Verificaciones de estado

La funcionalidad de verificación de estado en Tenable Identity Exposure le proporciona visibilidad en tiempo real de la configuración de sus dominios y cuentas de servicio en una vista consolidada, desde la cual puede explorar en profundidad para investigar cualquier anomalía de configuración que provoque problemas de conectividad u otros problemas en la infraestructura. Verifica que todo esté configurado correctamente para garantizar el buen funcionamiento de Tenable Identity Exposure y le brinda la capacidad de tomar acciones rápidas y precisas para solucionar problemas, así como la confianza de que las opciones son las óptimas para permitir que Tenable Identity Exposure funcione de manera eficiente.

Las verificaciones de estado son visibles de manera predeterminada para los roles administrativos y con permiso para ciertos roles de usuario. También puede crear alertas de SYSLOG o de correo electrónico sobre cada cambio en el estado de la verificación de estado.

Verificaciones de estado y detección de ataques de sincronización de controladores de domino

Las verificaciones de estado brindan información valiosa sobre el estado y la usabilidad de los servicios de Tenable Identity Exposure. Verifican la capacidad de la cuenta de servicio para recopilar información confidencial, como hashes de contraseñas y claves de copia de seguridad de DPAPI usadas para Análisis con privilegios. En el informe de verificación de estado, Tenable intenta recopilar datos confidenciales para determinar si la cuenta de servicio tiene la funcionalidad Análisis con privilegios configurada correctamente, sin que se recopile nada en realidad si esta funcionalidad no está en uso. Para evitar la detección de un ataque DCSync durante este proceso, Tenable incluye automáticamente en la whitelist la cuenta de servicio proporcionada para el indicador de ataque DCSync.

Estado del dominio

Tenable Identity Exposure realiza las siguientes verificaciones para cada dominio:

  • Autenticación en el dominio de AD: opciones y estado de LDAP, credenciales y acceso SMB.

  • Accesibilidad del dominio: conexión funcional al puerto RPC dinámico, un servidor SMB accesible, un FQDN o una dirección IP de controlador de dominio accesible, una conexión funcional al puerto RPC, un servidor LDAP accesible y un servidor LDAP de catálogo global accesible.

  • Permisos: capacidad de acceder a los datos del dominio de AD y recopilar datos privilegiados.

  • Dominio vinculado a Relay: el dominio está asociado correctamente a un servicio de Relay.

  • Indicadores de ataque: actividad de los controladores de dominio. Tenable Identity Exposure recibe los registros de eventos de Windows de todos los controladores de dominio.

  • Indicadores de ataque: instalación de dominios. Asegúrese de que la configuración del GPO de IoA de Tenable sea correcta.

Estado de la plataforma

Tenable Identity Exposure realiza las siguientes verificaciones en la configuración de la plataforma:

  • Servicio de Relay en ejecución: si la configuración de Relay es correcta o no, con sugerencias para la solución de problemas.

  • Coherencia de la versión de Relay: si la versión de Relay es coherente con la versión de Tenable Identity Exposure o no.

  • Servicio de recopilación de datos de AD en ejecución: si el servicio de recopilación de datos, el agente y el puente de recopilación están operativos para retransmitir datos a otros servicios o no.

Lista de verificaciones de estado

Nombre de la verificación de estado Tipo Descripción de la verificación Detalles

Accesibilidad al dominio

(HC-DOMAIN-REACHABILITY)

Dominio

Capacidad para establecer una conexión con el dominio de AD.

  • Dirección IP o FQDN del controlador de dominio accesible

  • Servidor LDAP del catálogo global accesible

  • Servidor LDAP accesible

  • Servidor SMB accesible

  • Conexión en funcionamiento con el puerto RPC dinámico

  • Conexión en funcionamiento con el puerto RPC

Autenticación en el dominio de AD

(HC-DOMAIN-AUTHENTICATION)

Dominio Capacidad para autenticarse en el dominio de AD.
  • Credenciales válidas

  • Servidor LDAP inactivo

  • Servidor LDAP disponible

  • Acceso LDAP concedido
  • Acceso SMB concedido

Permisos para recopilar los datos de dominios de AD

(HC-DOMAIN-DATA-COLLECTION)

Dominio Capacidad para recopilar los datos de dominios de AD.
  • Permisos concedidos para recopilar datos con privilegios

Permisos para acceder a los contenedores de AD

(HC-DOMAIN-CONTAINER-ACCESS)

Dominio Capacidad para acceder a los contenedores de AD.
  • Permisos concedidos para acceder al contenedor de objetos eliminados

  • Permisos concedidos para acceder al contenedor de configuración de contraseñas

Dominio vinculado a Relay

(HC-DOMAIN-LINKED-TO-RELAY)

Dominio El dominio está vinculado a una instancia de Relay.
  • Dominio vinculado a una instancia de Relay

IoA: actividad de los controladores de dominio

(HC-DOMAIN-EVENT-LOGS-COLLECTION-DOMAIN-CONTROLLER-ACTIVITY)

Dominio Tenable Identity Exposure recibe los registros de eventos de Windows de todos los controladores de dominio.
  • Controladores de dominio inactivos

El controlador de dominio supervisado tiene el rol del PDCe

(HC-DOMAIN-PRIMARY-ROLE)

Dominio El controlador de dominio supervisado tiene el rol Emulador de PDC (PDCe), que es fundamental para ciertas funcionalidades de seguridad.
  • Garantiza el funcionamiento óptimo de los indicadores de exposición (IoE) e indicadores de ataque (IoA)

IoA: instalación de dominios

(HC-DOMAIN-IOA-CONFIGURATION)

Dominio Asegúrese de que la configuración del GPO de IoA de Tenable sea correcta.
  • El GPO de IoA de Tenable existe en LDAP

  • La carpeta del GPO de IoA de Tenable existe en SYSVOL

  • La carpeta de IoA del GPO de IoA de Tenable existe en SYSVOL

  • El archivo del cliente de escucha de suscripción de EVT del GPO de IoA de Tenable existe en SYSVOL

  • El archivo de configuración del GPO de IoA de Tenable existe en SYSVOL

  • El archivo audit.csv del GPO de IoA de Tenable existe en SYSVOL

Servicio Relay activo

(HC-PLATFORM-RELAY-UP)

Plataforma Relay funciona según lo esperado.
  • Ejecución del servicio Relay

Versión del servicio Relay

(HC-PLATFORM-RELAY-VERSION)

Plataforma La versión de Relay es compatible con el producto.
  • Coherencia de la versión de Relay

Recopilador de datos de AD activo

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

Plataforma El recopilador de datos de AD funciona según lo esperado.
  • Puente del recopilador de datos de AD en ejecución

  • Servicio del recopilador de datos de AD en ejecución

  • Agente en ejecución

Sincronización entre los servicios de Tenable Cloud y Tenable Identity Exposure

(HC-PLATFORM-TENABLE-CLOUD-SYNC)

Plataforma El grupo, los permisos y los usuarios de Tenable Cloud creados se sincronizan con la base de datos de Tenable Identity Exposure
  • Disponibilidad de Tenable Cloud