운영 공격 지표

정확한 탐지와 대응을 위해서는 반드시 공격 지표 프로세스가 적절하게 작동해야 합니다. 이 섹션에서는 IoA 구성 요소가 잘 작동하는지 확인하고 일반적인 문제를 해결하며 문제를 효과적으로 해결하기 위한 단계별 참고 자료를 제공합니다. 모든 작업이 예상대로 진행되는지 확인하려면 아래의 단계를 따릅니다.

  • 도메인 컨트롤러 전체에서 공격 지표(IoA) 모니터링이 작동해야 합니다.

    • 도메인에 대한 연결 확인 — 구성을 확인하여 도메인 연결이 제대로 작동하는지 확인합니다. 자세한 내용은 도메인을 참조하십시오.

  • SYSVOL의 IoA GPO 폴더 확인:

    • SYSVOL 디렉터리의 IoA GPO 폴더를 확인하여 각 도메인 컨트롤러가 최신 .gz 파일을 생성하고 있는지 확인합니다.

    • .gz 파일을 생성하지 않는 도메인 컨트롤러가 하나라도 있다면, 다음 단계로 계속 진행합니다.

  • IoA 이벤트 수신기가 실행 중인지 확인:

    • Register-TenableADEventsListener.exe 프로세스가 실행 중인지 확인합니다.

    • 최신 버전에서는 이 프로세스가 작업 관리자에 Register-TenableADEventsListener.exe에 더하여 "Tenable - IOA 이벤트 수신기"로 표시됩니다.

      자세한 내용은 이벤트 로그 수신기 유효성 검사을 참조하십시오.

  • 프로세스가 실행 중이 아닌 경우:

    • 도메인 컨트롤러의 EDR/바이러스 백신 소프트웨어가 Register-TenableADEventsListener.exe 프로세스를 차단하고 있지 않은지 확인합니다.

      자세한 내용은 바이러스 백신 탐지를 참조하십시오.

  • 수동으로 프로세스 시작:

    • 작업 스케줄러에서 관련 작업(TenableADTask_*)을 편집하고 확인을 클릭하여 프로세스를 다시 시작합니다.

  • 문제가 지속되면 에스컬레이션 — 위의 단계를 거쳐도 문제가 해결되지 않는 경우, Tenable에 지원 케이스를 제출합니다. 근본적인 문제가 있어 Register-TenableADEventsListener.exe 프로세스가 실행되지 않을 가능성이 있습니다.