Instalar indicadores de ataque

Rol de usuario obligatorio: usuario de la organización con permiso para modificar la configuración de los indicadores de ataque en Tenable Identity Exposure. Para obtener más información, consulte Establecer permisos para un rol.

El módulo de indicadores de ataque (IoA) de Tenable Identity Exposure requiere que ejecute un script de instalación de PowerShell con una cuenta administrativa que pueda crear y vincular un nuevo objeto de política de grupo (GPO) a una unidad organizativa (OU). Puede ejecutar este script desde cualquier máquina unida a su dominio de Active Directory que Tenable Identity Exposure supervisa y que puede acceder a los controladores de dominio a través de la red.

Nota: Tiene que volver a implementar el script de instalación de IoA después de cada nueva publicación de una versión principal de Tenable Identity Exposure.
Nota: La versión recomendada de PowerShell es la 5.1.

Solo tiene que ejecutar este script de instalación una vez para cada dominio de AD, ya que el GPO creado implementa automáticamente el cliente de escucha de eventos en todos los controladores de dominio (DC) existentes y nuevos.

Además, habilitar la opción “Actualizaciones automáticas” evita tener que volver a ejecutar el script de instalación, incluso si cambia la configuración de los IoA.

  1. En Tenable Identity Exposure, haga clic en Sistema en la barra de menú de la izquierda y seleccione la pestaña Configuración.

    Aparece el panel Configuración.

  2. Haga clic en Indicadores de ataque.

    Aparece el panel de configuración de los IoA.

  3. En (1) Configuración de dominios, haga clic en Ver el procedimiento.

    Se abre una ventana “Procedimiento”.

  4. En ¿Actualizaciones automáticas en el futuro?:

    • La opción predeterminada Habilitado permite que Tenable Identity Exposure actualice automáticamente la configuración de los IoA siempre que la modifique en Tenable Identity Exposure en el futuro. Esto también garantiza un análisis de seguridad continuo.

    • Si desactiva esta opción, aparecerá un mensaje para pedirle que la active para recibir actualizaciones automáticas en el futuro. Haga clic en Ver el procedimiento y cambie a Habilitado.

  1. Haga clic en Descargar para descargar el script que se ejecutará para cada dominio (Register-TenableIOA.ps1).

  2. Haga clic en Descargar para descargar el archivo de configuración para los dominios (TadIoaConfig-AllDomains.json).

  1. Haga clic en para copiar el comando de PowerShell para configurar los dominios.

  1. Haga clic fuera de la ventana “Procedimiento” para cerrarla.

  1. Abra un terminal de PowerShell con derechos administrativos y ejecute los comandos para configurar los controladores de dominio para los IoA.

    Nota: La cuenta de servicio que se usa para instalar los IoA y consultar los dominios debe tener permisos de escritura en la carpeta de GPO de Tenable Identity Exposure (anteriormente, Tenable.ad). El script de instalación agrega este permiso de manera automática. Si quita este permiso, Tenable Identity Exposure muestra un mensaje de error y las actualizaciones automáticas ya no funcionan. Para obtener más información, consulte Script de instalación de indicadores de ataque.

  1. En (2) Configuración de la recopilación de eventos, haga clic en Abrir configuración.

    Aparece una ventana de configuración.

  1. En Demora en la búsqueda, mueva el control deslizante para seleccionar la duración de la recopilación de eventos antes de activar un análisis de seguridad.

  2. En Tecnología de intercambio, haga clic en la flecha desplegable para seleccionar una de las siguientes opciones:

    • Recurso compartido de SMB dedicado: Tenable Identity Exposure crea el recurso compartido de SMB en el emulador del controlador de dominio principal (PDCe) y todos los controladores de dominio escriben directamente en este recurso compartido de SMB. Consulte los requisitos previos para utilizar este modo en Implementación de indicadores de ataque.

    • Recurso compartido de SYSVOL integrado: los archivos de registros de eventos que se almacenen en el recurso compartido de SYSVOL estarán a disposición de todos los controladores de dominio como parte del mecanismo DFSR.

      Nota: Después de instalar el módulo de IoA, puede cambiar entre los modos de SMB y SYSVOL en cualquier momento, siempre que observe los requisitos previos del modo SMB, como se indica en Implementación de indicadores de ataque.

      Nota: Dos verificaciones de estado de dominios lo ayudarán a evaluar el estado de los módulos de IoA. Para obtener más información, consulte Verificaciones de estado.

  1. Haga clic en Guardar configuración.

  1. En el panel de configuración de IoA, en Configuración de indicadores de ataque, seleccione los IoA que quiera en la configuración.

    Sugerencia: El indicador de ataque (IoA) Explotación de Zerologon data de 2020. Si todos los controladores de dominio (DC) recibieron actualizaciones en los últimos tres años, están protegidos contra esta vulnerabilidad. Para conocer los parches necesarios para proteger los DC frente a esta vulnerabilidad, consulte la información en Netlogon Elevation of Privilege Vulnerability (texto en inglés) de Microsoft. Una vez que haya confirmado la seguridad de los DC, puede desactivar de forma segura este IoA para evitar alertas innecesarias.

  2. Haga clic en Guardar.

    • Si habilitó ¿Actualizaciones automáticas en el futuro?, Tenable Identity Exposure guarda y actualiza automáticamente la nueva configuración. Espere unos minutos para que esta actualización surta efecto.

    • Si no habilitó ¿Actualizaciones automáticas en el futuro?, aparecerá una ventana “Procedimiento” como guía Para configurar dominios para los IoA:

  1. En Administración de directivas de grupo, compruebe que el nuevo GPO de Tenable Identity Exposure exista y se vincule con la unidad organizativa Controladores de dominio:

  2. Vaya a la ruta C:\Windows\SYSVOL\sysvol\alsid.corp\Policies\{GUID}\Machine\IOA y compruebe que el archivo .gz exista para todos los controladores de dominio antes de probar los IoA:

  1. En el administrador de archivos, vaya a \\<NOMBRE-DNS>\sysvol\<NOMBRE-DNS>\Policies\{<ID-GPO>}\Machine\.

  1. Haga clic con el botón derecho en el archivo TenableADEventsListenerConfiguration.json y seleccione Propiedades.

  2. Seleccione la pestaña Seguridad y haga clic en Opciones avanzadas.

  3. Haga clic en la pestaña Acceso efectivo.

  4. Haga clic en Seleccionar un usuario.

  5. Escriba <NOMBRE-DE-CUENTA-DE-SERVICIO-DE-TENABLE> y haga clic en Aceptar.

  6. Haga clic en Ver acceso efectivo.

  7. Compruebe que el permiso “Escribir” esté activo para la cuenta de servicio de Tenable.

Como alternativa, puede usar PowerShell:

  • Ejecute los siguientes comandos:

Copiar 
Install-Module -Name NTFSSecurity -RequiredVersion 4.2.3
Copiar 
Get-NTFSEffectiveAccess -Path \\<DNS-NAME>\sysvol\<DNS-NAME>\Policies\{<GPO-ID>}\IOA\ -Account <TENABLE-SERVICE-ACCOUNT-NAME>

Para evitar ataques falsos positivos o que no se detecten ataques legítimos, tiene que calibrar los IoA según el entorno para adaptarlos al tamaño de la instancia de Active Directory, incluir las herramientas conocidas en una whitelist, etc.

  1. Consulte Tenable Identity Exposure Indicators of Attack Reference Guide (Guía de referencia de indicadores de ataque de Tenable Identity Exposure) para obtener información sobre las opciones y los valores recomendados para seleccionar.

  2. En el perfil de seguridad, aplique las opciones y los valores a cada IoA según se describe en Personalizar un indicador.

Durante la implementación, pueden aparecer los siguientes mensajes de error:

Mensaje Corrección
Tenable Identity Exposure no puede escribir en el archivo de configuración porque la carpeta de destino <carpetaDestino> no existe. Esto indica que es posible que haya habido un error en la implementación del módulo de IoA”. Desinstale el script y haga clic en “Ver el procedimiento” para obtener instrucciones para volver a instalarlo.
Tenable Identity Exposure no pudo escribir en el archivo de configuración ubicado en <archivoDestino> para actualizarlo. Esto puede deberse a que otro proceso esté bloqueando el archivo o a cambios de permisos”.

  • Asegúrese de que ningún otro proceso, además del módulo de IoA, esté usando el archivo de configuración.

  • Compruebe que la cuenta de servicio tenga permiso para modificar el contenido del archivo.

  • Si no quiere otorgar permiso a la cuenta de servicio, deshabilite la opción “Actualizaciones automáticas” y haga clic en “Ver el procedimiento” para obtener instrucciones sobre cómo hacer una actualización manual cada vez que modifique la configuración de los IoA.
“La carpeta de destino <carpetaDestino> contiene una versión de Tenable Identity Exposure que no puede ejecutar actualizaciones automáticas”. El script instalado actualmente es una versión antigua que usa WMI. Desinstale la versión actual, descargue un nuevo script de instalación y ejecútelo.
“Hubo un error inesperado en la implementación del archivo de configuración”. Desinstale el script y haga clic en “Ver el procedimiento” para obtener instrucciones para volver a instalarlo. Si esto no funciona, comuníquese con su representante de atención al cliente.

Para obtener más información, consulte: