Indicadores de exposición

Tenable Identity Exposure usa indicadores de exposición (IoE) para medir la madurez de la seguridad de las infraestructuras de AD y asigna niveles de gravedad al flujo de eventos que supervisa y analiza. Tenable Identity Exposure desencadena alertas cuando detecta regresiones de seguridad.

Para mostrar los IoE:

1. En Tenable Identity Exposure, haga clic en Indicadores de exposición en el panel de navegación.

   Se abre el panel Indicadores de exposición. De manera predeterminada, Tenable Identity Exposure muestra solo los IoE que contienen anomalías.

2. (Opcional) Para mostrar todos los IoE, haga clic en el conmutador Mostrar todos los indicadores para establecerlo en Sí.

Los IoE de Tenable Identity Exposure vienen con una variedad de funcionalidades diseñadas para mejorar las capacidades de investigación:

• Búsqueda y filtros: aplique filtros basados en el bosque y el dominio para explorar los IoE sin esfuerzo.

• Funcionalidad de exportación: el objeto anómalo le permitirá exportar los IoE en formato CSV.

• Acción ante incidentes de IoE: quite una exposición de la whitelist o vuelva a habilitarla.

Los datos del IoE incluyen:

• Sección de información: en esta sección encontrará un resumen ejecutivo sobre cada indicador de exposición (IoE), incluidas las herramientas de ataque conocidas, los dominios afectados y la documentación pertinente.

• Detalles de la vulnerabilidad: en esta sección se ofrece información más detallada sobre el error de configuración de Active Directory.

• Objetos anómalos: en esta sección se destacan los errores de configuración de Active Directory que pueden contribuir a superficies de ataque más amplias.

• Recomendación: esta sección lo guía por las estrategias de configuración efectivas para minimizar la superficie de ataque.

Para buscar un IoE:

1. En la parte superior de la página Indicadores de exposición, escriba una cadena en el cuadro de búsqueda. Puede ser cualquier término relacionado con un IoE, como contraseña, usuario, inicio de sesión, etc.

2. Presione Intro.

   La página de IoE se actualiza con los indicadores asociados al término de búsqueda.

Para filtrar los IoE de un bosque o dominio en particular:

1. Haga clic en n/n dominio.

   Se abre el panel Bosques y dominios.

2. Seleccione el bosque o el dominio.

3. Haga clic en Filtrar selección.

Nivel de gravedad

Los niveles de gravedad le permiten evaluar la gravedad de las vulnerabilidades detectadas y priorizar las acciones de corrección.

En el panel Indicadores de exposición, los IoE se muestran de la siguiente manera:

• Por nivel de gravedad con códigos de colores.

• En dirección vertical: del más grave al menos grave (rojo para la prioridad máxima y azul para la prioridad mínima).

• En dirección horizontal: del más complejo al menos complejo. Tenable Identity Exposure calcula el indicador de complejidad de forma dinámica para indicar el nivel de dificultad para corregir el IoE anómalo.

Gravedad	Descripción
Crítica: rojo	Muestra cómo prevenir los ataques y el riesgo de Active Directory por parte de ciertos usuarios sin privilegios.
Alta: naranja	Se ocupa de técnicas posteriores a la explotación que conducen al robo de credenciales o a la evasión de la seguridad, o de técnicas de explotación que requieren encadenamiento para ser peligrosas.
Media: amarillo	Indica un riesgo limitado para la infraestructura de Active Directory.
Baja: azul	Muestra prácticas recomendadas de seguridad. Ciertos contextos empresariales pueden permitir anomalías de bajo impacto que no necesariamente afecten la seguridad de AD. Estas anomalías tienen un impacto en la instancia de AD solo si un administrador comete un error, como activar una cuenta inactiva.

Fecha de detección y resolución de anomalías

Tenable Identity Exposure muestra Detección más reciente como la actualización más reciente registrada para el objeto anómalo y no el momento en que se desencadenó la anomalía.

Dado que los objetos de AD pueden influirse entre sí, un cambio en un objeto puede crear o resolver una anomalía en otro. En estos casos, Tenable Identity Exposure usa la fecha del último evento registrado del objeto afectado, incluso si el cambio desencadenante se produjo en otro objeto.

Ejemplo

Si el objeto A cambia y esto provoca una anomalía en el objeto B, Tenable Identity Exposure muestra la hora de la última actualización de B como fecha de detección.

Esto sigue la lógica de almacenamiento en caché estándar de Tenable Identity Exposure: cada objeto de AD almacena la fecha de su propio evento más reciente y Tenable Identity Exposure usa esta marca de tiempo cada vez que detecta o resuelve una anomalía para ese objeto.

Indicador de Trail Flow

Tenable Identity Exposure asocia el indicador de “diamante” de Trail Flow al objeto anómalo. Si ese objeto no se actualizó recientemente, es posible que Tenable Identity Exposure no lo muestre en la vista actual de Trail Flow.

Ver también

• Detalles del indicador de exposición

• Objetos anómalos

• Buscar objetos anómalos

• Ignorar un objeto anómalo o un motivo (anomalía)

• Atributos incriminatorios