Mitigación de problemas de replicación de DFS

Un parámetro adicional, -EventLogsFileWriteFrequency X, en el script de implementación de los indicadores de ataque le permite abordar posibles problemas que pueda experimentar con una replicación lenta o interrumpida del Sistema de archivos distribuido (DFS).

Este parámetro es opcional y Tenable recomienda usarlo solo si tiene problemas de replicación de DFS o los observa desde que implementa el script de IoA. En circunstancias normales, el parámetro permanece en su valor predeterminado y no es necesario incluirlo en la línea de comandos al ejecutar el script.

Cuándo modificar el parámetro

El valor [X] del parámetro -EventLogsFileWriteFrequency X es la frecuencia con la que el cliente de escucha de Tenable Identity Exposure genera un archivo de registros de eventos en controladores de dominio (DC) que no son PDCe. El valor predeterminado y recomendado que usa el cliente de escucha de Tenable Identity Exposure es de 15 segundos. Sin embargo, el valor personalizado no se aplica a los controladores de dominio PDCe y permanece en su intervalo predeterminado de 15 segundos para garantizar que las capacidades de detección de ataques estén completamente operativas. Tenable recomienda usar este parámetro y aumentar su valor más allá de su valor predeterminado de 15 segundos hasta 300 segundos (5 minutos) solo si la infraestructura enfrenta problemas de replicación de DFS o es propensa a ellos.

Recomendaciones

Tenga en cuenta que aumentar la frecuencia de escritura del archivo de registros de eventos hará que el archivo no se genere tan a menudo, lo que aumentará la demora en la detección de ataques (por ejemplo, si el archivo se genera cada 30 segundos en lugar de los 15 segundos predeterminados en los controladores de dominio que no son PDCe). Además, al aumentar el retraso se aumenta el tamaño del archivo de registros de eventos generado dentro de los límites establecidos según lo definido en Cambios técnicos e impacto potencial. Por lo tanto, use este parámetro solo como estrategia de mitigación y no como reemplazo de una investigación adecuada de los problemas de replicación de DFS.

Para aplicar el parámetro:

  1. Configure los dominios para los IoA como se describe en el procedimiento. Para obtener más información, consulte Instalar indicadores de ataque.

  2. Abra un terminal de PowerShell con derechos administrativos.

  3. Ejecute el script para configurar los controladores de dominio para los IoA y agregue el parámetro -EventLogsFileWriteFrequency X, donde [X] es la frecuencia que desea establecer para el archivo de registros de eventos.