DFS 复制问题缓解措施

攻击指标部署脚本中的附加参数 -EventLogsFileWriteFrequency X 有助于您解决可能遇到的分布式文件系统 (DFS) 复制缓慢或损坏的潜在问题。

此参数为可选参数,仅当您遇到 DFS 复制问题或自部署 IoA 脚本后注意到这些问题时,才建议使用该参数。在正常情况下,该参数保持默认值,您在运行脚本时无需将其包含在命令行中。

何时修改参数

参数 -EventLogsFileWriteFrequency X 的值 [X ] 是 Tenable Identity Exposure 监听器在非 PDCe 域控制器 (DC) 上生成事件日志文件的频率。Tenable Identity Exposure 侦听器使用的默认建议值为 15 秒。但是,自定义值不适用于 PDCe DC,该控制器会保持其默认的 15 秒间隔,以确保攻击检测功能完全可操作。Tenable 建议仅当您的基础设施面临或容易受到 DFS 复制问题影响时,才使用此参数并将其值从默认的 15 秒值增加到 300 秒(5 分钟)。

建议

请注意,增加事件日志文件的写入频率会降低生成文件的频率,从而增加攻击检测的延迟(例如,文件可能会每 30 秒生成一次,而不是在非 PDCe DC 上所默认的 15 秒)。此外,在 技术变更与潜在影响 中定义的设定限制内,增加延迟会增加生成的事件日志文件的大小。因此,此参数仅用作缓解措施,而不能替代对 DFS 复制问题进行的适当调查。

如要应用参数,请执行以下操作:

  1. 按照流程所述为 IoA 配置域。有关更多信息,请参阅“安装攻击指标”。

  2. 使用管理权限打开 PowerShell 终端。

  3. 运行脚本以配置 IoA 的域控制器并附加 -EventLogsFileWriteFrequency X 参数,其中 [X] 是要为事件日志文件频率设置的频率。