Tenable Identity Exposure 2024 版本说明
这些版本说明会按时间倒序排列。
Tenable Identity Exposure 3.79 (2024-09-16)
Tenable Identity Exposure 的 3.79 版本修复了以下缺陷:
缺陷修复 |
---|
未发现异常行为时,系统现在会正确显示风险暴露指标的详细信息窗格。 |
Tenable Identity Exposure 为不具有 Tenable 云服务编辑权限的用户禁用 Tenable 云配置。 |
Tenable Identity Exposure 现在可确保成功构建 Tier0 资产图。 |
安全分析服务在高 CPU 峰值期间(例如安全检查期间)处理其输入。 |
Tenable Identity Exposure 现在通过对双引号 (") 进行转义来确保正确的 CSV 导出,从而提高导出数据的准确性。 |
IoE 的最新检测日期的准确性已提高。 |
Tenable Identity Exposure 现在可正确关闭之前提出的与 OrphanGPO 原因相关的异常行为。 |
Tenable Identity Exposure 3.78 (2024-08-27)
-
风险暴露指标
-
不安全的 Netlogon 协议配置 - Tenable Identity Exposure 现在将“跳过注册表项检查”选项的默认值设置为“true”。此变更假设用户已应用 2021 年 2 月 9 日的更新。此修改仅适用于默认配置文件,自定义配置文件不受影响。
-
运行过时 OS 的计算机 - Tenable Identity Exposure 添加了最后一个活动过时计算机的登录信息。
-
-
Entra ID 的风险暴露指标:以下 Entra ID IoE 现在会忽略已禁用的用户和服务主体。
-
影响租户的危险 API 权限
-
具有凭据的第一方服务主体
-
管理员数量太多
-
缺少针对特权帐户的 MFA
-
缺少针对非特权帐户的 MFA
这是因为攻击者无法立即利用这些漏洞。至于 MFA IoE,Microsoft Graph API 会错误地返回已禁用用户的 MFA 状态。
-
-
攻击指标
-
如果 DCSync 警报的来源来自带有前缀 MSOL_ 的用户名(硬编码,且仅对基本模式有效),则不会触发警报。
-
如果目标 IP 未知,则本地管理员枚举不会触发警报。
-
当攻击者在伪造 TGT 后通过身份验证时,仅黄金票据会触发警报(仅基本模式)。
-
如果该工具属于 Arctic Wolf Network,则 OS 凭据转储:LSASS 内存 不会触发警报(仅基本模式)。
-
-
电子邮件警报现在仅支持有效的加密协议,例如 TLS 1.2 和 1.3。如果已替代安全中继以强制使用已弃用的 SMTP 加密标准(如 SSL v3),则必须删除此替代。现在唯一允许的值是“Tls12”、“Tls13”或“Tls12、Tls13”(用于根据服务器版本进行自动切换)。使用不受支持的值会阻止中继启动。
Tenable Identity Exposure 的 3.78 版本修复了以下缺陷:
缺陷修复 |
---|
Pendo 功能现在在某些 Tenable Identity Exposure 环境中处于活动状态。 |
Tenable Identity Exposure 用户界面在访问 Tenable Identity Exposure 环境的基本 URL (<environment> .tenable.ad)时不再加载两次。 |
Tenable Identity Exposure 更新了安全中继安装程序,以改进其检查当前用户是否为本地管理员的方式,从而使安装程序能够在已加入域的计算机上正常工作。 |
Tenable Identity Exposure 改进了服务之间的内部请求/响应流以防止事件引入期间死锁。 |
现在,关闭 Entra ID 风险暴露指标 (IoE) 中的“异常对象”窗格时,系统会正确地将您重定向到适当的 Entra ID IoE 列表,并保留筛选首选项。提供此增强功能的原因是,异常对象的 URL 结构有变更,根据您最初访问 IoE 列表时查看的选项卡,现在该结构会包含“ad”或“meid”。 |
托管安全分析服务的计算机不再会发生攻击指标 (IoA) 死锁问题。 |
对于入站信任,Tenable Identity Exposure 计算所需的数据未存储在本地,而是存储在其他域中。产品中如果包含此其他域,则会受到适当的监控和“保护”。从该域的角度而言,此信任关系将被视为出站信任。如果此信任被认为是危险的,Tenable Identity Exposure 将在此特定信任的域中检测异常行为。 |
“未链接、禁用或孤立 GPO”风险暴露指标 (IoE) 现在可以更有效地应对涉及已删除 GPO 的场景。 |
Tenable Identity Exposure 减少了安全中继和目录侦听器之间的 504 错误,以增强性能并防止产品中断。 |
Tenable Identity Exposure 3.76 (2024-07-25)
-
存在冲突的安全主体风险暴露指标 (IoE) – 新的 IoE 会检查是否存在重复(存在冲突)的对象,如用户、计算机或组。
-
存在风险的 Kerberos 委派 IoE – 新的原因会报告满足条件的所有帐户,即约束委派 (msDS-AllowedToDelegateTo) 使用的属性引用不存在的服务主体名称 (SPN)。
-
Active Directory - Tenable Identity Exposure 增加了受其管理的 AD 对象的大小限制。
Tenable Identity Exposure 版本 3.76 修复了以下缺陷:
缺陷修复 |
---|
在身份资源管理器中,“搜索租户”标签现在会以法语显示正确的本地化内容。 |
影子凭据 IoE 现在可正确处理孤立密钥凭据误报问题。 |
使用域管理员帐户在已加入域的计算机上安装安全中继时,会出现弹出消息,指示您使用本地管理员帐户。 |
Tenable Identity Exposure 更新了与“风险暴露指标”页面相关的权限行为。 |
NTDS 提取攻击指标 (IoA) 中不再存在阻止其在某些边缘情况下正常运行的日志记录问题。 |
Tenable Identity Exposure 3.75 (2024-07-16)
-
“影子凭据”风险暴露指标 (IoE) — 新 IoE 可检测“Windows Hello for Business”功能及其关联密钥凭据中的后门程序和配置错误。
-
“用户主要组”IoE — 新增一个报告原因,报告所有因权限不足而导致 primaryGroupID 属性显示为空的帐户。
-
“密码喷洒”攻击指标 (IoA) — 在某些情况下,此 IoA 会造成内存过载等系统性能问题。但该指标现在会将与同一攻击相关的多个警报合并成一个警报,以解决性能问题。
-
在以下情况下,这些 IoA 不再触发警报:
-
DC 同步 — 当来源是与 Azure AD Connect 工具相关的用户或主机名时(仅限基本模式)。
-
NTDS 提取 — 当来源工具为 VSS Requestor 或 Veeam(合法备份工具)时。
-
本地管理员枚举 — 当 IoA 找不到来源用户 SID 时(仅限基本模式)。
-
Petit Potam — 当 IoA 无法检索关联的登录事件时。
-
黄金票据 — 当 IoA 无法获取来源矢量时(仅基本模式)。
-
Tenable Identity Exposure 版本 3.75 修复了以下缺陷:
缺陷修复 |
---|
“密码猜测”IoA 的选项“检测时间间隔”现在显示正确的标签。 |
“对用户应用弱密码策略”IoE 现在链接到以正确语言显示的资源。 |
“身份资源管理器”页面现在更快速地加载身份数据。 |
Tenable Identity Exposure 3.74 (2024-06-26)
-
“DC 同步、NTDS 提取、本地管理员枚举”攻击指标 (IoA):在“基本”模式下,系统不再针对以下情况发出警报:
-
IoA 在事件摄入过程中检测到事件丢失或明显延迟。
-
IoA 因缺少事件数据而无法识别攻击来源。
-
-
“NTDS 提取”IoA:在“基本”和“激进”模式下新增名为“白名单进程”的活动选项,可用于免除合法进程在攻击期间被标记。
Tenable Identity Exposure 版本 3.74 修复了以下缺陷:
缺陷修复 |
---|
一种新机制,可确保数据库对于 badPwdCount 属性频繁修改具有恢复能力。在某些边缘情况下,负责管理错误密码计数事件速率的服务会与消息队列管理器发生断开连接,从而导致事件处理中断。 |
活动日志不再报告内部服务活动。 |
Tenable Identity Exposure 3.73 (2024-06-13)
Tenable Identity Exposure 3.73 版修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 增强了相关功能,以防止在小型 SaaS 平台上无限期执行 SQL 查询,从而确保能以可靠方式访问数据库。 |
工作区菜单(应用切换器)目前在用户界面上占据更小的空间,为页面内容展示提供了更多空间。 |
Tenable Identity Exposure 3.72 (2024-05-30)
-
用户现在可在触发分析之前,设置攻击指标 (IoA) 事件收集的持续时间,该时间范围可设置为 30 秒至 9 分钟(在延迟和准确性之间做出权衡)。
-
黄金票据 IoA:为减少误报,Tenable Identity Exposure 实施了 10 小时的延迟期,在此期间,该工具会自动将合法用户列入允许列表。
Tenable Identity Exposure 版本 3.72 修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 在中继启动期间引入了一种机制,以在中继和平台之间执行网络检查。如果平台尚未运行,中继启动进程会等待,以确保建立稳定连接后再继续进行。 |
身份验证服务现在能够在通信信道发生中断的情况下自动恢复,以确保身份验证功能的可靠性。 |
Tenable Identity Exposure 实施了一种安全机制来解决帐户锁定期间的用户枚举功能问题。 |
租户筛选功能现在正常运行,可让用户在处理与 Entra ID 相关的事件时,筛选和查看特定于其租户的风险暴露指标。 |
Tenable Identity Exposure 3.71 (2024-05-22)
注意:3.71 版本中包含 Tenable Identity Exposure 3.70 的增强功能和缺陷修复。
-
攻击指标 (IoA)
DC Sync:
“延迟时间”选项的默认值已从 1 小时增加到 12 小时,以提供更长的时间窗口来筛除合法事件。
“允许未知来源”选项的默认值从“假”更改为“真”,以防止因默认配置文件无法自定义此选项而造成漏报情况。
黄金票据:检测 Windows 事件日志丢失情况,以防止在某些情况下触发误报。
本地管理员枚举:托管服务帐户经过过滤流程,以减少误报检测的发生。
-
风险暴露指标 (IoE)
-
未使用的受保护用户组:IoE 报告中新增了一个原因,列出所有不属于该组的特权用户。
-
KRBTGT 帐户上次更改密码的时间:支持 Windows Hello for Business(云信任部署)中的 krbtgt_AzureAD 帐户。
-
Tenable Identity Exposure 版本 3.71 修复了以下缺陷:
缺陷修复 |
---|
攻击指标 (IoA):
|
“KRBTGT 帐户上次更改密码的时间”风险暴露指标:从安全配置文件自定义中移除了“保留已禁用的帐户”和“保留已删除的帐户”选项。 |
不再偶尔出现 IoA 和 IoE 分析中断一小时或更长时间的情况。 |
Tenable Identity Exposure 改进了 Identity Explorer 页面上的数据质量。 |
现在,中继可确保在有延迟的网络间可靠地传递 Syslog 消息。 |
Web 应用程序现在支持上传 ECC CA 证书,以用于 TLS 连接的验证,包括 LDAPS 身份验证、SMTPS 等。 |
Tenable Identity Exposure 3.69 (2024-04-18)
- 全新风险暴露指标 (IoE)
托管服务帐户中存在风险的错误配置 — 确保正确部署和配置托管服务帐户。
已启用来宾帐户 — 检查内置的来宾帐户是否已禁用。
-
风险暴露指标增强功能
- 没有计算机加固 GPO 的域:集成了针对 NULL 会话设计的新检查,此类会话应在所有域计算机中明确禁用。
-
本机管理组成员 :在自定义组的允许列表中添加了“Exchange Server”、“Exchange Windows Permissions”和“Exchange Trusted Subsystem”组。此修改仅适用于默认安全配置文件,不适用于现有自定义安全配置文件。
-
使用旧密码的用户帐户 — 添加了两个区分特权用户和普通用户的原因。
-
为提高吞吐量,LDAP 搜索请求现在可在中继和 Ceti 服务之间批量处理结果。
Tenable Identity Exposure 的 3.69 版本修复了以下缺陷:
缺陷修复 |
---|
“黄金票据”攻击指标中的增强检测算法减少了漏报和误报。 |
现已正确显示针对“使用 Windows 2000 以前版本兼容访问控制的帐户”IoE 的异常行为修复。 |
没有计算机加固 GPO 的域 IoE 现在可准确检测发现结果。 |
Tenable Identity Exposure 3.68 (2024-04-08)
风险暴露指标 (IoE) 增强功能:
-
休眠帐户:新增两个区分特权用户和普通用户的原因。
-
运行过时操作系统的计算机:添加新值“lastLogonTimestamp”,用于在“处于非活动状态的过时操作系统”异常行为中显示上次成功用户登录的时间戳。
-
没有计算机加固 GPO 的域
-
与为域控制器(SYSVOL/NETLOGON 共享)配置的加固 UNC 路径相关的新检查。
-
与应在域控制器上保持禁用状态的打印后台处理程序服务相关的新检查。
-
一项增强功能,以确保在域控制器和其他服务器上正确执行服务器消息块 (SMB) 签名增强功能。该功能会验证“默认域控制器策略”参数,并检查其他服务器上的 GPO 配置是否正确。
-
-
策略结果集 (RSoP) IoE — 为了使用最新缓存重新执行 RSoP IoE,Tenable Identity Exposure 现在会在短时间内聚合缓冲事件,以减少要分析的更改数量(默认情况下为 1 分钟,并且仅适用于“特权用户的登录限制”IoE)。
Tenable Identity Exposure 的 3.68 版本修复了以下缺陷:
缺陷修复 |
---|
现在可以更新引入新攻击指标 (IoA) 选项之前创建的自定义安全配置文件上的 IoA 选项。 |
公共 API 端点 /export/profile/:profileId/checkers/:checkerId 现在无需选项即可正常工作。 |
Tenable Identity Exposure 3.67 (2024-03-21)
-
计算机不会因为“不受委托防护”而被视为异常对象。Tenable Identity Exposure 解决了与此问题相关的任何现有异常对象。
-
风险暴露指标 (IoE) 增强 — 在“用户帐户的 Kerberos 配置”IoE 中,拥有智能卡的用户不会受到 AS-REP Roasting 攻击,并且 Tenable Identity Exposure 不再将其标记为安全问题。
-
攻击指标 (IoA) 增强功能:
-
密码猜测 — 新选项“密码喷洒检测时间间隔”可指定在多少分钟内,每次失败的登录尝试会被归类为正在进行的潜在攻击。
-
本地管理员枚举
-
新选项“激进模式下经筛选的访问权限”仅考虑指定从“已检查网络共享对象”事件中获取的访问权限,以便对正在进行的潜在攻击进行分类。此列表仅适用于激进模式。
-
“使用 Windows Server 2016 之前版本的域控制器的启发式”的默认值目前为“False”。
-
-
DCSync —“允许未知来源”选项的默认值现在为“False”。
-
NTDS 提取 —“基本模式”中新增“拒绝列表”:diskshadow、ntdsutil、esentutl、esentutldefrag 模式、vssown,copy-vss、基于 wmi 的技术、psexec_ntds_grab、wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper,以及基于 WMI 的技术。
-
凭据转储 LSASS 内存 —“基本模式”中新增“拒绝列表”:mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump,以及 osqueryi。
-
Tenable Identity Exposure 3.67 版本修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 现在会在您修改下列 IoA 配置的选项时正确更新安全配置文件:
|
如果您有 Tenable One 许可证,用户创建将在 Tenable Vulnerability Management 中进行并传播到 Tenable Identity Exposure。在这种情况下,当您点击 Tenable Identity Exposure 中的“创建用户”按钮时,页面会出现一条消息,将您引导至 Tenable Vulnerability Management 以创建用户。 |
Tenable Identity Exposure 现在会在 IoE 窗格中显示所有 Entra ID IoE。 |
安装或升级后,MSI 日志文件现位于 C:\Tenable\Logs 中。 |
Tenable Identity Exposure 3.66 (2024-03-11)
攻击指标 (IoA) — 为以下 IoA 新增选项,以限制误报。如需更多信息,请参阅《攻击指标参考指南》。
注意:从此版本开始,每个安全配置文件上的所有 IoA 的“激进模式”选项默认设置为“False”。您可以在各个安全配置文件中,为每个 IoA 将此选项切换为“True”。
-
可疑的 DC 密码更改 — 新选项:
-
“激进模式”:
-
True:无论用户是否经过身份认证都检测攻击。
- False(默认):仅检测经过身份验证的用户。
“密码更改间隔”:在“激进模式”下,此选项指定两次密码变更之间的时间段(默认为 30 天)。
-
DCSync — 新选项:
“激进模式”:
True:基于可产生大量误报的 IoA 规则触发所有攻击。
False(默认):仅当计算机不在域中时才触发攻击。这会减少检测的攻击数量,但会避免误报。
增强功能
-
针对依赖于策略结果集 (RSoP) 的风险暴露指标优化了计算耗时,从而导致与 RSoP 相关的异常行为计算速度变慢。有关更多信息,请参阅《Tenable Identity Exposure 用户指南》中的“基于 RSoP 的风险暴露指标”。
-
添加了对在角色权限管理中限制 Entra ID 租户的数据可见性的支持。
Tenable Identity Exposure 3.66 版本修复了以下缺陷:
缺陷修复 |
---|
“OS 凭据转储 LSASS”IoA:Tenable Identity Exposure 现在会考虑为“激进模式”选项指定的允许列表。 |
Tenable Identity Exposure 实现了一种新机制,通过使用限制更改的节流措施来增强数据库在处理大量对 badPwdCount 属性的修改时的弹性。 |
Tenable Identity Exposure 更新了中文的命名约定。 |
Tenable Identity Exposure 3.65 (2024-02-27)
攻击指标 (IoA):以下 IoA 的新默认值,用于限制误报。如需更多信息,请参阅《攻击指标参考指南》。
-
黄金票据:新的“激进模式”选项:
-
False(基本,默认):仅当目标用户是域控制器或“域管理员”组的用户时才能触发攻击。
-
True:即使目标用户名不是“域管理员”组的成员或域控制器,也允许触发攻击。即使某些域控制器不受监控(换句话说,它们不发出任何 Windows 事件日志),它也会允许攻击。
-
-
SAMAccountName 冒充:新的“激进模式”选项:
-
False(基本,默认):如果 TargetUserName 不是域控制器 (DC),则不会触发攻击。
-
True:基于可产生大量误报的 IoA 规则触发所有攻击。
-
-
OS 凭据转储:LSASS 内存 - 新选项:
-
“激进模式”:
-
False(基本,默认):IoA 可识别工具,并且仅将预定义进程视为非法进程。
-
True:IoA 将所有攻击工具视为非法工具,除非包含在允许列表中。
-
“激进模式中允许的进程”:可选,仅当“激进模式”选项为 True 时适用。
-
“基本模式 - 拒绝列表”:在基本模式下,只有指定的工具才能触发攻击。
-
-
NTDS 提取:新选项:
-
“激进模式”:
-
False(基本,默认):IoA 可识别工具,并且仅将预定义进程视为非法进程。
True:IoA 将所有攻击工具视为非法工具,除非包含在允许列表中。
“基本模式 - 拒绝列表”:在基本模式下,只有指定的工具才能触发攻击。
“基本模式攻击白名单进程”(旧称“白名单进程”):可选,仅在“激进模式”选项为True 时适用。
-
大规模计算机侦查:新的选项默认值:
-
计算机数量:5000
-
最小计算机数量:100
-
计算机百分比:95
-
滑动窗口:240
-
发动攻击的等待间隔时间:240
-
-
密码猜测:新的选项默认值:
-
密码输入错误的帐户数:10000
-
-
本地管理员枚举:默认情况下,“使用 Windows Server 2016 之前版本的域控制器的启发式算法”选项现在被设置为“False”。
风险暴露指标 (IoE)
-
新 IoE
- 特权身份验证孤岛配置:提供有关为特权(第 0 层)帐户配置身份验证孤岛的分步指南。
已同步到 Microsoft Entra ID 的特权 AD 用户帐户:检查特权 Active Directory 用户帐户是否已同步到 Microsoft Entra ID。
-
增强功能
-
存在风险的 Kerberos 委派 IoE:引入新的原因,用于检测 Microsoft Entra Connect 帐户上当前的 Kerberos 委派配置 (AZUREADSSOACC)。
-
可逆密码 IoE:根据密码设置对象 (PSO) 中 msDS-PasswordReversibleEncryptionEnabled 属性定义的设置,验证为了以可逆格式存储而配置的密码。
-
本地管理帐户管理 IoE:通过名为“已安装 LAPS 版本”的新选项,增加对新 Microsoft 本地管理员密码解决方案 (LAPS) 的支持,并根据用户的选择验证 LAPS 版本配置。
-
Tenable Identity Exposure 版本 3.65 修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 解决了与 Microsoft Entra ID 租户删除有关的问题。此前,单击删除箱图标时,之前获取的某些资产可能会持续存在。当前解决方案可确保所有资产在此过程中完全被删除。 |
Tenable Identity Exposure 修复了低特权本地用户可以修改 Tenable Identity Exposure 安全中继主机上的应用程序文件的注入漏洞。 |
Tenable Identity Exposure 修复了因空值而导致查询失败的问题,这可能源于数据库中的数据不一致。例如,如果针对资产的授权有限,且该资产尚未达到必要软件工厂 (SF) 资产的标准,则可能出现此问题。 |
Tenable Identity Exposure 增强了确定攻击路径的功能,以防在初始化过程中发生崩溃(这种情况极少出现)。 |
Tenable Identity Exposure 实施了新的机制,以确保数据库可处理多项 badPwdCount 属性修改,而不会影响其完整性或性能。 |
Tenable Identity Exposure 3.64 (2024-02-07)
Tenable Identity Exposure 版本 3.64 修复了以下缺陷:
缺陷修复 |
---|
解决攻击指标“可疑的 DC 密码更改”解决了与默认每 30 天更改一次密码的 Windows Server 2008 R2 系统有关的误报问题。 |
Tenable Identity Exposure 3.63 (2024-01-24)
-
攻击指标:攻击指标凭据转储:LSASS 内存和NTDS 提取的“允许的进程”选项包含已知会产生误报问题的进程。
Tenable Identity Exposure 3.63 版本修复了以下缺陷:
缺陷修复 |
---|
在删除关联域后,Tenable Identity Exposure 将不再显示拓扑域。 |
即使先前的扫描成功,Microsoft Entra ID 的当前扫描状态现在也会显示扫描失败的错误。 |
Tenable Identity Exposure 现在会在 Syslog 警报配置更新后正确刷新 CA 证书。 |
当此功能激活时,Tenable Identity Exposure 的内部技术数据将不再作为资产传输至 Tenable Cloud。 |
“密码弱点检测”风险暴露指标所检测到的与密码重用相关的异常行为,现在会暴露与危害认定问题相关的密码哈希前缀。 |
若分析缺少主机名,导致来源显示为“未知”的 4776 事件时,Tenable Identity Exposure 现在会根据“密码喷洒”攻击指标中的“允许未知来源”选项筛选掉此异常行为。 |
Tenable Identity Exposure 3.62 (2024-01-10)
Tenable Identity Exposure 3.62 版本修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 现在会在创建名称超过 500 个字符的属性时计算 SYSVOL 文件。 |
安全中继现在会反映对 SYSLOG 配置所做的修改,以便重新启用 SYSLOG 消息流向 SIEM。 |
风险暴露指标 (IoE) 针对勒索软件的加固不足现在可以正确管理白名单排除项。 |
Tenable Identity Exposure 解决了一个曾导致无法准确识别以下 IoE 中的特权组资格的问题:标准用户中设置的 AdminCount 属性、特权组中的禁用帐户、运行 Kerberos 服务的特权帐户以及帐户上的映射证书。 |
Microsoft EntraID 扫描状态现在更加准确,可在出现问题时提供更清晰的指示。 |