Tenable Identity Exposure 3.119 (2026-06-11)
| 错误修复 |
|---|
| 当事件记录停止且没有错误警报时,攻击指标事件侦听器会检测静默失败并自动从中恢复。如果侦听器在 60 分钟内未检测到任何事件,系统会自动重新启动订阅。这需要重新安装 IoA 侦听器。 |
| 当用户将密码更改为其他密码时,Tenable Identity Exposure 风险暴露指标 (IoE) 密码在域内重复使用功能可正确解决异常行为。 |
| 当用户关闭“保留孤立密钥的潜在误报”选项,同时禁用“设备回写”混合 MEID 配置时,风险暴露指标 (IoE) 影子凭据可正确解决异常行为。 |
Tenable Identity Exposure 3.118 (2026-06-04)
| 错误修复 |
|---|
|
在身份概览网格值上,对于具有自定义工具提示的属性,工具提示不再重复显示。 |
| 存在匹配的条目时,在身份 360 资产详细信息选项卡中进行搜索不会再导致结果为空。 |
| 在域控制器上启动攻击指标 (IoA) 事件侦听器的计划任务已从低优先级升级到普通优先级。这可解决一个问题,即重负载 DC 可将脚本启动延迟数小时,这可能导致攻击检测覆盖范围出现间隙。 |
| 如果单个可疑 4769 事件与同一小时内的多个 4624 登录事件关联时,黄金票据 IoA 不会再重复警报。现在,每个可疑 4769 在每个安全配置文件中最多会引起一个警报。 |
| 风险暴露指标“标记密码重复使用”现在仅在实际域级别评估安全合规性,这解决了在内部 DNS 分区对象上错误触发警报的问题。现已正确绕过“ForestDnsZones”和“DomainDnsZones”等基础设施组件,因为它们并不包含实际的域密码策略。因此,系统将不再生成这些虚假误报,以确保安全仪表盘保持整洁,且仅专注于真正的风险。 |
Tenable Identity Exposure 3.117 (2026-05-07)
| 错误修复 |
|---|
|
Tenable Identity Exposure 更新了攻击指标 (IoA) 检测引擎,即使延迟事件激增,也能检测域控制器同步 (DCSync) 攻击。 此前,在产品更新或基础设施变更等特定操作条件下,延迟事件会暂时激增,系统需要扩大检测时间窗口才能容纳这些延迟事件。即使激增情况结束,检测引擎的时间窗口也没有恢复到正常大小。此行为导致系统放弃分析重大安全事件并阻止对 DCSync 攻击的检测。 现在,检测引擎会在临时中断后自动缩小时间窗口。此更新不仅可以提高检测的准确性,还能确保系统分析所有安全事件。 |
Tenable Identity Exposure 3.116 (2026-04-16)
| 错误修复 |
|---|
| Tenable Identity Exposure 通过增强文本格式和全面的弱点见解,提高了身份 360 帐户中 AI 生成的摘要的可读性。 |
| 导出的 Insights PDF 报告现在可正确匹配应用的时间筛选器日期范围(30 天、90 天)。 |
| 如果在关闭“设备回写”混合 MEID 配置的同时关闭“保留孤立密钥的潜在误报”选项,风险暴露指标 (IoE) 影子凭据现在可正确解决异常行为。 |
| Tenable Identity Exposure 更新了 IoE“KRBTGT 帐户的最后密码更改时间”修复脚本。 |
|
攻击指标 (IoA) 部署脚本现在可以正确输出审核策略部分。 注意:需要强制重新安装 IoA。 |
|
Tenable Identity Exposure 现在可确保非 PDC 域控制器在 IoA 配置更新后立即切换文件共享模式 (SYSVOL/SMB),而无需重新启动系统。 注意:需要强制重新安装 IoA。 |
|
IoA 侦听器现在会自动检测 PDC 仿真器 FSMO 角色传输并以正确的身份重新启动,因此无需对所有域控制器进行手动干预。 注意:需要强制重新安装 IoA。 |
Tenable Identity Exposure 3.115 (2026-04-01)
| 错误修复 |
|---|
| 分页导航:API 响应现在可以生成准确的 next 链接,从而实现分页结果集的无缝迭代。 |
| 黄金票据 IoA:黄金票据攻击的检测逻辑现已具备目录识别功能。通过按目录而非全局确定域控制器 (DC) 活动范围,Tenable Identity Exposure 可确保多域环境中进行准确的筛选并消除误报和漏报。 |
Tenable Identity Exposure 3.114 (2026-03-18)
| 错误修复 |
|---|
| Tenable Identity Exposure 现在可以正确识别源自域控制器本地的身份验证请求,以防止黄金票据检测发生误报。 |
| Workspace 图标现在可正确显示而不是显示“?”。 |
| RabbitMQ 使用者和生产者现在会在 RabbitMQ 重新启动后成功地重新连接。 |
| PetitPotam IoA 检测现在会显示正确的 user 和 source_ip 信息。 |
| Tenable Identity Exposure 现在可正确读取 IoA 配置文件并启动专用的 SMB 共享侦听器。 |
| PetitPotam 检测现在包括有效的扩充数据(IP 地址、用户名和主机名)。 |
| 卸载 IoA 时,Tenable Identity Exposure 会从域控制器删除 WMI 启动程序 (AlsidForAD-Launcher)。 |
| 如果在初始配置期间因网络问题导致无法访问 Sysvol,Sysvol 侦听器会重新连接。 |
Tenable Identity Exposure 3.113 (2026-02-18)
-
风险暴露指标 —“动态对象配置错误及使用情况”IoE 能够检测并监控 Active Directory 中动态对象的使用情况。它还能识别与其相关的配置错误。
-
运行状况检查 — 在进行域安装运行状况检查的过程中,新出现的异常原因“SYSVOL 中存在多个 Tenable IoA GPO EVT Subscribe Listener 文件”表明,您的 GPO 配置中存在多个 EVT Subscribe Listener 文件。仅检查并保留最新的版本。
Tenable Identity Exposure 3.112 (2026-02-04)
-
BadSuccessor 存在危险的 dMSA 权限风险暴露指标:该文本现与 2025 年 8 月的 Microsoft 补丁一致, 确保补丁后管理中报告的准确性。
Tenable Identity Exposure 3.111 (2026-01-22)
-
改进了攻击指标筛选和 Syslog 关联
-
可追溯性:现在,所有 IoA 检测到的攻击都会在 IoA 页面的专用列中显示唯一的攻击 ID。
-
搜索:您可以使用此特定的 ID 来筛选 IoA 页面,以便进行即时查找。
-
导出:Syslog 消息现在包含攻击 ID,以便更轻松地在 SIEM 中交叉引用日志。
-
| 错误修复 |
|---|
| 现在,风险暴露指标会以适当的本地化语言正确显示所有 Microsoft Active Directory UI 引用。 |
| 压缩和删除日志任务现在能够跨所有文件夹命名格式可靠地进行初始化,以保持磁盘空间的一致性。 |
| Tenable Identity Exposure 现在可以准确跟踪并报告所有活动实例的容器许可证使用情况。 |
| 使用 SAML 身份验证时,Tenable One 和 Tenable Identity Exposure 之间能够成功建立安全的 WebSocket 连接。 |
| Tenable Identity Exposure 文档链接现在指向最新的资源。 |
| Tenable Identity Exposure 通过删除扬声器图标菜单按钮优化了用户界面。 |
Tenable Identity Exposure 3.110 (2026-01-08)
-
安装:您现在可以使用其他攻击指标安装脚本参数(证书输出、文件签名和定时器)在 EDR 中为脚本授权,并允许部署继续进行。
新参数如下:
-
OutputCertificate:允许在当前目录中输出 Tenable 证书(在需要将其列入 EDR/AV 的允许列表时非常有用)。此参数为可选项。
-
GetSignatureToWhitelist:允许显示部署的 listenerLauncher.ps1 脚本的哈希,从而在部署之前将其列入 EDR/AV 的允许列表。
-
TimerInMinutes:设置开始部署 IoA 之前的延迟时间(以分钟为单位)。在安装期间使用此定时器,从而在部署开始之前暂停进程。
请参阅《Tenable Identity Exposure 用户指南》中的攻击指标安装脚本,以获取操作步骤和参数列表。
-
| 错误修复 |
|---|
| 在风险暴露中心中,现在可以使用组成员身份创建排除项。 |
| Tenable Identity Exposure 更新了顶部标题中的“Tenable 应用切换器”,以便与 Tenable One 保持一致。 |
| 现在,在保存或编辑 Syslog 警报时,必须提供“事件更改表达式”。 |
| 攻击指标日期选择器使用的是本地时间,而非协调世界时。 |
| 遇到无效的 Tenable Cloud 密钥时,Tenable Identity Exposure 会显示正确的错误消息。 |
| Tenable Identity Exposure 在电子邮件警报中使用正确的 Tenable 徽标。 |
| 域连接测试按预期工作。 |