바이러스 백신 탐지
Tenable과 Microsoft는 도메인 컨트롤러에 바이러스 백신, 엔드포인트 보호 플랫폼(EPP) 또는 엔드포인트 탐지 및 대응(EDR) 소프트웨어(또는 중앙 관리 콘솔이 있는 기타 모든 도구) 설치를 권장하지 않습니다. 설치하기로 선택하는 경우, 바이러스 백신/EPP/EDR이 도메인 컨트롤러에서 공격 지표(IoA) 이벤트를 수집하는 데 필요한 항목을 탐지하고 심하면 차단하거나 삭제할 수도 있습니다.
Tenable Identity Exposure의 공격 지표 배포 스크립트는 악성 코드를 포함하지 않으며 난독 처리도 하지 않습니다. 하지만 PowerShell과 WMI를 사용하기도 하며 구현의 에이전트리스 특성으로 인해 때때로 탐지되는 것은 정상입니다.
다음과 같은 문제가 발생하는 경우:
-
설치 중 오류 메시지
-
탐지 중에 오탐 또는 미탐
설치 스크립트 바이러스 백신 탐지 문제 해결하는 방법:
-
바이러스 백신/EPP/EDR 보안 로그를 검토하여 Tenable Identity Exposure 구성 요소 탐지, 차단 또는 삭제 기록이 있는지 확인합니다. 바이러스 백신/EPP/EDR은 다음과 같은 구성 요소에 영향을 줄 수 있습니다.
-
도메인 컨트롤러에 적용된 Tenable Identity Exposure GPO의 ScheduledTasks.xml 파일.
-
PowerShell.exe를 실행하는 도메인 컨트롤러의 Tenable Identity Exposure 예약 작업.
-
도메인 컨트롤러에서 시작된 Tenable Identity Exposure Register-TenableADEventsListener.exe 프로세스.
-
-
도구에 이러한 영향을 받는 구성 요소에 대하여 보안 예외 사항을 추가합니다.
-
특히 Symantec 엔드포인트 보호의 경우 IoA 설치 프로세스 중에 CL.Downloader!gen27 탐지를 보고할 수 있습니다. 이 알려진 위험을 예외 정책에 추가할 수 있습니다.
-
작업 스케줄러를 설정했으면 PowerShell을 실행하여 Register-TenableADEventsListener.exe 프로세스를 시작합니다. 바이러스 백신/EPP/EDR 소프트웨어가 이 PowerShell 스크립트를 방해하여 공격 지표가 적절히 실행되지 못하게 할 수 있습니다. 이 프로세스를 긴밀히 추적하고 모든 모니터링 대상 도메인 컨트롤러에서 한 번만 실행되도록 하십시오.
바이러스 백신/EPP/EDR 파일 경로 제외의 예:
복사Register-TenableADEventsListener.exe process
"\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"복사ScheduledTasks.xml file
C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
\\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml -