攻击指标

Tenable Identity Exposure 攻击指标 (IoA) 可帮助贵组织检测尝试通过最先进的漏洞利用技术入侵 Active Directory (AD) 基础设施的行为,并立即采取相应措施,包括:

  • 三大事件我们以统一方式呈现 IoA,在单个界面中显示实时时间线、影响 AD 的三大事件以及攻击的分布情况。

  • 有关 IoA 的详细信息在 Tenable Identity Exposure 中IoA 面板可提供 AD 中已发生的攻击的信息。

  • 涉及 IoA 的事件:IoA 事件列表可提供针对 AD 发起的特定攻击的全面详细信息。利用这些信息,您可以根据 IoA 的严重性做出适当响应。

攻击指标附带一系列旨在提升您调查能力的功能:

  • 可搜索和可筛选利用时间线轻松探索 IoA或根据林、域和重要程度应用筛选条件以高效获得有针对性的结果。

  • 导出功能允许以 PDF、CSV 或 PPTX 格式导出 IoA 数据。

  • 修改图表类型 : 提供更改图表类型的选项,可让您查看攻击严重性的分布情况或 3 大高频攻击及其各自的发生次数。

  • 对 IoA 事件采取操作:允许您选择要关闭或重新打开的事件。

Tenable Identity Exposure 检测攻击并为其分配严重程度:

等级 描述
严重 - 红色 检测到经证实的后渗透利用攻击,攻击者需要先控制域才能实施该攻击。
高危 - 橙色 检测到允许攻击者控制域的重大攻击。
中危 - 黄色 IoA 与可导致危险的特权提升或允许访问敏感资源的攻击有关。
低危 - 蓝色 通过警报提醒存在与侦察操作或低影响事件相关的可疑行为。

识别影响较大且与您的特定安全风险和关注点一致的关键 IoA。

要降低误报风险或忽略合法攻击,根据您的环境校准 IoA 至关重要。这需要:

  • 调整阈值:校准 IoA 敏感度可减少误报,从而确保警报有意义且可操作。

  • 将帐户和活动列入白名单:防止合法活动触发 IoA,从而提高警报的准确性并简化调查。

  • 关联 IoA:分析不同 IoA 之间的关系,确定更广泛的攻击模式。

提示涉及选项和推荐值的更多详细信息请参阅 Tenable Identity Exposure 攻击指标参考指南(网址:https://zh-cn.tenable.com/downloads/identity-exposure)。将这些选项和值应用至安全配置文件中的每个 IoA。

  1. 激活 IoA 后,选择导航窗格中的“攻击指标”或单击主页右上角的铃铛图标。

  2. 每个指标都会为您提供有关事件的详细信息,供您在查看后采取适当的操作:

    • 攻击发生的时间

    • 攻击描述

    • 攻击来源

    • 攻击目标

    • MITRE ATT&CK® 信息

    • YARA 检测规则

    • 其他资源

  1. 选择“详细信息”以访问“描述”(如此例中所示),并重点关注“本地管理员枚举”。

  2. “描述”选项卡提供有关针对 Active Directory (AD) 发起的特定攻击的信息。

  3. “YARA 检测规则”选项卡提供有关 YARA 规则的信息,Tenable Identity Exposure 利用这些规则来检测网络级别的 Active Directory 攻击、增强 Tenable Identity Exposure 的整体检测功能。

  4. 与 Active Directory 管理员或相关利益相关者协作检查和解决事件,决定是关闭还是重新打开事件,并采取措施防止其再次发生。

  5. 如果是经过识别或获得授权的攻击,您可以相应地选择自定义 IoA,以防 IoA 在未来的实例中对其进行标记。

另请参阅