Indicadores de exposición
Tenable Identity Exposure usa indicadores de exposición (IoE) para medir la madurez de la seguridad de las infraestructuras de AD y asigna niveles de gravedad al flujo de eventos que supervisa y analiza. Tenable Identity Exposure desencadena alertas cuando detecta regresiones de seguridad.
Para mostrar los IoE:
-
En Tenable Identity Exposure, haga clic en Indicadores de exposición en el panel de navegación.
Se abre el panel Indicadores de exposición. De manera predeterminada, Tenable Identity Exposure muestra solo los IoE que contienen anomalías.
-
(Opcional) Para mostrar todos los IoE, haga clic en el conmutador Mostrar todos los indicadores para establecerlo en Sí.
Los IoE de Tenable Identity Exposure vienen con una variedad de funcionalidades diseñadas para mejorar las capacidades de investigación:
-
Búsqueda y filtros: aplique filtros basados en el bosque y el dominio para explorar los IoE sin esfuerzo.
-
Funcionalidad de exportación: el objeto anómalo le permitirá exportar los IoE en formato CSV.
-
Acción ante incidentes de IoE: quite una exposición de la whitelist o vuelva a habilitarla.
Los datos del IoE incluyen:
-
Sección de información: en esta sección encontrará un resumen ejecutivo sobre cada indicador de exposición (IoE), incluidas las herramientas de ataque conocidas, los dominios afectados y la documentación pertinente.
-
Detalles de la vulnerabilidad: en esta sección se ofrece información más detallada sobre el error de configuración de Active Directory.
-
Objetos anómalos: en esta sección se destacan los errores de configuración de Active Directory que pueden contribuir a superficies de ataque más amplias.
-
Recomendación: esta sección lo guía por las estrategias de configuración efectivas para minimizar la superficie de ataque.
Para buscar un IoE:
-
En la parte superior de la página Indicadores de exposición, escriba una cadena en el cuadro de búsqueda. Puede ser cualquier término relacionado con un IoE, como contraseña, usuario, inicio de sesión, etc.
-
Presione Intro.
La página de IoE se actualiza con los indicadores asociados al término de búsqueda.
Para filtrar los IoE de un bosque o dominio en particular:
-
Haga clic en n/n dominio.
Se abre el panel Bosques y dominios.
-
Seleccione el bosque o el dominio.
-
Haga clic en Filtrar selección.
Nivel de gravedad
Los niveles de gravedad le permiten evaluar la gravedad de las vulnerabilidades detectadas y priorizar las acciones de corrección.
En el panel Indicadores de exposición, los IoE se muestran de la siguiente manera:
-
Por nivel de gravedad con códigos de colores.
-
En dirección vertical: del más grave al menos grave (rojo para la prioridad máxima y azul para la prioridad mínima).
-
En dirección horizontal: del más complejo al menos complejo. Tenable Identity Exposure calcula el indicador de complejidad de forma dinámica para indicar el nivel de dificultad para corregir el IoE anómalo.
| Gravedad | Descripción |
|---|---|
| Crítica: rojo | Muestra cómo prevenir los ataques y el riesgo de Active Directory por parte de ciertos usuarios sin privilegios. |
| Alta: naranja |
Se ocupa de técnicas posteriores a la explotación que conducen al robo de credenciales o a la evasión de la seguridad, o de técnicas de explotación que requieren encadenamiento para ser peligrosas. |
| Media: amarillo | Indica un riesgo limitado para la infraestructura de Active Directory. |
| Baja: azul | Muestra prácticas recomendadas de seguridad. Ciertos contextos empresariales pueden permitir anomalías de bajo impacto que no necesariamente afecten la seguridad de AD. Estas anomalías tienen un impacto en la instancia de AD solo si un administrador comete un error, como activar una cuenta inactiva. |
Fecha de detección y resolución de anomalías
A veces, Tenable Identity Exposure utiliza una fecha de detección o resolución diferente de la fecha real del evento. Esto sucede porque Tenable Identity Exposure almacena la fecha del evento más reciente que afecta a cada objeto de Active Directory (AD) durante el proceso de almacenamiento en caché.
Cuando Tenable Identity Exposure detecta y resuelve una anomalía que afecta a un objeto de AD, asigna la fecha del evento más reciente para ese objeto como fecha de resolución.
Por ejemplo, cuando cambia la pertenencia de un usuario a un grupo, Tenable Identity Exposure registra la fecha del evento para el grupo, no para el usuario. Si la anomalía que afecta al usuario se resuelve a través de un cambio de pertenencia al grupo, Tenable Identity Exposure usará la última fecha registrada del evento del usuario, no la fecha del cambio de pertenencia al grupo.
Consulte también