상태 검사

Tenable Identity Exposure상태 검사 기능을 사용하면 도메인과 서비스 계정의 구성을 하나의 통합된 보기로 실시간으로 확인할 수 있으며 여기에서 드릴다운하여 인프라에 연결 또는 기타 문제를 초래하는 각종 구성 이상을 조사할 수 있습니다. 이를 통해 Tenable Identity Exposure의 원활한 작동을 위해 모든 것이 적절히 설정되었는지 확인하고 문제 해결을 위해 빠르고 정확하게 조치할 수 있으며 Tenable Identity Exposure가 효율적으로 작동할 수 있도록 최적의 구성 설정이 이루어졌음을 확신할 수 있습니다.

상태 검사는 관리 역할에는 기본적으로 표시되며 특정 사용자 역할에는 권한이 부여되면 표시됩니다. 상태 검사 상태가 변경될 때마다 Syslog 또는 이메일 알림을 생성할 수도 있습니다.

상태 검사 및 DC Sync 공격 탐지

상태 검사를 통해 Tenable Identity Exposure 서비스의 상태와 사용 가능성에 관한 중요한 정보를 얻을 수 있습니다. 상태 검사는 서비스 계정이 비밀번호 해시 및 권한이 있는 분석에 사용되는 DPAPI 백업 키와 같이 중요한 정보를 수집할 수 있는지 확인합니다. Tenable은 상태 검사 보고서에서 서비스 계정에 권한이 있는 분석 기능이 제대로 구성되었는지 알아보기 위해 중요한 데이터를 수집하려 시도하되, 이 기능이 사용 중이 아닌 경우 실제로는 아무것도 수집하지 않습니다. 이 프로세스 중에 DCSync 공격을 탐지하지 않도록 하기 위해 Tenable은 자동으로 DCSync 공격 지표에 대하여 제공된 서비스 계정을 허용 목록에 추가합니다.

도메인 상태

Tenable Identity Exposure에서는 각 도메인에 대해 다음과 같은 검사를 수행합니다.

  • AD 도메인에 대한 인증 - LDAP 설정 및 상태, 자격 증명, SMB 액세스.

  • 도메인 연결 가능성 - 동적 RPC 포트에 대한 작동 중인 연결, 연결 가능한 SMB 서버, 연결 가능한 도메인 컨트롤러 IP 주소 또는 FQDN, RPC 포트에 대한 작동 중인 연결, 연결 가능한 LDAP 서버, 연결 가능한 전역 카탈로그 LDAP 서버.

  • 권한 - AD 도메인에 액세스하고 권한이 있는 데이터를 수집하는 기능.

  • 도메인이 릴레이에 연결됨 - 도메인이 릴레이 서비스에 바르게 연결되었습니다.

  • 공격 지표: 도메인 컨트롤러 활동 — Tenable Identity Exposure에서 모든 도메인 컨트롤러의 Windows 이벤트 로그를 수신합니다.

  • 공격 지표: 도메인 설치 — Tenable IoA GPO 구성이 정확해야 합니다.

플랫폼 상태

Tenable Identity Exposure에서는 플랫폼 구성에 대하여 다음과 같은 검사를 수행합니다.

  • 릴레이 서비스 실행 - Relay 구성이 올바른지 검사하고 문제 해결 팁 제공.

  • 릴레이 버전 일관성 - Relay 버전이 Tenable Identity Exposure 버전과 일치하는지 검사.

  • AD 데이터 수집기 서비스 실행 - 데이터 수집기 서비스, 브로커 및 수집기 브리지가 작동하여 데이터를 다른 서비스로 전달하는지 검사.

  1. Tenable Identity Exposure 페이지 하단 왼쪽에 있는 아이콘을 마우스로 가리키면 인프라의 전체 상태가 표시됩니다.

  2. 아이콘을 클릭하여 상태 검사 페이지를 엽니다. 도메인 상태 또는 플랫폼 상태 탭에 다음 중 하나가 표시됩니다.

    • 모든 상태 검사를 통과했다는 메시지

    • 특정 상태를 포함한 경고 또는 문제 목록:

      검사가 성공했고 정상 결과가 표시됩니다.
      검사가 실패했고 문제가 확인됩니다.

      검사는 실패했지만 해당 문제로 인해 Tenable Identity Exposure가 올바로 작동할 수 없는 것은 아닙니다.

      예를 들어 데이터 수집 검사의 경우 서비스 계정이 권한이 있는 데이터를 수집할 수 없으면 클라이언트 쪽의 Active Directory 구성 오류로 인해 검사가 실패하게 됩니다. 하지만 이것은 심각한 문제가 아닙니다. Tenable Identity Exposure의 이 도메인에서 권한이 있는 분석 기능을 활성화하지 않았기 때문에 경고가 발생했을 뿐입니다. 하지만 권한이 있는 분석을 활성화하면 검사는 즉시 실패합니다.
      종속된 검사가 실패했기 때문에 검사 결과는 알 수 없음으로 표시됩니다. 예를 들어 인증 검사에 실패한 경우, 네트워크 연결 가능성 검사를 진행할 수 없습니다.

  • 오른쪽에 있는 상태 검사 목록 위에서 성공한 검사 표시 토글을 클릭하여 사용 설정하여 Tenable Identity Exposure에서 수행한 모든 검사를 다음과 같은 정보와 함께 목록으로 표시합니다.

    • 상태 검사 이름

    • 상태(통과, 실패, 실패했지만 차단 안 함, 알 수 없음)

    • 영향을 받은 도메인 및 그와 연결된 포리스트(도메인 상태 검사만 해당)

    • 마지막으로 검사를 수행한 시간

    • 검사가 이 상태로 유지된 기간

  • Tenable Identity Exposure에서는 정기적으로 상태 검사를 수행하지만, 결과를 실시간으로 페이지에 업데이트하지는 않습니다. 결과 목록을 새로 고치려면 를 클릭하십시오.

  1. 오른쪽에 있는 상태 검사 목록 위에서 n/n 상태 검사 또는 n/n 도메인(도메인 상태만 해당)을 클릭합니다.

    상태 검사 또는 포리스트 및 도메인 창이 열립니다.

  2. 상태 검사 유형 또는 포리스트/도메인(해당하는 경우)을 선택하고 선택 항목 필터링을 클릭합니다.

  1. 상태 검사 목록에서 상태 검사 이름을 하나 클릭하거나 줄 끝에 있는 파란색 화살표()를 클릭합니다.

    세부 정보 창이 열려 검사에 대한 설명과 관련 세부 정보 목록이 표시됩니다. 자세한 내용은 아래의 상태 검사 목록 을 참조하십시오.

  2. 세부 정보 줄 끝의 화살표를 클릭하여 확장하면 결과에 관한 자세한 정보가 표시됩니다.

기본적으로, Tenable Identity Exposure에서는 화면 왼쪽 하단에 상태 검사 상태 아이콘을 표시합니다.

  1. Tenable Identity Exposure에서 왼쪽 탐색 모음의 시스템으로 이동하여 구성 탭을 선택합니다.

    아니면 상태 검사 페이지의 오른쪽 상단에 있는 를 클릭한 다음 구성을 선택해도 됩니다.

  2. 애플리케이션 서비스에서 상태 검사를 선택합니다.

  3. 전역 상태 검사 상태 표시 토글을 클릭하여 사용 중지로 설정합니다.

    Tenable Identity Exposure에서 화면 왼쪽 하단의 상태 검사 아이콘을 숨깁니다.

  1. Tenable Identity Exposure에서 왼쪽 탐색 모음의 계정으로 이동하여 역할 관리 탭을 선택합니다.

  2. 역할 목록에서 사용자 역할을 선택한 다음 줄 끝의 를 클릭합니다.

    역할 편집 창이 열립니다.

  3. 시스템 구성 엔터티 탭을 선택합니다.

  4. 상태 검사 엔터티를 선택하고 권한 토글을 클릭하여 권한 없음에서 부여됨으로 바꿉니다.

  5. 적용 및 닫기를 클릭합니다.

권한에 관한 자세한 내용은 역할에 대한 권한 설정을 참조하십시오.

  1. Tenable Identity Exposure에서 왼쪽 탐색 모음의 시스템으로 이동하여 구성 탭을 선택합니다.

    또는 상태 검사 페이지의 오른쪽 상단에 있는 를 클릭한 다음 알림을 선택해도 됩니다.

  2. 알림 엔진에서 Syslog 또는 이메일을 선택합니다.

  3. Syslog 알림 추가 또는 이메일 알림 추가를 클릭합니다.

    새 창이 열립니다. 전체 절차는 알림를 참조하십시오.

  4. 알림 매개 변수 아래 알림 트리거 상자의 드롭다운 메뉴에서 상태 검사 상태 변경 관련을 선택합니다.

  5. 상태 검사 상자의 화살표를 클릭하여 알림을 트리거할 상태 검사 유형을 선택한 다음 선택 항목 필터링을 클릭합니다.

  6. 추가를 클릭합니다.

상태 검사 목록

상태 검사 이름 유형 검사 설명 세부 정보

도메인 연결 가능성

(HC-DOMAIN-REACHABILITY)

 도메인 AD 도메인과 연결을 설정할 수 있음

  • 연결할 수 있는 도메인 컨트롤러 IP 주소 또는 FQDN

  • 연결할 수 있는 전역 카탈로그 LDAP 서버

  • 연결할 수 있는 LDAP 서버

  • 연결할 수 있는 SMB 서버

  • 동적 RPC 포트에 정상적으로 연결

  • RPC 포트에 정상적으로 연결

AD 도메인에 인증

(HC-DOMAIN-AUTHENTICATION)

 도메인 AD 도메인에 인증할 수 있음

  • 유효한 자격 증명

  • 유휴 LDAP 서버

  • 이용 가능한 LDAP 서버

  • LDAP 액세스 허용됨

  • SMB 액세스 허용됨

AD 도메인 데이터를 수집할 권한

(HC-DOMAIN-DATA-COLLECTION)

 도메인 AD 도메인 데이터를 수집할 수 있음

  • 권한 있는 데이터를 수집하도록 권한을 부여함

AD 컨테이너에 액세스하는 권한

(HC-DOMAIN-CONTAINER-ACCESS)

 도메인 AD 컨테이너에 액세스할 수 있음

  • 삭제된 개체 컨테이너에 액세스하는 권한을 부여함

  • 비밀번호 설정 컨테이너에 액세스하는 권한을 부여함

도메인이 Relay에 연결됨

(HC-DOMAIN-LINKED-TO-RELAY)

 도메인 도메인이 릴레이에 연결됨

  • 도메인이 릴레이에 연결됨
IoA - 도메인 컨트롤러 활동 도메인 Tenable Identity Exposure에서 모든 도메인 컨트롤러의 Windows 이벤트 로그를 수신함

  • 비활성 도메인 컨트롤러
IoA - 도메인 설치 도메인 Tenable IoA GPO 구성이 정확해야 함

  • Tenable IoA GPO가 LDAP에 있음

  • Tenable IoA GPO 폴더가 SYSVOL에 있음

  • Tenable IoA GPO IoA 폴더가 SYSVOL에 있음

  • Tenable IoA GPO EVT Subscribe 수신기 파일이 SYSVOL에 있음

  • Tenable IoA GPO 구성 파일이 SYSVOL에 있음

  • Tenable IoA GPOaudit.csv 파일이 SYSVOL에 있음

Relay 서비스 작동

(HC-PLATFORM-RELAY-UP)

 플랫폼 릴레이가 예상대로 작동 중

  • 릴레이 서비스 실행 중

Relay 서비스 버전

(HC-PLATFORM-RELAY-VERSION)

 플랫폼 릴레이 버전이 제품과 일치함

  • 릴레이 버전 일관성

AD 데이터 수집기 작동

(HC-PLATFORM-AD-DATA-COLLECTOR-UP)

 플랫폼 AD 데이터 수집기가 예상대로 작동 중

  • AD 데이터 수집기 브리지 실행 중

  • AD 데이터 수집기 서비스 실행 중

  • 브로커 실행 중
Tenable Cloud와 Tenable Identity Exposure 서비스 간 동기화 플랫폼 만든 Tenable 그룹, 권한, 사용자가 Tenable Identity Exposure 데이터베이스와 동기화됩니다.

  • Tenable Cloud 사용 가능성