运行状况检查

Tenable Identity Exposure 中的运行状况检查功能可让您在单一合并视图中实时查看域和服务帐户的配置情况,从而深入研究导致基础设施中出现连接问题或其他问题的任何配置异常。该功能会验证所有设置是否正确,以确保 Tenable Identity Exposure 的顺利运行,助您采取快速而准确的操作来修复问题,同时确保您的配置设置已经过优化,能够使 Tenable Identity Exposure 高效运行。

管理角色默认可查看运行状况检查,而对于某些用户角色,则需要获得相应的权限才能查看。您还可以根据运行状况检查状态的每次变更创建 Syslog 或电子邮件警报。

运行状况检查和 DC 同步攻击检测

运行状况检查提供有关 Tenable Identity Exposure 服务的状态和可用性的重要信息。该检查会验证服务帐户是否能够收集敏感信息,例如用于特权分析的密码哈希和 DPAPI 备份密钥。在运行状况检查报告中,Tenable 会尝试收集敏感数据以确定服务帐户是否正确配置了特权分析功能,如果未使用此功能,Tenable 实际不会收集任何信息。为防止在此过程中检测 DCSync 攻击,Tenable 会自动将为 DCSync 攻击指标提供的服务帐户列入白名单。

域状态

Tenable Identity Exposure 对每个域执行以下检查:

  • AD 域的身份验证:LDAP 设置和状态、凭据以及 SMB 访问权限

  • 域可访问性:与动态 RPC 端口的可正常工作连接、可访问的 SMB 服务器、可访问的域控制器 IP 地址或 FQDN、与 RPC 端口的可正常工作连接、可访问的 LDAP 服务器以及可访问的全局编录 LDAP 服务器。

  • 权限:访问 AD 域数据和收集特权数据的能力。

  • 链接到中继的域:域已正确关联到中继服务。

  • 攻击指标:域控制器活动 — Tenable Identity Exposure 从所有域控制器接收 Windows 事件日志。

  • 攻击指标:域安装 — 确保 Tenable IoA GPO 配置正确无误。

平台状态

Tenable Identity Exposure 对平台配置执行以下检查:

  • 运行中继服务:中继配置是否正确,并提供关于故障排除的提示。

  • 中继版本一致性:中继版本是否与 Tenable Identity Exposure 版本一致。

  • 运行 AD 数据收集器服务:数据收集器服务、代理和收集器桥是否可操作,是否可将数据中继到其他服务。

运行状况检查列表

运行状况检查的名称 类型 检查的描述 详细信息

域可访问性

(HC-DOMAIN-REACHABILITY)

与 AD 域建立连接的能力
  • 可访问的域控制器 IP 地址或 FQDN

  • 可访问的全局目录 LDAP 服务器

  • 可访问的 LDAP 服务器

  • 可访问的 SMB 服务器

  • 可正常工作的与动态 RPC 端口的连接

  • 可正常工作的与 RPC 端口的连接

AD 域身份验证

(HC-DOMAIN-AUTHENTICATION)

对 AD 域进行身份验证的能力
  • 有效凭据

  • 空闲的 LDAP 服务器

  • 可用的 LDAP 服务器

  • 已授予 LDAP 访问权限
  • 已授予 SMB 访问权限

收集 AD 域数据的权限

(HC-DOMAIN-DATA-COLLECTION)

收集 AD 域数据的能力
  • 已授予收集特权数据的权限

访问 AD 容器的权限

(HC-DOMAIN-CONTAINER-ACCESS)

访问 AD 容器的能力
  • 已授予访问已删除对象容器的权限

  • 已授予访问密码设置容器的权限

链接到中继的域

(HC-DOMAIN-LINKED-TO-RELAY)

域已链接到中继
  • 域已链接到中继

IoA - 域控制器活动 Tenable Identity Exposure 从所有域控制器接收 Windows 事件日志
  • 非活动的域控制器

IoA - 域安装 确保 Tenable IoA GPO 配置正确无误
  • LDAP 中存在 Tenable IoA GPO

  • SYSVOL 中存在 Tenable IoA GPO 文件夹

  • SYSVOL 中存在 Tenable IoA GPO IoA 文件夹

  • SYSVOL 中存在 Tenable IoA GPO EVT Subscribe 侦听器文件

  • SYSVOL 中存在 Tenable IoA GPO 配置文件

  • SYSVOL 中存在 Tenable IoA GPO audit.csv 文件

中继服务启动

(HC-PLATFORM-RELAY-UP)

平台 中继按照预期工作
  • 运行中继服务

中继服务版本

(HC-PLATFORM-RELAY-VERSION)

平台 中继版本与产品版本一致
  • 中继版本一致性

AD 数据收集器启动

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

平台 AD 数据收集器按预期工作
  • 运行 AD 数据收集器桥

  • 运行 AD 数据收集器服务

  • 运行代理

Tenable 云与 Tenable Identity Exposure 服务之间的同步 平台 创建的 Tenable 云组、权限和用户与 Tenable Identity Exposure 数据库同步。
  • Tenable 云可用性