Indicadores de exposición

Tenable Identity Exposure usa indicadores de exposición (IoE) para medir la madurez de la seguridad de las infraestructuras de AD y asigna niveles de gravedad al flujo de eventos que supervisa y analiza. Tenable Identity Exposure desencadena alertas cuando detecta regresiones de seguridad.

Estos IoE están preconfigurados y cualquier desviación de las normas establecidas desencadena las alertas correspondientes.

  1. En Tenable Identity Exposure, haga clic en Indicadores de exposición en el panel de navegación.

    Se abre el panel Indicadores de exposición. De manera predeterminada, Tenable Identity Exposure muestra solo los IoE que contienen anomalías.

  2. (Opcional) Para mostrar todos los IoE, haga clic en el conmutador Mostrar todos los indicadores para establecerlo en .

Los IoE de Tenable Identity Exposure vienen con una variedad de funcionalidades diseñadas para mejorar las capacidades de investigación:

  • Búsqueda y filtros: aplique filtros basados en el bosque y el dominio para explorar los IoE sin esfuerzo.

  • Funcionalidad de exportación: el objeto anómalo le permitirá exportar los IoE en formato CSV.

  • Acción ante incidentes de IoE: quite una exposición de la whitelist o vuelva a habilitarla.

Los datos de los IoE incluyen:

  • Sección de información: en esta sección encontrará un resumen ejecutivo sobre cada indicador de exposición (IoE), incluidas las herramientas de ataque conocidas, los dominios afectados y la documentación pertinente.

  • Detalles de la vulnerabilidad: en esta sección se ofrece información más detallada sobre el error de configuración de Active Directory.

  • Objetos anómalos: en esta sección se destacan los errores de configuración de Active Directory que pueden contribuir a superficies de ataque más amplias.

  • Recomendación: esta sección lo guía por las estrategias de configuración efectivas para minimizar la superficie de ataque.

Los niveles de gravedad le permiten evaluar la gravedad de las vulnerabilidades detectadas y priorizar las acciones de corrección.

En el panel Indicadores de exposición, los IoE se muestran de la siguiente manera:

  • Por nivel de gravedad con códigos de colores.

  • En dirección vertical: del más grave al menos grave (rojo para la prioridad máxima y azul para la prioridad mínima).

  • En dirección horizontal: del más complejo al menos complejo. Tenable Identity Exposure calcula el indicador de complejidad de forma dinámica para indicar el nivel de dificultad para corregir el IoE anómalo.

Gravedad Descripción
Crítica: rojo Muestra cómo prevenir los ataques y el riesgo de Active Directory por parte de ciertos usuarios sin privilegios.
Alta: naranja

Se ocupa de técnicas posteriores a la explotación que conducen al robo de credenciales o a la evasión de la seguridad, o de técnicas de explotación que requieren encadenamiento para ser peligrosas.
Media: amarillo Indica un riesgo limitado para la infraestructura de Active Directory.
Baja: azul Muestra prácticas recomendadas de seguridad. Ciertos contextos empresariales pueden permitir anomalías de bajo impacto que no necesariamente afecten la seguridad de AD. Estas anomalías tienen un impacto en la instancia de AD solo si un administrador comete un error, como activar una cuenta inactiva.

Los esfuerzos de corrección se centran en los IoE de alta gravedad que el sistema detectó. Además, puede priorizar aún más dentro de la categoría crítica por medio del medidor de riesgo incluido en el IoE.

Si cree que el IoE se ubica dentro del ámbito de competencia o mandato operativo de su organización, puede incluirlo en la lista de permitidos.

El siguiente caso de uso se centra en el IoE denominado “Cuentas con contraseñas que no vencen nunca”.

  1. Cuando Tenable Identity Exposure marca un IoE, aparece en el panel “Indicadores de exposición”:

  2. Para obtener más información sobre el IoE, haga clic en él para acceder a detalles adicionales. Dentro de la página de información, encontrará un resumen ejecutivo con una descripción general concisa, detalles sobre posibles herramientas de ataque asociadas con el IoE, los dominios afectados y documentación pertinente para ayudarlo a comprender y abordar el problema de manera eficaz.

  4. Para obtener más detalles sobre el IoE, haga clic en la pestaña “Detalles de la vulnerabilidad”.

  5. Para verificar qué cuentas tienen habilitada la opción “Cuentas con contraseñas que no vencen nunca”, haga clic en “Objetos anómalos”. Esta acción le permitirá acceder a una lista de cuentas que tienen esta configuración dentro de su sistema.

  6. Haga clic en el objeto anómalo para ver las cuentas que el IoE marcó.

  7. Consulte a su administrador de Active Directory para comprender por qué la cuenta afectada tiene habilitada la opción “Cuentas con contraseñas que no vencen nunca”.

  8. Según la respuesta, puede elegir incluir la cuenta en la whitelist o ayudar a su administrador de Active Directory a hacer recomendaciones para solucionar el problema.

  9. Para obtener recomendaciones, puede consultar la sección de recomendaciones del IoE.

  10. Si la cuenta tiene una excepción o se sabe que funciona según lo esperado, puede ignorar el IoE; para ello, vaya a Objeto anómalo > seleccione la anomalía correspondiente > Ignorar el objeto seleccionado o dejar de ignorar el objeto seleccionado, según el requisito.

Consulte también

  • Indicators of Exposure

  • Tutorial en video sobre indicadores de exposición

  • Customize an Indicator