Tenable Identity Exposure 集成
将 Tenable Identity Exposure 与 SIEM、SOC 或 SOAR 解决方案集成,以实现实时监控、自动响应和警报管理改进。
通过 Syslog 集成进行实时监控
通过无缝集成 Syslog,获取关键风险暴露指标 (IoE) 的即时警报。
主要优点
-
集中式日志记录:使用其他安全解决方案汇总 Tenable Identity Exposure 事件,以进行全面分析。
-
实时通知:接收潜在身份暴露和攻击的即时通知。
-
改进安全管理:关联不同来源的事件,更快识别复杂威胁。
-
提高 SIEM 可见性:将 Tenable Identity Exposure 数据无缝集成到 SIEM 中,促进态势感知和相关性分析。
-
简化工作流程:利用 Syslog 数据实现警报分类和响应自动化,从而优化安全操作。
要实时监控的 IoE 的示例
-
存在风险的 ADCS 错误配置:检测/识别可能表示“Certified Pre-owned”攻击的 AD 证书服务器变更。
-
GPO 执行的合理性:检测/识别尝试通过组策略内的脚本执行安装后门程序的行为。
-
获准将计算机加入到域的用户:识别未经授权添加的域计算机,即“RBCD”后门程序攻击的标志性预攻击。
通过 SOAR 平台实现响应自动化
利用现有的安全编排、自动化和响应 (SOAR) 平台,根据 TIE 数据执行自动化的修复操作。主要优点如下:
-
快速缓解:自动响应关键 IoE 可最大程度减少停机时间和影响。
-
提高效率:安全团队无需再处理重复性任务,而是可以专注于战略安全计划。
-
强化安全措施:主动解决检测到的错误配置并巩固整体安全状况。
重要事项:Tenable 支持部门不负责解决自动化脚本问题或提供相关帮助。如需帮助,请联系我们的专业服务团队。