Script de instalación de indicadores de ataque
Después de descargar y ejecutar el archivo de instalación de indicadores de ataque (IoA), el script de IoA crea un nuevo objeto de política de grupo (GPO) llamado de manera predeterminada Tenable.ad en la base de datos de Active Directory (AD). El sistema vincula el GPO de Tenable Identity Exposure únicamente a la unidad organizativa (OU) “Controladores de dominio” que contiene todos los controladores de dominio (DC). La nueva política se replica automáticamente entre todos los DC mediante el mecanismo de GPO.
Script de instalación (v. 3.29 y posteriores de Tenable Identity Exposure)
El GPO contiene scripts de PowerShell que todos los DC ejecutan localmente para recopilar datos de interés, de la siguiente manera:
-
El script configura un cliente de escucha de registros de eventos en cada controlador de dominio mediante la API EvtSubscribe de Windows. El script establece una suscripción para cada canal de registro de eventos necesario, como se especifica en el archivo de configuración TenableADEventsListenerConfiguration.json, para lo que envía una solicitud y una devolución de llamada activada por EvtSubscribe para cada registro de eventos coincidente.
-
El cliente de escucha de eventos recibe registros de eventos y los almacena en el búfer antes de vaciarlos periódicamente en un archivo almacenado en un recurso compartido de red llamado SYSVOL. Cada DC se vacía en un único archivo de SYSVOL que almacena los eventos recopilados y los replica en otros controladores de dominio.
-
El script también crea un consumidor de WMI para garantizar que este mecanismo sea persistente al volver a registrar el suscriptor de eventos cuando se reinicia un DC. WMI notifica al consumidor cada vez que se reinicia un DC para permitir que el consumidor registre nuevamente el cliente de escucha de eventos.
-
En este momento, se produce la replicación del Sistema de archivos distribuido (DFS) y los archivos se sincronizan automáticamente entre los controladores de dominio. La plataforma de Tenable Identity Exposure escucha el tráfico entrante de replicación de DFS y usa estos datos para recopilar eventos, ejecutar un análisis de seguridad y, luego, generar alertas de IoA.
Recuperación de datos locales
Los registros de eventos de Windows registran todos los eventos que tienen lugar en el sistema operativo y sus aplicaciones. Los registros de eventos se basan en un marco de componentes integrados en Windows.
Al usar la API EvtSubscribe, el cliente de escucha de registros de eventos de IoA de Tenable Identity Exposure recopila solo segmentos de datos útiles de los registros de eventos en forma de cadenas de inserción que extrae de los registros de eventos. Tenable Identity Exposure escribe estas cadenas de inserción en un archivo que se almacena en la carpeta SYSVOL y las replica a través del motor de DFS. Esto permite que Tenable Identity Exposure recopile la cantidad justa de datos de seguridad de los registros de eventos para ejecutar un análisis de seguridad y detectar ataques.
Resumen del script de IoA
En la siguiente tabla, podrá ver una descripción general de la implementación del script de Tenable Identity Exposure.
| Pasos | Descripción | Componente involucrado | Acción técnica |
|---|---|---|---|
| 1 | Registrar la implementación de IoA de Tenable Identity Exposure | Gestión de GPO | Crea el GPO Tenable.ad (nombre predeterminado) y lo vincula a la OU “Controladores de dominio”. |
| 2 | Iniciar la implementación de IoA de Tenable Identity Exposure en DC | Sistema local de DC | Cada DC detecta el nuevo GPO que va a aplicar, según los intervalos de actualización de la política de grupo y de la replicación de AD. |
| 3 | Controlar el estado de la política de registro avanzada | Sistema local de DC | El sistema activa la política de registro avanzada mediante la configuración de la clave del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy. |
| 4 | Actualizar la política de registro local | Sistema local de DC | Según los IoA que se van a detectar, Tenable Identity Exposure genera y activa dinámicamente políticas de auditoría específicas. Esta política no desactiva ninguna política de registro existente; solo las enriquece si es necesario. Si detecta un conflicto, el script de instalación del GPO se detiene y muestra el mensaje “Tenable Identity Exposure requiere la política de auditoría '…', pero la configuración actual de AD impide su uso”. |
| 5 | Registrar un cliente de escucha de eventos y un productor de WMI | Sistema local de DC | El sistema registra y ejecuta el script incluido en el GPO. Este script ejecuta un proceso de PowerShell para suscribirse a los registros de eventos mediante la API EvtSubscribe y para crear una instancia de ActiveScriptEventConsumer con fines de persistencia. Tenable Identity Exposure usa estos objetos para recibir y almacenar contenido de los registros de eventos. |
| 6 | Recopilar mensajes de los registros de eventos | Sistema local de DC |
Tenable Identity Exposure captura mensajes pertinentes del registro de eventos, los almacena en el búfer periódicamente y los guarda en archivos (uno por DC) que se almacenan en la carpeta SYSVOL asociada al GPO Tenable Identity Exposure (…{GUID_GPO}\Machine\IOA<nombre_DC>). |
| 7 | Replicar archivos en la carpeta SYSVOL del DC declarado | Active Directory | Mediante DFS, AD replica archivos en todo el dominio y, en concreto, en el DC declarado. La plataforma de Tenable Identity Exposure recibe una notificación de cada archivo y lee el contenido. |
| 8 | Sobrescribir estos archivos | Active Directory | Cada DC escribe de manera automática y continua en el mismo archivo los eventos almacenados periódicamente en el búfer. |
Script de instalación (v. 3.19.11 y anteriores de Tenable Identity Exposure)
El GPO contiene scripts de PowerShell que todos los DC ejecutan localmente para recopilar datos de interés, de la siguiente manera:
-
Los scripts configuran un observador de eventos y un productor o consumidor de Instrumental de administración de Windows (WMI) en la memoria de la máquina. WMI es un componente de Windows que le brinda información sobre el estado de los sistemas informáticos locales o remotos.
-
El observador de eventos recibe registros de eventos y los almacena periódicamente en el búfer antes de vaciarlos en un archivo almacenado en un recurso compartido de red llamado SYSVOL. Cada DC se vacía en un único archivo de SYSVOL que almacena los eventos recopilados y los replica en otros controladores de dominio.
-
El consumidor de WMI hace que este mecanismo sea persistente al registrar nuevamente el observador de eventos cuando se reinicia un DC. El productor se activa y notifica al consumidor cada vez que se reinicia un DC. Como consecuencia, el consumidor vuelve a registrar el observador de eventos.
-
En este momento, se produce la replicación del Sistema de archivos distribuido o DFS y los archivos se sincronizan automáticamente entre los controladores de dominio. La plataforma de Tenable Identity Exposure escucha el tráfico entrante de replicación de DFS y usa estos datos para recopilar eventos, ejecutar un análisis de seguridad y, luego, generar alertas de IoA.
Recuperación de datos locales
Los registros de eventos de Windows registran todos los eventos que tienen lugar en el sistema operativo y sus aplicaciones. Los registros de eventos llamados Seguimiento de eventos para Windows (ETW) se basan en un marco de componentes integrados en Windows. ETW se encuentra en el kernel y produce datos que se almacenan localmente en los DC y que los protocolos de AD no replican.
Al usar el motor de WMI, Tenable Identity Exposure recopila solo segmentos de datos útiles de ETW en forma de cadenas de inserción que extrae de los registros de eventos. Tenable Identity Exposure escribe estas cadenas de inserción en un archivo que se almacena en la carpeta SYSVOL y las replica a través del motor de DFS. Esto permite que Tenable Identity Exposure recopile la cantidad justa de datos de seguridad de ETW para ejecutar un análisis de seguridad y detectar ataques.
Resumen del script de IoA
En la siguiente tabla, podrá ver una descripción general de la implementación del script de Tenable Identity Exposure.
| Pasos | Descripción | Componente involucrado | Acción técnica |
|---|---|---|---|
| 1 | Registrar la implementación de IoA de Tenable Identity Exposure | Gestión de GPO | Crea el GPO Tenable.ad (nombre predeterminado) y lo vincula a la OU “Controladores de dominio”. |
| 2 | Iniciar la implementación de IoA de Tenable Identity Exposure en DC | Sistema local de DC | Cada DC detecta el nuevo GPO que va a aplicar, según los intervalos de actualización de la política de grupo y de la replicación de AD. |
| 3 | Registrar un observador de eventos y un productor o consumidor de WMI | Sistema local de DC | El sistema registra y ejecuta una tarea inmediata. Esta tarea ejecuta un proceso de PowerShell para crear instancias de las siguientes clases: ManagementEventWatcher y ActiveScriptEventConsumer. Tenable Identity Exposure usa estos objetos para recibir y almacenar mensajes de ETW. |
| 4 | Controlar el estado de la política de registro avanzada | Sistema local de DC | El sistema activa la política de registro avanzada mediante la configuración de la clave del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy. |
| 5 | Actualizar la política de registro local | Sistema local de DC | Según los IoA que se van a detectar, Tenable Identity Exposure genera y activa dinámicamente una política de registro avanzada. Esta política no desactiva ninguna política de registro existente; solo las enriquece si es necesario. Si detecta un conflicto, el script de instalación del GPO se detiene y muestra el mensaje “Tenable Identity Exposure requiere la política de auditoría '…', pero la configuración actual de AD impide su uso”. |
| 6 | Recopilar mensajes de ETW | Sistema local de DC |
Tenable Identity Exposure captura mensajes de ETW pertinentes, los almacena en el búfer periódicamente y los guarda en archivos (uno por DC) que se almacenan en la carpeta SYSVOL asociada al GPO Tenable Identity Exposure (…{GUID_GPO}\Machine\IOA<nombre_DC>). |
| 7 | Replicar archivos en la plataforma de Tenable Identity Exposure | Active Directory | Mediante DFS, AD replica archivos en todo el dominio. La plataforma de Tenable Identity Exposure también recibe los archivos. |
| 8 | Sobrescribir estos archivos | Active Directory | Cada DC escribe de manera automática y continua en el mismo archivo los eventos almacenados periódicamente en el búfer. |
Consulte también