:

기술 변경 사항 및 잠재적 영향

공격 지표(IoA) 모듈의 설치 스크립트를 실행하면 GPO를 만들어 모니터링되는 DC에 다음과 같은 변경 사항을 투명하게 적용합니다.

기본 이름이 "Tenable.ad"인 새 GPO가 기본적으로 도메인 컨트롤러의 조직 단위(OU)에 연결됩니다.
Microsoft 고급 로깅 정책을 활성화하기 위한 레지스트리 키 수정.
새 이벤트 로그 정책을 활성화하여 IoA에 필요한 ETW 정보를 생성하도록 도메인 컨트롤러를 적용.

참고: 이벤트 로그 정책은 ETW 엔진이 Tenable Identity Exposure에 필요한 삽입 문자열을 생성하려면 필수입니다. 이 정책은 기존 로깅 정책을 사용 중지하지 않고 정책에 추가합니다. 충돌이 있는 경우, 배포 스크립트가 중단되고 오류 메시지가 표시됩니다.
Tenable Identity Exposure 서비스 계정에 쓰기 권한을 추가하여 GPO 폴더에 저장된 IoA 구성의 "자동 업데이트"를 허용합니다.

한계 및 잠재적 영향

공격 지표(IoA) 모듈에는 다음과 같은 한계가 있을 수 있습니다.

IoA 모듈은 ETW 데이터를 사용하고 Microsoft가 정의한 제한 내에서 작동합니다.
설치된 GPO는 전체 도메인에 복제되어야 하며 설치 프로세스가 완료되려면 GPO 새로 고침 간격이 경과해야 합니다. Tenable Identity Exposure에서 즉시 공격 지표 엔진에서 검사를 시작하지 않아 이 효과를 최소화하더라도, 이 복제 기간에는 오탐과 미탐이 발생할 수 있습니다.

Tenable은 SYSVOL 파일 공유를 사용하여 도메인 컨트롤러에서 ETW 정보를 검색합니다. SYSVOL이 도메인 내 모든 도메인 컨트롤러에 복제되므로, Active Directory 활동량이 가장 많을 때 복제 활동이 크게 증가합니다.

여러 도메인 컨트롤러와 Tenable Identity Exposure 사이에서 파일을 복제할 경우 일부 네트워크 대역폭도 사용됩니다. Tenable Identity Exposure에서는 수집하는 파일을 자동으로 제거하여 이러한 영향을 조절하고 이러한 파일의 크기도 제한합니다(기본적으로 최대 500MB).
분산 파일 시스템(DFS) 복제가 느리거나 끊긴 것으로 인한 문제입니다. 자세한 내용은 DFS 복제 문제 완화을 참조하십시오.

참고 항목

Indicators of Attack and the Active Directory
공격 지표 설치
공격 지표 설치 스크립트
공격 지표 문제 해결

Copyright © 2024 Tenable, Inc. All rights reserved. Tenable, Tenable Nessus, Tenable Lumin, Assure 및 Tenable 로고는 Tenable, Inc. 또는 그 계열사의 등록 상표입니다. 기타 모든 제품 또는 서비스는 해당 소유자의 상표입니다.