Indicadores de ataque operativos

Asegurarse de que los procesos de los indicadores de ataque funcionen correctamente es fundamental para que la detección y la respuesta sean precisas. En esta sección se proporcionan instrucciones detalladas para verificar que los componentes de los IoA estén operativos y solucionar problemas habituales y con eficacia. Siga los pasos que se indican a continuación para confirmar que todo funcione según lo previsto.

  • Asegúrese de que la supervisión de indicadores de ataque (IoA) esté operativa en los controladores de dominio.

    • Verificar la conectividad al dominio: verifique la configuración para asegurarse de que la conectividad al dominio funcione. Para obtener más información, consulte Dominios.

  • Verifique la carpeta del GPO de IoA en SYSVOL:

    • Verifique la carpeta del GPO de IoA en el directorio de SYSVOL para confirmar que cada controlador de dominio esté produciendo un archivo .gz actualizado.

    • Si algún controlador de dominio no está generando este archivo .gz, continúe con los siguientes pasos.

  • Confirme que el proceso del cliente de escucha de eventos de IoA se esté ejecutando:

    • Verifique que el proceso Register-TenableADEventsListener.exe se esté ejecutando.

    • En las versiones más recientes, este proceso aparece como “Tenable - IOA Events Listener” en el Programador de tareas, además de Register-TenableADEventsListener.exe.

      Para obtener más información, consulte Validación del cliente de escucha de registros de eventos.

  • Si el proceso no se está ejecutando:

    • Asegúrese de que ningún software de EDR o antivirus de los controladores de dominio esté bloqueando el proceso Register-TenableADEventsListener.exe.

      Para obtener más información, consulte Detección de antivirus.

  • Inicie el proceso manualmente:

    • Edite la tarea asociada (TenableADTask_*) en el Programador de tareas y haga clic en Aceptar para reiniciar el proceso.

  • Escale los problemas si persisten: si los pasos anteriores no resuelven el problema, envíe un caso de soporte a Tenable. Es posible que haya un problema subyacente que impida que se ejecute el proceso Register-TenableADEventsListener.exe.