Detección de antivirus

Tenable y Microsoft no recomiendan instalar software antivirus, de plataformas de protección de puntos de conexión (EPP) ni de detección y respuesta de puntos de conexión (EDR) en los controladores de dominio (ni en ninguna otra herramienta con una consola de administración central). Si decide hacerlo, es posible que el antivirus, EPP o EDR detecten e, incluso, bloqueen o eliminen elementos necesarios para la recopilación de eventos de los indicadores de ataque (IoA) en los controladores de dominio.

El script de implementación de Tenable Identity Exposure para los indicadores de ataque no incluye código malintencionado y ni siquiera está ofuscado. Sin embargo, las detecciones ocasionales son normales, dado el uso de PowerShell y WMI y la naturaleza sin agente de la implementación.

Si encuentra problemas como los siguientes:

  • Mensajes de error durante la instalación

  • Falsos positivos o falsos negativos en la detección

Para solucionar problemas de detección de antivirus en scripts de instalación:

  1. Revise los registros de seguridad del antivirus, EPP o EDR para comprobar si se detectaron, bloquearon o eliminaron componentes de Tenable Identity Exposure. El antivirus, EPP o EDR pueden afectar los siguientes componentes:

    • El archivo ScheduledTasks.xml en el GPO de Tenable Identity Exposure que se aplicó en los controladores de dominio.

    • La tarea programada de Tenable Identity Exposure en los controladores de dominio que inicia PowerShell.exe.

    • El proceso Register-TenableADEventsListener.exe de Tenable Identity Exposure que se inició en los controladores de dominio.

  1. Agregue excepciones de seguridad a las herramientas para los componentes afectados.

    • En particular, Symantec Endpoint Protection puede generar detecciones de CL.Downloader!gen27 durante el proceso de instalación de los IoA. Puede agregar este riesgo conocido específico a su política de excepciones.

    • Una vez que haya configurado el Programador de tareas, ejecute PowerShell para iniciar el proceso Register-TenableADEventsListener.exe. El software antivirus, EPP o EDR tiene el potencial de obstruir este script de PowerShell, lo que dificulta la correcta ejecución de los indicadores de ataque. Haga un seguimiento minucioso de este proceso y asegúrese de que se ejecute solo una vez en todos los controladores de dominio supervisados.

      Ejemplos de exclusiones de rutas de archivos para antivirus, EPP o EDR:

    Copiar 
    Register-TenableADEventsListener.exe process
     "\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"

     

    Copiar 
    ScheduledTasks.xml file
        C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
        C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml     
        \\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml