攻击场景 (< v. 3.36)
您可以通过为 Tenable Identity Exposure 选择要在特定域上监控的攻击类型来定义攻击场景。
开始之前
要修改攻击场景,您必须拥有具有以下权限的用户角色:
-
在“数据实体”中,对以下内容的“读取”权限:
-
所有攻击指标
-
所有域
-
-
在“界面实体”中,对以下内容的访问权限:
-
管理 > 系统 > 配置
-
管理 > 系统 > 配置 > 应用程序服务 > 攻击指标
-
管理 > 系统 > 配置 > 应用程序服务 > 攻击指标 > 下载安装文件
-
有关基于角色的权限的更多信息,请参阅 设置角色的权限。
定义攻击场景的步骤:
-
在 Tenable Identity Exposure 中,点击“系统”>“配置”>“攻击指标”。
此时“攻击场景定义”窗格会打开。
-
在“攻击名称”下,选择要监控的攻击。
-
选择要在其上针对所选攻击进行监控的域。
-
您可以选择执行以下操作之一:
-
点击“全选”以监控所有域上的所有攻击。
-
点击“n/n 个域”或“n/n 个指标”以筛选要在其上监控特定攻击的特定域。
-
-
单击“保存”。
此时会出现一条确认消息,通知您 Tenable Identity Exposure 会在您保存配置后清除每个攻击的活动状态。
-
点击“确认”。
此时会出现一条消息,确认 Tenable Identity Exposure 已更新攻击指标配置。
-
点击“下载安装文件”。
-
为使新的攻击配置生效,请运行安装文件:
-
将下载的安装文件复制并粘贴到受监控域中的 DC。
-
使用管理权限打开 PowerShell 终端。
-
在 Tenable Identity Exposure 中,复制窗口底部“攻击指标”部分下面的命令。
-
在 PowerShell 窗口中,粘贴命令以运行脚本。
-
工作负载配额
Tenable Identity Exposure 中的每个攻击指标都有一个相关联的工作负载配额,此配额考虑了分析攻击数据所需的资源。
Tenable Identity Exposure 计算工作负载配额以限制同时运行的攻击指标 (IoA) 的数量,该数量会影响域控制器上用于生成事件的带宽和 CPU 使用率。
修改工作负载配额限制后,请执行以下操作:
-
增加:监控增加后的统计数据以确保合理的余量。
-
减少:停用某些 IoA,使其数量保持在此配额以下,从而减少针对攻击的安全范围。
修改工作负载配额的步骤:
-
在 Tenable Identity Exposure 中,点击“系统”>“配置”>“攻击指标”。
“IoA 配置”窗格随即打开。
-
为配置选择所需的 IoA。
-
在“攻击指标”下的“配额上限”框中,键入工作负载配额限制的值。
-
点击您输入的值旁边的复选标记。
此时会出现一条消息,通知您此修改对 Tenable Identity Exposure 造成的影响。
注意:如果输入的配额最大限制小于当前攻击配置的要求,则必须调整活动攻击指标的数量或提高限制。 -
点击“确认”。
此时会出现一条消息,确认 Tenable Identity Exposure 已更新配额最大限制。
-
单击“保存”。
此时会出现一条确认消息,通知您 Tenable Identity Exposure 会在您保存配置后清除每个攻击的活动状态。
-
点击“确认”。
此时会出现一条消息,确认 Tenable Identity Exposure 已更新攻击指标配置。
-
点击“下载安装文件”。
-
为使新的攻击配置生效,请运行安装文件:
-
将下载的安装文件复制并粘贴到受监控域中的 DC。
-
使用管理权限打开 PowerShell 终端。
-
在 Tenable Identity Exposure 中,复制窗口底部“攻击指标”部分下面的命令。
-
在 PowerShell 窗口中,粘贴命令以运行脚本。
-
