Verificaciones de estado

La funcionalidad de verificación de estado en Tenable Identity Exposure le proporciona visibilidad en tiempo real de la configuración de sus dominios y cuentas de servicio en una vista consolidada, desde la cual puede explorar en profundidad para investigar cualquier anomalía de configuración que provoque problemas de conectividad u otros problemas en la infraestructura. Verifica que todo esté configurado correctamente para garantizar el buen funcionamiento de Tenable Identity Exposure y le brinda la capacidad de tomar acciones rápidas y precisas para solucionar problemas, así como la confianza de que las opciones son las óptimas para permitir que Tenable Identity Exposure funcione de manera eficiente.

Las verificaciones de estado son visibles de manera predeterminada para los roles administrativos y con permiso para ciertos roles de usuario. También puede crear alertas de SYSLOG o de correo electrónico sobre cada cambio en el estado de la verificación de estado.

Verificaciones de estado y detección de ataques de sincronización de controladores de domino

Las verificaciones de estado brindan información valiosa sobre el estado y la usabilidad de los servicios de Tenable Identity Exposure. Verifican la capacidad de la cuenta de servicio para recopilar información confidencial, como hashes de contraseñas y claves de copia de seguridad de DPAPI usadas para Análisis con privilegios. En el informe de verificación de estado, Tenable intenta recopilar datos confidenciales para determinar si la cuenta de servicio tiene la funcionalidad Análisis con privilegios configurada correctamente, sin que se recopile nada en realidad si esta funcionalidad no está en uso. Para evitar la detección de un ataque DCSync durante este proceso, Tenable incluye automáticamente en la whitelist la cuenta de servicio proporcionada para el indicador de ataque DCSync.

Estado del dominio

Tenable Identity Exposure realiza las siguientes verificaciones para cada dominio:

  • Autenticación en el dominio de AD: opciones y estado de LDAP, credenciales y acceso SMB.

  • Accesibilidad del dominio: conexión funcional al puerto RPC dinámico, un servidor SMB accesible, un FQDN o una dirección IP de controlador de dominio accesible, una conexión funcional al puerto RPC, un servidor LDAP accesible y un servidor LDAP de catálogo global accesible.

  • Permisos: capacidad de acceder a los datos del dominio de AD y recopilar datos privilegiados.

  • Dominio vinculado a Relay: el dominio está asociado correctamente a un servicio de Relay.

  • Indicadores de ataque: actividad de los controladores de dominio. Tenable Identity Exposure recibe los registros de eventos de Windows de todos los controladores de dominio.

  • Indicadores de ataque: instalación de dominios. Asegúrese de que la configuración del GPO de IoA de Tenable sea correcta.

Estado de la plataforma

Tenable Identity Exposure realiza las siguientes verificaciones en la configuración de la plataforma:

  • Servicio de Relay en ejecución: si la configuración de Relay es correcta o no, con sugerencias para la solución de problemas.

  • Coherencia de la versión de Relay: si la versión de Relay es coherente con la versión de Tenable Identity Exposure o no.

  • Servicio de recopilación de datos de AD en ejecución: si el servicio de recopilación de datos, el agente y el puente de recopilación están operativos para retransmitir datos a otros servicios o no.

  1. En la esquina inferior izquierda de la página Tenable Identity Exposure, pase el cursor sobre el ícono para ver el estado global de la infraestructura.

  2. Haga clic en el ícono para abrir la página Verificación de estado. En la pestaña Estado del dominio o Estado de la plataforma, verá uno de los siguientes:

    • Un mensaje de que se superaron todas las verificaciones de estado.

    • Una lista de advertencias o problemas con estados específicos:

      La verificación se completó correctamente y muestra un resultado normal.
      La verificación falló y se identifica un problema.

      La verificación falló, pero el problema no impide que Tenable Identity Exposure funcione correctamente.

      Por ejemplo, la verificación de la recopilación de datos generará un error debido a un error de configuración de Active Directory en el lado del cliente si la cuenta de servicio no puede recopilar datos privilegiados. Sin embargo, no es un problema grave, dado que no activó la funcionalidad Análisis con privilegios en este dominio en Tenable Identity Exposure, de ahí la advertencia. No obstante, si activa Análisis con privilegios, la verificación fallará de inmediato.
      La verificación muestra un resultado desconocido porque una verificación dependiente falló. Por ejemplo, la verificación de accesibilidad de la red no puede continuar si falla la verificación de autenticación.

  • Sobre la lista de verificaciones de estado a la derecha, haga clic en el conmutador Mostrar verificaciones correctas para habilitarlo y enumerar todas las verificaciones que Tenable Identity Exposure realizó con la siguiente información:

    • Nombre de la verificación de estado

    • Estado (superada, no superada, no superada pero sin obstaculizar o desconocida)

    • Dominio afectado y su bosque asociado (solo para verificaciones del estado de dominios)

    • Hora de la última verificación realizada

    • Cuánto tiempo permaneció la verificación en este estado

  • Aunque Tenable Identity Exposure realiza verificaciones de estado periódicamente, no actualiza la página con los resultados en tiempo real. Haga clic en para actualizar la lista de resultados.

  1. Sobre la lista de verificaciones de estado a la derecha, haga clic en n/n verificaciones de estado o n/n dominios (solo para el estado del dominio).

    Se abre el panel Verificaciones de estado o Bosques y dominios.

  2. Seleccione los tipos de verificación de estado o bosques o dominios (si corresponde) y haga clic en Filtrar selección.

  1. En la lista de verificaciones de estado, haga clic en el nombre de una verificación o en la flecha azul () al final de la línea.

    Se abre el panel Detalles, en el que se muestra una descripción de la verificación y una lista de detalles pertinentes. Para obtener más información, consulte Lista de verificaciones de estado a continuación.

  2. Haga clic en la flecha al final de la línea de detalles para expandirla y mostrar más información sobre el resultado.

De manera predeterminada, Tenable Identity Exposure muestra el ícono de estado de la verificación de estado en la esquina inferior izquierda de la pantalla.

  1. En Tenable Identity Exposure, vaya a Sistema en la barra de navegación de la izquierda y seleccione la pestaña Configuración.

    Como alternativa, puede hacer clic en en la esquina superior derecha de la página “Verificación de estado” y seleccionar Configuración.

  2. En Servicios de aplicación, seleccione Verificación de estado.

  3. Haga clic en el conmutador Mostrar el estado global de la verificación de estado para deshabilitarlo.

    Tenable Identity Exposure oculta el ícono de la verificación de estado en la esquina inferior izquierda de la pantalla.

  1. En Tenable Identity Exposure, vaya a Cuentas en la barra de navegación de la izquierda y seleccione la pestaña Gestión de roles.

  2. En la lista de roles, seleccione el rol de usuario y haga clic en al final de la línea.

    Se abre el panel Editar un rol.

  3. Seleccione la pestaña Entidades de configuración del sistema.

  4. Seleccione la entidad Verificación de estado y haga clic en el conmutador de permiso para pasarlo de Sin autorización a Concedido.

  5. Haga clic en Aplicar y cerrar.

Para obtener más información sobre los permisos, consulte Establecer permisos para un rol.

  1. En Tenable Identity Exposure, vaya a Sistema en la barra de navegación de la izquierda y seleccione la pestaña Configuración.

    Como alternativa, puede hacer clic en en la esquina superior derecha de la página “Verificación de estado” y seleccionar Alertas.

  2. En Motor de alertas, seleccione SYSLOG o Correo electrónico.

  3. Haga clic en Agregar una alerta de SYSLOG o Agregar una alerta de correo electrónico.

    Se abre un nuevo panel. Para conocer el procedimiento completo, consulte Alertas.

  4. En Parámetros de alerta, en el cuadro Desencadenar la alerta, seleccione Cuando cambia el estado de verificación de estado en el menú desplegable.

  5. Haga clic en la flecha en el cuadro Verificaciones de estado para seleccionar el tipo de verificación de estado que desencadenará una alerta y haga clic en Filtrar selección.

  6. Haga clic en Agregar.

Lista de verificaciones de estado

Nombre de la verificación de estado Tipo Descripción de la verificación Detalles

Accesibilidad al dominio

(HC-DOMAIN-REACHABILITY)

 Dominio

Capacidad para establecer una conexión con el dominio de AD.

  • Dirección IP o FQDN del controlador de dominio accesible

  • Servidor LDAP del catálogo global accesible

  • Servidor LDAP accesible

  • Servidor SMB accesible

  • Conexión en funcionamiento con el puerto RPC dinámico

  • Conexión en funcionamiento con el puerto RPC

Autenticación en el dominio de AD

(HC-DOMAIN-AUTHENTICATION)

 Dominio Capacidad para autenticarse en el dominio de AD.

  • Credenciales válidas

  • Servidor LDAP inactivo

  • Servidor LDAP disponible

  • Acceso LDAP concedido

  • Acceso SMB concedido

Permisos para recopilar los datos de dominios de AD

(HC-DOMAIN-DATA-COLLECTION)

 Dominio Capacidad para recopilar los datos de dominios de AD.

  • Permisos concedidos para recopilar datos con privilegios

Permisos para acceder a los contenedores de AD

(HC-DOMAIN-CONTAINER-ACCESS)

 Dominio Capacidad para acceder a los contenedores de AD.

  • Permisos concedidos para acceder al contenedor de objetos eliminados

  • Permisos concedidos para acceder al contenedor de configuración de contraseñas

Dominio vinculado a Relay

(HC-DOMAIN-LINKED-TO-RELAY)

 Dominio El dominio está vinculado a una instancia de Relay.

  • Dominio vinculado a una instancia de Relay

IoA: actividad de los controladores de dominio

(HC-DOMAIN-EVENT-LOGS-COLLECTION-DOMAIN-CONTROLLER-ACTIVITY)

 Dominio Tenable Identity Exposure recibe los registros de eventos de Windows de todos los controladores de dominio.

  • Controladores de dominio inactivos

El controlador de dominio supervisado tiene el rol del PDCe

(HC-DOMAIN-PRIMARY-ROLE)

 Dominio El controlador de dominio supervisado tiene el rol Emulador de PDC (PDCe), que es fundamental para ciertas funcionalidades de seguridad.

  • Garantiza el funcionamiento óptimo de los indicadores de exposición (IoE) e indicadores de ataque (IoA)

IoA: instalación de dominios

(HC-DOMAIN-IOA-CONFIGURATION)

 Dominio Asegúrese de que la configuración del GPO de IoA de Tenable sea correcta.

  • El GPO de IoA de Tenable existe en LDAP

  • La carpeta del GPO de IoA de Tenable existe en SYSVOL

  • La carpeta de IoA del GPO de IoA de Tenable existe en SYSVOL

  • El archivo del cliente de escucha de suscripción de EVT del GPO de IoA de Tenable existe en SYSVOL

  • El archivo de configuración del GPO de IoA de Tenable existe en SYSVOL

  • El archivo audit.csv del GPO de IoA de Tenable existe en SYSVOL

Servicio Relay activo

(HC-PLATFORM-RELAY-UP)

 Plataforma Relay funciona según lo esperado.

  • Ejecución del servicio Relay

Versión del servicio Relay

(HC-PLATFORM-RELAY-VERSION)

 Plataforma La versión de Relay es compatible con el producto.

  • Coherencia de la versión de Relay

Recopilador de datos de AD activo

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

 Plataforma El recopilador de datos de AD funciona según lo esperado.

  • Puente del recopilador de datos de AD en ejecución

  • Servicio del recopilador de datos de AD en ejecución

  • Agente en ejecución

Sincronización entre los servicios de Tenable Cloud y Tenable Identity Exposure

(HC-PLATFORM-TENABLE-CLOUD-SYNC)

 Plataforma El grupo, los permisos y los usuarios de Tenable Cloud creados se sincronizan con la base de datos de Tenable Identity Exposure

  • Disponibilidad de Tenable Cloud