Tenable Identity Exposure 2024 온프레미스 릴리스 정보
이 릴리스 정보는 최신순으로 나열되어 있습니다.
Tenable Identity Exposure 3.77.6 (2024-12-04)
버그 수정
Tenable Identity Exposure 버전 3.77.6에는 다음과 같은 버그 수정이 포함됩니다.
| 이제 updater.exe 파일을 Tenable 인증서를 사용해 디지털 방식으로 서명합니다. 이렇게 하면 권한 없는 수정을 방지할 수 있고 파일의 진위성을 보장합니다. |
| 이제 Tenable Identity Exposure에서 개선된 상관 관계 분석 엔진을 통해 정확한 PetitPotam 공격 벡터를 제공합니다. IoA 이벤트 수신기를 다시 배포해야 합니다. |
| 이제 Tenable Identity Exposure에서 DnsNode 개체에서 IPv4 주소를 추출하기 위한 추가적인 역방향 DNS 형식을 지원하여, 이전의 공격 지표 기능에 있던 "알 수 없는" 출력 문제를 해결합니다. 이 개선 사항은 알림 컨텍스트를 개선하고 기본 모드의 관련 IOA 정확도를 강화합니다. |
| TCP Syslog 알림이 Windows Server 2016에서 예상한 대로 작동합니다. |
| 이제 Secure Relay 예약 작업에 유효한 매개 변수 -AfadRolePath가 있습니다. 업그레이드하는 중에 Tenable Identity Exposure에서 예약된 작업을 제거하고 다시 만듭니다. |
| 이제 ADCS 위험한 구성 오류 IoE가 "허용 목록에 추가된 트러스티" 옵션을 고려합니다. |
| 이제 위험한 Kerberos 위임 IoE가 사용 중지된 개체의 허용 목록 추가를 적용합니다. |
| 사용자에게 약한 비밀번호 정책 적용 IoE가 더 이상 "도메인에 권한 있는 PSO가 적용되지 않음" 이유에 대하여 오탐을 표시하지 않습니다. |
| 이제 원인으로 지목된 특성을 지역화하면 상세한 값이 표시됩니다. |
| NTDS 추출 공격 지표가 "허용된 프로세스" 옵션의 이름을 변경하여 "적극적" 모드 전용인 용도를 명확하게 밝히고, 사용하지 않는 "허용된 NTDS 대상 경로" 옵션은 제거했습니다. |
| 이제 Tenable Identity Exposure에서 큰따옴표(")를 이스케이프하여 내보낸 데이터의 정확도를 개선해 정확한 CSV 내보낼 수 있도록 합니다. |
| 일부 도메인에 연결할 수 없는 경우, 모든 도메인에 대한 연결 테스트는 예기치 않은 웹 인터페이스 시간 초과를 방지하기 위해 성능이 더 향상됩니다. |
| 이제 Tenable Identity Exposure가 지연을 포함해 수집된 Windows 이벤트 로그를 분석하도록 조정됩니다. |
| 이제 위험 노출 지표(IoE)에 표시되는 최신 탐지 날짜의 정확도가 개선되었습니다. |
| 이제 Microsoft Entra ID 일탈의 발견 사항이 선택한 테넌트를 정확히 매칭합니다. |
| 특정 경계 사례의 경우, Tenable Identity Exposure에서 비밀번호 해시를 분석할 수 없습니다. |
| Tenable Identity Exposure에서 DCSyncData에 'UserNameVariants' 필드를 추가하여 형식과 관계없이(SID, UPN, sAMAccountName) 사용자 이름을 허용 목록에 추가할 수 있게 되었습니다. 현재, 이 변경 사항은 DCSync 공격 IoA에만 해당합니다. |
| Envoy는 CA 인증서를 암호화된 형식으로 저장하며, 기본 경로 구성 크기를 4KB에서 4MB로 늘려 더 큰 페이로드를 수용합니다. |
| 이제 Tenable Identity Exposure에서 cloud.tenable.com으로 연결을 정확하게 테스트합니다. |
| LDAP 연결 문제가 발생하고 디렉터리 수신기가 12시간 후에 자동으로 재시작하여 누락 가능성이 있는 ADObject 상태를 포함해 다시 동기화합니다. |
| 이제 UDP Syslog 알림이 페이로드가 MTU 크기에 도달하면 해당 페이로드를 자릅니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015-2019 재배포 가능 | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| Rabbit MQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (2024-11-06)
새로운 기능
-
공격 지표(IoA)
-
새로운 기본 모드와 적극적 모드 — 기본 모드는 간소한 설정을 선호하는 고객을 위해 설계된 것으로, 구성 시간을 최소화하고 오탐을 줄여 불필요한 알림 노이즈를 줄입니다. 이 항목은 다음 IoA에 해당합니다.
-
DCSync
-
의심스러운 DC 비밀번호 변경
-
Golden Ticket
-
NTDS 추출
-
OS 자격 증명 덤핑: LSASS 메모리
-
로컬 관리자의 열거
-
SAMAccountName 가장
-
-
-
위험 노출 지표(IoE)
-
새로운 IoE
- 섀도 자격 증명 — "Windows Hello for Business" 기능 및 그와 관련된 키 자격 증명에서 섀도 자격 증명의 백도어와 구성 오류를 탐지하는 새 IoE입니다.
-
관리형 서비스 계정 위험한 구성 오류 — 관리형 서비스 계정이 적절하게 배포 및 구성되었는지 확인하는 새 IoE입니다.
-
권한 있는 인증 사일로 구성 — AD 관리자를 도와 계층 0 계정에 대한 인증 사일로를 설치하고 설정합니다.
-
속성 집합 무결성 — Microsoft Active Directory(AD)의 "속성 집합"이 속성 여러 개를 통합하여 ACL을 더 쉽고 효율적으로 관리합니다. 이 위험 노출 지표는 이러한 AD 개체 및 속성 내부에 구성 오류 또는 잠재적 백도어가 있는지 검사합니다.
-
권한 있는 AD 사용자 계정을 Microsoft Entra ID에 동기화 — 권한 있는 Active Directory 사용자 계정이 Microsoft Entra ID에 동기화되지 않았는지 검사합니다.
-
사용 설정된 게스트 계정 — 기본 제공하는 게스트 계정이 사용 중지되었는지 검사합니다.
-
충돌하는 보안 주체 — 중복된(충돌하는) 사용자, 컴퓨터 또는 그룹이 없는지 검사합니다.
-
RSOP 기반 IoE — Tenable Identity Exposure에서는 성능을 강화하기 위해 실시간 RSoP(Resultant Set of Policy) 검사를 제외합니다. 대신, 30분마다 RSoP 보안 검사를 한 번씩 예약하는데 이렇게 하면 RSoP 프로세스 중에 필요한 관련 검사를 더 잘 관리할 수 있습니다. 자세한 내용은 RSOP 기반 위험 노출 지표를 참조하십시오.
-
KRBTGT 계정의 마지막 비밀번호 변경 — Windows Hello for Business(클라우드 트러스트 배포)의 krbtgt_AzureAD 계정 지원이 추가되었습니다.
-
해독 가능한 비밀번호 — 이제 특성 msDS-PasswordReversibleEncryptionEnabled를 사용해 PSO가 정의한 해독 가능한 비밀번호 유효성 검사를 포함합니다.
-
로컬 관리 계정 관리 — 새로운 Windows LAPS 지원입니다. "LAPS 버전 설치됨"이라는 새 옵션을 도입하고, 사용자 선택에 따라 LAPS 버전 구성의 유효성을 검사합니다.
-
- 프록시— Tenable Identity Exposure 설치 또는 업그레이드 중 프록시 연결을 정의하는 기능입니다. 이 프록시 연결을 이용하면 온프레미스 환경이 Tenable One 기능과 호환되도록 합니다.
-
Secure Relay 설치 — 사용자가 별도의(독립형) 컴퓨터에 Secure Relay를 설치할 때 강화된 설치 프로그램이 디렉터리 수신기에서 자체 서명된 인증서가 빠르게 업로드할 수 있도록 지원합니다.
개선 사항
-
이제 이메일 알림이 보안 암호화 프로토콜, 구체적으로 TLS 1.2와 1.3만 지원합니다. Secure Relay에서 사용 중단된 SMTP 암호화 표준(예: SSLv3)을 사용하도록 재정의한 고객의 경우 해당 재정의를 제거해야 합니다. 허용되는 값은 서버 버전에 따른 자동 스위칭용으로 'Tls12', 'Tls13' 또는 'TLS12,Tls13'뿐입니다. 지원되지 않는 값을 사용하면 릴레이가 시작되지 않습니다.
-
새로운 10시간 '지연 시간'(Golden Ticket IoA)을 사용하면 이 기간에 정상 사용자를 허용 목록에 추가하여 오탐 수를 줄일 수 있습니다.
-
IoA 설정— 이벤트 분석을 트리거하기 전에 이벤트 수집 기간을 선택하는 기능입니다. 값은 30초~9분으로 제한됩니다.
-
Active Directory — Tenable Identity Exposure에서 관리하는 AD 개체의 크기 한도를 늘렸습니다.
-
위험 노출 지표
-
위험한 Kerberos 위임
-
스마트 카드가 있는 사용자는 AS-REP Roasting 공격의 영향을 받지 않으므로 이들을 더 이상 보안 문제로 간주하지 않습니다.
-
더 이상 "위임에 대한 보호 없음"을 이유로 컴퓨터를 일탈로 플래그하지 않고, 기존의 모든 일탈을 해결합니다.
-
새로운 이유를 통해, 제한된 위임(msDS-AllowedToDelegateTo)이 사용하는 특성이 존재하지 않는 서비스 주체 이름(SPN)을 언급하는 계정을 모두 보고합니다.
-
새로운 이유가 Microsoft Entra Connect 계정(AZUREADSSOACC)에 대한 Kerberos 위임의 현재 구성을 탐지합니다.
-
-
사용자 기본 그룹 IoE — 추가적인 이유를 통해, 권한 부족으로 인해 primaryGroupID 특성이 비어 있는 것으로 표시되는 모든 계정에 대하여 보고합니다.
만료되지 않는 비밀번호를 사용하는 계정 — 권한 있는 사용자와 일반 사용자를 구분하는 새로운 이유입니다.
충돌하는 보안 주체 — 사용자, 컴퓨터 또는 그룹과 같은 중복된(충돌하는) 개체가 없는지 검사하는 새로운 IoE입니다.
오래된 비밀번호를 사용하는 사용자 계정, 사용하지 않는 OS를 실행하는 컴퓨터, 휴면 계정 — 권한 있는 사용자와 일반 사용자를 구분하는 새로운 이유 두 가지를 추가했습니다.
컴퓨터 강화 GPO가 없는 도메인
모든 도메인 컴퓨터에서 null 세션이 명시적으로 사용 중지되었는지 확인하는 새로운 검사입니다.
도메인 컨트롤러(SYSVOL/NETLOGON 공유)에 대하여 구성된 강화된 UNC 경로와 관련된 새로운 검사를 도입했습니다.
모든 도메인 컨트롤러에서 Print Spooler 서비스가 사용 중지되었는지 확인하는 새로운 검사입니다.
SMB 서명 적용 — Tenable Identity Exposure에서 도메인 컨트롤러 및 기타 서버에 SMB 서명이 적절하게 적용되도록 보장합니다. 이 개선 사항은 "기본 도메인 컨트롤러 정책" 매개 변수를 확인하고 다른 서버에서 GPO가 정확하게 구성되었는지 확인합니다.
버그 수정
Tenable Identity Exposure 버전 3.77.3에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| 이제 "보호된 사용자 그룹을 사용하지 않음" 위험 노출 지표의 "허용된 사용자" 옵션이 이전처럼 고유 이름만 사용하는 방법이 아니라 UserPrincipalName (UPN), SID 및 sAMAccountName을 사용해 사용자를 허용 목록에 추가하도록 허용합니다. |
| 이제 공격 지표 수신기가 ASCII가 아닌 인코딩을 지원합니다. |
| Tenable Identity Exposure에서 허용 목록에 추가된 컨테이너(프로필에서 구성) 내의 컴퓨터에 대해 "사용자에게 약한 비밀번호 정책 적용" 일탈을 트리거하지 않습니다. |
| Tenable Identity Exposure에서 업그레이드하기 전에 시스템 스냅샷을 생성하도록 조언하는 경고 메시지를 표시합니다. |
| Tenable Identity Exposure에서 잔여 항목을 제거해 롤백 프로세스를 개선했습니다. |
| Tenable Identity Exposure에서 읽기 전용 프로필의 세부 정보를 볼 때 위험 노출 지표 표시 문제를 해결했습니다. |
| 이제 Envoy가 IPv4를 우선적으로 확인하고 IPv6로 폴백하여, 반대로 동작하던 현재 구성을 수정합니다. |
|
로그인 세션 쿠키 보안을 유지하는 기능으로 세션 쿠키를 HTTPS를 통해서만 전송하도록 보장하여 웹 애플리케이션의 보안이 강화됩니다. |
| 이제 Secure Relay 예약 작업에 유효한 매개 변수 -AfadRolePath가 있습니다. 업그레이드하는 중에 Tenable Identity Exposure에서 예약된 작업을 제거하고 다시 만듭니다. |
| Tenable Identity Exposure은 이제 Tier0 자산 그래프를 성공적으로 구성하도록 확인합니다. |
| 보안 분석 서비스가 CPU 사용량이 많은 피크 시간에(예: 보안 검사 중) 자체 입력을 처리합니다. |
| Tenable Identity Exposure에 상태를 알 수 없는 상태 검사 문제에 대한 설명이 표시됩니다. |
| Tenable Identity Exposure에서 트러스트 특성을 정확하게 구문 분석하여(드문 경우지만, 특성이 누락된 경우도 마찬가지) 문제 없이 토폴로지 보기를 표시합니다. |
| 이제 보안 분석 서비스를 호스팅하는 컴퓨터에서 공격 지표(IoA) 교착 상태 문제가 더 이상 발생하지 않습니다. |
| 이제 AD 데이터 수집기 서비스의 상태 검사가 True로 보고됩니다. |
| 사용자에게 약한 비밀번호 정책 적용 IoE에는 옵션의 한도와 관련된 경계 사례 처리 성능이 개선되었습니다. |
| 이제 디렉터리 리스너를 업그레이드하고 다시 시작한 뒤 Secure Relay 설치 프로그램이 트리거되지 않습니다. |
| 이제 Tenable Identity Exposure에서 Secure Relay가 더 이상 보안 분석 서비스에 필요하지 않은 LDAP 쿼리 결과를 반복해서 보내지 않도록 방지합니다. |
| 이제 DCSync IoA에서 Tenable 서비스 계정의 'samAccountName'이 20자를 초과하는 경계 사례를 감안하여 권한 있는 분석 기능을 사용 설정했을 때 알림이 트리거되지 않도록 합니다. |
| 지역화된 버전의 설치 프로그램을 이용할 때, 잘못된 인증서가 업로드되면 오류 메시지가 영어로 표시됩니다. |
| 이제 Microsoft Entra ID와 동기화된 권한 있는 AD 사용자 계정 IoE에 더 이상 "허용 목록 컴퓨터" 옵션이 필요하지 않습니다. |
| 이제 비밀번호 추측 IoA의 옵션 "탐지 시간 간격"이 정확한 레이블을 표시합니다. |
| Tenable Identity Exposure 환경의 기본 URL에 액세스할 때 더 이상 Tenable Identity Exposure 사용자 인터페이스가 두 번 로드되지 않습니다. |
| Tenable Identity Exposure에서 위험 노출 지표 페이지와 관련된 권한 동작을 업데이트했습니다. |
| Tenable Identity Exposure의 기능 향상으로 소형 SaaS 플랫폼에서 SQL 쿼리가 무기한 실행되지 않도록 방지하여 안정적인 데이터베이스 접근성을 보장합니다. |
| 이제 Tenable Identity Exposure의 IoE 창에 모든 Entra ID IoE가 표시됩니다. |
| Tenable Identity Exposure에서 비밀번호 스프레이 공격 지표(및 잠재적으로 기타 IoA)로 인한 오탐을 수정했습니다. |
| 몇몇 경계 사례의 경우, Tenable Identity Exposure에서 도메인에 조인된 컴퓨터의 Secure Relay 설치 프로세스를 업데이트했습니다. 이제 도메인 관리자 계정을 사용하는 고객에게 대신 로컬 관리자 계정을 사용하라는 프롬프트 메시지가 표시됩니다. |
| Tenable Identity Exposure에서 Relay 시작 중에 Relay와 플랫폼 사이 네트워크 검사를 수행하는 메커니즘을 도입했습니다. 플랫폼이 아직 작동하지 않으면 Relay 시작 프로세스는 안정적인 연결을 확인할 때까지 대기 상태를 유지합니다. |
| Tenable One 라이선스가 있는 경우, 사용자는 Tenable Vulnerability Management에서 만들어지며 Tenable Identity Exposure로 전파됩니다. 이 경우, Tenable Identity Exposure에서 "사용자 만들기" 버튼을 클릭하면 사용자를 만들기 위해 Tenable Vulnerability Management로 이동하라는 메시지가 표시됩니다. |
| 이제 Tenable Identity Exposure 설치 프로그램이 지역화된 버전에 맞게 작동합니다. |
| Tenable Identity Exposure에서 주요 업그레이드 중 오래된 .NET 버전을 제거합니다. |
| Tenable Identity Exposure에서 "NTDS 추출" IoA의 로깅 문제를 해결해 모든 상황에서 정확하게 작동하도록 했습니다. |
| "비밀번호 추측" IoA를 새로운 "탐지 시간 간격"으로 업데이트했습니다. 전에는 "비밀번호 스프레잉" IoA를 잘못 참조했습니다. |
| "Golden Ticket" IoA를 최적화하여 전에는 때때로 발생하면 한 시간 이상 지속되던 IoA 및 IoE 분석 일시 중지를 없앴습니다. |
| "Golden Ticket" IoA의 탐지 알고리즘이 강화되어 미탐과 오탐을 줄입니다. |
| Tenable Identity Exposure의 기능 향상으로 소형 플랫폼에서 SQL 쿼리가 무기한 실행되지 않도록 방지하여 안정적인 데이터베이스 접근성을 보장합니다. |
| 이제 공개 API 엔드포인트/export/profile/:profileId/checkers/:checkerId가 옵션 없이 정확하게 작동합니다. |
| 이제 설치 또는 업그레이드 이후 C:\Tenable\Logs에서 MSI 로그 파일을 사용할 수 있습니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015-2019 재배포 가능 | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |