开始使用 Tenable Identity Exposure
部署 Tenable Identity Exposure 后,此部分将引导您完成开始有效使用 Tenable Identity Exposure 的关键步骤。
每个部分都包含指向相关任务更详细说明和指示的链接。
-
登录并浏览用户界面
-
登录 Tenable Identity Exposure 门户。主页随即打开,如此例中所示。
-
初始登录名为 [email protected],密码为 [email protected]!。
-
展开或折叠侧边导航栏:
-
展开:单击窗口左上角的
菜单。
-
折叠:单击窗口左上角的
。
-
-
-
安装安全中继
安全中继使用 TLS 加密(而不是 VPN 连接),将 Active Directory 数据从您的网络安全地传输到 Tenable Identity Exposure SaaS 平台。根据您的需求,您可以设置多个安全中继。
先决条件:
-
安全中继虚拟机 (VM) 拥有对 Windows 服务器的管理访问权限
-
已从 Tenable Identity Exposure 下载门户下载最新的安全中继安装程序
-
已从 Tenable Identity Exposure 门户获取一次性链接密钥,其中包含网络地址和身份验证令牌
有关先决条件的详细信息,请参阅“适用于 Tenable Identity Exposure 的安全中继”检索链路密钥:
-
使用管理员帐户连接 Tenable Identity Exposure Web 门户。
-
单击“系统”>“配置”>“中继”选项卡。
-
单击链接密钥旁的“复制到剪贴板”图标。
安装安全中继:
-
在 Windows 服务器 VM 上,右键单击安装程序文件,然后选择“以管理员身份运行”。
-
在安装向导中,单击欢迎屏幕上的“下一步”。
-
在“自定义安装”窗口中,如果需要更改磁盘分区,单击“浏览”,然后单击“下一步”。
-
在“链接密钥”窗口中:
-
粘贴从门户复制的链接密钥。
-
为安全中继输入名称。
-
单击“测试连接”。
-
-
如果测试成功(出现绿色图标),请单击“下一步”。如果未成功,请单击“返回”以修正错误。
-
在“准备安装”窗口中,单击“安装”。
-
安装完成后,单击“完成”。
有关详细流程,请参阅“适用于 Tenable Identity Exposure 的安全中继”。
在门户中验证中继安装:
-
返回 Tenable Identity Exposure 门户。
-
单击“系统”>“中继管理”选项卡。
新安装的中继会出现在中继列表中。
-
-
为 Active Directory 域启用风险暴露指标 (IoE)
在配置风险暴露指标之前,您必须拥有或创建具有适当权限的 Active Directory 服务帐户。尽管 Tenable Identity Exposure 进行安全监控不需要管理特权,但某些容器需要经过手动配置才能让服务帐户用户进行读取访问。
有关完整信息,请参阅“访问 AD 对象或容器”
-
使用管理凭据(例如默认的“[email protected]”帐户)登录 Tenable Identity Exposure Web 门户。
-
单击左上角的菜单图标以展开导航面板,然后单击左侧面板中的“系统”。
添加域:
-
单击“添加域”。
-
为要监控的域提供显示名称(例如 HQ)。
-
输入完全限定域名(例如 sky.net)。
-
从下拉列表中选择对应的林。
-
如果使用带有安全中继的 SaaS,请选择处理该域的中继。
-
如果帐户具有所需权限,请开启“特权分析”切换开关。
-
如果启用了“特权分析”,可以选择为 Tenable Cloud 启用“特权分析传输”。
-
提供具有主域控制器仿真器 FSMO 角色的域控制器的详细信息:
-
IP 地址或主机名
-
将 LDAP、全局目录和 SMB 端口的值保留为预填默认值
-
-
单击底部的“测试连接”。
-
如果成功,请单击“添加”。
在“域管理”视图中,在初始抓取完成之前,LDAP 初始化列、SISFul 初始化列和 Honey Account 配置状态列会显示为圆形加载图标。
有关完整的详细信息,请参阅“域”。
监控初始化:
-
切换到“跟踪事件流”视图。几分钟后,一旦分析开始,数据将开始流入。
-
返回“系统”>“域管理”。
-
等待绿色图标出现。这表示 LDAP 和 SYSVOL 初始化已完成。
您现已为此域启用了风险暴露指标监控。根据环境大小,Web 门户上的通知将在几分钟到几小时内出现。
检查风险暴露数据:
-
单击左侧菜单中的“风险暴露指标”,查看所有用于添加的域的已触发指标。
-
单击指标即可查看导致不合规的异常对象的详细信息。
-
关闭详细信息,然后转至“仪表盘”以查看环境指标。
-
-
为域部署攻击指标 (IoA)
要部署 IoA,必须首先执行如下所述的三项配置:
-
所有攻击场景都必须使用 IoA 脚本。
-
配置 Honey Account 以检测特定攻击,例如 Kerberoasting。
-
在受监控域的所有域控制器上安装 Sysmon,以检测 OS 凭据转储等攻击。
Tenable Identity Exposure 提供 IoA 脚本、其自身命令行以及 Honey Account 配置命令行。但是,您必须在具有适当权限的域控制器或管理计算机上直接执行这些先决条件。
有关完整信息,请参阅“攻击指标部署”。配置攻击场景:
-
使用管理凭据(例如 [email protected])登录 Tenable Identity Exposure Web 门户。
-
导航至“系统”>“配置”>“攻击指标”。
-
选择要为环境启用的攻击场景。
-
选中域名下方的复选框,以启用所有可用的攻击场景。
-
单击右下角的“保存”。
-
单击顶部的“查看流程”。
此时会出现一个窗口,显示部署 IoA 引擎的流程。
-
使用切换开关可启用或禁用自动更新功能。
-
单击第一个“下载”按钮来下载 PS1 文件。
-
单击第二个“下载”按钮来下载 JSON 文件。
-
记下安装文件的下载位置。
-
找到标有“运行以下 PowerShell 命令”的字段。
-
复制文本框的内容并将其粘贴到记事本文件中。
-
将 PS1 和 JSON 文件复制到具有适当权限的域控制器或管理服务器上。
-
以管理员身份启动 Windows PowerShell 的 Active Directory 模块,并导航到存放文件的文件夹。
-
粘贴从 Tenable Identity Exposure Web 门户复制的命令,然后按“Enter”键。
-
打开组策略管理控制台,找到链接到域控制器 OU 的名为“Tenable.ad”的 GPO。
有关详细流程,请参阅“安装攻击指标”。
配置 Honey Account:
-
返回 Tenable Identity Exposure Web 门户。
-
导航至“系统”>“域管理”选项卡。
-
单击域右侧“Honey Account 配置状态”下的“+”图标(当其他两个状态都变为绿色后可用)。
-
在“名称搜索”框中,输入要用作蜜罐的帐户名称。
-
从下拉列表中选择对象的标识名。
-
复制命令行文本框的内容并将其粘贴到记事本文件中。
-
返回运行 IoA 脚本的服务器。
-
以管理员身份打开或启动 PowerShell 命令行。
-
粘贴从 Tenable Identity Exposure Web 门户复制的命令,然后按“Enter”键。
-
确认命令行已正确运行。
-
返回 Tenable Identity Exposure Web 门户并单击底部的“添加”按钮。
几秒种后,“Honey Account 配置”状态应显示为一个绿点。
有关详细流程,请参阅“Honey Account”。
安装 Sysmon:
Tenable Identity Exposure Web 门户不提供 Sysmon 的自动部署。有关所需的 Sysmon 配置文件,请参阅“安装 Microsoft Sysmon”。您可以按照文档中所示步骤手动安装 Sysmon,或者通过 GPO 进行安装。
有关详细流程,请参阅“安装 Microsoft Sysmon”。
-
-
为 Tenable Identity Exposure 配置 Microsoft Entra ID:
Tenable Identity Exposure 还支持 Microsoft Entra ID 与 Active Directory 一起使用,并针对 Entra ID 身份提供特定的 IoE。
有关完整信息,请参阅“Microsoft Entra ID 支持”。创建 Entra ID 应用程序:
-
使用适当的凭据登录 Azure 管理员门户 portal.azure.com。
-
单击“Azure Active Directory”磁贴,然后从左侧菜单中选择“应用程序注册”。
-
单击“新注册”并提供应用程序名称(例如“Identity Exposure 应用程序”)。
-
单击底部的“注册”。
-
在应用程序的“概述”页面上,记下“应用程序(客户端)ID”和“目录(租户)ID”。
-
在左侧菜单中,单击“证书和密钥”。
-
单击“新建客户端密钥”,提供描述,并根据策略设置到期日期。
-
单击“添加”,然后妥善保存显示的密钥值。
-
单击“API 权限”,然后单击“添加权限”。
-
选择“Microsoft Graph”,然后选择“应用程序权限”。
-
添加以下权限:Audit Log.Read.All、Directory.Read.All、IdentityProvider.Read.All、Policy.Read.All、Reports.Read.All、RoleManagement.Read.All、UserAuthenticationMethod.Read.All。
-
单击“添加权限”,然后单击“授予管理员同意”。
配置 Tenable Vulnerability Management:
-
使用正确的帐户连接 Tenable Vulnerability Management Web 门户。
-
单击“菜单”>“设置”>“凭据”。
-
单击“创建凭据”,然后选择“Microsoft Azure”类型。
-
提供名称、描述,并粘贴“租户 ID”、“应用程序 ID”和“客户端密钥”。
-
单击“创建”。
-
单击“菜单”>“设置”>“我的帐户”>“API 密钥”。
-
单击“生成”,查看警告,然后单击“继续”。
-
复制“访问密钥”和“密钥”值。
配置 Tenable Identity Exposure:
-
使用全局管理员帐户进行连接。
-
单击“菜单”>“系统”>“配置”>“Tenable Cloud”。
-
切换“激活 Microsoft Entra ID 支持”的状态以启用。
-
输入之前生成的“访问密钥”和“密钥”。
-
单击复选标记以成功提交 API 密钥。
-
单击“租户管理”选项卡,然后单击“添加租户”。
-
为 Azure AD 租户提供名称。
-
选择之前创建的 Azure 凭据。
-
单击“添加”。
监控和查看发现结果:
-
Tenable Identity Exposure 会扫描租户。要查看下次扫描时间,将鼠标悬停在“扫描状态”上。
-
当首次扫描结束时,“扫描状态”列中会出现一个绿色图标。
-
单击左侧菜单中的“风险暴露指标”。
-
使用选项卡在 AD 和 Azure AD 指标之间进行筛选。
-
切换“显示所有指标”以查看所有可用指标。
-
三个选项卡分别提供“指标详细信息”、“租户发现结果”和“建议”。
-
查看潜在的暴露风险及修复指导。
-
-
在环境中设置和使用 IoE
Tenable Identity Exposure 使用风险暴露指标来衡量 Active Directory 的安全成熟度,并为其监控和分析的事件流分配严重程度。
有关 IoE 的完整信息,请参阅“风险暴露指标”。访问 IoE:
-
登录 Tenable Identity Exposure。
-
单击左上角的图标以展开面板。
-
单击左侧的“风险暴露指标”以查看 IoE。
默认视图会显示环境中可能易受攻击的配置项目,并按严重程度对其进行评级:“严重”、“高危”、“中危”和“低危”。
查看所有 IoE:
-
单击“显示所有指标”右侧的切换开关。
-
您可以看到 Tenable Identity Exposure 实例中所有可用的 IoE。未显示域的指标即表示您没有该项暴露风险。
-
在“显示所有指标”的右侧会显示“域”。如果环境中有多个域,请单击并选择要查看的域。
-
搜索 IoE:
-
单击“搜索指标”并输入关键词,如“密码”。
此时会出现与密码相关的所有 IoE。
查看 IoE 详细信息:
-
要查看关于某个指标的更多信息,请单击该指标。
-
详细视图首先会展示该特定风险暴露的执行摘要。
-
然后,该视图会列出与此相关的文档,以及可造成此特定指标暴露的已知攻击者工具。
-
-
右侧会显示“受影响的域”。
-
单击“漏洞详细信息”选项卡,阅读有关为此 IoE 所做检查的更多信息。
-
单击“异常对象”选项卡,查看触发了该风险暴露的对象和原因的列表。
-
如果展开列表中的对象,便可查看有关导致异常行为的原因的更多详细信息。
-
创建查询:
-
要创建查询,请单击“输入表达式”,并以布尔值形式输入要查询的项目。您也可以单击左侧的筛选图标以构建查询。
-
设置开始和结束日期,选择域,并通过单击“忽略”切换开关来搜索被忽略的项目。
有关完整流程,请参阅“搜索异常对象”。
忽略/导出异常对象:
-
您可以通过忽略操作来隐藏列表中的对象。
-
选择一个或多个对象,然后单击页面底部的“选择操作”。
-
选择“忽略所选对象”,然后单击“确定”。
-
选择您想要在哪天停止忽略所选对象。
-
您可以使用同样的方法停止忽略对象,只需选择“停止忽略所选对象”选项即可。
-
-
要将此指标的所有异常对象列表导出为 CSV 文件,请单击“导出全部”按钮。
有关完整流程,请参阅“异常对象”。
修复建议:
-
单击“建议”选项卡,查看有关如何修复此指标的建议。
另请参阅“根据风险暴露指标修复异常对象”以了解修复用例。
-
-
使用跟踪事件流跟踪 AD 中的配置变更
跟踪事件流会显示影响 AD 基础设施事件的实时监控和分析。它允许您识别严重漏洞及其建议的修复过程。
访问跟踪事件流:
-
登录 Tenable Identity Exposure。
-
单击左上角的图标以展开导航栏。
-
单击“跟踪事件流”。
浏览“跟踪事件流”页面:
“跟踪事件流”页面打开时会显示事件列表,包括来源类型、对象路径、域和日期。
-
单击右上角的日期框,指定要搜索的日期范围。
-
单击“域”以更改 Active Directory 服务器或林。
-
单击右上角的暂停按钮以暂停或重新启动跟踪事件流捕获。
创建查询:
有两种方法可以为搜索创建查询:手动创建或使用向导。
-
要手动筛选事件,请在搜索框中输入表达式,以使用布尔运算符优化结果。
有关完整信息,请参阅“手动搜索“跟踪事件流””。
-
若要使用搜索向导,请执行以下操作:
-
单击左侧的魔法棒图标。
-
按照提示创建并合并查询表达式。
有关完整信息,请参阅“使用向导搜索“跟踪事件流””和“自定义跟踪事件流查询”
-
查看事件详细信息:
发现重要事件后,请执行以下操作:
-
单击该事件。这将显示该对象上发生更改的属性。
-
将鼠标悬停在左侧的蓝点图标上,比较事件发生之前和发生时的值。
-
将鼠标悬停在项目上以查看更多信息。
-
单击“查看完整值”,然后单击按钮以将该信息复制到剪贴板。
识别配置变更:
Active Directory 服务器网络安全面临的挑战之一是存在大量不影响网络风险暴露的配置变更。若要识别配置变更,请执行以下操作:
-
单击魔法棒图标。
-
启用“仅异常行为”。
-
单击“验证”。
查看网络风险暴露项目:
请注意,这些事件旁边有一个红色菱形符号。单击某个事件即可查看关于该配置变更的信息。该页面还有一个标记为“异常行为”的附加选项卡。单击该选项卡可查看已创建或已解决的特定网络风险暴露项目。
-
-
使用 IoA 识别针对 AD 的潜在攻击
访问 IoA:
-
登录 Tenable Identity Exposure。
-
单击左上角的图标以展开导航栏。
-
单击“攻击指标”。
筛选时间线:
默认情况下,您看到的是今天的攻击检测时间线。若要更改筛选器,请执行以下操作:
-
单击“日”、“月”或“年”。
-
要更改时间范围,请单击日历图标并选择适当的时间范围。
筛选视图:
您可以使用门户右侧的选择器,针对特定域名或 IoA 来筛选视图。
-
单击“域”以查看选项并进行选择。
-
单击“X”以关闭。
-
单击“指标”以查看选项并进行选择。
-
单击“X”以关闭。
例如,让我们重点查看 2022 年的情况:
-
单击“年”按钮并选择“2022”。
-
单击时间线中的红色和黄色条。
-
现在,您可以看到一个新视图,其中包含当月检测到的前三个严重攻击和前三个中危攻击。
-
单击黑框外部可关闭视图。
查看检测到的攻击的详细信息:
在时间线下方,您会看到一张卡片,卡片对应的是检测到攻击的受监控域。
-
单击“排序方式”下拉菜单(当前的排序方式设置为“域”)。
-
您可以按域、指标重要性或林对卡片进行排序。
-
要搜索特定域或攻击,请使用搜索框。
-
默认情况下,您只会看到受到攻击的域的卡片。通过将“仅显示正在受到攻击的域”从“是”切换为“否”,切换视图以查看每个域。
自定义图表:
卡片包含两种类型的信息:图表和排名前三的攻击。
-
要更改图表类型,请单击卡片右上角的笔形图标。
-
选择“攻击分布”或“事件数量”中的一个。
-
单击“保存”。
查看事件详细信息:
若要查看检测到的攻击的更多详细信息,请执行以下操作:
-
单击卡片以查看与域相关的事件。
-
要进行筛选,请使用搜索框,选择开始或结束日期、特定指标,或切换“否/是”框以显示或隐藏已关闭的事件。
-
要关闭事件,请选择一个警报,单击底部的“选择操作”菜单,选择“关闭所选事件”,然后单击“确定”。
-
要重新打开事件,请选择一个警报,单击“选择操作”菜单,选择“重新打开所选事件”,然后单击“确定”。
查看攻击详细信息和 Yara 检测规则:
-
单击攻击可打开详细信息视图。描述面板中包含攻击的事件描述、MITRE ATT&CK 框架信息,以及带有外部网站链接的其他资源。
-
单击“Yara 检测规则”面板,即可查看可在检测工具中执行恶意软件研究的规则示例。
-
单击“导出全部”可导出事件列表。CSV 是唯一可用的格式。
通知和警报:
当 Tenable Identity Exposure 检测到攻击时,右上角的铃铛图标会显示通知。这些攻击会显示在“攻击警报”选项卡中。
-
-
设置和使用警报
Tenable Identity Exposure 的警报系统有助于您识别针对受监控 Active Directory 的安全回退或攻击。系统会通过电子邮件或 Syslog 通知实时推送有关漏洞和攻击的分析数据。
有关完整流程,请参阅“警报”。配置 SMTP 服务器:
-
连接到 Tenable Identity Exposure。
-
依次单击“系统”和“配置”。
-
通过此菜单配置 SMTP 服务器。
创建电子邮件警报:
-
在“警报引擎”下,单击“电子邮件”。
-
单击“添加电子邮件警报”按钮。
-
在“电子邮件地址”框中,输入收件人的电子邮件地址。
-
在“描述”框中,输入对地址的描述。
-
从“触发警报”下拉列表中,选择“在变更时”、“每当出现异常行为时”或“每当出现攻击时”。
-
从“配置文件”下拉菜单中,选择要用于此电子邮件警报的配置文件。
-
选中“出现异常行为时发送警报”框,以在系统重新启动触发警报时发送电子邮件通知。
-
从“严重程度阈值”下拉菜单中,选择 Tenable Identity Exposure 将发送警报的阈值。
-
选择要针对哪些指标发送警报。
-
为警报选择域:
-
单击“域”以选择 Tenable Identity Exposure 要针对哪些域发出警报。
-
选择林或域,然后单击“按所选结果筛选”按钮。
-
-
单击“测试配置”按钮。
此时会出现一条消息,确认 Tenable Identity Exposure 已向服务器发送了电子邮件警报。
-
单击“添加”按钮。
此时会出现一条消息,确认 Tenable Identity Exposure 已创建该电子邮件警报。
创建 Syslog 警报:
-
单击“Syslog”,然后单击“添加 Syslog 警报”按钮。
-
在“采集器 IP 地址或主机名”框中,输入接收通知的服务器的 IP 地址或主机名。
-
在“端口”框中,输入采集器的端口号。
-
从“协议”下拉菜单中,选择 UDP 或 TCP。
-
如果选择 TCP,并且要启用 TLS 安全协议,请选中“TLS”选项复选框。
-
在“描述”框中,输入对采集器的简要描述。
-
为触发警报选择以下三个选项之一:“在变更时”、“每当出现异常行为时”或“每当出现攻击时”。
-
从“配置文件”下拉菜单中,选择要用于此 Syslog 警报的配置文件。
-
如果要在系统重新启动或升级后发送警报,请选中“在初始分析阶段检测到异常行为时发送警报”。
-
如果将警报设置为在变更时触发,请输入表达式以触发事件通知。
-
单击“测试配置”按钮。
此时会出现一条消息,确认 Tenable Identity Exposure 已向服务器发送了 Syslog 警报。
-
单击“添加”。
此时会出现一条消息,确认 Tenable Identity Exposure 已创建 Syslog 警报。
-
-
在 Tenable Identity Exposure 门户中设置仪表盘
仪表盘允许将影响 Active Directory 安全性的数据和趋势可视化。您可以使用小组件对仪表盘进行自定义,以便根据个人要求显示图表和计数器。
有关完整信息,请参阅“仪表盘”。访问仪表盘:
-
登录 Tenable Identity Exposure。
-
单击左上角的图标以展开导航栏。
创建自定义仪表盘:
-
转至“仪表盘”,然后单击“添加”。
-
单击“添加仪表盘”。
-
为其命名并单击“确定”。
向仪表盘添加小组件:
-
单击右上角的“添加”。
-
选择“在此仪表盘上添加小组件”或单击屏幕中间的按钮。
-
选择小组件类型(条形图、折线图或计数器)。
配置折线图小组件:
-
单击“折线图”。
-
为小组件命名,例如“过去 30 天的异常行为”。
-
选择数据类型(用户计数、异常行为计数或合规性分数)。
-
选择“异常行为”,并将其设置为一个月。
-
单击“无指标”,然后选择要使用的指标。
-
为数据集命名,例如“严重”。
-
根据需要添加其他数据集(例如,“中危”和“低危”)。
-
单击“添加”。
添加条形图小组件:
-
单击“条形图”。
-
将其命名为“合规性”并选择合规性分数数据类型。
-
选择所有指标。
-
为数据集命名,例如“IoE”。
-
单击“添加”。
添加计数器小组件:
-
单击“计数器”。
-
为小组件命名(例如“用户”),并将数据类型设置为“用户计数”。
-
选择状态“全部”,然后选择域。
-
为数据集命名,然后单击“添加”。
-
-
查看攻击路径
Tenable Identity Exposure 提供多种方式来通过图形展示方式可视化业务资产的潜在漏洞。
有关完整信息,请参阅“攻击路径”。使用攻击路径功能:
-
登录 Tenable Identity Exposure。
-
单击左上角的菜单图标以展开导航栏。
-
在“安全分析”部分,单击“攻击路径”。攻击路径功能有三种模式:
-
攻击路径
-
爆炸半径
-
资产风险暴露
-
使用“爆炸半径”模式:
-
在搜索框中,输入帐户名称(例如“John Doe”)。
-
从列表中选择帐户,然后单击放大镜图标。
-
探索所选遭入侵帐户的爆炸半径。
-
根据需要筛选和查看节点。
-
将鼠标悬停在端点上以查看攻击路径。
-
切换选项以显示所有节点工具提示。
-
使用缩放栏调整视图。
-
要更改搜索对象,请单击帐户名称旁边的“X”并执行新的搜索。
使用“资产风险暴露”模式:
-
在搜索框中,输入敏感服务器的名称(例如“srv-fin”)。
-
从列表中选择对象,然后单击放大镜图标。
-
探索所选敏感服务器的资产风险暴露。
-
使用与“爆炸半径”模式中选项类似的选项。
-
将鼠标悬停在路径上以查看详细信息。
-
切换选项以显示所有节点工具提示。
-
使用底部栏调整视图。
使用“攻击路径”模式:
-
在“起点”搜索框中,输入遭入侵帐户的名称(例如“John Doe”)。
-
单击帐户名称。
-
在“终点”搜索框中,输入敏感资产的名称(例如“srv-fin”)。
-
单击资产名称。
-
单击放大镜图标。
-
探索遭入侵帐户与敏感资产之间的可用攻击路径。
-
使用与“爆炸半径”和“资产风险暴露”模式中选项类似的选项。
其他功能:
-
“谁可以控制我的特权资产?”:显示所有具有通向特权资产的攻击路径的用户和计算机帐户。
-
“我的特权资产是什么?”:列出您的第 0 层资产和帐户,以及通向这些资产的潜在攻击路径。
-
在选项卡之间切换以查看列表。
-
单击项目旁的放大镜图标可切换视图。
-
单击蓝色箭头和圆点图标,可打开经过筛选以仅显示此资产的资产风险暴露视图。
解析结果:
-
使用“攻击路径”功能以证实假设,并直观显示实体间的危险攻击路径。
-
采取修复操作以关闭已识别的攻击路径。
-