공격 지표 배포
Tenable Identity Exposure의 공격 지표(IoA)를 이용하면 Active Directory(AD)에서 공격을 탐지할 수 있습니다. IoA마다 설치 스크립트가 자동으로 사용하도록 설정하는 특정 감사 정책이 있어야 합니다. Tenable Identity Exposure IoA 및 구현의 전체 목록은 Tenable 다운로드 포털의 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.

Tenable Identity Exposure에서는 에이전트를 배포하지 않고 환경 구성 변경을 최소화하여 Active Directory 인프라를 모니터링하는 비침해적 솔루션으로 작동합니다.
Tenable Identity Exposure에서는 관리자 권한 없는 일반적인 사용자 계정을 사용해 표준 API에 연결하여 보안 모니터링 기능을 이용합니다.
Tenable Identity Exposure에서는 Active Directory 복제 메커니즘을 사용하여 관련 정보를 가져오며 각 도메인의 PDC와 Tenable Identity Exposure의 Directory Listener 사이에서 제한된 대역폭 비용만 발생합니다.
Tenable Identity Exposure에서는 공격 지표를 사용해 효율적으로 보안 인시던트를 탐지하기 위해 ETW(Event Tracing for Windows)와 각 도메인 컨트롤러에서 사용 가능한 복제 메커니즘을 사용합니다. 이러한 정보를 수집하려면 공격 지표 설치에 설명된 것과 같이 Tenable Identity Exposure의 스크립트를 사용해 전용 그룹 정책 개체(GPO)를 배포합니다.
이 GPO는 Windows EvtSubscribe API를 통해 시스템 볼륨(SYSVOL)에 쓰기 작업을 하는 모든 도메인 컨트롤러에 이벤트 로그 리스너를 활성화하여 AD 복제 엔진과 Tenable Identity Exposure의 SYSVOL 이벤트 수신 기능을 유리하게 활용합니다. GPO는 각 도메인 컨트롤러에 SYSVOL 파일을 만들고 그 내용을 정기적으로 플러시합니다.
보안 모니터링을 시작하려면, Tenable Identity Exposure에서는 Microsoft의 표준 디렉터리 API에 연결해야 합니다.
도메인 컨트롤러
Tenable Identity Exposure에서는 네트워크 흐름 행렬에 설명된 네트워크 프로토콜을 사용하여 기본 도메인 컨트롤러 에뮬레이터(Primary Domain Controller Emulator, PDCe)와 통신하기만 하면 됩니다.
모니터링하는 도메인 또는 포리스트가 여러 개인 경우, Tenable Identity Exposure에서는 각 도메인의 PDCe에 연결해야 합니다. Tenable은 최상의 성능을 위해 모니터링할 PDCe에 가까운 물리적 네트워크에서 Tenable Identity Exposure를 호스팅하도록 권장하고 있습니다.
사용자 계정
Tenable Identity Exposure에서는 관리자가 아닌 사용자 계정을 사용해 복제 흐름에 액세스하여 모니터링하는 인프라에 인증합니다.
단순한 Tenable Identity Exposure 사용자가 모든 수집한 데이터에 액세스할 수 있습니다. Tenable Identity Exposure에서는 자격 증명, 비밀번호 해시 또는 Kerberos 키와 같은 암호 특성에 액세스하지 않습니다.
Tenable에서는 다음과 같이 "도메인 사용자" 그룹의 멤버인 서비스 계정을 만드는 것을 권장합니다.
-
서비스 계정은 모니터링하는 기본 도메인에 있습니다.
-
서비스 계정은 임의의 조직 단위(OU)에 있으며 다른 보안 서비스 계정을 만든 OU를 선호합니다.
-
서비스 계정에는 일반 사용자 그룹 멤버 자격이 있습니다(예: 도메인 사용자 AD 기본 그룹의 멤버).

-
IoA 설치의 한계와 잠재적 영향을 검토합니다(기술 변경 사항 및 잠재적 영향의 설명 참조).
-
DC에 Active Directory 및 GroupPolicy용 PowerShell 모듈이 설치되어 있고 사용할 수 있는지 확인합니다.
-
DC에 분산 파일 시스템 도구 기능 RSAT-DFS-Mgmt-Con이 사용으로 설정되어 배포 스크립트가 복제 상태를 검사할 수 있는지 확인합니다. DC가 복제 중일 때는 GPO를 만들 수 없기 때문입니다.
-
Tenable Identity Exposure에서는 플랫폼의 중단을 제한하기 위해 사용량이 적은 시간에 IoA를 설치/업그레이드하도록 권장합니다.
-
권한 확인 - IoA를 설치하려면 다음과 같은 권한을 보유한 사용자 역할이 있어야 합니다.
-
데이터 엔터티에서 다음에 대한 "읽기" 액세스:
-
모든 공격 지표
-
모든 도메인
-
-
인터페이스 엔터티에서 다음에 대한 액세스:
-
관리 > 시스템 > 구성
-
관리 > 시스템 > 구성 > 애플리케이션 서비스 > 공격 지표
-
관리 > 시스템 > 구성 > 애플리케이션 서비스 > 공격 지표 > 설치 파일 다운로드
-
-
역할 기반 권한에 관한 자세한 내용은 역할에 대한 권한 설정을 참조하십시오.
참고 항목
- 공격 지표 설치 스크립트
- 기술 변경 사항 및 잠재적 영향
-
Microsoft Sysmon 설치, 일부 Tenable Identity Exposure의 공격 지표가 관련 시스템 데이터를 얻으려면 필요한 Windows 시스템 도구입니다.