DFS 복제 문제 완화
공격 지표 배포 스크립트에 있는 추가적인 매개 변수인 -EventLogsFileWriteFrequency X를 사용하면 분산 파일 시스템(DFS) 복제가 느려지거나 끊기는 등 발생 가능한 잠재적인 문제를 해결할 수 있습니다.
이 매개 변수는 선택 사항이며 Tenable에서는 DFS 복제 문제가 발생했거나 IoA 스크립트 배포 이후 이것이 발견된 경우에만 사용하도록 권장합니다. 일반적인 상황에서는 이 매개 변수가 기본값으로 유지되며 스크립트를 실행할 때 명령줄에 포함하지 않아도 됩니다.
매개 변수를 수정해야 하는 경우
매개 변수 -EventLogsFileWriteFrequency X의 값 [X]는 Tenable Identity Exposure 수신기가 PDCe가 아닌 도메인 컨트롤러(DC)에서 이벤트 로그 파일을 생성하는 빈도입니다. Tenable Identity Exposure 수신기가 사용하는 기본값이며 권장하는 값은 15초입니다. 그러나 사용자 지정 값은 PDCe DC에는 적용되지 않으며 기본값인 15초로 유지되어 공격 탐지 기능의 온전한 작동을 보장합니다. Tenable에서는 이 매개 변수를 사용하고 이 값을 기본값인 15초를 넘어 최고 300초(5분)까지 늘리는 것은 인프라에 DFS 복제 문제가 발생했거나 그러한 문제가 발생할 가능성이 큰 경우만으로 한정할 것을 권장합니다.
권장 사항
이벤트 로그 파일 쓰기 빈도를 높이면 파일이 덜 자주 생성되므로, 공격 탐지 지연이 늘어나게 됩니다(예를 들어 파일을 PDCe가 아닌 DC에서 기본값인 15초 대신 30초 마다 생성하는 경우). 또한 지연을 늘리면 기술 변경 사항 및 잠재적 영향에 정의된 설정 한도 내에서 생성된 이벤트 로그 파일의 크기가 늘어납니다. 따라서, 이 매개 변수는 완화 전략으로만 사용해야 하며 DFS 복제 문제에 대한 적절한 조사를 대신할 수는 없습니다.
매개 변수를 적용하는 방법:
-
절차에 설명된 대로 IoA의 도메인을 구성합니다. 자세한 내용은 공격 지표 설치을 참조하십시오.
-
관리자 권한으로 PowerShell 터미널을 엽니다.
-
스크립트를 실행하여 IoA에 대한 도메인 컨트롤러를 구성하고 -EventLogsFileWriteFrequency X 매개 변수를 추가합니다. 여기에서 [X]는 이벤트 로그 파일 빈도로 설정하고자 하는 빈도입니다.