Implementación de indicadores de ataque

Nota: Esta información solo se aplica a las licencias que se benefician del módulo de indicadores de ataque.

Los indicadores de ataque (IoA) de Tenable Identity Exposure le brindan la capacidad de detectar ataques a su instancia de Active Directory (AD). Cada IoA requiere políticas de auditoría específicas que el script de instalación habilita de manera automática. Para obtener una lista completa de los IoA de Tenable Identity Exposure y su implementación, consulte Tenable Identity Exposure Indicators of Attack Reference Guide (Guía de referencia de indicadores de ataque de Tenable Identity Exposure) en el portal de descargas de Tenable.

Tenable Identity Exposure funciona como solución no intrusiva que supervisa una infraestructura de Active Directory sin implementar agentes y con un cambio de configuración mínimo en el entorno.

Tenable Identity Exposure usa una cuenta de usuario normal sin permisos administrativos para conectarse a las API estándar para su funcionalidad de supervisión de la seguridad.

Tenable Identity Exposure usa los mecanismos de replicación de Active Directory para recuperar la información pertinente, lo que solo genera costos de ancho de banda limitados entre el PDC de cada dominio y Directory Listener de Tenable Identity Exposure.

Para detectar de manera eficiente incidentes de seguridad mediante indicadores de ataque, Tenable Identity Exposure usa la información de Seguimiento de eventos para Windows (ETW) y los mecanismos de replicación disponibles en cada controlador de dominio. Para recopilar este conjunto de información, implemente un objeto de política de grupo (GPO) dedicado mediante un script desde Tenable Identity Exposure como se describe en Instalar indicadores de ataque.

Este GPO activa un cliente de escucha de registros de eventos mediante las API EvtSubscribe de Windows en todos los controladores de dominio que escriben en el volumen del sistema (SYSVOL) para beneficiarse del motor de replicación de AD y la capacidad de Tenable Identity Exposure de escuchar eventos de SYSVOL. El GPO crea un archivo en SYSVOL para cada controlador de dominio y vacía su contenido periódicamente.

Para iniciar la supervisión de seguridad, Tenable Identity Exposure tiene que comunicarse con las API de directorio estándar de Microsoft.

Controlador de dominio

Tenable Identity Exposure solo requiere comunicación con el emulador del controlador de dominio principal (PDCe) mediante los protocolos de red que se describen en Matriz de flujos de red.

En caso de que se supervisen varios dominios o bosques, Tenable Identity Exposure tiene que acceder al PDCe de cada dominio. Para lograr el mejor rendimiento, Tenable recomienda hospedar Tenable Identity Exposure en una red física cerca del PDCe que se va a supervisar.

Cuenta de usuario

Tenable Identity Exposure se autentica en la infraestructura supervisada mediante una cuenta de usuario que no es de administrador para acceder al flujo de replicación.

Un usuario simple de Tenable Identity Exposure puede acceder a todos los datos recopilados. Tenable Identity Exposure no accede a atributos secretos, como credenciales, hashes de contraseñas o claves de Kerberos.

Tenable recomienda que cree una cuenta de servicio que sea miembro del grupo “Usuarios de dominio” de la siguiente manera:

  • La cuenta de servicio se encuentra en el dominio principal supervisado.

  • La cuenta de servicio se encuentra en cualquier unidad organizativa (OU), de preferencia donde se crean otras cuentas de servicio de seguridad.

  • La cuenta de servicio tiene una pertenencia al grupo de usuarios estándar (como miembro del grupo predeterminado de AD “Usuarios de dominio”).

  • Revise las limitaciones y los posibles efectos de la instalación de los IoA, como se describe en Cambios técnicos e impacto potencial.

  • Compruebe que el DC tenga instalados y disponibles los módulos de PowerShell para Active Directory y GroupPolicy.

  • Compruebe que el DC tenga habilitada la característica RSAT-DFS-Mgmt-Con de las herramientas del sistema de archivos distribuido para que el script de implementación pueda comprobar el estado de la replicación, ya que no puede crear un GPO mientras el DC se está replicando.

  • Tenable Identity Exposure recomienda que instale o actualice los IoA durante las horas de menor actividad, con el fin de limitar las perturbaciones en la plataforma.

  • Compruebe los permisos. Para instalar los IoA, debe tener un rol de usuario con los siguientes permisos:

    • En Entidades de datos, acceso “Leer” para:

      • Todos los indicadores de ataque

      • Todos los dominios

    • En Entidades de interfaz, acceso para:

      • Gestión > Sistema > Configuración

      • Gestión > Sistema > Configuración > Servicios de aplicación > Indicadores de ataque

      • Gestión > Sistema > Configuración > Servicios de aplicación > Indicadores de ataque > Descargar archivo de instalación

Para obtener más información sobre los permisos basados en roles, consulte Establecer permisos para un rol.

Consulte también