攻击指标安装脚本
运行 IoA 安装脚本
若要运行 IoA 脚本:
-
以管理员身份打开 PowerShell,导航至脚本目录,调整执行策略,然后运行脚本:
复制.\Register-TenableIOA.ps1 -
输入与您的配置相关的参数:
参数 描述 GPODisplayName 用于创建注册事件监听器的任务的 GPO 的显示名称。默认值: Tenable.ad。 TemporaryFolderLocation 部署期间用于存储 GPO 备份的临时文件夹。默认路径: %TEMP%\Tenable.ad\。 DomainControllerAddress 要部署的域控制器的 FQDN 或 IP 地址。如果脚本从非域控制器的服务器或工作站运行请指定此项。如果省略则从本地计算机检索域信息。 DomainController OU 包含域控制器的组织单位的标识名。如果您的 DC 已移出默认 OU,请指定此选项。示例: OU=Domain Controllers,DC=ROOT,DC=DOMAIN。 TenableServiceAccount Tenable Identity Exposure使用的服务帐户名称其需要明确的权限才能读取组策略对象。 卸载 卸载事件监听器和 WMI 活动脚本使用者以停止事件日志收集。默认值: false。 ConfigurationFileLocation 将用于更新 GPO 配置的文件的路径。 目标 此注册脚本定位的域控制器的逗号分隔列表。示例: DC-ROOT1,DC-ROOT2。此参数可选。
提示:如果使用,确保列表中包含 PDCE;否则,IoA 部署将失败。
CleaningGPODisplayName GPO 的显示名称,用于创建清除任务,以删除事件监听器和 WMI 活动脚本使用者。默认Tenable.ad 清理。 EventLogsFileWriteFrequency DFSR 模式中为非 PDCE 域控制器生成的事件日志文件的频率(秒)。默认:15 秒。最大值:300 秒(5 分钟)。可选参数。 SmbShareLocation 在“专用 SMB 共享”模式下在 PDCE 上运行时SMB 共享位置的磁盘路径绝对。此文件夹由 Tenable Identity Exposure 管理。默认路径: C:\Tenable\IdentityExposure\IOALogs。可选参数。 UseXmlEventRender 为侦听器启用基于 XML 的旧事件渲染。与基于值的渲染器相比,此方法速度更慢,但更稳定。默认禁用。
组策略对象
下载并运行攻击指标 (IoA) 安装文件后,IoA 脚本会在 Active Directory (AD) 数据库中创建一个默认命名为 Tenable.ad 的新组策略对象 (GPO)。系统仅将 Tenable Identity Exposure GPO 链接到包含所有域控制器 (DC) 的域控制器组织单位 (OU)。新策略会使用 GPO 机制在所有 DC 之间自动复制。
另请参阅