技术变更与潜在影响
攻击指标 (IoA) 模块的安装脚本会创建一个 GPO,以在受监控的 DC 上透明地应用以下更改:
-
默认情况下,名为“Tenable.ad”的新 GPO 链接到域控制器的组织单位 (OU)。
-
修改注册表项,以激活 Microsoft Advanced 日志记录策略。
-
激活新的事件日志策略,以强制域控制器生成 IoA 所需的 ETW 信息。
注意:事件日志策略是必需项,这样 ETW 引擎才可以生成 Tenable Identity Exposure 所需的插入字符串。此策略不会禁用任何现有的日志记录策略,而是会向其中添加内容。如果存在冲突,部署脚本将停止并显示错误消息。 -
为 Tenable Identity Exposure 服务帐户添加了写入权限,以允许对 GPO 文件夹中存储的 IoA 配置进行“自动更新”。
限制和潜在影响
攻击指标 (IoA) 模块可造成以下限制:
-
IoA 模块依赖于 ETW 数据,并在 Microsoft 定义的限制内运行。
-
安装的 GPO 必须在整个域中进行复制,并且必须经过 GPO 刷新间隔才能完成安装过程。在复制期间,可能会发生误报和漏报。即使 Tenable Identity Exposure 会通过不立即启动攻击指标引擎中的检查来最大程度地减少此影响,仍会有此情形发生。
-
Tenable 使用 SYSVOL 文件共享来从域控制器检索 ETW 信息。当 SYSVOL 复制到域中的每个域控制器时,在 Active Directory 活动的高峰期间会出现复制活动显着增加。
-
在域控制器和 Tenable Identity Exposure 之间复制文件也会消耗一些网络带宽。Tenable Identity Exposure 通过自动删除其收集的文件来控制这些影响,同时会限制这些文件的大小(默认情况下最大为 500 MB)。
-
与分布式文件系统 (DFS) 复制缓慢或损坏相关的问题。有关更多信息,请参阅“DFS 复制问题缓解措施”。
另请参阅:
-
Indicators of Attack and the Active Directory
- 攻击指标安装脚本
- 对攻击指标进行故障排除