Lors de l'installation du Secure Relay sur une machine jointe à un domaine à l'aide d'un compte d'administrateur de domaine, un message contextuel apparaît pour vous demander d'utiliser un compte d'administrateur local. |
Tenable Identity Exposure a mis à jour le comportement des autorisations liées aux pages Indicateurs d'exposition. |
Il n'y a plus de problèmes de journalisation qui empêchaient l'indicateur d'attaque (IoA) Extraction NTDS de fonctionner correctement dans certains cas extrêmes. |
Tenable Identity Exposure 3.75 (2024-07-16)
-
Indicateur d'exposition (IoE) Shadow Credentials (Informations d'authentification fantômes) — Un nouvel IoE détecte les portes dérobées et les mauvaises configurations des informations d'authentification fantômes dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés.
-
Indicateur d'exposition (IoE) Groupe principal de comptes utilisateur : un motif supplémentaire est signalé sur tous les comptes où l'attribut primaryGroupID apparaît vide en raison de droits insuffisants.
-
Indicateur d'attaque (IoA) Pulvérisation de mot de passe : dans certains scénarios, cet IoA pouvait causer des problèmes de performances du système, notamment une surcharge de mémoire. Il regroupe désormais les alertes liées à la même attaque en une seule alerte pour résoudre ces problèmes.
-
Ces IoA ne déclenchent plus d'alertes dans les cas suivants :
-
DC Sync — Lorsque la source est un utilisateur ou un nom d'hôte lié à l'outil Azure ADConnect (mode de base uniquement).
-
Extraction NTDS — Lorsque l'outil source est le demandeur VSS ou Veeam (outils de sauvegarde légitimes).
-
Énumération des administrateurs locaux — Lorsque l'IoA ne peut pas trouver le SID de l'utilisateur source (mode de base uniquement).
-
Petit Potam — Lorsque l'IoA ne peut pas récupérer l'événement de connexion associé.
-
Golden Ticket — Lorsque l'IoA ne peut pas récupérer les vecteurs sources (mode de base uniquement).
-
La version 3.75 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
L'option « Intervalle de temps pour la détection » de l'IoA Attaque de mot de passe par force brute affiche désormais la bonne étiquette. |
L'IoE Stratégies de mots de passe faibles appliquées aux utilisateurs est désormais lié aux ressources dans la bonne langue. |
La page Explorateur d'identités charge désormais les données d'identité plus rapidement. |
Tenable Identity Exposure 3.74 (2024-06-26)
-
Indicateurs d'attaque (IoA) Synchronisation DC, Extraction NTDS, Énumération des administrateurs locaux — Le mode « De base » ne génère plus d'alertes dans les scénarios suivants :
-
Lorsque l'IoA détecte une perte d'événement ou un retard significatif dans l'ingestion d'un événement.
-
Lorsque l'IoA ne peut pas identifier la source d'une attaque en raison de données d'événement manquantes.
-
-
Indiateur d'attaque (IoA) Extraction NTDS — Une nouvelle option, active en mode « standard » et « agressif » et appelée « Whitelisted Processes » (Processus autorisés), exempte les processus légitimes signalés pendant les attaques.
La version 3.74 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Un nouveau mécanisme garantit que la base de données résiste à de trop nombreuses modifications de l'attribut badPwdCount. Dans certains cas extrêmes, le service responsable de la gestion du taux d'événements liés au nombre de mots de passe erronés pouvait se déconnecter du gestionnaire de files d'attente de messages, entraînant des interruptions dans la gestion des événements. |
Les journaux d'activité ne signalent plus l'activité des services internes. |
Tenable Identity Exposure 3.73 (2024-06-13)
La version 3.73 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure parvient mieux à empêcher les requêtes SQL de s'exécuter indéfiniment sur les petites plateformes SaaS, ce qui fiabilise l'accessibilité de la base de données. |
Le menu Espace de travail (Sélecteur d'applications) occupe désormais moins d'espace dans l'interface utilisateur pour laisser plus de place au contenu de la page. |
Tenable Identity Exposure 3.72 (2024-05-30)
-
Les utilisateurs peuvent désormais définir la durée de collecte d'événements pour les indicateurs d'attaque (IoA) avant le déclenchement d'une analyse. Ils peuvent spécifier des valeurs allant de 30 secondes à 9 minutes pour trouver le juste équilibre entre latence et précision.
-
Indicateur d'attaque (IoA) Golden Ticket — Afin de réduire le nombre de faux positifs, Tenable Identity Exposure a mis en place une période de report de 10 heures au cours de laquelle les utilisateurs légitimes sont automatiquement placés sur liste d'autorisation.
La version 3.72 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure a introduit un mécanisme au démarrage du Relay pour effectuer une vérification du réseau entre le Relay et la plateforme. Si la plateforme n'est pas encore opérationnelle, le processus de démarrage du Relay attend pour assurer une connexion stable avant de continuer. |
Le service d'authentification restaure désormais automatiquement les canaux de communication en cas d'interruption, afin de garantir la fiabilité des fonctions d'authentification. |
Tenable Identity Exposure a mis en place un mécanisme de sécurité pour résoudre le problème posé par la possibilité d'énumérer les utilisateurs pendant les verrouillages de compte. |
La fonctionnalité de filtrage des tenants fonctionne désormais correctement, permettant ainsi aux utilisateurs de filtrer et d'afficher les indicateurs d'exposition spécifiques à leur tenant lorsqu'ils traitent des incidents liés à Entra ID. |
Tenable Identity Exposure 3.71 (2024-05-22)
Remarque : les améliorations et les correctifs pour Tenable Identity Exposure 3.70 sont inclus dans la version 3.71.
-
Indicateurs d'attaque (IoA)
DCSync :
La valeur par défaut de l'option « Délai avant l'envoi d'alertes » est passée de 1 h à 12 h afin de laisser une plus grande fenêtre pour filtrer les événements légitimes.
La valeur par défaut de l'option « Autoriser une source inconnue » est passée de Faux à Vrai afin d'éviter un faux négatif, dû à l'impossibilité de personnaliser cette option pour le profil par défaut.
Golden Ticket — Détection de la perte du journal des événements Windows pour empêcher le déclenchement de faux positifs dans certains cas.
Énumération des administrateurs locaux — Les comptes de service gérés sont soumis à des processus de filtrage pour réduire les cas de détection de faux positifs.
-
Indicateurs d'exposition (IoE)
-
Groupe Protected Users non utilisé — Un motif supplémentaire de l'IoE signale tous les utilisateurs avec privilèges qui ne sont pas dans ce groupe.
-
Date de la dernière modification du mot de passe du compte KRBTGT — Prise en charge du compte krbtgt_AzureAD dans Windows Hello Entreprise (déploiement Cloud Trust).
-
La version 3.71 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Indicateurs d'attaque (IoA) :
|
Indicateur d'exposition Date de la dernière modification du mot de passe du compte KRBTGT — Les options « Conserver les comptes désactivés » et « Conserver les comptes supprimés » de la personnalisation du profil de sécurité ont été supprimées. |
Il n'y a plus d'interruption occasionnelle des analyses des IoA et IoE pendant une heure ou plus. |
Tenable Identity Exposure a amélioré la qualité des données sur la page Explorateur d'identités. |
Le Relay assure désormais une livraison fiable des messages Syslog sur les réseaux avec latence. |
L'application web prend désormais en charge le chargement d'un certificat d'une CA ECC pour la validation des connexions TLS, dont l'authentification LDAP, le SMTPS, etc. |
Tenable Identity Exposure 3.69 (2024-04-18)
- Nouveaux indicateurs d'exposition (IoE)
Paramétrages dangereux sur des comptes de service administrés — S'assure que les comptes de service administrés disposent du déploiement et de la configuration appropriés.
Compte invité activé — Vérifie que le compte invité intégré est désactivé.
-
Améliorations des indicateurs d'exposition
- Domaine sans GPO de durcissement — Intégration de nouvelles vérifications conçues pour traiter les sessions null, que tous les contrôleurs de domaine doivent explicitement désactiver.
-
Membres des groupes d'administration par défaut — Ajout des groupes « Serveurs Exchange », « Autorisations Exchange Windows » et « Sous-système de confiance Exchange » à la liste d'autorisations des groupes personnalisés. Cette modification ne s'applique qu'au profil de sécurité par défaut et ne concerne pas les profils de sécurité personnalisés existants.
-
Compte utilisateur utilisant un mot de passe trop ancien — Ajout de deux motifs permettant de distinguer les utilisateurs privilégiés des simples utilisateurs.
-
Pour optimiser le rendement, les requêtes de recherche LDAP traitent les résultats par lots entre le Relay et le service Ceti.
La version 3.69 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
L'algorithme de détection amélioré dans l'indicateur d'attaque Golden Ticket produit moins de faux négatifs et de faux positifs. |
La remédiation de la déviance pour l'IoE Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 apparaît désormais correctement. |
L'IoE Domaine sans GPO de durcissement effectue désormais les détections avec précision. |
Tenable Identity Exposure 3.68 (2024-04-08)
Améliorations des indicateurs d'exposition (IoE) :
-
Comptes dormants — Ajout de deux nouveaux motifs pour faire la distinction entre les utilisateurs privilégiés et ceux qui ne le sont pas.
-
Ordinateurs exécutant un système d'exploitation obsolète — Une nouvelle valeur « lastLogonTimestamp » permet d'afficher l'horodatage de la dernière connexion d'utilisateur réussie dans les déviances « OS inactif obsolète ».
-
Domaine sans GPO de durcissement
-
Nouvelles vérifications liées aux chemins UNC durcis configurés pour les contrôleurs de domaine (partages SYSVOL/NETLOGON).
-
Nouvelles vérifications liées au spouleur d'impression qui doit rester désactivé sur les contrôleurs de domaine.
-
Amélioration visant à garantir l'application de la signature Server Message Block (SMB) appropriée sur les contrôleurs de domaine et d'autres serveurs. Elle valide le paramètre « Stratégie par défaut des contrôleurs de domaine » et vérifie si la configuration GPO des autres serveurs est correcte.
-
-
Indicateurs d'exposition liés au jeu de stratégies résultant (RSoP) — Pour la réexécution des IoE RSoP avec un cache à jour, Tenable Identity Exposure agrège désormais les événements mis en mémoire tampon sur une courte durée afin de réduire le nombre de modifications à analyser (une minute par défaut et uniquement pour l'IoE « Restrictions d'authentification des utilisateurs privilégiés »).
La version 3.68 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Il est désormais possible de mettre à jour l'option Indicateur d'attaque (IoA) sur un profil de sécurité personnalisé créé avant l'introduction de nouvelles options d'IoA. |
Le terminal d'API publique /export/profile/:profileId/checkers/:checkerId fonctionne désormais correctement sans options. |
Tenable Identity Exposure 3.67 (2024-03-21)
-
Les ordinateurs ne peuvent pas apparaître comme déviants à cause du motif « Non protégé contre la délégation ». Tenable Identity Exposure traite et résout toutes les déviances existantes liées à ce problème.
-
Amélioration des indicateurs d'exposition (IoE) — Dans l'IoE Configuration Kerberos appliquée aux comptes utilisateur, les utilisateurs possédant une carte à puce (smartcard) sont immunisés contre l'attaque AS-REP Roasting et Tenable Identity Exposure ne les signale plus comme problème de sécurité.
-
Améliorations des indicateurs d'attaque (IoA) :
-
Attaque de mot de passe par force brute — Une nouvelle option « Durée pour la détection de pulvérisation de mot de passe » spécifie, en minutes, le nombre de minutes pendant lesquelles chaque tentative de connexion infructueuse est considérée comme une attaque potentielle en cours.
-
Énumération des administrateurs locaux
-
Une nouvelle option, « Droits d'accès filtrés en mode agressif », prend uniquement en compte les droits d'accès spécifiés récupérés à partir de l'événement « Un objet de partage réseau a été vérifié » pour qualifier une attaque potentielle en cours. Cette liste s'applique uniquement en mode agressif.
-
La valeur par défaut de l'option « Heuristique pour les contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais « Faux ».
-
-
DCSync : la valeur par défaut de l'option « Autoriser une source inconnue » est désormais « Faux ».
-
Extraction NTDS — Nouvelle « liste de refus » en « mode standard » : diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, wmi-based technique, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI-based technique.
-
Dumping des informations d'identification - Mémoire LSASS — Nouvelle « liste de refus » en « mode standard » : mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.
-
La version 3.67 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure met désormais correctement à jour les profils de sécurité lorsque vous modifiez les options suivantes pour les configurations IoA suivantes :
|
Si vous disposez d'une licence Tenable One, la création de l'utilisateur a lieu dans Tenable Vulnerability Management et est propagée à Tenable Identity Exposure. Dans ce cas, lorsque vous cliquez sur le bouton « Créer un utilisateur » dans Tenable Identity Exposure, un message apparaît pour vous diriger vers Tenable Vulnerability Management afin de créer des utilisateurs. |
Tenable Identity Exposure affiche désormais tous les IoE Entra ID sur le volet IoE. |
Le fichier journal MSI est désormais disponible dans C:\Tenable\Logs après l'installation ou une mise à niveau. |
Tenable Identity Exposure 3.66 (2024-03-11)
Indicateur d'attaque (IoA) — Nouvelles options pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).
Remarque : à partir de cette version, pour tous les IoA de chaque profil de sécurité, l'option « Mode agressif » est définie sur « Faux » par défaut. Vous pouvez définir cette option sur « Vrai » pour chaque IoA dans les profils de sécurité individuels.
-
Changement de mot de passe suspect sur un DC — Nouvelles options :
-
« Mode agressif » :
-
Vrai : détecte l'attaque, que l'utilisateur soit authentifié ou non.
- Faux (par défaut) : détecte uniquement les utilisateurs authentifiés.
« Fréquence de modification du mot de passe » : en « mode agressif », cette option précise l'intervalle entre deux changements de mot de passe (30 jours par défaut).
-
DCSync — Nouvelle option :
« Mode agressif » :
Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.
Faux (par défaut) : ne déclenche une attaque que si la machine ne se trouve pas dans le domaine. Cela détecte moins d'attaques mais évite les faux positifs.
Améliorations
-
Optimisation de la durée de calcul pour les indicateurs d'exposition en fonction du jeu de stratégies résultant (RSoP), ce qui a pour effet de ralentir le calcul des déviances liées au RSoP. Pour plus d'informations, voir Indicateurs d'exposition basés sur un RSoP dans le Guide de l'utilisateur Tenable Identity Exposure.
-
Ajout de la prise en charge de la limitation de la visibilité des données pour les tenants Entra ID dans la gestion des autorisations des rôles.
La version 3.66 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
IoA Dumping des identifiants système du système d'exploitation : mémoire LSASS — Tenable Identity Exposure prend désormais en considération la liste d'autorisations spécifiée pour l'option « Mode agressif ». |
Tenable Identity Exposure a mis en œuvre un nouveau mécanisme pour améliorer la résilience de la base de données lors de la gestion de nombreuses modifications apportées à l'attribut badPwdCount à l'aide de mesures de régulation pour limiter les changements. |
Tenable Identity Exposure a mis à jour les conventions de nommage pour la langue chinoise. |
Tenable Identity Exposure 3.65 (2024-02-27)
Indicateurs d'attaque (IoA) — Nouvelles valeurs par défaut pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).
-
Golden Ticket — Nouvelle option « Mode agressif » :
-
Faux (standard, par défaut) : déclenche une attaque uniquement si l'utilisateur cible est un contrôleur de domaine ou un utilisateur appartenant au groupe Admins de domaine.
-
Vrai : autorise les attaques même si le nom d'utilisateur cible n'est pas membre du groupe Admins de domaine ou un contrôleur de domaine. Autorise également les attaques même si certains contrôleurs de domaine ne sont pas surveillés (en d'autres termes, ils ne génèrent aucune entrée dans le journal d'événements Windows).
-
-
Usurpation de sAMAccountName — Nouvelle option « Mode agressif » :
-
Faux (standard, par défaut) : ne déclenche pas d'attaque si le TargetUserName n'est pas un contrôleur de domaine (DC).
-
Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.
-
-
Dumping des identifiants système du système d'exploitation : mémoire LSASS — Nouvelles options :
-
« Mode agressif » :
-
Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.
-
Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.
-
« Processus autorisés en mode agressif » : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.
-
« Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.
-
-
Extraction NTDS — Nouvelles options :
-
« Mode agressif » :
-
Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.
Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.
« Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.
« Processus d'attaque en mode standard sur liste blanche » (anciennement « Whitelisted Processes » (Processus autorisés)) : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.
-
Reconnaissance massive de machines — Nouvelles valeurs par défaut pour les options :
-
Nombre d'ordinateurs — 5 000
-
Nombre minimum d'ordinateurs — 100
-
Pourcentage d'ordinateurs — 95
-
Fenêtre glissante — 240
-
Temps d'attente entre les attaques — 240
-
-
Attaque de mot de passe par force brute — Nouvelle valeur par défaut pour l'option :
-
Nombre de comptes soumis à des tentatives de connexion infructueuses — 10 000
-
-
Énumération des administrateurs locaux — L'option « Heuristique pour les contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais définie sur « Faux » par défaut.
Indicateurs d'exposition (IoE)
-
Nouveaux IoE
- Configuration de silo d'authentification privilégié — Fournit un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0).
Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID — Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.
-
Améliorations
-
IoE Délégation Kerberos dangereuse — Ajoute une nouvelle raison de détecter la configuration actuelle de la délégation Kerberos sur un compte Microsoft Entra Connect (AZUREADSSOACC).
-
IoE Mots de passe utilisant un algorithme de chiffrement réversible — Recherche les mots de passe configurés pour être stockés dans un format réversible, d'après les paramètres définis par l'attribut msDS-PasswordReversibleEncryptionEnabled dans l'Objet de paramètres de mot de passe (PSO).
-
IoE Gestion des comptes d'administration locaux — Ajoute la prise en charge de la nouvelle version de la Solution de mot de passe d'administrateur local (LAPS) de Microsoft à l'aide d'une nouvelle option intitulée « Version LAPS installée », et vérifie la configuration de LAPS en fonction des sélections de l'utilisateur.
-
La version 3.65 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure a résolu un problème lié à la suppression du tenant Microsoft Entra ID. Auparavant, lorsque l'on cliquait sur l'icône de la corbeille de suppression, certains assets précédemment acquis pouvaient persister. La résolution garantit désormais la suppression complète de tous les assets pendant ce processus. |
Tenable Identity Exposure a résolu une vulnérabilité par injection grâce à laquelle un utilisateur local à faibles privilèges pouvait modifier les fichiers d'application sur l'hôte Secure Relay Tenable Identity Exposure. |
Tenable Identity Exposure a résolu un problème entraînant l'échec de requêtes en raison d'une valeur nulle, et provenant probablement d'une incohérence entre des données de la base de données. Par exemple, le problème pouvait se manifester quand un droit d'accès compact était destiné à un asset qui n'avait pas encore atteint la Software Factory (SF) nécessaire. |
Tenable Identity Exposure a amélioré la fonctionnalité des chemins d'attaque pour prévenir les pannes potentielles au cours du processus d'initialisation dans certains scénarios rares. |
Tenable Identity Exposure a implémenté un nouveau mécanisme pour garantir que la base de données puisse traiter plusieurs modifications apportées à l'attribut badPwdCount sans que cela nuise à son intégrité et à ses performances. |
Tenable Identity Exposure 3.64 (2024-02-07)
La version 3.64 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
L'indicateur d'attaque Changement de mot de passe suspect sur un DC a résolu les faux positifs liés aux systèmes Windows Server 2008 R2 qui changent leurs mots de passe tous les 30 jours par défaut. |
Tenable Identity Exposure 3.63 (2024-01-24)
-
Indicateurs d'attaque — L'option « Processus autorisés » dans les indicateurs d'attaque Dumping des identifiants système du système d'exploitation : mémoire LSASS et Extraction NTDS inclut des processus connus pour générer des faux positifs.
La version 3.63 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure n'affiche plus les domaines de topologie après la suppression de leur domaine associé. |
Le statut de scan actuel de Microsoft Entra ID indique désormais l'erreur d'un échec de scan, même si les scans précédents ont réussi. |
Tenable Identity Exposure actualise désormais correctement les certificats CA après une mise à jour de la configuration d'une alerte Syslog. |
Les données techniques internes de Tenable Identity Exposure ne sont plus transmises en tant qu'assets à Tenable Cloud lorsque cette fonctionnalité est active. |
Les déviances liées à la réutilisation de mots de passe à partir de l'indicateur d'exposition Faiblesses détectées lors de l'analyse des mots de passe exposent désormais les préfixes de hachage de mot de passe incriminants. |
Lors de l'analyse d'un événement 4776 sans nom d'hôte produisant une source « Inconnue », Tenable Identity Exposure filtre désormais cette déviance selon l'option « Autoriser une source inconnue » dans l'indicateur d'attaque Pulvérisation de mot de passe. |
Tenable Identity Exposure 3.62 (2024-01-10)
La version 3.62 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure calcule désormais les fichiers SYSVOL lors de la création d'un attribut dont le nom dépasse 500 caractères. |
Le Secure Relay reflète désormais les modifications apportées aux configurations SYSLOG pour réactiver le flux de messages SYSLOG vers le SIEM. |
L'indicateur d'exposition (IoE) Durcissement insuffisant contre les ransomwares gère désormais correctement les exclusions de listes d'autorisation. |
Tenable Identity Exposure a résolu un problème qui affectait la qualification précise des groupes privilégiés dans les IoE suivants : Attribut adminCount appliqué à des utilisateurs non administrateurs, Présence de comptes désactivés dans les groupes privilégiés, Comptes privilégiés exécutant des services Kerberos et Certificats associés aux comptes. |
Les statuts de scan Microsoft EntraID sont désormais plus précis et fournissent des indications plus claires lorsqu'un problème survient. |