Cambios técnicos e impacto potencial

El script de instalación del módulo de indicadores de ataque (IoA) crea un GPO que aplica los siguientes cambios de forma transparente en los DC supervisados:

  • Un nuevo GPO denominado “Tenable.ad” vinculado de manera predeterminada a la unidad organizativa (OU) “Controladores de dominio”.

  • Modificación de una clave del registro para activar la política de registro avanzada de Microsoft.

  • Activación de una nueva política de registro de eventos para obligar a los controladores de dominio a generar la información de ETW que requieren los IoA.

    Nota: La política de registro de eventos es obligatoria para que el motor de ETW pueda generar las cadenas de inserción que Tenable Identity Exposure requiere. Esta política no deshabilita ninguna política de registro existente, sino que las complementa. Si hay un conflicto, el script de implementación se detiene con un mensaje de error.

  • Adición de un permiso de escritura para la cuenta de servicio de Tenable Identity Exposure que permite “Actualizaciones automáticas” de la configuración de IoA almacenada en la carpeta de GPO.

Limitaciones e impacto potencial

El módulo de indicadores de ataque (IoA) puede presentar las siguientes limitaciones:

  • El módulo de IoA se basa en los datos de ETW y funciona dentro de las limitaciones que define Microsoft.

  • El GPO instalado debe replicarse en todo el dominio, y el intervalo de actualización del GPO debe transcurrir para que se complete el proceso de instalación. Durante este período de replicación, pueden producirse falsos positivos y falsos negativos, aunque Tenable Identity Exposure minimiza este efecto al no iniciar inmediatamente las verificaciones en el motor de indicadores de ataque.

  • Tenable usa el recurso compartido de archivos de SYSVOL para recuperar información de ETW de los controladores de dominio. A medida que SYSVOL se replica en cada controlador de dominio del dominio, aparece un aumento significativo de la actividad de replicación durante un pico alto de actividad de Active Directory.

  • La replicación de archivos entre controladores de dominio y Tenable Identity Exposure también consume parte del ancho de banda de red. Para controlar estos efectos, Tenable Identity Exposure elimina automáticamente los archivos que recopila y limita el tamaño de estos archivos (valor predeterminado de 500 MB como máximo).

  • Problemas con la replicación lenta o interrumpida del Sistema de archivos distribuido (DFS). Para obtener más información, consulte Mitigación de problemas de replicación de DFS.

Consulte también