Comenzar a usar Tenable Identity Exposure

Después de implementar Tenable Identity Exposure, esta sección le guiará por los pasos clave para comenzar a usar Tenable Identity Exposure de manera eficaz.

Cada sección contiene vínculos a descripciones e instrucciones más detalladas para la tarea relacionada.

    • Iniciar sesión en Tenable Identity Exposure portal. Se abre la página de inicio, como se muestra en este ejemplo.

    • Su nombre de usuario inicial es [email protected] y la contraseña es [email protected]!.

    • Expanda o contraiga la barra de navegación lateral:

      • Para expandirla, haga clic en el menú en la parte superior izquierda de la ventana.

      • Para contraerla, haga clic en en la parte superior izquierda de la ventana.

  2. Secure Relay transfiere de forma segura datos de Active Directory desde su red a la plataforma de Tenable Identity Exposure SaaS mediante el cifrado TLS en lugar de una conexión VPN. Es posible utilizar varias instancias de Secure Relay en función de sus requisitos.

    Requisitos previos:

    • Acceso administrativo a una instancia de Windows Server para la máquina virtual (VM) de Secure Relay.

    • Instalador más reciente de Secure Relay descargado del portal de descargas de Tenable Identity Exposure.

    • Una clave de vinculación de un solo uso del portal de Tenable Identity Exposure, que contiene la dirección de red y el token de autenticación.

    Para conocer los requisitos previos detallados, consulte Secure Relay de Tenable Identity Exposure .

    1. Conéctese al portal web de Tenable Identity Exposure con una cuenta de administrador.

    2. Haga clic en Sistema > Configuración > pestaña Relay.

    3. Haga clic en el ícono Copiar en el portapapeles junto a la clave de vinculación.

    1. En la VM de Windows Server, haga clic con el botón derecho en el archivo de instalación y seleccione Ejecutar como administrador.

    2. En el asistente de instalación, haga clic en Siguiente en la pantalla de bienvenida.

    3. En la ventana Configuración personalizada, haga clic en Explorar para cambiar la partición del disco si es necesario y, luego, haga clic en Siguiente.

    4. En la ventana Clave de vinculación:

      • Pegue la clave de vinculación que copió del portal.

      • Escriba un nombre para la instancia de Secure Relay.

      • Haga clic en Probar la conectividad.

    1. Si la prueba es correcta (ícono verde), haga clic en Siguiente. En caso contrario, haga clic en Volver para corregir los errores.

    2. En la ventana Listo para instalar, haga clic en Instalar.

    3. Una vez que se instale, haga clic en Finalizar.

      Para conocer el procedimiento detallado, consulte Secure Relay de Tenable Identity Exposure .

    1. Regrese al portal de Tenable Identity Exposure.

    2. Haga clic en Sistema > pestaña Gestión de Relay.

      La instancia de Relay recién instalada aparece en la lista Relay.

    Cuando agrega dominios para supervisar, aparece una nueva opción que le permite seleccionar la instancia de Secure Relay a cargo de ese dominio. Consulte Configurar Relay para conocer el procedimiento completo.

    Actualizaciones automatizadas:

    De forma periódica, Tenable Identity Exposure comprueba si hay actualizaciones de Secure Relay y las instala automáticamente (requiere acceso HTTPS). Un ícono en la bandeja de red indica cuándo tienen lugar las actualizaciones. Después de la actualización, los servicios de Tenable Identity Exposure se reinician y se reanuda la recopilación de datos.

  3. Antes de configurar los indicadores de exposición, debe tener una cuenta de servicio de Active Directory, o crear una, con los permisos adecuados. Si bien Tenable Identity Exposure no requiere privilegios de administrador para la supervisión de la seguridad, algunos contenedores requieren una configuración manual para permitir el acceso de lectura al usuario de la cuenta de servicio.

    Para obtener información completa, consulte Acceder a objetos o contenedores de AD.

    1. Inicie sesión en el portal web de Tenable Identity Exposure con credenciales administrativas, como la cuenta predeterminada “[email protected]”.

    2. Haga clic en el ícono de menú en la parte superior izquierda para expandir el panel de navegación y, luego, haga clic en Sistema en el panel izquierdo.

    1. En la pestaña Gestión de bosques, haga clic en Agregar un bosque.

    2. Indique un nombre para mostrar para el bosque (por ejemplo, Tenable).

    3. Escriba el nombre de usuario y la contraseña de la cuenta de servicio que va a conectarse a todos los dominios de este bosque.

    4. Haga clic en Agregar.

      Para obtener detalles completos, consulte Bosques.

    1. Haga clic en Agregar un dominio.

    2. Indique un nombre para mostrar para el dominio que va a supervisar (por ejemplo, HQ).

    3. Escriba el nombre de dominio completo (por ejemplo, sky.net).

    4. De la lista desplegable, seleccione el bosque correspondiente.

    5. Si usa SaaS con Secure Relay, seleccione la instancia de Relay para manejar este dominio.

    6. Habilite el conmutador “Análisis con privilegios” si la cuenta tiene los privilegios necesarios.

    7. Si habilita Análisis con privilegios, tiene la opción de habilitar Transferencia de análisis con privilegios para Tenable Cloud.

    8. Proporcione detalles para el controlador de dominio con el rol FSMO del emulador del controlador de dominio principal:

      • Dirección IP o nombre de host.

      • Deje los puertos LDAP, Catálogo global y SMB con los valores predeterminados ya rellenados.

    1. Haga clic en Probar la conectividad al final.

    2. Si es correcto, haga clic en Agregar.

      En la vista “Gestión de dominios”, verá columnas para los estados de inicialización de LDAP, inicialización de SISFul y configuración de cuenta honey con un ícono de carga circular hasta que se complete el rastreo inicial.

      Para obtener detalles completos, consulte Dominios.

    1. Cambie a la vista Trail Flow. Después de unos minutos, los datos comienzan a moverse una vez que se inicia el análisis.

    2. Regrese a Sistema > Gestión de dominios.

    3. Espere a que aparezcan los íconos verdes que indican que se completó la inicialización de LDAP y SYSVOL.

      Ahora tiene habilitada la supervisión de indicadores de exposición para este dominio. Las notificaciones en el portal web aparecen en minutos u horas, según el tamaño del entorno.

    1. Haga clic en Indicadores de exposición en el menú izquierdo para ver todos los indicadores desencadenados para el dominio agregado.

    2. Haga clic en un indicador para ver los detalles del objeto anómalo que provocan la falta de conformidad.

    3. Cierre los detalles y vaya a Tableros de control para ver las métricas del entorno.

  4. Para implementar IoA, primero debe encargarse de tres configuraciones según se describe a continuación:

    1. El script de IoA es obligatorio para todos los escenarios de ataque.

    2. La cuenta honey se debe configurar para detectar ataques específicos, como Kerberoasting.

    3. Instalación de Sysmon en todos los controladores de dominio del dominio supervisado para detectar ataques, como el volcado de credenciales del sistema operativo.

    Tenable Identity Exposure proporciona el script de IoA, su línea de comandos y la línea de comandos de configuración de la cuenta honey. Sin embargo, debe cumplir estos requisitos previos directamente en los controladores de dominio o en una máquina administrativa con los derechos adecuados.

    Para obtener información completa, consulte Implementación de indicadores de ataque.

    1. Inicie sesión en el portal web de Tenable Identity Exposure con credenciales administrativas (por ejemplo, [email protected]).

    2. Vaya a Sistema > Configuración > Indicadores de ataque.

    3. Seleccione los escenarios de ataque que quiere habilitar para el entorno.

    4. Seleccione la casilla debajo del nombre de dominio para habilitar todos los escenarios de ataque disponibles.

    5. Haga clic en Guardar en la parte inferior derecha.

    6. Haga clic en Ver el procedimiento al principio.

      Aparece una ventana en la que se muestra el procedimiento para implementar el motor de IoA.

    1. Utilice el conmutador para habilitar o deshabilitar la funcionalidad de actualizaciones automáticas.

    2. Haga clic en el primer botón Descargar para descargar el archivo PS1.

    3. Haga clic en el segundo botón Descargar para descargar el archivo JSON.

    4. Anote la ubicación donde descargó los archivos de instalación.

    5. Busque el campo denominado Ejecute los siguientes comandos de PowerShell.

    6. Copie el contenido del campo de texto y péguelo en un archivo de texto.

    7. Copie los archivos PS1 y JSON en un controlador de dominio o en un servidor administrativo con los derechos adecuados.

    8. Inicie el módulo de Active Directory para Windows PowerShell como administrador y navegue hasta la carpeta que aloja los archivos.

    9. Pegue el comando que copió del portal web de Tenable Identity Exposure y presione Intro.

    10. Abra la Consola de administración de directivas de grupo y busque el GPO denominado “Tenable.ad” vinculado a la unidad organizativa del controlador de dominio.

    Para conocer el procedimiento detallado, consulte Instalar indicadores de ataque.

    1. Regrese al portal web de Tenable Identity Exposure.

    2. Vaya a Sistema > pestaña Gestión de dominios.

    3. Haga clic en el ícono + debajo de Estado de configuración de la cuenta honey a la derecha de su dominio (disponible una vez que los otros dos estados estén en verde).

    4. En el cuadro de búsqueda Nombre, escriba el nombre de la cuenta que quiere usar como sistema trampa.

    5. Seleccione de la lista desplegable el nombre distintivo del objeto.

    6. Copie el contenido del campo de texto de la línea de comandos y péguelo en un archivo de texto.

    7. Regrese al servidor donde ejecutó el script de IoA.

    8. Abra o inicie una línea de comandos de PowerShell como administrador.

    9. Pegue el comando que copió del portal web de Tenable Identity Exposure y presione Intro.

    10. Confirme que la línea de comandos se haya ejecutado correctamente.

    11. Regrese al portal web de Tenable Identity Exposure y haga clic en el botón Agregar al final.

      Después de unos segundos, el estado de configuración de la cuenta honey debería mostrar un punto verde.

    Para conocer el procedimiento detallado, consulte Cuentas honey.

    El portal web de Tenable Identity Exposure no proporciona la implementación automática para Sysmon. Consulte Instalar Microsoft Sysmon para obtener el archivo de configuración de Sysmon necesario. Puede instalar Sysmon manualmente como se muestra en la documentación o mediante un GPO.

    Para conocer el procedimiento detallado, consulte Instalar Microsoft Sysmon.

  5. Tenable Identity Exposure también admite Microsoft Entra ID junto con Active Directory con IoE específicos para identidades de Entra ID.

    Para obtener información completa, consulte Compatibilidad con Microsoft Entra ID.

    1. Inicie sesión en el portal de administración de Azure, en portal.azure.com, con las credenciales adecuadas.

    2. Haga clic en el mosaico Azure Active Directory y luego en Registros de aplicaciones en el menú de la izquierda.

    3. Haga clic en Nuevo registro y proporcione un nombre de aplicación (por ejemplo, “Aplicación de exposición de identidad”).

    4. Haga clic en Registrarse al final.

    5. En la página “Descripción general” de la aplicación, anote el “Id. de la aplicación (cliente)” y el “Id. del directorio (inquilino)”.

    6. Haga clic en Certificados y secretos en el menú de la izquierda.

    7. Haga clic en Nuevo secreto de cliente, escriba una descripción y establezca el vencimiento según la política.

    8. Haga clic en Agregar y guarde de forma segura el valor del secreto que se muestra.

    9. Haga clic en Permisos de API y en Agregar un permiso.

    10. Seleccione Microsoft Graph y luego Permisos de aplicación.

    11. Agregue los permisos siguientes: Audit Log.Read.All, Directory.Read.All, IdentityProvider.Read.All, Policy.Read.All, Reports.Read.All, RoleManagement.Read.All y UserAuthenticationMethod.Read.All.

    12. Haga clic en Agregar permisos y en Conceder consentimiento del administrador.

    1. Conéctese al portal web de Tenable Vulnerability Management con la cuenta adecuada.

    2. Haga clic en Menú > Configuración > Credenciales.

    3. Haga clic en Crear credencial y seleccione el tipo Microsoft Azure.

    4. Escriba un nombre y una descripción, pegue el Id. del inquilino, el Id. de la aplicación y el Secreto del cliente.

    5. Haga clic en Crear.

    6. Haga clic en Menú > Configuración > Mi cuenta > Claves de API.

    7. Haga clic en Generar, revise la advertencia y haga clic en Continuar.

    8. Copie los valores de Clave de acceso y Clave secreta.

    1. Conéctese con una cuenta de administrador global.

    2. Haga clic en Menú > Sistema > Configuración > Tenable Cloud.

    3. Habilite Activar compatibilidad con Microsoft Entra ID.

    4. Ingrese la Clave de acceso y la Clave secreta que se generaron anteriormente.

    5. Haga clic en la marca de verificación para enviar las claves de API correctamente.

    6. Haga clic en la pestaña Gestión de inquilinos y en Agregar un inquilino.

    7. Escriba un nombre para el inquilino de Azure AD.

    8. Seleccione la credencial de Azure que se creó anteriormente.

    9. Haga clic en Agregar.

    1. Tenable Identity Exposure escanea el inquilino. Para ver la hora del próximo escaneo, pase el cursor sobre Estado del escaneo.

    2. Cuando el primer escaneo finaliza, aparece un ícono verde en la columna Estado del escaneo.

    3. Haga clic en Indicadores de exposición en el menú de la izquierda.

    4. Utilice las pestañas para filtrar entre los indicadores de AD y Azure AD.

    5. Active Mostrar todos los indicadores para ver todos los indicadores disponibles.

    6. Tres pestañas muestran los Detalles del indicador, los Hallazgos del inquilino y las Recomendaciones.

    7. Revise los posibles riesgos de exposición y la guía para su corrección.

  6. Tenable Identity Exposure usa indicadores de exposición para medir la madurez de la seguridad de la instancia de Active Directory y para asignar niveles de gravedad al flujo de eventos que se supervisan y analizan.

    Para obtener información completa sobre los IoE, consulte Indicadores de exposición.

    Acceder a los IoE:

    1. Inicie sesión en Tenable Identity Exposure.

    2. Haga clic en el ícono de la parte superior izquierda para expandir el panel.

    3. Haga clic en Indicadores de exposición en el lado izquierdo para ver los IoE.

      En la vista predeterminada se muestran los elementos de configuración del entorno que son potencialmente vulnerables, clasificados por gravedad: crítica, alta, media y baja.

    • Haga clic en el botón a la derecha de Mostrar todos los indicadores.

      • Puede ver todos los IoE disponibles en la instancia de Tenable Identity Exposure. Un elemento que no muestre ningún dominio es un elemento en el que no tiene esa exposición.

      • A la derecha de Mostrar todos los indicadores, se puede ver Dominio. Si en el entorno tiene varios dominios, haga clic en él y seleccione los dominios que quiere ver.

    • Haga clic en Buscar un indicador y escriba una palabra clave, como “contraseña”.

      Aparecen todos los IoE relacionados con contraseñas.

    • Para ver información adicional sobre un indicador, haga clic en él.

      • La vista detallada comienza con un resumen ejecutivo de la exposición en particular.

      • Luego se enumeran los documentos relacionados y las herramientas de ataque conocidas que pueden exponer este elemento en particular.

    • A la derecha, verá Dominios afectados.

      • Haga clic en la pestaña Detalles de la vulnerabilidad para leer la información adicional sobre las verificaciones llevadas a cabo para este IoE.

      • Haga clic en la pestaña Objetos anómalos para ver la lista de objetos y motivos que desencadenaron la exposición.

      • Si expande un objeto en la lista, podrá ver más detalles sobre qué causó la anomalía.

    1. Para crear una consulta, haga clic en Escriba una expresión e ingrese una consulta booleana para un elemento. También puede hacer clic en el ícono de filtro a la izquierda para crear una consulta.

    2. Establezca las fechas inicial y final, elija los dominios y, para buscar elementos ignorados, haga clic en el botón Ignorar.

      Para conocer los procedimientos completos, consulte Buscar objetos anómalos.

    • Para ocultar objetos en la lista, puede ignorarlos.

      • Seleccione uno o más objetos y haga clic en Seleccionar una acción al final de la página.

      • Seleccione Ignorar los objetos seleccionados y haga clic en Aceptar.

      • Elija la fecha hasta la cual quiere ignorar los objetos seleccionados.

      • Puede dejar de ignorar los objetos de la misma manera, con la opción Dejar de ignorar los objetos seleccionados.

    • Para exportar como archivo CSV la lista de todos los objetos anómalos de este indicador, haga clic en el botón Exportar todo.

      Para conocer los procedimientos completos, consulte Objetos anómalos.

  7. Trail Flow muestra la supervisión y el análisis en tiempo real de los eventos que afectan sus infraestructuras de AD. Le permite detectar vulnerabilidades críticas y las acciones de corrección recomendadas.

    Para obtener información completa, consulte Trail Flow y Casos de uso de Trail Flow.

    Acceder a Trail Flow:

    1. Inicie sesión en Tenable Identity Exposure.

    2. Haga clic en el ícono de la parte superior izquierda para expandir la barra de navegación.

    3. Haga clic en Trail Flow.

    La página “Trail Flow” se abre con una lista de eventos, incluido el tipo de origen, la ruta del objeto, el dominio y la fecha.

    1. Haga clic en el cuadro de fecha en la parte superior derecha para indicar las fechas que está buscando.

    2. Haga clic en Dominio para cambiar los servidores o bosques de Active Directory.

    3. Haga clic en el botón de pausa en la esquina superior derecha para pausar o reiniciar la captura de Trail Flow.

    Hay dos formas de crear consultas para una búsqueda: de forma manual o con el asistente.

    • Para filtrar eventos de forma manual, escriba una expresión en el cuadro de búsqueda para acotar los resultados mediante los operadores booleanos.

      Para obtener información completa, consulte Buscar en Trail Flow de forma manual.

    Una vez que haya detectado un evento importante:

    1. Haga clic en el evento. Se mostrarán los atributos del cambio en ese objeto.

    2. Pase el cursor por el ícono del punto azul a la izquierda para comparar los valores antes del evento y durante este.

    3. Pase el cursor por los elementos para ver información adicional.

    4. Haga clic en Ver valor total y haga clic en el botón para copiar esa información en el portapapeles.

    Uno de los desafíos de ciberseguridad en los servidores de Active Directory es la gran cantidad de cambios de configuración que no afectan la exposición cibernética. Para detectar cambios en la configuración:

    1. Haga clic en el ícono de la varita mágica.

    2. Habilite Solo anómalo.

    3. Haga clic en Validar.

    Observe que los eventos tienen un símbolo de diamante rojo junto a ellos. Haga clic en un evento para ver la información sobre el cambio en la configuración. Hay una pestaña adicional disponible denominada “Anomalías”. Haga clic en ella para ver los elementos de exposición cibernética específicos que se crearon o resolvieron.

  8. Acceder a los IoA:

    1. Inicie sesión en Tenable Identity Exposure.

    2. Haga clic en el ícono de la parte superior izquierda para expandir la barra de navegación.

    3. Haga clic en Indicadores de ataque.

    De manera predeterminada, verá la línea temporal de detección de ataques para el día de hoy. Para cambiar el filtro:

    • Haga clic en Día, Mes o Año.

    • Para cambiar el período de tiempo, haga clic en el ícono del calendario y seleccione el período de tiempo apropiado.

    Puede filtrar la vista por dominios o IoA específicos con el selector en el lado derecho del portal.

    1. Haga clic en Dominios para ver y seleccionar las opciones.

    2. Haga clic en la X para cerrar.

    3. Haga clic en Indicadores para ver y seleccionar las opciones.

    4. Haga clic en la X para cerrar.

    A modo de ejemplo, vamos a centrarnos en lo que ocurrió en 2022:

    1. Haga clic en el botón Año y seleccione “2022”.

    2. Haga clic en la barra roja y amarilla en la línea temporal.

    3. Ahora puede consultar una nueva vista con los tres principales ataques críticos y los tres principales ataques de gravedad media detectados ese mes.

    4. Para cerrar la vista, haga clic fuera del cuadro negro.

    Debajo de la línea temporal, verá una tarjeta para el dominio supervisado en el que se detectó el ataque.

    • Haga clic en el menú desplegable Ordenar por.

    • Puede ordenar la tarjeta por dominio, criticidad del indicador o bosque.

    • Para buscar un dominio o ataque en particular, use el cuadro de búsqueda.

    • De manera predeterminada, solo verá una tarjeta para el dominio bajo ataque. Para alternar la vista para ver cada dominio, cambie Mostrar solo dominios bajo ataque de a No.

    Una tarjeta contiene dos tipos de información: un gráfico y los tres ataques principales.

    1. Para cambiar el tipo de gráfico, haga clic en el ícono de lápiz en la parte superior derecha de la tarjeta.

    2. Seleccione Distribución de ataques o Cantidad de eventos.

    3. Haga clic en Guardar.

    Para ver más detalles sobre el ataque que se detectó:

    • Haga clic en la tarjeta para ver los incidentes relacionados con el dominio.

    • Para filtrar, utilice el cuadro de búsqueda, seleccione una fecha inicial o final, elija indicadores específicos o alterne la casilla No/ para mostrar u ocultar los incidentes cerrados.

    • Para cerrar incidentes, seleccione una alerta, haga clic en el menú Seleccionar una acción al final, seleccione Cerrar incidentes seleccionados y haga clic en Aceptar.

    • Para reabrir un incidente, seleccione una alerta, haga clic en el menú Seleccionar una acción, seleccione Reabrir incidentes seleccionados y haga clic en Aceptar.

    • Haga clic en un ataque para abrir la vista detallada. En el panel de descripción, encontrará la descripción del incidente del ataque, información del marco MITRE ATT&CK y recursos adicionales con vínculos a sitios web externos.

    • Haga clic en el panel de reglas de detección YARA para ver un ejemplo de una regla que pueda realizar una investigación de malware en las herramientas de detección.

    • Para exportar la lista de incidentes, haga clic en Exportar todo. El único formato disponible es CSV.

    El ícono de la campana en la parte superior derecha muestra una notificación cuando Tenable Identity Exposure detecta un ataque. Estos ataques aparecen en la pestaña de alertas de ataques.

  9. El sistema de alertas de Tenable Identity Exposure le ayuda a detectar regresiones de seguridad o ataques en su instancia de Active Directory supervisada. Envía datos de análisis sobre vulnerabilidades y ataques en tiempo real a través de notificaciones por correo electrónico o SYSLOG.

    Para conocer los procedimientos completos, consulte Alertas.

    1. Conéctese a Tenable Identity Exposure.

    2. Haga clic en Sistema > Configuración.

    3. Configure el servidor SMTP desde este menú.

    1. En Motor de alertas, haga clic en Correo electrónico.

    2. Haga clic en el botón Agregar una alerta de correo electrónico.

    3. En el cuadro Dirección de correo electrónico, escriba la dirección de correo electrónico del destinatario.

    4. En el cuadro Descripción, escriba una descripción para la dirección.

    5. En la lista desplegable Desencadenar la alerta, seleccione Si hay cambios, Con cada anomalía o Con cada ataque.

    6. En el menú desplegable Perfiles, seleccione los perfiles que quiere usar para esta alerta de correo electrónico.

    7. Marque la casilla Enviar alertas cuando se detecten anomalías para enviar notificaciones por correo electrónico cuando un reinicio del sistema desencadene alertas.

    8. En el menú desplegable Umbral de gravedad, seleccione el umbral al que Tenable Identity Exposure enviará alertas.

    9. Seleccione los indicadores para los cuales quiere enviar alertas.

    10. Seleccione los dominios para enviar alertas:

      1. Haga clic en Dominios para seleccionar los dominios para los que Tenable Identity Exposure envía alertas.

      2. Seleccione el bosque o dominio y haga clic en el botón Filtrar selección.

    11. Haga clic en el botón Probar la configuración.

      Un mensaje confirma que Tenable Identity Exposure envió una alerta de correo electrónico al servidor.

    1. Haga clic en el botón Agregar.

      Un mensaje confirma que Tenable Identity Exposure creó la alerta de correo electrónico.

    1. Haga clic en SYSLOG y luego haga clic en el botón Agregar alerta de SYSLOG.

    2. En el cuadro Dirección IP o nombre de host del recopilador, escriba la dirección IP o el nombre de host del servidor que recibe las notificaciones.

    3. En el cuadro Puerto, escriba el número de puerto del recopilador.

    4. En el menú desplegable Protocolo, seleccione UDP o TCP.

    5. Si elige TCP, seleccione la casilla de la opción TLS para habilitar el protocolo de seguridad TLS.

    6. En el cuadro Descripción, escriba una descripción breve del recopilador

    7. Elija una de las tres opciones para activar alertas: Si hay cambios, Con cada anomalía o Con cada ataque.

    8. En el menú desplegable Perfiles, seleccione los perfiles que quiere usar para esta alerta de SYSLOG.

    9. Si quiere enviar alertas después de reiniciar o actualizar el sistema, marque Enviar alertas cuando se detecten anomalías durante la fase de análisis inicial.

    10. Si configura las alertas para que se desencadenen cuando se produzcan cambios, escriba una expresión para desencadenar la notificación del evento.

    11. Haga clic en el botón Probar la configuración.

      Un mensaje confirma que Tenable Identity Exposure envió una alerta de SYSLOG al servidor.

    12. Haga clic en Agregar.

      Un mensaje confirma que Tenable Identity Exposure creó la alerta de SYSLOG.

  10. Los tableros de control le permiten visualizar datos y tendencias que afectan la seguridad de su instancia de Active Directory. Puede personalizar los tableros de control con widgets para mostrar gráficos y contadores según sus requisitos.

    Para obtener información completa, consulte Tableros de control.

    Acceder a los tableros de control:

    1. Inicie sesión en Tenable Identity Exposure.

    2. Haga clic en el ícono de la parte superior izquierda para expandir la barra de navegación.

    1. Vaya a Tableros de control y haga clic en Agregar.

    2. Haga clic en Agregar un tablero de control.

    3. Asígnele un nombre y haga clic en Aceptar.

    1. Haga clic en Agregar en la esquina superior derecha.

    2. Seleccione Agregar un widget a este tablero de control o haga clic en el botón en el medio de la pantalla.

    3. Elija el tipo de widget (gráficos de barras, gráficos de líneas o contadores).

    1. Haga clic en Gráficos de líneas.

    2. Asigne un nombre al widget; por ejemplo, “Anomalías de los últimos 30 días”.

    3. Seleccione el tipo de datos (conteo de usuarios, conteo de anomalías o puntuación de cumplimiento).

    4. Seleccione Anomalías y configúrelo para un mes.

    5. Haga clic en No hay indicadores y seleccione qué indicadores va a usar.

    6. Asigne un nombre al conjunto de datos; por ejemplo, “Crítico”.

    7. Agregue otros conjuntos de datos según sea necesario (por ejemplo, para medio y bajo).

    1. Haga clic en Agregar.

    1. Haga clic en Gráfico de barras.

    2. Asígnele el nombre Cumplimiento y elija el tipo de datos de puntuación de cumplimiento.

    3. Seleccione todos los indicadores.

    4. Asigne un nombre al conjunto de datos; por ejemplo, “IoE”.

    5. Haga clic en Agregar.

    1. Haga clic en Contador.

    2. Asigne un nombra al widget (por ejemplo, “Usuarios”) y establezca el tipo de datos en Conteo de usuarios.

    3. Elija el estado Todos y seleccione el dominio.

    4. Asigne un nombre al conjunto de datos y haga clic en Agregar.

  11. Tenable Identity Exposure ofrece varias maneras de visualizar la vulnerabilidad potencial de un activo empresarial a través de representaciones gráficas.

    Para obtener información completa, consulte Ruta de ataque.

    Acceder a la característica Ruta de ataque:

    1. Inicie sesión en Tenable Identity Exposure.

    2. Haga clic en el ícono de menú de la parte superior izquierda para expandir la barra de navegación.

    3. En la sección Análisis de seguridad, haga clic en Ruta de ataque. La funcionalidad Ruta de ataque tiene tres modos:

      • Ruta de ataque

      • Radio de ataque

      • Exposición de los activos

    1. En el cuadro de búsqueda, escriba el nombre de la cuenta (por ejemplo, “Juan Pérez”).

    2. Seleccione la cuenta de la lista y haga clic en el ícono de la lupa.

    3. Explore el radio de ataque de la cuenta en riesgo seleccionada.

    4. Filtre y consulte los nodos según sea necesario.

    5. Pase el cursor por los puntos de conexión para ver la ruta de ataque.

    6. Alterne la opción para mostrar toda la información sobre herramientas de los nodos.

    7. Use la barra de zoom para ajustar la vista.

    8. Para cambiar el objeto de búsqueda, haga clic en la X junto al nombre de la cuenta y haga una nueva búsqueda.

    1. En el cuadro de búsqueda, escriba el nombre del servidor sensible (por ejemplo, “srv-fin”).

    2. Seleccione el objeto de la lista y haga clic en el ícono de la lupa.

    3. Explore la exposición de los activos al servidor sensible seleccionado.

    4. Use opciones similares a las del modo Radio de ataque.

    5. Pase el cursor por las rutas para ver los detalles.

    6. Alterne la opción para mostrar toda la información sobre herramientas de los nodos.

    7. Ajuste la vista con la barra inferior.

    1. En el cuadro de búsqueda del punto de entrada, escriba el nombre de la cuenta en riesgo (por ejemplo, “Juan Pérez”).

    2. Haga clic en el nombre de la cuenta.

    3. En el cuadro de búsqueda del punto de llegada, escriba el nombre del activo sensible (por ejemplo, “s or v-fin”).

    4. Haga clic en el nombre del activo.

    5. Haga clic en el ícono de la lupa.

    6. Explore las rutas de ataque disponibles entre la cuenta en riesgo y el activo sensible.

    7. Use opciones similares a las de los modos Radio de ataque y Exposición de los activos.

    • ¿Quién tiene el control de mis activos con privilegios?: muestra todas las cuentas de usuario y de equipo que tienen una ruta de ataque que conduce a un activo con privilegios.

    • ¿Qué son mis activos con privilegios?: enumera los activos y cuentas de nivel cero con posibles rutas de ataque que conducen a esos activos.

    • Cambie entre las pestañas para ver las listas.

    • Haga clic en el ícono de la lupa junto a un elemento para cambiar la vista.

    • Haga clic en el ícono de flecha azul y punto para abrir la vista de exposición de los activos filtrada para mostrar solo este activo.

    1. Use la característica Ruta de ataque para confirmar las hipótesis y visualizar las rutas de ataque peligrosas entre las entidades.

    2. Adopte medidas correctivas para cerrar las rutas de ataque detectadas.

Sugerencia: Para obtener información adicional sobre Tenable Identity Exposure, revise los siguientes materiales de capacitación para clientes:
(Introducción a Tenable Identity Exposure [Tenable University])