Notes de version Tenable Identity Exposure 2024

Conseil : vous pouvez vous abonner pour recevoir des alertes lors des mises à jour de la documentation Tenable.

Ces notes de version sont répertoriées dans l'ordre chronologique inverse.

Tenable Identity Exposure 3.74 (2024-06-26)

  • Indicateurs d'attaque (IoA) Synchronisation DC, Extraction NTDS, Énumération des administrateurs locaux — Le mode « De base » ne génère plus d'alertes dans les scénarios suivants :

    • Lorsque l'IoA détecte une perte d'événement ou un retard significatif dans l'ingestion d'un événement.

    • Lorsque l'IoA ne peut pas identifier la source d'une attaque en raison de données d'événement manquantes.

  • IoA Extraction NTDS — Une nouvelle option, active en mode « de base » et « agressif » et appelée « Processus sur liste blanche », exempte les processus légitimes signalés pendant les attaques.

La version 3.74 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Un nouveau mécanisme garantit que la base de données résiste à de trop nombreuses modifications de l'attribut badPwdCount. Dans certains cas extrêmes, le service responsable de la gestion du taux d'événements liés au nombre de mots de passe erronés pouvait se déconnecter du gestionnaire de files d'attente de messages, entraînant des interruptions dans la gestion des événements.
Les journaux d'activité ne signalent plus l'activité des services internes.

Tenable Identity Exposure 3.73 (2024-06-13)

La version 3.73 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Tenable Identity Exposure parvient mieux à empêcher les requêtes SQL de s'exécuter indéfiniment sur les petites plateformes SaaS, ce qui fiabilise l'accessibilité de la base de données.
Le menu Espace de travail (Sélecteur d'applications) occupe désormais moins d'espace dans l'interface utilisateur pour laisser plus de place au contenu de la page.

Tenable Identity Exposure 3.72 (2024-05-30)

  • Les utilisateurs peuvent désormais définir la durée de collecte d'événements pour les indicateurs d'attaque (IoA) avant le déclenchement d'une analyse. Ils peuvent spécifier des valeurs allant de 30 secondes à 9 minutes pour trouver le juste équilibre entre latence et précision.

  • IoA Golden Ticket — Afin de réduire le nombre de faux positifs, Tenable Identity Exposure a mis en place une période de report de 10 heures au cours de laquelle les utilisateurs légitimes sont automatiquement placés sur liste d'autorisation.

La version 3.72 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Tenable Identity Exposure a introduit un mécanisme au démarrage du Relay pour effectuer une vérification du réseau entre le Relay et la plateforme. Si la plateforme n'est pas encore opérationnelle, le processus de démarrage du Relay attend pour assurer une connexion stable avant de continuer.
Le service d'authentification restaure désormais automatiquement les canaux de communication en cas d'interruption, afin de garantir la fiabilité des fonctions d'authentification.
Tenable Identity Exposure a mis en place un mécanisme de sécurité pour résoudre le problème posé par la possibilité d'énumérer les utilisateurs pendant les verrouillages de compte.
La fonctionnalité de filtrage des tenants fonctionne désormais correctement, permettant ainsi aux utilisateurs de filtrer et d'afficher les indicateurs d'exposition spécifiques à leur tenant lorsqu'ils traitent des incidents liés à Entra ID.

Tenable Identity Exposure 3.71 (2024-05-22)

Remarque : les améliorations et les correctifs pour Tenable Identity Exposure 3.70 sont inclus dans la version 3.71.

  • Indicateurs d'attaque (IoA)

  • DCSync :

  • La valeur par défaut de l'option « Délai avant l'envoi d'alertes » est passée de 1 h à 12 h afin de laisser une plus grande fenêtre pour filtrer les événements légitimes.

  • La valeur par défaut de l'option « Autoriser une source inconnue » est passée de Faux à Vrai afin d'éviter un faux négatif, dû à l'impossibilité de personnaliser cette option pour le profil par défaut.

  • Golden Ticket — Détection de la perte du journal des événements Windows pour empêcher le déclenchement de faux positifs dans certains cas.

  • Énumération des administrateurs locaux — Les comptes de service gérés sont soumis à des processus de filtrage pour réduire les cas de détection de faux positifs.

  • Indicateurs d'exposition (IoE)

    • Groupe Protected Users non utilisé — Un motif supplémentaire de l'IoE signale tous les utilisateurs avec privilèges qui ne sont pas dans ce groupe.

    • Date de la dernière modification du mot de passe du compte KRBTGT — Prise en charge du compte krbtgt_AzureAD dans Windows Hello Entreprise (déploiement Cloud Trust).

La version 3.71 de Tenable Identity Exposure contient les correctifs suivants :

Correctif

Indicateurs d'attaque (IoA) :

  • Dumping des informations d'identification - Mémoire LSASS

    • Modification de la corrélation du nom du processus dans le vecteur d'attaque de cet IoA pour réduire le nombre d'inconnues.

    • Amélioration du filtrage de la liste de blocage en mode standard.

  • Extraction NTDS — Amélioration du filtrage de la liste de blocage en mode standard.
Indicateur d'exposition Date de la dernière modification du mot de passe du compte KRBTGT — Les options « Conserver les comptes désactivés » et « Conserver les comptes supprimés » de la personnalisation du profil de sécurité ont été supprimées.
Il n'y a plus d'interruption occasionnelle des analyses des IoA et IoE pendant une heure ou plus.
Tenable Identity Exposure a amélioré la qualité des données sur la page Explorateur d'identités.
Le Relay assure désormais une livraison fiable des messages Syslog sur les réseaux avec latence.
L'application web prend désormais en charge le chargement d'un certificat d'une CA ECC pour la validation des connexions TLS, dont l'authentification LDAP, le SMTPS, etc.

Tenable Identity Exposure 3.69 (2024-04-18)

  • Nouveaux indicateurs d'exposition (IoE)

    • Paramétrages dangereux sur des comptes de service administrés — S'assure que les comptes de service administrés disposent du déploiement et de la configuration appropriés.

    • Compte invité activé — Vérifie que le compte invité intégré est désactivé.

  • Améliorations des indicateurs d'exposition

    • Domaine sans GPO de durcissement — Intégration de nouvelles vérifications conçues pour traiter les sessions null, que tous les contrôleurs de domaine doivent explicitement désactiver.

    • Membres des groupes d'administration par défaut — Ajout des groupes « Serveurs Exchange », « Autorisations Exchange Windows » et « Sous-système de confiance Exchange » à la liste d'autorisations des groupes personnalisés. Cette modification ne s'applique qu'au profil de sécurité par défaut et ne concerne pas les profils de sécurité personnalisés existants.

    • Compte utilisateur utilisant un mot de passe trop ancien — Ajout de deux motifs permettant de distinguer les utilisateurs privilégiés des simples utilisateurs.

  • Pour optimiser le rendement, les requêtes de recherche LDAP traitent les résultats par lots entre le Relay et le service Ceti.

La version 3.69 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
L'algorithme de détection amélioré dans l'indicateur d'attaque Golden Ticket réduit les faux négatifs et les faux positifs.
La remédiation de la déviance pour l'IoE Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 apparaît désormais correctement.
L'IoE Domaine sans GPO de durcissement effectue désormais les détections avec précision.

Tenable Identity Exposure 3.68 (2024-04-08)

Améliorations des indicateurs d'exposition (IoE) :

  • Comptes dormants — Ajout de deux nouveaux motifs pour faire la distinction entre les utilisateurs privilégiés et ceux qui ne le sont pas.

  • Ordinateurs exécutant un système d'exploitation obsolète — Une nouvelle valeur « lastLogonTimestamp » permet d'afficher l'horodatage de la dernière connexion d'utilisateur réussie dans les déviances « OS inactif obsolète ».

  • Domaine sans GPO de durcissement

    • Nouvelles vérifications liées aux chemins UNC durcis configurés pour les contrôleurs de domaine (partages SYSVOL/NETLOGON).

    • Nouvelles vérifications liées au spouleur d'impression qui doit rester désactivé sur les contrôleurs de domaine.

    • Amélioration visant à garantir l'application de la signature Server Message Block (SMB) appropriée sur les contrôleurs de domaine et d'autres serveurs. Elle valide le paramètre « Stratégie par défaut des contrôleurs de domaine » et vérifie si la configuration GPO des autres serveurs est correcte.

  • Indicateurs d'exposition liés au jeu de stratégies résultant (RSoP) — Pour la réexécution des IoE RSoP avec un cache à jour, Tenable Identity Exposure agrège désormais les événements mis en mémoire tampon sur une courte durée afin de réduire le nombre de modifications à analyser (une minute par défaut et uniquement pour l'IoE « Restrictions d'authentification des utilisateurs privilégiés »).

La version 3.68 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Il est désormais possible de mettre à jour l'option Indicateur d'attaque (IoA) sur un profil de sécurité personnalisé créé avant l'introduction de nouvelles options d'IoA.
Le terminal d'API publique /export/profile/:profileId/checkers/:checkerId fonctionne désormais correctement sans options.

Tenable Identity Exposure 3.67 (2024-03-21)

  • Les ordinateurs ne peuvent pas apparaître comme déviants à cause du motif « Non protégé contre la délégation ». Tenable Identity Exposure traite et résout toutes les déviances existantes liées à ce problème.

  • Amélioration des indicateurs d'exposition (IoE) — Dans l'IoE Configuration Kerberos appliquée aux comptes utilisateur, les utilisateurs possédant une carte à puce (smartcard) sont immunisés contre l'attaque AS-REP Roasting et Tenable Identity Exposure ne les signale plus comme problème de sécurité.

  • Améliorations des indicateurs d'attaque (IoA) :

    • Attaque de mot de passe par force brute — Une nouvelle option « Durée pour la détection de pulvérisation de mot de passe » spécifie, en minutes, le nombre de minutes pendant lesquelles chaque tentative de connexion infructueuse est considérée comme une attaque potentielle en cours.

    • Énumération des administrateurs locaux

      • Une nouvelle option, « Droits d'accès filtrés en mode agressif », prend uniquement en compte les droits d'accès spécifiés récupérés à partir de l'événement « Un objet de partage réseau a été vérifié » pour qualifier une attaque potentielle en cours. Cette liste s'applique uniquement en mode agressif.

      • La valeur par défaut de l'option « Heuristique pour les contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais « Faux ».

    • DCSync  : la valeur par défaut de l'option « Autoriser une source inconnue » est désormais « Faux ».

    • Extraction NTDS — Nouvelle « liste de refus » en « mode standard » : diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, wmi-based technique, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI-based technique.

    • Dumping des informations d'identification - Mémoire LSASS — Nouvelle « liste de refus » en « mode standard » : mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.

La version 3.67 de Tenable Identity Exposure contient les correctifs suivants :

Correctif

Tenable Identity Exposure met désormais correctement à jour les profils de sécurité lorsque vous modifiez les options suivantes pour les configurations IoA suivantes :

  • Dumping des informations d'identification : mémoire LSASS : « Mode agressif » et « Attack tools » (Outils d'attaque)

  • DCSync : « Mode agressif » et « Délai avant l'envoi d'alertes »

  • Golden Ticket : « Délai avant l'envoi d'alertes »
Si vous disposez d'une licence Tenable One, la création de l'utilisateur a lieu dans Tenable Vulnerability Management et est propagée à Tenable Identity Exposure. Dans ce cas, lorsque vous cliquez sur le bouton « Créer un utilisateur » dans Tenable Identity Exposure, un message apparaît pour vous diriger vers Tenable Vulnerability Management afin de créer des utilisateurs.
Tenable Identity Exposure affiche désormais tous les IoE Entra ID sur le volet IoE.
Le fichier journal MSI est désormais disponible dans C:\Tenable\Logs après l'installation ou une mise à niveau.

Tenable Identity Exposure 3.66 (2024-03-11)

Indicateur d'attaque (IoA) — Nouvelles options pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).

Remarque : à partir de cette version, pour tous les IoA de chaque profil de sécurité, l'option « Mode agressif » est définie sur « Faux » par défaut. Vous pouvez définir cette option sur « Vrai » pour chaque IoA dans les profils de sécurité individuels.

  • Changement de mot de passe suspect sur un DC — Nouvelles options :

    • « Mode agressif » :

  • Vrai : détecte l'attaque, que l'utilisateur soit authentifié ou non.

  • Faux (par défaut) : détecte uniquement les utilisateurs authentifiés.

  • « Fréquence de modification du mot de passe » : en « mode agressif », cette option précise l'intervalle entre deux changements de mot de passe (30 jours par défaut).

  • DCSync — Nouvelle option :

  • « Mode agressif » :

    • Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.

    • Faux (par défaut) : ne déclenche une attaque que si la machine ne se trouve pas dans le domaine. Cela détecte moins d'attaques mais évite les faux positifs.

Améliorations

  • Optimisation de la durée de calcul pour les indicateurs d'exposition en fonction du jeu de stratégies résultant (RSoP), ce qui a pour effet de ralentir le calcul des déviances liées au RSoP. Pour plus d'informations, voir Indicateurs d'exposition basés sur un RSoP dans le Guide de l'utilisateur Tenable Identity Exposure.

  • Ajout de la prise en charge de la limitation de la visibilité des données pour les tenants Entra ID dans la gestion des autorisations des rôles.

La version 3.66 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
IoA Dumping des identifiants système du système d'exploitation : mémoire LSASSTenable Identity Exposure prend désormais en considération la liste d'autorisations spécifiée pour l'option « Mode agressif ».
Tenable Identity Exposure a mis en œuvre un nouveau mécanisme pour améliorer la résilience de la base de données lors de la gestion de nombreuses modifications apportées à l'attribut badPwdCount à l'aide de mesures de régulation pour limiter les changements.
Tenable Identity Exposure a mis à jour les conventions de nommage pour la langue chinoise.

Tenable Identity Exposure 3.65 (2024-02-27)

Indicateurs d'attaque (IoA) — Nouvelles valeurs par défaut pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).

  • Golden Ticket — Nouvelle option « Mode agressif » :

    • Faux (standard, par défaut) : déclenche une attaque uniquement si l'utilisateur cible est un contrôleur de domaine ou un utilisateur appartenant au groupe Admins de domaine.

    • Vrai : autorise les attaques même si le nom d'utilisateur cible n'est pas membre du groupe Admins de domaine ou un contrôleur de domaine. Autorise également les attaques même si certains contrôleurs de domaine ne sont pas surveillés (en d'autres termes, ils ne génèrent aucune entrée dans le journal d'événements Windows).

  • Usurpation de sAMAccountName — Nouvelle option « Mode agressif » :

    • Faux (standard, par défaut) : ne déclenche pas d'attaque si le TargetUserName n'est pas un contrôleur de domaine (DC).

    • Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.

  • Dumping des identifiants système du système d'exploitation : mémoire LSASS — Nouvelles options :

    • « Mode agressif » :

    • Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.

    • Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.

    • « Processus autorisés en mode agressif » : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.

    • « Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.

  • Extraction NTDS — Nouvelles options :

    • « Mode agressif » :

  • Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.

  • Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.

  • « Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.

  • « Processus d'attaque en mode standard sur liste blanche » (anciennement « Processus sur liste blanche ») : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.

  • Reconnaissance massive de machines — Nouvelles valeurs par défaut pour les options :

    • Nombre d'ordinateurs — 5 000

    • Nombre minimum d'ordinateurs — 100

    • Pourcentage d'ordinateurs — 95

    • Fenêtre glissante — 240

    • Temps d'attente entre les attaques — 240

  • Attaque de mot de passe par force brute — Nouvelle valeur par défaut pour l'option :

    • Nombre de comptes soumis à des tentatives de connexion infructueuses — 10 000

  • Énumération des administrateurs locaux — L'option « Heuristique pour les contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais définie sur « Faux » par défaut.

Indicateurs d'exposition (IoE)

  • Nouveaux IoE

  • Configuration de silo d'authentification privilégié — Fournit un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0).

  • Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID — Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.

  • Améliorations

    • IoE Délégation Kerberos dangereuse — Ajoute une nouvelle raison de détecter la configuration actuelle de la délégation Kerberos sur un compte Microsoft Entra Connect (AZUREADSSOACC).

    • IoE Mots de passe utilisant un algorithme de chiffrement réversible — Recherche les mots de passe configurés pour être stockés dans un format réversible, d'après les paramètres définis par l'attribut msDS-PasswordReversibleEncryptionEnabled dans l'Objet de paramètres de mot de passe (PSO).

    • IoE Gestion des comptes d'administration locaux — Ajoute la prise en charge de la nouvelle version de la Solution de mot de passe d'administrateur local (LAPS) de Microsoft à l'aide d'une nouvelle option intitulée « Version LAPS installée », et vérifie la configuration de LAPS en fonction des sélections de l'utilisateur.

La version 3.65 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Tenable Identity Exposure a résolu un problème lié à la suppression du tenant Microsoft Entra ID. Auparavant, lorsque l'on cliquait sur l'icône de la corbeille de suppression, certains assets précédemment acquis pouvaient persister. La résolution garantit désormais la suppression complète de tous les assets pendant ce processus.
Tenable Identity Exposure a résolu une vulnérabilité par injection grâce à laquelle un utilisateur local à faibles privilèges pouvait modifier les fichiers d'application sur l'hôte Secure Relay Tenable Identity Exposure.
Tenable Identity Exposure a résolu un problème entraînant l'échec de requêtes en raison d'une valeur nulle, et provenant probablement d'une incohérence entre des données de la base de données. Par exemple, le problème pouvait se manifester quand un droit d'accès compact était destiné à un asset qui n'avait pas encore atteint la Software Factory (SF) nécessaire.
Tenable Identity Exposure a amélioré la fonctionnalité des chemins d'attaque pour prévenir les pannes potentielles au cours du processus d'initialisation dans certains scénarios rares.
Tenable Identity Exposure a implémenté un nouveau mécanisme pour garantir que la base de données puisse traiter plusieurs modifications apportées à l'attribut badPwdCount sans que cela nuise à son intégrité et à ses performances.

Tenable Identity Exposure 3.64 (2024-02-07)

La version 3.64 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
L'indicateur d'attaque Changement de mot de passe suspect sur un DC a résolu les faux positifs liés aux systèmes Windows Server 2008 R2 qui changent leurs mots de passe tous les 30 jours par défaut.

Tenable Identity Exposure 3.63 (2024-01-24)

  • Indicateurs d'attaque — L'option « Processus autorisés » dans les indicateurs d'attaque Dumping des identifiants système du système d'exploitation : mémoire LSASS et Extraction NTDS inclut des processus connus pour générer des faux positifs.

La version 3.63 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Tenable Identity Exposure n'affiche plus les domaines de topologie après la suppression de leur domaine associé.
Le statut de scan actuel de Microsoft Entra ID indique désormais l'erreur d'un échec de scan, même si les scans précédents ont réussi.
Tenable Identity Exposure actualise désormais correctement les certificats CA après une mise à jour de la configuration d'une alerte Syslog.
Les données techniques internes de Tenable Identity Exposure ne sont plus transmises en tant qu'assets à Tenable Cloud lorsque cette fonctionnalité est active.
Les déviances liées à la réutilisation de mots de passe à partir de l'indicateur d'exposition Faiblesses détectées lors de l'analyse des mots de passe exposent désormais les préfixes de hachage de mot de passe incriminants.
Lors de l'analyse d'un événement 4776 sans nom d'hôte produisant une source « Inconnue », Tenable Identity Exposure filtre désormais cette déviance selon l'option « Autoriser une source inconnue » dans l'indicateur d'attaque Pulvérisation de mot de passe.

Tenable Identity Exposure 3.62 (2024-01-10)

La version 3.62 de Tenable Identity Exposure contient les correctifs suivants :

Correctif
Tenable Identity Exposure calcule désormais les fichiers SYSVOL lors de la création d'un attribut dont le nom dépasse 500 caractères.
Le Secure Relay reflète désormais les modifications apportées aux configurations SYSLOG pour réactiver le flux de messages SYSLOG vers le SIEM.
L'indicateur d'exposition (IoE) Durcissement insuffisant contre les ransomwares gère désormais correctement les exclusions de listes d'autorisation.
Tenable Identity Exposure a résolu un problème qui affectait la qualification précise des groupes privilégiés dans les IoE suivants : Attribut adminCount appliqué à des utilisateurs non administrateurs, Présence de comptes désactivés dans les groupes privilégiés, Comptes privilégiés exécutant des services Kerberos et Certificats associés aux comptes.
Les statuts de scan Microsoft EntraID sont désormais plus précis et fournissent des indications plus claires lorsqu'un problème survient.