Tenable Identity Exposure 3.19 - 本地 (2022-04-20)
新功能
-
可扩展性:风险暴露指标的动态激活和停用。
-
LDAP 身份验证:启用/禁用 SASL 绑定的功能。有关更多信息,请参阅《Tenable Identity Exposure 管理员指南》中的使用 LDAP 的身份验证 。
-
内存缓存:Tenable Identity Exposure 已大大改善其内存使用情况,有利于攻击指标 (IoA) 运行。
-
新攻击指标(有关更多信息,请参阅《Tenable Identity Exposure 攻击指标参考指南》。)
-
DPAPI 域备份密钥提取 攻击指标可检测多种使用 LSA RPC 调用访问备份密钥的攻击工具。
-
大规模计算机侦查:检测对 Active Directory (AD) 目标生成大量身份验证请求的侦查攻击。
-
本地管理员枚举:检测 Active Directory 数据枚举攻击。
-
NTDS 提取:NTDS 泄露是指攻击者用于检索存储 Active Directory 密钥(例如密码哈希和 Kerberos 密钥)的 NTDS.dit 数据库的技术。
-
SAM 名称假冒:此攻击指标可检测到试图利用两个漏洞从标准帐户提升域特权,而无需任何安全技术的攻击者。
-
Kerberoasting IoA 检测针对 Active Directory 服务帐户凭据的 Kerberoasting 攻击并发出警报。
-
-
Windows Server 2022:对 Windows Server 2022 的本地支持。
-
停用 Caroli 组件:停用以优化平台性能。
-
停用 InfluxDB 和 Equuleus:停用以优化平台性能和数据一致性。
注意:对于本地安装, Tenable Identity Exposure 的数据库实现中的更改将在升级期间造成仪表盘中的历史数据丢失。本地平台将丢失用户、异常行为和合规性分数中的统计数据历史记录。重新初始化后,用户/异常行为计数和合规性分数的小组件将恢复其最新值,但是,折线图小组件将只有一个数据点,并将逐步恢复其值。 -
域连接测试:允许您在添加或修改域连接(LDAP 和 SYSVOL)之前对其进行测试。
- 可扩展性:Tenable Identity Exposure将已解决的异常行为视为不再有用,并会在 6 个月后将其从数据库中清除。
- 风险暴露指标:改进针对特权用户登录限制的风险暴露指标。
-
工作负载配额:调整同时运行的攻击指标数量限制的新功能。
-
攻击路径:探索 Active Directory 关系的新图形表现形式:
-
爆炸半径:从可能遭到入侵的资产中评估 AD 中的横向移动。
-
攻击路径:预测从特定入口点接触资产的特权升级技术。
-
资产风险:使用资产风险暴露可视化来测量资产的漏洞并解决所有提升路径。
-
-
Honey Account(蜜罐帐户):允许 Kerberoasting 攻击指标检测登录或服务请求。有关更多信息,请参阅《Tenable Identity Exposure 管理员指南》中的“Honey Account”。
-
API 端点:使用 API 从数据库检索 Active Directory 对象。
-
Tenable Identity Exposure 将 LDAP 容器上的更改(例如移动或重命名)扩展到容器子项。
缺陷修复
除了性能改进之外, Tenable Identity Exposure 版本 3.19 还修复了以下缺陷:
| 缺陷修复 | 缺陷 ID |
|---|---|
| Tenable Identity Exposure 再次返回 API 分数信息。 | 不适用 |
| 小组件版本现在会考虑之前选择的域。 | 不适用 |
| 由于有了新的 SQL 索引,Tenable Identity Exposure 现在可提供更好的分析性能。 | 不适用 |
| Tenable Identity Exposure 显示在正确月份的第一天发生的攻击。 | 不适用 |
| 删除 GPO 时,Tenable Identity Exposure 仅显示已删除的事件。 | 不适用 |
| 当 SYSVOL 连接中断时,Tenable Identity Exposure 会保持连接以允许监听器获取新事件。 | 不适用 |
| 凭据漫游用户和组的允许列表现在支持 samAccountName 格式。 | 不适用 |
| Tenable Identity Exposure 将已解决的异常行为视为不再有用,并会在 6 个月后将其从数据库中清除。 | 不适用 |
| Tenable Identity Exposure 现将具有未知 userAccountControl 属性的用户计为活跃 AD 用户。当 Tenable Identity Exposure 中提供的帐户无权读取此属性或相应的属性集时,会发生这种情况。这可导致仪表盘或许可证中的用户总数增加。如要了解更多信息,请参阅“技术先决条件”文档中的“用户帐户”。 | 不适用 |
| Tenable Identity Exposure 将 LDAP 容器上的更改(例如移动或重命名)扩展到容器子项。 | 不适用 |
| 即使更改凭据,与 SYSVOL 共享的连接也会成功。 | 不适用 |
| Kerberos 危险委派现在可以在通过删除和重新创建域来更正特权路径后得到解析。 | 不适用 |
| 白名单现在明确指定了预期格式。 | 不适用 |
| 攻击路径激活后,SQL 服务器正常运行。 | 不适用 |
| 通知电子邮件包含正确的图像格式。 | 不适用 |
| 控制路径关系现在考虑源和目标类型。 | 不适用 |
| Tenable Identity Exposure 在检测到容器移动时更新子 DN。 | 不适用 |
| 无法再使用公共 API 删除最后一个具有管理角色的用户。 | 不适用 |
|
风险暴露指标 (IoE) C-PKI-DANG-ACCESS:
|
不适用 |
| C-DC-ACCESS-CONSISTENCY IoE 考虑“保留已删除的 DC”切换更新。 | 不适用 |
| IoA/IoE 服务在切换更新后重新启动。 | 不适用 |
| C-PASSWORD-POLICY IoE 现在允许所有非全局安全组。 | 不适用 |
| Tenable Identity Exposure 将仪表盘名称限制为 30 个字符,并将超过此限制的现有名称截断为 30 个字符。 | 不适用 |
| Tenable Identity Exposure 在遇到少数具有大量更改的对象时稳定 SQL 服务器中 AD 对象的检索。 | 不适用 |
| 危险委派 RBCD 后门现在可解析帐户 SID。 | 不适用 |
| Tenable Identity Exposure 不会一直尝试处理大型消息。 | 不适用 |
| 本机管理组成员 IoE (C-NATIVE-ADM-GROUP-MEMBERS):在自定义组选项中放置内置管理组不再造成不一致的行为。 | 不适用 |
| 当您从下级组织单位删除计算机时,特权用户的登录限制 IoE (C-ADMIN-RESTRICT-AUTH) 现已得到解决。 | 不适用 |
| 休眠帐户 IoE 不再对已删除的用户计数。 | 不适用 |
| 若创建用户时未激活,Tenable Identity Exposure API 现在会发送 400 错误。 | 不适用 |
| Tenable Identity Exposure 现在支持 Windows LTS 版本。 | 不适用 |
| 已删除的网站不再出现在异常行为中。 | 不适用 |
| Tenable Identity Exposure 更改 OU 时更新组成员。 | 不适用 |
| 若 Active Directory 缓慢,如果已在进行抓取,则常规抓取不会再启动。 | 不适用 |
| 从 3.1 到 3.11 的迁移不会在 GPO 上生成误报异常行为。 | 不适用 |
| Tenable Identity Exposure 抓取阶段支持更多边缘情况。 | 不适用 |
| Tenable Identity Exposure 的本地安装程序现在可确保其使用最新的 NodeJs 模块。 | 不适用 |
| Tenable Identity Exposure 的分析服务在失败后成功重新连接到 RabbitMQ 服务器。 | 不适用 |
| groupPolicyContainers 对象的部分重新抓取会考虑所有属性。 | 不适用 |
补丁
Tenable Identity Exposure 3.19.12
Tenable Identity Exposure 版本 Tenable Identity Exposure 3.19.12 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| 通过升级 RabbitMQ 库依存关系对 CVE-2022-37026 进行了修复。 | 不适用 |
| Windows Server 2022:在 Windows 2022 域控制器上安装攻击指标时,服务器不再需要重新启动。 | 不适用 |
Tenable Identity Exposure 3.19.10
Tenable Identity Exposure 版本 Tenable Identity Exposure 3.19.10 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| Tenable Identity Exposure 不再收集 AD 属性 msds-revealedusers 且不再在“跟踪事件流”中显示该属性。它在安全分析中无用。 | 不适用 |
| 改进了 RabbitMQ 通道连接弹性。 | 不适用 |
| 在 IoE 页面中,筛选一个给定域不再显示意外的合规“无域”IoE。 | 不适用 |
Tenable Identity Exposure 3.19.9
Tenable Identity Exposure 版本 Tenable Identity Exposure 3.19.9 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| Tenable Identity Exposure 不再对 SecProbe 进行服务器身份验证 EKU 检查。 | 不适用 |
| 在部分加入域的计算机上, Tenable Identity Exposure 现在可成功解码与域相关的任何 SDDL bi-gram(例如用于域管理员的 DA)。 | 不适用 |
| 当禁用 UAC 的 AdObjectGptTmpl 对象最后出现时,IoE 危险敏感特权是正确的。 | 不适用 |
Tenable Identity Exposure 3.19.8
Tenable Identity Exposure 版本 Tenable Identity Exposure3.19.8 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| SYSVOL 的抓取和监听使用相同的连接,因此它们不再冲突。 | 不适用 |
Tenable Identity Exposure 3.19.7
Tenable Identity Exposure 版本 Tenable Identity Exposure3.19.7 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| Tenable Identity Exposure 提高了内部消息使用效率。 | 不适用 |
| Tenable Identity Exposure 改进了 RabbitMQ 通道连接弹性。 | 不适用 |
| Tenable Identity Exposure 不再收集 userCertificate 属性。 | 不适用 |
| RabbitMQ 的 使用者现在会不断重试连接到专属队列。 | 不适用 |
| 当枚举在本地完成时,本地管理员枚举 IoA 现在会筛选掉本地管理员的枚举,因为这很可能是合法操作。 | 不适用 |
| Tenable Identity Exposure 自动解决与内部调用中已删除的域或安全配置文件相关的异常行为。 | 不适用 |
| 安装程序现在会在检查自定义证书的到期日期时考虑区域设置。 | 不适用 |
Tenable Identity Exposure 3.19.5
Tenable Identity Exposure 版本 Tenable Identity Exposure3.19.5 删除了因提前发布而出现的勒索软件强化风险暴露指标。
Tenable Identity Exposure 3.19.4(本地)
Tenable Identity Exposure 版本 Tenable Identity Exposure3.19.4 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| IoA 的合并视图的 PDF 导出可用于本地安装。 | 不适用 |
Tenable Identity Exposure 3.19.2(本地)
Tenable Identity Exposure 版本 Tenable Identity Exposure3.19.2 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| Tenable Identity Exposure 显示具有新时间序列数据的拓扑视图的域详细信息。 | 不适用 |
| Tenable Identity Exposure 安装程序可以处理区域日期/时间(本地)。 | 不适用 |
Tenable Identity Exposure 3.19.1
Tenable Identity Exposure 版本 Tenable Identity Exposure3.19.1 包含以下补丁。
| 补丁 | 缺陷 ID |
|---|---|
| 风险暴露指标再次使用线程安全的哈希缓存。 | 不适用 |
| Tenable Identity Exposure 在不阻断数据库的情况下可有效删除旧的多值属性。 | 不适用 |