Tenable Identity Exposure 사용

Tenable Identity Exposure을(를) 배포한 뒤, 이 섹션에서 Tenable Identity Exposure를 효과적으로 사용하기 위한 주요 단계를 자세히 알아보십시오.

팁: Tenable Identity Exposure에 관한 자세한 정보는 다음 고객 교육 자료를 참조하십시오.

각 섹션에 더 자세한 설명으로 이동하는 링크와 관련 작업에 대한 안내가 나와 있습니다.

    • Tenable Identity Exposure에 로그인 포털을 방문합니다. 이 예시에 표시된 것처럼 홈페이지가 열립니다.

    • 초기 ID는 [email protected]이고 비밀번호는 [email protected]!입니다.

    • 사이드 탐색 모음 펼치거나 접기:

      • 펼치기: 창 왼쪽 상단에 있는 메뉴를 클릭합니다.

      • 접기: 창 왼쪽 상단에 있는 를 클릭합니다.

  2. Secure Relay는 VPN 연결 대신 TLS 암호화를 사용해 네트워크의 Active Directory 데이터를 Tenable Identity Exposure SaaS 플랫폼으로 안전하게 전송합니다. 각자의 요구 사항에 따라 여러 가지 Secure Relay를 구현할 수 있습니다.

    필수 조건:

    • Secure Relay 가상 컴퓨터(VM)의 Windows 서버에 대한 관리자 액세스

    • Tenable Identity Exposure 다운로드 포털에서 다운로드한 최신 버전의 Secure Relay 설치 프로그램

    • 네트워크 주소와 인증 토큰을 포함한 Tenable Identity Exposure 포털의 1회용 연결 키

    자세한 필수 조건은 Tenable Identity Exposure 용 Secure Relay 참조

    1. 관리자 계정을 사용하여 Tenable Identity Exposure 웹 포털에 연결합니다.

    2. 시스템 > 구성 > Relay 탭을 클릭합니다.

    3. 연결 키 옆에 있는 클립보드에 복사 아이콘을 클릭합니다.

    1. Windows Server VM에서 설치 프로그램 파일을 마우스 오른쪽 버튼으로 클릭하고 관리자 권한으로 실행을 선택합니다.

    2. 설치 마법사의 시작 화면에서 다음을 클릭합니다.

    3. 사용자 지정 설정 창에서 탐색을 클릭하여 필요한 경우 디스크 파티션을 변경하고 다음을 클릭합니다.

    4. 연결 키 창에서:

      • 포털에서 복사해 둔 연결 키를 붙여 넣습니다.

      • Secure Relay의 이름을 입력합니다.

      • 연결 테스트를 클릭합니다.

    1. 테스트가 성공하면(녹색 아이콘) 다음을 클릭합니다. 그렇지 않으면 뒤로를 클릭하여 오류를 수정합니다.

    2. 설치 준비 완료 창에서 설치를 클릭합니다.

    3. 설치되면 마침을 클릭합니다.

      자세한 절차는 Tenable Identity Exposure 용 Secure Relay를 참조하십시오.

    1. Tenable Identity Exposure 포털로 돌아갑니다.

    2. 시스템 > Relay 관리 탭을 클릭합니다.

      Relay 목록에 새로 설치된 Relay가 표시됩니다.

    모니터링할 도메인을 추가할 때, 해당 도메인을 담당할 Secure Relay를 선택하게 해주는 새 옵션이 표시됩니다. 절차 전체는 Relay 구성을 참조하십시오.

    자동 업데이트:

    Tenable Identity Exposure에서는 자동으로 Secure Relay 업데이트가 있는지 확인하고 정기적으로 설치합니다(HTTPS 액세스 필요). 업데이트가 있으면 네트워크 트레이 아이콘에 표시됩니다. 업데이트를 마치면 Tenable Identity Exposure 서비스가 다시 시작되고 데이터 수집이 재개됩니다.

  3. 위험 노출 지표를 구성하기 전에, 적절한 권한이 있는 Active Directory 서비스 계정을 가지고 있거나 하나 만들어야 합니다. Tenable Identity Exposure에서는 보안 모니터링에 관리자 권한을 필수로 요구하지 않지만, 컨테이너에 따라 서비스 계정 사용자에게 읽기 액세스를 허용하려면 수동 구성이 필요한 경우도 있습니다.

    자세한 정보는 AD 개체 또는 컨테이너에 대한 액세스를 참조하십시오.

    1. 기본 "[email protected]" 계정과 같은 관리자 자격 증명을 사용하여 Tenable Identity Exposure 웹 포털에 로그인합니다.

    2. 왼쪽 상단의 메뉴 아이콘을 클릭하여 탐색 패널을 펼친 다음, 왼쪽 패널에서 시스템을 클릭합니다.

    1. 포리스트 관리 탭에서 포리스트 추가를 클릭합니다.

    2. 포리스트의 표시 이름을 입력합니다(예: Tenable).

    3. 이 포리스트의 모든 도메인에 연결할 서비스 계정의 ID와 비밀번호를 입력합니다.

    4. 추가를 클릭합니다.

      자세한 정보는 포리스트를 참조하십시오.

    1. 도메인 추가를 클릭합니다.

    2. 모니터링할 도메인의 표시 이름을 입력합니다(예: HQ).

    3. FQDN(정규화된 도메인 이름)을 입력합니다(예: sky.net).

    4. 드롭다운 목록에서 해당하는 포리스트를 선택합니다.

    5. SaaS를 Secure Relay와 함께 사용하는 경우, 이 도메인을 처리할 릴레이를 선택합니다.

    6. 계정에 필수 권한이 있는 경우 "권한이 있는 분석" 토글을 사용 설정합니다.

    7. 권한이 있는 분석을 사용하는 경우, 선택 사항으로 Tenable Cloud에 대하여 권한이 있는 분석 전송을 사용 설정합니다.

    8. 기본 도메인 컨트롤러 에뮬레이터 FSMO 역할이 있는 도메인 컨트롤러의 세부 정보 입력:

      • IP 주소 또는 호스트 이름

      • LDAP, 전역 카탈로그 및 SMB 포트는 미리 채워진 기본값 그대로 두기

    1. 맨 아래에 있는 연결 테스트를 클릭합니다.

    2. 성공하면 추가를 클릭합니다.

      도메인 관리 보기에 LDAP 초기화, SISFul 초기화, 허니팟 계정 구성 상태에 해당하는 열이 표시되며 첫 크롤링이 완료될 때까지 동그란 로딩 아이콘이 표시됩니다.

      자세한 정보는 도메인를 참조하십시오.

    1. Trail Flow 보기로 전환합니다. 몇 분 후, 분석이 시작되면 데이터가 유입되기 시작합니다.

    2. 시스템 > 도메인 관리로 돌아갑니다.

    3. LDAP 및 SYSVOL 초기화가 완료되었다는 녹색 아이콘이 표시될 때까지 기다립니다.

      이제 이 도메인의 위험 노출 지표 모니터링이 사용 설정되었습니다. 웹 포털의 알림은 환경 규모에 따라 몇 분/몇 시간 이내에 표시됩니다.

    1. 왼쪽 메뉴의 위험 노출 지표를 클릭하면 추가된 도메인에 대하여 트리거된 모든 지표가 표시됩니다.

    2. 규정 위반을 초래하는 일탈 개체에 대한 세부 정보를 보려면 지표를 하나 클릭합니다.

    3. 세부 정보를 닫고 대시보드로 이동하면 환경 메트릭을 확인할 수 있습니다.

  4. IoA를 배포하려면 우선 아래 설명과 같이 세 가지 구성을 수행해야 합니다.

    1. IoA 스크립트는 모든 공격 시나리오에 필수입니다.

    2. Kerberoasting과 같은 특정 공격을 탐지하도록 구성된 허니팟 계정.

    3. OS 자격 증명 덤핑과 같은 공격을 탐지하기 위해 모니터링되는 도메인의 모든 도메인 컨트롤러에 Sysmon 설치.

    Tenable Identity Exposure에서 IoA 스크립트, 해당 명령줄과 허니팟 계정 구성 명령줄을 제공합니다. 단, 이러한 필수 조건은 도메인 컨트롤러나 적절한 권한이 있는 관리자 컴퓨터에서 직접 수행해야 합니다.

    자세한 정보는 공격 지표 배포를 참조하십시오.

    1. 관리자 자격 증명(예: [email protected])을 사용하여 Tenable Identity Exposure 웹 포털에 로그인합니다.

    2. 시스템 > 구성 > 공격 지표로 이동합니다.

    3. 환경에서 사용 설정하려는 공격 시나리오를 선택합니다.

    4. 사용 가능한 모든 공격 시나리오를 사용 설정하려면 도메인 이름 아래에 있는 확인란을 선택합니다.

    5. 오른쪽 하단의 저장을 클릭합니다.

    6. 맨 위의 절차 보기를 클릭합니다.

      IoA 엔진 배포 절차를 보여주는 창이 표시됩니다.

    1. 토글을 사용하여 자동 업데이트 기능을 사용으로 설정하거나 사용 중지합니다.

    2. 첫 번째 다운로드 버튼을 클릭하면 PS1 파일이 다운로드됩니다.

    3. 두 번째 다운로드 버튼을 클릭하면 JSON 파일이 다운로드됩니다.

    4. 설치 파일을 다운로드한 위치를 기억해 두십시오.

    5. 다음 PowerShell 명령 실행이라는 레이블이 지정된 필드를 찾습니다.

    6. 텍스트 필드의 내용을 복사하여 텍스트 파일에 붙여 넣습니다.

    7. PS1 및 JSON 파일을 도메인 컨트롤러나 적절한 권한이 있는 관리자 서버에 복사합니다.

    8. 관리자 자격으로 Windows PowerShell의 Active Directory 모듈을 시작하고 파일을 호스팅하는 폴더로 이동합니다.

    9. Tenable Identity Exposure 웹 포털에서 복사한 명령을 붙여 넣고 Enter 키를 누릅니다.

    10. 그룹 정책 관리 콘솔을 열고, 도메인 컨트롤러의 OU에 연결되어 있고 이름이 "Tenable.ad"인 GPO를 찾습니다.

    자세한 절차는 공격 지표 설치를 참조하십시오.

    1. Tenable Identity Exposure 웹 포털로 돌아갑니다.

    2. 시스템 > 도메인 관리 탭으로 이동합니다.

    3. 도메인 오른쪽에 있는 허니팟 계정 구성 상태(나머지 두 상태가 녹색이면 사용 가능) 아래의 + 아이콘을 클릭합니다.

    4. 이름 검색 상자에 허니팟으로 사용할 계정의 이름을 입력합니다.

    5. 드롭다운 목록에서 개체의 고유 이름을 선택합니다.

    6. 명령줄 텍스트 필드의 내용을 복사하여 텍스트 파일에 붙여 넣습니다.

    7. IoA 스크립트를 실행한 서버로 돌아갑니다.

    8. 관리자 자격으로 PowerShell 명령줄을 열거나 시작합니다.

    9. Tenable Identity Exposure 웹 포털에서 복사한 명령을 붙여 넣고 Enter 키를 누릅니다.

    10. 명령줄이 제대로 실행되었는지 확인합니다.

    11. Tenable Identity Exposure 웹 포털로 돌아가 맨 아래에 있는 추가 버튼을 클릭합니다.

      몇 초 후, 허니팟 계정 구성 상태에 녹색 점이 표시됩니다.

    자세한 절차는 허니팟 계정를 참조하십시오.

    Tenable Identity Exposure 웹 포털은 Sysmon 자동 배포를 제공하지 않습니다. 필수 Sysmon 구성 파일은 Microsoft Sysmon 설치를 참조하십시오. Sysmon은 설명서에 표시된 대로 수동으로 설치해도 되고, GPO를 사용하여 설치해도 됩니다.

    자세한 절차는 Microsoft Sysmon 설치를 참조하십시오.

  5. Tenable Identity Exposure에서는 Entra ID 아이덴티티에 대하여 특정 IoE가 있는 Active Directory 외에 Microsoft Entra ID도 지원합니다.

    자세한 정보는 Microsoft Entra ID를 ID 공급자로 구성하기을 참조하십시오.

    1. 적절한 자격 증명을 사용하여 Azure 관리 포털에 로그인합니다(portal.azure.com).

    2. Azure Active Directory 타일을 클릭한 다음 왼쪽 메뉴에서 앱 등록을 클릭합니다.

    3. 신규 등록을 클릭하고 애플리케이션 이름을 입력합니다(예: "Identity Exposure App").

    4. 맨 아래에 있는 등록을 클릭합니다.

    5. 앱의 개요 페이지에서 "애플리케이션(클라이언트) ID"와 "디렉터리(테넌트) ID"를 적어 둡니다.

    6. 왼쪽 메뉴에서 인증서 및 암호를 클릭합니다.

    7. 새 클라이언트 암호를 클릭하고 설명을 입력한 다음, 정책마다 만료를 설정합니다.

    8. 추가를 클릭한 다음, 표시된 암호 값을 안전하게 저장합니다.

    9. API 권한권한 추가를 클릭합니다.

    10. Microsoft Graph를 선택한 다음 애플리케이션 권한을 선택합니다.

    11. 다음 권한을 추가합니다. Audit Log.Read.All, Directory.Read.All, IdentityProvider.Read.All, Policy.Read.All, lReports.Read.All, RoleManagement.Read.All, UserAuthenticationMethod.Read.All.

    12. 권한 추가관리자 동의 부여를 클릭합니다.

    1. 적절한 계정을 사용하여 Tenable Vulnerability Management 웹 포털에 연결합니다.

    2. 메뉴 > 설정 > 자격 증명을 클릭합니다.

    3. 자격 증명 만들기를 클릭하고 Microsoft Azure 유형을 선택합니다.

    4. 이름과 설명을 입력하고 테넌트 ID, 애플리케이션 ID와 클라이언트 암호를 붙여 넣습니다.

    5. 만들기를 클릭합니다.

    6. 메뉴 > 설정 > 내 계정 > API 키를 클릭합니다.

    7. 생성을 클릭하고 경고를 검토한 다음 계속을 클릭합니다.

    8. 액세스 키와 암호 키 값을 복사합니다.

    1. 전역 관리자 계정을 사용하여 연결합니다.

    2. 메뉴 > 시스템 > 구성 > Tenable Cloud를 클릭합니다.

    3. Microsoft Entra ID 지원 활성화를 토글하여 사용 설정합니다.

    4. 앞서 생성한 액세스 키와 암호 키를 입력합니다.

    5. 체크 표시를 클릭하여 API 키를 제출합니다.

    6. 테넌트 관리 탭을 클릭하고 테넌트 추가를 클릭합니다.

    7. Azure AD 테넌트의 이름을 입력합니다.

    8. 앞서 만든 Azure 자격 증명을 선택합니다.

    9. 추가를 클릭합니다.

    1. Tenable Identity Exposure에서 테넌트를 스캔합니다. 다음 스캔 시간을 보려면 스캔 상태 위로 마우스 커서를 올립니다.

    2. 첫 번째 스캔이 끝나면 스캔 상태 열에 녹색 아이콘이 표시됩니다.

    3. 왼쪽 메뉴에서 위험 노출 지표를 클릭합니다.

    4. 탭을 사용하여 AD 및 Azure AD 지표 간에 필터링합니다.

    5. 모든 지표 표시를 토글하면 사용 가능한 모든 지표가 표시됩니다.

    6. 세 개 탭에 지표 세부 정보, 테넌트 발견 사항권장 사항이 표시됩니다.

    7. 잠재적 노출 위험과 수정 설명을 검토합니다.

  6. Tenable Identity Exposure에서는 위험 노출 지표를 사용하여 Active Directory의 보안 성숙도를 측정하고, 모니터링 및 분석 대상인 이벤트의 흐름에 심각도 수준을 할당합니다.

    IoE에 대한 자세한 정보는 위험 노출 지표를 참조하십시오.

    IoE에 액세스:

    1. Tenable Identity Exposure에 로그인합니다.

    2. 왼쪽 상단에 있는 아이콘을 클릭하여 패널을 펼칩니다.

    3. 왼쪽의 위험 노출 지표를 클릭하면 IoE가 표시됩니다.

      기본 보기에는 환경 내에서 취약할 가능성이 있는 구성 항목이 표시되며 위험, 높음, 중간 및 낮음의 심각도로 평가됩니다.

    • 모든 지표 표시의 오른쪽에 있는 토글을 클릭합니다.

      • 그러면 Tenable Identity Exposure 인스턴스에서 사용 가능한 모든 IoE가 표시됩니다. 표시된 도메인이 없는 항목은 해당 위험 노출이 없는 항목입니다.

      • 모든 지표 표시의 오른쪽에는 도메인이 있습니다. 환경에 도메인이 여러 개인 경우, 클릭하여 보려는 도메인을 선택합니다.

    • 지표 검색을 클릭하고 키워드(예: "비밀번호")를 입력합니다.

      비밀번호와 관련된 모든 IoE가 표시됩니다.

    • 한 지표에 관한 추가 정보를 보려면 그 지표를 클릭합니다.

      • 상세 보기에는 우선 특정 노출의 개요가 표시됩니다.

      • 다음으로 그와 관련된 문서가 목록으로 나열되고, 이 특정 항목을 노출시킬 수 있는 알려진 공격자 도구가 표시됩니다.

    • 오른쪽에는 영향을 받은 도메인이 표시됩니다.

      • 취약성 세부 정보 탭을 클릭하면 이 IoE에 대하여 수행한 검사에 관한 자세한 정보를 읽어볼 수 있습니다.

      • 일탈 개체 탭을 클릭하면 노출을 트리거한 개체와 이유의 목록이 표시됩니다.

      • 목록에서 한 개체를 펼치면 무엇이 일탈을 초래했는지에 대해 자세히 알아볼 수 있습니다.

    1. 쿼리를 만들려면 식 입력을 클릭하고 항목의 부울 쿼리를 입력합니다. 왼쪽의 필터 아이콘을 클릭하여 쿼리를 빌드할 수도 있습니다.

    2. 시작 날짜와 종료 날짜를 설정하고 도메인을 선택한 다음 무시 토글을 클릭하여 무시된 항목을 검색합니다.

      전체 절차는 일탈 개체 검색을 참조하십시오.

    • 목록의 개체를 무시하여 숨길 수 있습니다.

      • 하나 이상의 개체를 선택한 다음, 페이지 맨 아래에 있는 작업 선택을 클릭합니다.

      • 선택한 개체 무시를 클릭하고 확인을 클릭합니다.

      • 선택한 개체를 무시하려는 기한 날짜를 선택합니다.

      • 같은 방식으로 개체 무시를 중지하려면 선택한 개체 무시 중지 옵션을 사용하면 됩니다.

    • 이 지표의 모든 일탈 개체 목록을 CSV 파일로 내보내려면 모두 내보내기 버튼을 클릭합니다.

      전체 절차는 일탈 개체을 참조하십시오.

    • 권장 사항 탭을 클릭하면 이 지표를 수정하는 방법에 관한 권장 사항이 표시됩니다.

      수정 사용 사례은 위험 노출 지표의 일탈 수정도 참조하십시오.

  7. Trail Flow에는 AD 인프라에 영향을 미치는 이벤트에 대한 실시간 모니터링과 분석 내용이 표시됩니다. 이것을 사용하면 중대한 취약성과 수정하기 위해 권장되는 과정을 확인할 수 있습니다.

    자세한 정보는 Trail FlowTrail Flow 사용 사례를 참조하십시오.

    Trail Flow에 액세스:

    1. Tenable Identity Exposure에 로그인합니다.

    2. 왼쪽 상단에 있는 아이콘을 클릭하여 탐색 모음을 펼칩니다.

    3. Trail Flow를 클릭합니다.

    Trail Flow 페이지가 열리며 이벤트 목록이 표시됩니다. 여기에는 소스 유형, 개체 경로, 도메인 및 날짜가 포함됩니다.

    1. 오른쪽 상단의 날짜 입력란을 클릭하여 검색하려는 날짜를 입력합니다.

    2. 도메인을 클릭하면 원하는 Active Directory 서버 또는 포리스트를 변경할 수 있습니다.

    3. 오른쪽 상단의 일시 중지 버튼을 클릭하여 Trail Flow 캡처를 일시 정지하거나 다시 시작할 수 있습니다.

    검색에 대한 쿼리를 만드는 방법은 두 가지입니다. 수동으로 또는 마법사를 사용하여 만듭니다.

    • 이벤트를 수동으로 필터링하려면 검색 상자에 식을 입력하고 부울 연산자를 사용하여 결과를 미세 조정합니다.

      자세한 정보는 Trail Flow를 수동으로 검색을 참조하십시오.

    중요한 이벤트를 파악한 후 다음 수행:

    1. 이벤트를 클릭합니다. 이렇게 하면 그 개체의 변경 사항에 대한 특성을 불러옵니다.

    2. 왼쪽의 파란색 점 아이콘 위에 마우스 커서를 올리면 이벤트 이전과 당시의 값을 비교할 수 있습니다.

    3. 항목 위에 마우스 커서를 올리면 자세한 정보가 표시됩니다.

    4. 전체 값 보기를 클릭하고 버튼을 클릭하여 해당 정보를 클립보드로 복사합니다.

    Active Directory 서버 사이버 보안의 어려운 점 중 하나는 사이버 위험 노출에 영향을 미치지 않는 구성 변경 사항이 매우 많다는 사실입니다. 구성 변경 사항을 식별하는 방법:

    1. 마술 지팡이 아이콘을 클릭합니다.

    2. 일탈만을 사용 설정합니다.

    3. 유효성 검사를 클릭합니다.

    이벤트 옆에 빨간색 다이아몬드 기호가 있습니다. 이벤트를 하나 클릭하면 구성 변경 사항과 관련한 정보가 표시됩니다. 이외에 "일탈"이라는 레이블이 지정된 탭도 사용할 수 있습니다. 이 탭을 클릭하면 생성되거나 해결된 특정 사이버 위험 노출 항목을 확인할 수 있습니다.

  8. IoA에 액세스:

    1. Tenable Identity Exposure에 로그인합니다.

    2. 왼쪽 상단에 있는 아이콘을 클릭하여 탐색 모음을 펼칩니다.

    3. 공격 지표를 클릭합니다.

    기본적으로, 오늘의 공격 탐지 타임라인이 표시됩니다. 필터 변경 방법:

    • , 또는 을 클릭합니다.

    • 기간을 변경하려면 캘린더 아이콘을 클릭한 다음 적절한 기간을 선택합니다.

    포털 오른쪽에 있는 선택기를 사용하면 특정 도메인 또는 IoA에 대한 보기를 필터링할 수 있습니다.

    1. 도메인을 클릭하면 선택 항목을 보고 선택할 수 있습니다.

    2. X를 클릭하여 닫습니다.

    3. 지표를 클릭하면 선택 항목을 보고 선택할 수 있습니다.

    4. X를 클릭하여 닫습니다.

    예를 들어 2022년에 일어난 일 위주로 알아보려면:

    1. 버튼을 클릭하고 "2022"를 선택합니다.

    2. 타임라인의 빨간색, 노란색 막대를 클릭합니다.

    3. 이렇게 하면 그달에 탐지된 상위 3개의 위험 공격과 상위 3개의 중간 공격이 포함된 보기가 새로 표시됩니다.

    4. 이 보기를 닫으려면 검은색 상자 바깥쪽을 클릭하면 됩니다.

    타임라인 아래에 공격이 탐지된 모니터링 대상 도메인의 카드가 표시되어 있습니다.

    • 정렬 기준 드롭다운을 클릭합니다.

    • 카드를 도메인, 지표 중요도 또는 포리스트 기준으로 정렬할 수 있습니다.

    • 특정 도메인 또는 공격을 검색하려면 검색 상자를 사용합니다.

    • 기본적으로, 공격받고 있는 도메인의 카드만 표시됩니다. 보기를 토글하여 각 도메인을 표시하려면 공격을 받는 도메인만 표시에서 아니요로 전환하면 됩니다.

    카드 하나에는 두 가지 유형의 정보가 포함됩니다. 하나는 차트이고, 다른 하나는 상위 3개 공격입니다.

    1. 차트 유형을 변경하려면 카드의 오른쪽 상단에 있는 연필 아이콘을 클릭합니다.

    2. 공격 분포 또는 이벤트 수를 선택합니다.

    3. 저장을 클릭합니다.

    탐지된 공격에 관한 자세한 정보 보기:

    • 카드를 클릭하면 도메인과 관련된 인시던트가 표시됩니다.

    • 필터링하려면 검색 상자를 사용하여 시작 또는 종료 날짜, 특정 지표를 선택하거나 아니요/ 상자를 토글하여 종료된 인시던트를 표시하거나 숨깁니다.

    • 인시던트를 종료하려면 알림을 하나 선택하고, 하단의 작업 선택 메뉴를 클릭하고 선택한 인시던트 종료를 선택한 다음 확인을 클릭합니다.

    • 인시던트를 다시 열려면 알림을 하나 선택하고, 작업 선택 메뉴를 클릭한 다음 선택한 인시던트 다시 열기를 선택하고 확인을 클릭합니다.

    • 공격을 클릭하여 세부 정보 보기를 엽니다. 설명 패널에 공격에 대한 인시던트 설명, MITRE ATT&CK 프레임워크 정보, 외부 웹사이트로의 링크를 포함한 추가 리소스가 표시됩니다.

    • Yara 탐지 규칙 패널을 클릭하면 탐지 도구에서 맬웨어 리서치를 수행할 수 있는 규칙의 예시가 표시됩니다.

    • 모두 내보내기를 클릭하여 인시던트 목록을 내보냅니다. CSV 형식만 사용할 수 있습니다.

    Tenable Identity Exposure에서 공격을 탐지하면 오른쪽 상단의 벨 아이콘에 알림이 표시됩니다. 이러한 공격은 공격 알림 탭에 표시됩니다.

  9. Tenable Identity Exposure 알림 시스템을 사용하면 모니터링되는 Active Directory에서 발생하는 보안 저하 또는 공격을 파악할 수 있습니다. 이 시스템은 이메일 또는 Syslog 알림을 통해 취약성과 공격에 관한 분석 데이터를 실시간으로 푸시합니다.

    전체 절차는 알림을 참조하십시오.

    1. Tenable Identity Exposure에 연결합니다.

    2. 시스템 > 구성을 클릭합니다.

    3. 이 메뉴에서 SMTP 서버를 구성합니다.

    1. 알림 엔진 아래에서 이메일을 클릭합니다.

    2. 이메일 알림 추가 버튼을 클릭합니다.

    3. 이메일 주소 상자에 받는 사람의 이메일 주소를 입력합니다.

    4. 설명 상자에 주소에 대한 설명을 입력합니다.

    5. 알림 트리거 드롭다운 목록에서 변경 시, 각 일탈 시 또는 각 공격 시를 선택합니다.

    6. 프로필 드롭다운에서 이 이메일 알림에 사용할 프로필을 선택합니다.

    7. 일탈 시 알림 전송 상자를 선택하면 시스템 재부팅 때문에 알림이 트리거되면 이메일 알림을 보냅니다.

    8. 심각도 임계값 드롭다운에서 Tenable Identity Exposure에서 알림을 전송하게 되는 임계값을 선택합니다.

    9. 알림 전송 대상인 지표를 선택합니다.

    10. 알림 전송 대상 도메인 선택:

      1. 도메인을 클릭하여 Tenable Identity Exposure에서 알림을 보낼 대상인 도메인을 선택합니다.

      2. 포리스트 또는 도메인을 선택하고 선택 항목 필터링 버튼을 클릭합니다.

    11. 구성 테스트 버튼을 클릭합니다.

      메시지가 표시되어 Tenable Identity Exposure에서 서버에 이메일 알림을 보냈다고 확인합니다.

    1. 추가 버튼을 클릭합니다.

      메시지가 표시되어 Tenable Identity Exposure에서 이메일 알림을 만들었다고 확인합니다.

    1. Syslog를 클릭한 다음 Syslog 알림 추가 버튼을 클릭합니다.

    2. 수집기 IP 주소 또는 호스트 이름 상자에 알림을 받을 서버의 서버 IP 또는 호스트 이름을 입력합니다.

    3. 포트 상자에 수집기의 포트 번호를 입력합니다.

    4. 프로토콜 드롭다운에서 UDP 또는 TCP를 선택합니다.

    5. TCP를 선택하는 경우 TLS 옵션 확인란을 선택하여 TLS 보안 프로토콜을 사용 설정합니다.

    6. 설명 상자에 수집기에 대한 간략한 설명을 입력합니다.

    7. 알림을 트리거할 옵션 세 가지 중 하나(변경 시, 각 일탈 시 또는 각 공격 시)를 선택합니다.

    8. 프로필 드롭다운에서 이 Syslog 알림에 사용할 프로필을 선택합니다.

    9. 시스템 재부팅 또는 업그레이드 후에 알림을 보내려면 최초 분석 단계에서 일탈 탐지 시 알림 보내기에 체크 표시합니다.

    10. 변경 시 알림을 트리거하도록 설정하는 경우, 이벤트 알림을 트리거할 식을 입력하십시오.

    11. 구성 테스트 버튼을 클릭합니다.

      메시지가 표시되어 Tenable Identity Exposure에서 서버에 Syslog 알림을 보냈다고 확인합니다.

    12. 추가를 클릭합니다.

      메시지가 표시되어 Tenable Identity Exposure에서 Syslog 알림을 만들었다고 확인합니다.

  10. 대시보드를 사용하면 Active Directory 보안에 영향을 미치는 데이터와 추세를 시각화할 수 있습니다. 위젯을 사용하여 대시보드를 사용자 지정하여 요구 사항에 따라 차트와 카운터를 표시할 수 있습니다.

    자세한 정보는 대시보드를 참조하십시오.

    대시보드에 액세스:

    1. Tenable Identity Exposure에 로그인합니다.

    2. 왼쪽 상단에 있는 아이콘을 클릭하여 탐색 모음을 펼칩니다.

    1. 대시보드로 이동하여 추가를 클릭합니다.

    2. 대시보드 추가를 클릭합니다.

    3. 이름을 지정하고 확인을 클릭합니다.

    1. 오른쪽 상단에 있는 추가를 클릭합니다.

    2. 이 대시보드에서 위젯 추가를 선택하거나 화면 가운데에 있는 버튼을 클릭합니다.

    3. 위젯 유형을 선택합니다(막대형 차트, 꺾은선형 차트 또는 카운터).

    1. 꺾은선형 차트를 클릭합니다.

    2. 위젯 이름을 지정합니다(예: "지난 30일 간의 일탈").

    3. 데이터 유형(사용자 수, 일탈 수 또는 규정 준수 점수)을 선택합니다.

    4. 일탈을 선택하고 한 달로 설정합니다.

    5. 지표 없음을 클릭하고 어느 지표를 사용할지 선택합니다.

    6. 데이터 세트의 이름을 지정합니다(예: "위험").

    7. 필요에 따라 다른 데이터 세트를 추가합니다(예: 중간 및 낮음의 경우).

    1. 추가를 클릭합니다.

    1. 막대형 차트를 클릭합니다.

    2. 이름을 규정 준수로 지정하고 규정 준수 점수 데이터 유형을 선택합니다.

    3. 모든 지표를 선택합니다.

    4. 데이터 세트의 이름을 지정합니다(예: "IoE").

    5. 추가를 클릭합니다.

    1. 카운터를 클릭합니다.

    2. 위젯 이름을 지정하고(예: "사용자") 데이터 유형을 사용자 수로 설정합니다.

    3. 상태를 모두로 선택하고 도메인을 선택합니다.

    4. 데이터 세트의 이름을 지정하고 추가를 클릭합니다.

  11. Tenable Identity Exposure에서는 그래픽 표현을 통해 비즈니스 자산의 잠재적 취약성을 시각화하는 여러 가지 방법을 제공합니다.

    자세한 정보는 공격 경로를 참조하십시오.

    공격 경로 기능에 액세스:

    1. Tenable Identity Exposure에 로그인합니다.

    2. 왼쪽 상단의 메뉴 아이콘을 클릭하여 탐색 모음을 펼칩니다.

    3. 보안 분석 섹션에서 공격 경로를 클릭합니다. 공격 경로 기능에는 다음과 같은 세 가지 모드가 있습니다.

      • 공격 경로

      • 블래스트 반경

      • 자산 노출

    1. 검색 상자에 계정 이름을 입력합니다(예: "John Doe").

    2. 목록에서 계정을 선택하고 돋보기 아이콘을 클릭합니다.

    3. 선택한 침해된 계정에서 블래스트 반경을 살펴봅니다.

    4. 필요에 따라 노드를 필터링하여 조회합니다.

    5. 엔드포인트 위에 마우스 커서를 올리면 공격 경로가 표시됩니다.

    6. 옵션을 전환하면 모든 노드 도구 설명이 표시됩니다.

    7. 확대/축소 막대를 사용하여 보기를 조정합니다.

    8. 검색 대상을 변경하려면 계정 이름 옆에 있는 X를 클릭하고 새 검색을 수행합니다.

    1. 검색 상자에 중요한 서버의 이름을 입력합니다(예: "srv-fin").

    2. 목록에서 개체를 선택하고 돋보기 아이콘을 클릭합니다.

    3. 선택한 중요한 서버의 자산 노출을 살펴봅니다.

    4. 블래스트 반경 모드에서와 비슷한 옵션을 사용하십시오.

    5. 경로 위에 마우스 커서를 올리면 세부 정보가 표시됩니다.

    6. 옵션을 전환하면 모든 노드 도구 설명이 표시됩니다.

    7. 맨 아래의 막대를 사용해 보기를 조정합니다.

    1. 시작 지점의 검색 상자에 침해된 계정의 이름을 입력합니다(예: "John Doe").

    2. 계정 이름을 클릭합니다.

    3. 도착 지점의 검색 상자에 중요한 자산의 이름을 입력합니다(예: "s 또는 v-fin").

    4. 자산 이름을 클릭합니다.

    5. 돋보기 아이콘을 클릭합니다.

    6. 침해된 계정과 중요한 자산 사이에서 사용 가능한 공격 경로를 살펴봅니다.

    7. 블래스트 반경 및 자산 노출 모드에서와 비슷한 옵션을 사용하십시오.

    • 내 권한이 있는 자산은 누가 관리합니까?: 권한이 있는 자산으로 연결되는 공격 경로가 있는 모든 사용자 및 컴퓨터 계정을 표시합니다.

    • 내 권한이 있는 자산은 무엇입니까?: 계층 0 자산과 해당 자산으로 연결되는 잠재적 공격 경로가 있는 계정을 목록으로 나열합니다.

    • 탭을 전환하여 목록을 봅니다.

    • 보기를 전환하려면 항목 옆에 있는 돋보기 아이콘을 클릭합니다.

    • 파란색 화살표와 점 아이콘을 클릭하면 이 자산만 표시하도록 필터링된 자산 노출 보기가 열립니다.

    1. 공격 경로 기능을 사용하여 가설을 확인하고 엔터티 사이에서 위험한 공격 경로를 시각화합니다.

    2. 수정 작업을 수행하여 확인된 공격 경로를 닫습니다.