Tenable Identity Exposure 2024 版本说明

• “DC 同步、NTDS 提取、本地管理员枚举”攻击指标 (IoA)：在“基本”模式下，系统不再针对以下情况发出警报：

  • IoA 在事件摄入过程中检测到事件丢失或明显延迟。

  • IoA 因缺少事件数据而无法识别攻击来源。

• “NTDS 提取”IoA：在“基本”和“激进”模式下新增名为“白名单进程”的活动选项，可用于免除合法进程在攻击期间被标记。

Tenable Identity Exposure 版本 3.74 修复了以下缺陷：

Tenable Identity Exposure 3.73 版修复了以下缺陷：

• 用户现在可在触发分析之前，设置攻击指标 (IoA) 事件收集的持续时间，该时间范围可设置为 30 秒至 9 分钟（在延迟和准确性之间做出权衡)。

• 黄金票据 IoA：为减少误报，Tenable Identity Exposure 实施了 10 小时的延迟期，在此期间，该工具会自动将合法用户列入允许列表。

Tenable Identity Exposure 版本 3.72 修复了以下缺陷：

• 攻击指标 (IoA)

• DC Sync：

• “延迟时间”选项的默认值已从 1 小时增加到 12 小时，以提供更长的时间窗口来筛除合法事件。

• “允许未知来源”选项的默认值从“假”更改为“真”，以防止因默认配置文件无法自定义此选项而造成漏报情况。

• 黄金票据：检测 Windows 事件日志丢失情况，以防止在某些情况下触发误报。

• 本地管理员枚举：托管服务帐户经过过滤流程，以减少误报检测的发生。

• 风险暴露指标 (IoE)

  • 未使用的受保护用户组：IoE 报告中新增了一个原因，列出所有不属于该组的特权用户。

  • KRBTGT 帐户上次更改密码的时间：支持 Windows Hello for Business（云信任部署）中的 krbtgt_AzureAD 帐户。

Tenable Identity Exposure 版本 3.71 修复了以下缺陷：

• 全新风险暴露指标 (IoE)

  • 托管服务帐户中存在风险的错误配置 — 确保正确部署和配置托管服务帐户。

  • 已启用来宾帐户 — 检查内置的来宾帐户是否已禁用。

• 风险暴露指标增强功能

  • 没有计算机加固 GPO 的域：集成了针对 NULL 会话设计的新检查，此类会话应在所有域计算机中明确禁用。

  • 本机管理组成员 ：在自定义组的允许列表中添加了“Exchange Server”、“Exchange Windows Permissions”和“Exchange Trusted Subsystem”组。此修改仅适用于默认安全配置文件，不适用于现有自定义安全配置文件。

  • 使用旧密码的用户帐户 — 添加了两个区分特权用户和普通用户的原因。

• 为提高吞吐量，LDAP 搜索请求现在可在中继和 Ceti 服务之间批量处理结果。

Tenable Identity Exposure 的 3.69 版本修复了以下缺陷：

风险暴露指标 (IoE) 增强功能：

• 休眠帐户：新增两个区分特权用户和普通用户的原因。

• 运行过时操作系统的计算机：添加新值“lastLogonTimestamp”，用于在“处于非活动状态的过时操作系统”异常行为中显示上次成功用户登录的时间戳。

• 没有计算机加固 GPO 的域

  • 与为域控制器（SYSVOL/NETLOGON 共享）配置的加固 UNC 路径相关的新检查。

  • 与应在域控制器上保持禁用状态的打印后台处理程序服务相关的新检查。

  • 一项增强功能，以确保在域控制器和其他服务器上正确执行服务器消息块 (SMB) 签名增强功能。该功能会验证“默认域控制器策略”参数，并检查其他服务器上的 GPO 配置是否正确。

• 策略结果集 (RSoP) IoE — 为了使用最新缓存重新执行 RSoP IoE，Tenable Identity Exposure 现在会在短时间内聚合缓冲事件，以减少要分析的更改数量（默认情况下为 1 分钟，并且仅适用于“特权用户的登录限制”IoE）。

Tenable Identity Exposure 的 3.68 版本修复了以下缺陷：

• 计算机不会因为“不受委托防护”而被视为异常对象。Tenable Identity Exposure 解决了与此问题相关的任何现有异常对象。

• 风险暴露指标 (IoE) 增强 — 在“用户帐户的 Kerberos 配置”IoE 中，拥有智能卡的用户不会受到 AS-REP Roasting 攻击，并且 Tenable Identity Exposure 不再将其标记为安全问题。

• 攻击指标 (IoA) 增强功能：

  • 密码猜测 — 新选项“密码喷洒检测时间间隔”可指定在多少分钟内，每次失败的登录尝试会被归类为正在进行的潜在攻击。

  • 本地管理员枚举

    • 新选项“激进模式下经筛选的访问权限”仅考虑指定从“已检查网络共享对象”事件中获取的访问权限，以便对正在进行的潜在攻击进行分类。此列表仅适用于激进模式。

    • “使用 Windows Server 2016 之前版本的域控制器的启发式”的默认值目前为“False”。

  • DCSync —“允许未知来源”选项的默认值现在为“False”。

  • NTDS 提取 —“基本模式”中新增“拒绝列表”：diskshadow、ntdsutil、esentutl、esentutldefrag 模式、vssown，copy-vss、基于 wmi 的技术、psexec_ntds_grab、wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper，以及基于 WMI 的技术。

  • 凭据转储 LSASS 内存 —“基本模式”中新增“拒绝列表”：mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump，以及 osqueryi。

Tenable Identity Exposure 3.67 版本修复了以下缺陷：

攻击指标 (IoA) — 为以下 IoA 新增选项，以限制误报。如需更多信息，请参阅《攻击指标参考指南》。

注意：从此版本开始，每个安全配置文件上的所有 IoA 的“激进模式”选项默认设置为“False”。您可以在各个安全配置文件中，为每个 IoA 将此选项切换为“True”。

• 可疑的 DC 密码更改 — 新选项：

  • “激进模式”：

• True：无论用户是否经过身份认证都检测攻击。

• False（默认）：仅检测经过身份验证的用户。

• “密码更改间隔”：在“激进模式”下，此选项指定两次密码变更之间的时间段（默认为 30 天）。

• DCSync — 新选项：

• “激进模式”：

  • True：基于可产生大量误报的 IoA 规则触发所有攻击。

  • False（默认）：仅当计算机不在域中时才触发攻击。这会减少检测的攻击数量，但会避免误报。

增强功能

• 针对依赖于策略结果集 (RSoP) 的风险暴露指标优化了计算耗时，从而导致与 RSoP 相关的异常行为计算速度变慢。有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“基于 RSoP 的风险暴露指标”。

• 添加了对在角色权限管理中限制 Entra ID 租户的数据可见性的支持。

Tenable Identity Exposure 3.66 版本修复了以下缺陷：

攻击指标 (IoA)：以下 IoA 的新默认值，用于限制误报。如需更多信息，请参阅《攻击指标参考指南》。

• 黄金票据：新的“激进模式”选项：

  • False（基本，默认）：仅当目标用户是域控制器或“域管理员”组的用户时才能触发攻击。

  • True：即使目标用户名不是“域管理员”组的成员或域控制器，也允许触发攻击。即使某些域控制器不受监控（换句话说，它们不发出任何 Windows 事件日志），它也会允许攻击。

• SAMAccountName 冒充：新的“激进模式”选项：

  • False（基本，默认）：如果 TargetUserName 不是域控制器 (DC)，则不会触发攻击。

  • True：基于可产生大量误报的 IoA 规则触发所有攻击。

• OS 凭据转储：LSASS 内存 - 新选项：

  • “激进模式”：

  • False（基本，默认）：IoA 可识别工具，并且仅将预定义进程视为非法进程。

  • True：IoA 将所有攻击工具视为非法工具，除非包含在允许列表中。

  • “激进模式中允许的进程”：可选，仅当“激进模式”选项为 True 时适用。

  • “基本模式 - 拒绝列表”：在基本模式下，只有指定的工具才能触发攻击。

• NTDS 提取：新选项：

  • “激进模式”：

• False（基本，默认）：IoA 可识别工具，并且仅将预定义进程视为非法进程。

• True：IoA 将所有攻击工具视为非法工具，除非包含在允许列表中。

• “基本模式 - 拒绝列表”：在基本模式下，只有指定的工具才能触发攻击。

• “基本模式攻击白名单进程”（旧称“白名单进程”）：可选，仅在“激进模式”选项为True 时适用。

• 大规模计算机侦查：新的选项默认值：

  • 计算机数量：5000

  • 最小计算机数量：100

  • 计算机百分比：95

  • 滑动窗口：240

  • 发动攻击的等待间隔时间：240

• 密码猜测：新的选项默认值：

  • 密码输入错误的帐户数：10000

• 本地管理员枚举：默认情况下，“使用 Windows Server 2016 之前版本的域控制器的启发式算法”选项现在被设置为“False”。

风险暴露指标 (IoE)

• 新 IoE

• 特权身份验证孤岛配置：提供有关为特权（第 0 层）帐户配置身份验证孤岛的分步指南。

• 已同步到 Microsoft Entra ID 的特权 AD 用户帐户：检查特权 Active Directory 用户帐户是否已同步到 Microsoft Entra ID。

• 增强功能

  • 存在风险的 Kerberos 委派 IoE：引入新的原因，用于检测 Microsoft Entra Connect 帐户上当前的 Kerberos 委派配置 (AZUREADSSOACC)。

  • 可逆密码 IoE：根据密码设置对象 (PSO) 中 msDS-PasswordReversibleEncryptionEnabled 属性定义的设置，验证为了以可逆格式存储而配置的密码。

  • 本地管理帐户管理 IoE：通过名为“已安装 LAPS 版本”的新选项，增加对新 Microsoft 本地管理员密码解决方案 (LAPS) 的支持，并根据用户的选择验证 LAPS 版本配置。

Tenable Identity Exposure 版本 3.65 修复了以下缺陷：

Tenable Identity Exposure 版本 3.64 修复了以下缺陷：

• 攻击指标：攻击指标凭据转储：LSASS 内存和NTDS 提取的“允许的进程”选项包含已知会产生误报问题的进程。

Tenable Identity Exposure 3.63 版本修复了以下缺陷：