风险暴露指标
Tenable Identity Exposure 通过风险暴露指标 (IoE) 衡量 AD 基础设施的安全成熟度,并为监控和分析的事件流分配严重程度。Tenable Identity Exposure 在检测到安全回退时触发警报。
这些 IoE 均经过预先配置,并且任何偏离既定规范的情况都会触发相应警报。
若要显示 IoE,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击导航窗格中的“风险暴露指标”。
此时会打开“风险暴露指标”窗格。默认情况下,Tenable Identity Exposure 仅显示包含异常行为的 IoE。
-
(可选)要显示所有 IoE,点击以将“显示全部指标”开关切换为“是”。
Tenable Identity Exposure IoE 附带一系列旨在提升您调查能力的功能:
-
搜索和筛选:根据林和域应用筛选条件,轻松探索 IoE。
-
导出功能:异常对象允许以 CSV 格式导出 IoE。
-
对 IoE 事件采取操作:从白名单中删除风险暴露项/重新启用。
IoE 的数据包括:
-
“信息”部分:此部分提供每个风险暴露指标 (IoE) 的执行概述,包括已知的攻击工具、受影响的域以及相关文档。
-
漏洞详细信息:此部分提供有关 Active Directory 中的错误配置的更深入信息。
-
异常对象:此部分重点介绍 Active Directory 中可能导致攻击面扩大的错误配置。
-
建议:此部分指导您通过有效的配置策略来尽可能缩小攻击面。
严重程度
严重程度允许评估检测到的漏洞的严重程度,并确定修复措施的优先级。
“风险暴露指标”窗格按照如下方式显示 IoE:
-
使用颜色代码按严重程度显示。
-
垂直方向:从最严重到最不严重(红色表示优先级最高,蓝色表示优先级最低)。
-
水平方向:从最复杂到最不复杂。Tenable Identity Exposure 可动态计算复杂程度指标,以指示修复异常 IoE 的难易程度。
| 严重程度 | 说明 |
|---|---|
| 严重:红色 | 显示如何防止某些非特权用户对 Active Directory 的攻击和危害。 |
| 高危:橙色 |
处理后渗透利用技术攻击(导致凭据窃取或安全绕过),或者处理需要链接才能带来危险的渗透利用技术。 |
| 中危 - 黄色 | 表示 Active Directory 基础设施的风险有限。 |
| 低危 - 蓝色 | 显示良好的安全实践。某些业务环境可能会导致低影响异常行为,但不一定影响会 AD 安全。仅当管理员做出错误行为(例如激活不活动帐户)时,这些异常行为才会对 AD 产生影响。 |
修复的优先级
您可以为系统识别的高危 IoE 确定修复工作的优先级。此外,您可以在重要程度类别中使用 IoE 风险量表进一步确定优先级。
如果您认为根据贵组织的权限或运营要求,应该监控 IoE,则可以将其加入允许列表。
用例
以下用例侧重于名为“密码永不过期的帐户”的 IoE。
-
被 Tenable Identity Exposure 标记后,IoE 会显示在“风险暴露指标”窗格中:
-
要获取有关 IoE 的更多见解,请单击 IoE 以访问更多详细信息。在信息页面中,您会发现包含简明概述的执行摘要、与 IoE 相关的潜在攻击工具的详细信息、受影响的域以及相关文档,这些内容可以帮助您了解并有效解决问题。
-
-
有关 IoE 的更多详细信息,请单击“漏洞详细信息”选项卡。
-
要验证哪些帐户启用了“密码永不过期的帐户”设置,请单击“异常对象”。然后,您便可以访问系统中拥有此配置的帐户列表。
-
单击异常对象可查看 IoE 标记了的帐户。
-
请咨询 Active Directory 管理员,以了解受影响的帐户为何启用“密码永不过期的帐户”选项。
-
根据响应,您可以选择将帐户列入白名单,或协助 Active Directory 管理员提出解决问题的建议。
-
有关建议,您可以参阅 IoE 的建议部分。
-
如果帐户出现异常或已知帐户按预期运行,您可以忽略 IoE,方法是导航至“异常对象”>“选择相应异常”>“根据要求忽略所选对象或停止忽略所选对象”。
另请参阅
-
Indicators of Exposure
-
风险暴露指标视频教程
-
Customize an Indicator