运行状况检查

Tenable Identity Exposure 中的运行状况检查功能可让您在单一合并视图中实时查看域和服务帐户的配置情况,从而深入研究导致基础设施中出现连接问题或其他问题的任何配置异常。该功能会验证所有设置是否正确,以确保 Tenable Identity Exposure 的顺利运行,助您采取快速而准确的操作来修复问题,同时确保您的配置设置已经过优化,能够使 Tenable Identity Exposure 高效运行。

管理角色默认可查看运行状况检查,而对于某些用户角色,则需要获得相应的权限才能查看。您还可以根据运行状况检查状态的每次变更创建 Syslog 或电子邮件警报。

运行状况检查和 DC 同步攻击检测

运行状况检查提供有关 Tenable Identity Exposure 服务的状态和可用性的重要信息。该检查会验证服务帐户是否能够收集敏感信息,例如用于特权分析的密码哈希和 DPAPI 备份密钥。在运行状况检查报告中,Tenable 会尝试收集敏感数据以确定服务帐户是否正确配置了特权分析功能,如果未使用此功能,Tenable 实际不会收集任何信息。为防止在此过程中检测 DCSync 攻击,Tenable 会自动将为 DCSync 攻击指标提供的服务帐户列入白名单。

域状态

Tenable Identity Exposure 对每个域执行以下检查:

  • AD 域的身份验证:LDAP 设置和状态、凭据以及 SMB 访问权限

  • 域可访问性:与动态 RPC 端口的可正常工作连接、可访问的 SMB 服务器、可访问的域控制器 IP 地址或 FQDN、与 RPC 端口的可正常工作连接、可访问的 LDAP 服务器以及可访问的全局编录 LDAP 服务器。

  • 权限:访问 AD 域数据和收集特权数据的能力。

  • 链接到中继的域:域已正确关联到中继服务。

  • 攻击指标:域控制器活动 — Tenable Identity Exposure 从所有域控制器接收 Windows 事件日志。

  • 攻击指标:域安装 — 确保 Tenable IoA GPO 配置正确无误。

平台状态

Tenable Identity Exposure 对平台配置执行以下检查:

  • 运行中继服务:中继配置是否正确,并提供关于故障排除的提示。

  • 中继版本一致性:中继版本是否与 Tenable Identity Exposure 版本一致。

  • 运行 AD 数据收集器服务:数据收集器服务、代理和收集器桥是否可操作,是否可将数据中继到其他服务。

若要访问运行状况检查,请执行以下操作:

  1. Tenable Identity Exposure 页面左下角,将鼠标悬停在 图标上,以查看基础设施的全局状态。

  2. 点击图标可打开“运行状况检查 ”页面。在“域状态”或“平台状态”选项卡下,您会看到以下内容之一:

    • 显示已通过所有运行状况检查的信息

    • 特定状态的警告或问题列表:

      检查成功并显示正常结果。
      检查失败并发现一个问题。

      检查失败,但该问题不会妨碍 Tenable Identity Exposure 正常工作。

      例如,如果服务帐户无法收集特权数据,则数据集合检查将失败,因为客户端的 Active Directory 配置错误。但该问题并不严重,出现此警告的原因是您尚未在 Tenable Identity Exposure 中在此域上激活特权分析功能。但是,如果您激活特权分析,检查将立即失败。
      检查显示未知结果,因为从属关系检查失败。例如,如果身份认证检查失败,则无法继续进行网络可访问性检查。

若要查看所有运行状况检查,请执行以下操作:

  • 在右侧的运行状况检查列表上方,点击切换开关“显示成功的检查”以列出 Tenable Identity Exposure 执行的所有检查,其中包含以下信息:

    • 运行状况检查的名称

    • 状态(通过、失败、失败但无阻塞或未知)

    • 受影响的域及其关联的林(仅适用于域状态检查)

    • 上次执行检查的时间

    • 检查保持此状态的时间

若要刷新运行状况检查页面,请执行以下操作:

  • 尽管 Tenable Identity Exposure 会定期执行运行状况检查,但并未借助结果实时更新页面。点击“”刷新结果列表。

若要按运行状况检查类型或域筛选结果,请执行以下操作:

  1. 在右侧的运行状况检查列表上方,点击“n/n 个运行状况检查”或“n/n 个域”(仅适用于域状态)。

    此时会打开“运行状况检查”或“林和域”窗格。

  2. 选择运行状况检查类型或林/域(如适用),然后点击“按所选结果筛选”。

若要深入了解有关每次运行状况检查的更多信息,请执行以下操作:

  1. 在运行状况检查列表中,点击运行状况检查名称或行末的蓝色箭头 ()。

    此时会打开“详细信息”窗格,并显示检查说明和相关详细信息列表。有关更多信息,请参阅下文的“运行状况检查列表”。

  2. 点击详细信息行末尾的箭头以将其展开并显示有关结果的更多信息。

若要隐藏运行状况检查状态图标,请执行以下操作:

默认情况下,Tenable Identity Exposure 在屏幕左下角显示运行状况检查状态图标。

  1. Tenable Identity Exposure 中,转至左侧导航栏中的“系统”,然后选择“配置”选项卡。

    或者,您可以点击“运行状况检查”页面右上角的“”,然后选择“配置”。

  2. 在“应用程序服务”下,选择“运行状况检查”。

  3. 点击切换开关“显示全局运行状况检查状态”以禁用此功能。

    Tenable Identity Exposure 在屏幕左下角隐藏运行状况检查图标。

若要为用户角色分配运行状况检查权限,请执行以下操作:

  1. Tenable Identity Exposure 中,转至左侧导航栏中的“帐户”,然后选择“角色管理”选项卡。

  2. 在角色列表中,选择用户角色并单击该行末尾的“”。

    此时会打开“编辑角色”窗格。

  3. 选择“系统配置实体”选项卡。

  4. 选择“运行状况检查”实体,然后点击权限切换按钮,将其从未授权状态切换为已授权状态。

  5. 点击“应用并关闭”。

有关权限的更多信息,请参阅“设置角色的权限”。

若要设置运行状况检查状态变更警报,请执行以下操作:

  1. Tenable Identity Exposure 中,转至左侧导航栏中的“系统”,然后选择“配置”选项卡。

    或者,您可以点击“运行状况检查”页面右上角的“”,然后选择“警报”。

  2. 在“警报引擎”下,选择“Syslog”或“ 电子邮件”。

  3. 点击“添加 Syslog 警报”或“添加电子邮件警报”。

    此时会打开一个新窗格。有关完整程序的信息,请参阅“警报”。

  4. 在“警报参数”下的“触发警报”框中,从下拉菜单中选择“每当运行状况检查状态更改时”。

  5. 点击“健康状况检查”框中的箭头,选择要触发警报的健康状况检查类型,然后点击“按所选结果筛选”。

  6. 单击“添加”。

运行状况检查列表

运行状况检查的名称 类型 检查的描述 详细信息

域可访问性

(HC-DOMAIN-REACHABILITY)

与 AD 域建立连接的能力。

  • 可访问的域控制器 IP 地址或 FQDN

  • 可访问的全局目录 LDAP 服务器

  • 可访问的 LDAP 服务器

  • 可访问的 SMB 服务器

  • 可正常工作的与动态 RPC 端口的连接

  • 可正常工作的与 RPC 端口的连接

AD 域身份验证

(HC-DOMAIN-AUTHENTICATION)

 对 AD 域进行身份验证的能力。

  • 有效凭据

  • 空闲的 LDAP 服务器

  • 可用的 LDAP 服务器

  • 已授予 LDAP 访问权限

  • 已授予 SMB 访问权限

收集 AD 域数据的权限

(HC-DOMAIN-DATA-COLLECTION)

 收集 AD 域数据的能力。

  • 已授予收集特权数据的权限

访问 AD 容器的权限

(HC-DOMAIN-CONTAINER-ACCESS)

 访问 AD 容器的能力。

  • 已授予访问已删除对象容器的权限

  • 已授予访问密码设置容器的权限

链接到中继的域

(HC-DOMAIN-LINKED-TO-RELAY)

 域已链接到中继。

  • 域已链接到中继

IoA - 域控制器活动

(HC-DOMAIN-EVENT-LOGS-COLLECTION-DOMAIN-CONTROLLER-ACTIVITY)

 Tenable Identity Exposure 从所有域控制器接收 Windows 事件日志。

  • 非活动的域控制器

受监控的域控制器具有 PDCe 角色

(HC-DOMAIN-PRIMARY-ROLE)		 受监控的域控制器持有 PDC 模拟器 (PDCe) 角色,这对于某些安全功能而言至关重要。

  • 确保风险暴露指标 (IoE) 和攻击指标 (IoA) 以最佳状态运行

IoA - SMB 共享设置

(HC-DOMAIN-EVENT-LOGS-COLLECTION-SMB-SHARE-CONFIGURATION)

 Tenable Identity Exposure Windows 事件日志收集已正确配置为 SMB 共享模式(在 SMB 模式已禁用的情况下不会显示)。  

IoA - 可访问的 SMB 共享

(HC-DOMAIN-EVENT-LOGS-COLLECTION-SMB-SHARE-REACHABILITY)

 

 Tenable Identity Exposure 事件日志收集 SMB 共享可访问(在 SMB 模式已禁用的情况下不会显示)。  

IoA - 域安装

(HC-DOMAIN-IOA-CONFIGURATION)

 确保 Tenable IoA GPO 配置正确无误。

  • LDAP 中存在 Tenable IoA GPO

  • SYSVOL 中存在 Tenable IoA GPO 文件夹

  • SYSVOL 中存在 Tenable IoA GPO IoA 文件夹

  • SYSVOL 中存在 Tenable IoA GPO EVT Subscribe 侦听器文件

  • SYSVOL 中存在 Tenable IoA GPO 配置文件

  • SYSVOL 中存在 Tenable IoA GPO audit.csv 文件

电子邮件警报

(HC-PLATFORM-ALERTING)

 

 平台 通过 OAuth 2 使用 MS 365/Office SMTP 服务器的电子邮件警报功能正常运行。

  • OAuth 2 的正确 SMTP 服务器配置

中继服务启动

(HC-PLATFORM-RELAY-UP)

 平台 中继按照预期工作。

  • 运行中继服务

中继服务版本

(HC-PLATFORM-RELAY-VERSION)

 平台 中继版本与产品版本一致。

  • 中继版本一致性

AD 数据收集器启动

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

 平台 AD 数据收集器按预期工作。

  • 运行 AD 数据收集器桥

  • 运行 AD 数据收集器服务

  • 运行代理

Tenable 云与 Tenable Identity Exposure 服务之间的同步

(HC-PLATFORM-TENABLE-CLOUD-SYNC)

 平台 创建的 Tenable 云组、权限和用户与 Tenable Identity Exposure 数据库同步。

  • Tenable 云可用性