Tenable Identity Exposure 3.19 온프레미스(2022-04-20)
새로운 기능
-
확장성 — 공격 지표를 동적으로 활성화하고 비활성화합니다.
-
LDAP 인증 — SASL 바인딩을 활성화/비활성화하는 기능이 추가되었습니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 LDAP를 사용한 인증을 참조하십시오.
-
메모리 캐시 — Tenable Identity Exposure에서 공격 지표(IoA)에 유리하도록 메모리 사용을 크게 개선했습니다.
-
새 공격 지표(자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.)
-
DPAPI 도메인 백업 키 추출 공격 지표는 LSA RPC 호출을 사용하여 백업 키에 액세스하는 다양한 공격 도구를 탐지할 수 있습니다.
-
대규모 컴퓨터 정찰: Active Directory 대상에 대량의 인증 요청을 생성하는 정찰 공격을 탐지합니다.
-
로컬 관리자 열거: Active Directory 데이터 열거 공격을 탐지합니다.
-
NTDS 추출: NTDS 추출은 공격자가 Active Directory 암호(예: 비밀번호 해시, Kerberos 키)를 저장하는 NTDS.dit 데이터베이스를 검색하는 데 사용하는 기술을 나타냅니다.
-
SAM 이름 가장: 이 공격 지표는 보안 기술 없이 표준 계정에서 도메인에 대한 권한을 상승시킬 수 있는 두 가지 취약성을 악용하려고 시도하는 공격자를 탐지합니다.
-
Kerberoasting IoA는 Active Directory 서비스 계정 자격 증명을 대상으로 하는 Kerberoasting 공격을 탐지하고 알림을 보냅니다.
-
-
Windows Server 2022 — Windows Server 2022에 대한 온프레미스 지원입니다.
-
Caroli 구성 요소 사용 중단 — 플랫폼 성능을 최적화하기 위해 사용을 중단했습니다.
-
InfluxDB 및 Equuleus 사용 중단 — 플랫폼 성능과 데이터 일관성을 최적화하기 위해 사용을 중단했습니다.
참고: 온프레미스 설치의 경우, Tenable Identity Exposure의 데이터베이스 구현을 변경하면 업그레이드 중 대시보드에서 과거 데이터가 손실됩니다. 온프레미스 플랫폼에서 사용자, 일탈 및 규정 준수 점수의 통계 기록이 삭제됩니다. 사용자/일탈 수 및 규정 준수 점수에 대한 위젯이 다시 초기화 후 가장 최신 값을 복구하지만 선형 차트 위젯은 데이터 포인트가 하나만 남고 점진적으로 값이 복원됩니다. -
도메인 연결 테스트 — 추가하거나 수정하기 전에 도메인 연결(LDAP 및 SYSVOL)을 테스트할 수 있습니다.
- 확장성 — Tenable Identity Exposure에서는 해결된 일탈은 더 이상 유용한 것으로 간주하지 않고 6개월 후에 데이터베이스에서 삭제합니다.
- 노출 지표 — 노출 지표 개선 사항 권한 있는 사용자에 대한 로그온을 제한합니다.
-
워크로드 할당량 — 동시에 실행되는 공격 지표 수에 대한 제한을 조정하는 새로운 기능입니다.
-
공격 경로: Active Directory 관계를 탐색하기 위한 새로운 그래픽 표현입니다.
-
블래스트 반경: AD 내에서 침해되었을 가능성이 있는 자산의 내부 확산 이동을 평가합니다.
-
공격 경로: 특정 진입점에서 자산이 도달하게 하는 권한 상승 기술을 예상합니다.
-
자산 노출: 자산 노출 시각화를 사용하여 자산의 취약성을 측정하고 모든 상승 경로를 차단합니다.
-
-
허니팟 계정 — Kerberoasting 공격 지표가 로그인 또는 서비스 요청을 탐지하도록 허용합니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 허니팟 계정을 참조하십시오.
-
API 엔드포인트 — API를 사용하여 데이터베이스에서 Active Directory 개체를 검색합니다.
-
Tenable Identity Exposure에서 LDAP 컨테이너에 대한 변경 사항(예: 이동, 이름 변경)을 컨테이너 하위 요소로 전달합니다.
버그 수정
버그 수정 | 결함 ID |
---|---|
Tenable Identity Exposure에서 다시 API 점수 정보를 반환합니다. | 해당 없음 |
이제 위젯 편집이 이전에 선택한 도메인을 반영합니다. | 해당 없음 |
이제 새로운 SQL 색인으로 인해 Tenable Identity Exposure의 분석 성능이 개선되었습니다. | 해당 없음 |
Tenable Identity Exposure에서 올바른 월에서 1일에 발생하는 공격을 표시합니다. | 해당 없음 |
GPO를 제거하면 Tenable Identity Exposure에서 삭제된 이벤트만 표시합니다. | 해당 없음 |
SYSVOL 연결이 끊어지면 Tenable Identity Exposure에서 연결을 갱신하여 리스너가 새 이벤트를 가져오도록 합니다. | 해당 없음 |
이제 자격 증명 로밍 사용자와 그룹의 허용 목록에서 samAccountName 형식을 허용합니다. | 해당 없음 |
Tenable Identity Exposure에서 해결된 일탈을 더 이상 유용한 것으로 간주하지 않고 6개월 후에 데이터베이스에서 삭제합니다. | 해당 없음 |
이제 Tenable Identity Exposure에서 알 수 없는 userAccountControl 특성이 있는 사용자를 활성 AD 사용자로 간주합니다. 이것은 Tenable Identity Exposure에서 제공한 계정에 이 특성이나 해당 특성 세트를 읽을 권한이 없을 경우 발생할 수 있습니다. 따라서 대시보드나 라이선스의 사용자 수 합계가 늘어날 수 있습니다. 자세한 내용은 기술적 필수 조건 문서에서 사용자 계정을 참조하십시오. | 해당 없음 |
Tenable Identity Exposure에서 LDAP 컨테이너에 대한 변경 사항(예: 이동, 이름 변경)을 컨테이너 하위 요소로 전달합니다. | 해당 없음 |
자격 증명을 변경하더라도 SYSVOL 공유에 대한 연결이 성공합니다. | 해당 없음 |
이제 도메인을 삭제하고 다시 만들어서 권한이 있는 경로를 수정한 후에 Kerberos의 위험한 위임이 해결됩니다. | 해당 없음 |
이제 허용 목록에서 예상 형식을 명확히 지정합니다. | 해당 없음 |
공격 경로를 활성화한 후 SQL 서버가 정확하게 작동합니다. | 해당 없음 |
알림 이메일에 올바른 이미지 형식이 포함됩니다. | 해당 없음 |
이제 제어 경로 관계에서 소스와 대상 유형을 고려합니다. | 해당 없음 |
Tenable Identity Exposure에서 컨테이너 이동을 탐지하면 하위 DN을 업데이트합니다. | 해당 없음 |
이제 공개 API를 사용하여 관리자 역할이 있는 마지막 사용자를 삭제할 수 없습니다. | 해당 없음 |
노출 지표(IoE) C-PKI-DANG-ACCESS:
|
해당 없음 |
C-DC-ACCESS-CONSISTENCY IoE가 "삭제된 DC 보관" 토글 업데이트를 반영합니다. | 해당 없음 |
토글 업데이트 후 IoA/IoE 서비스가 다시 시작됩니다. | 해당 없음 |
C-PASSWORD-POLICY IoE가 이제 모든 비전역 보안 그룹을 허용합니다. | 해당 없음 |
Tenable Identity Exposure에서 대시보드 이름을 30자로 제한하고 이 제한을 초과하는 기존 이름을 30자 이내로 자릅니다. | 해당 없음 |
Tenable Identity Exposure에서 변경 사항이 많은 개체의 수가 얼마 되지 않을 때 SQL 서버에서의 AD 개체 검색을 안정화했습니다. | 해당 없음 |
이제 위험한 위임 RBCD 백도어에서 계정 SID를 확인합니다. | 해당 없음 |
Tenable Identity Exposure에서 대용량 메시지를 처리하려고 계속 시도하지 않습니다. | 해당 없음 |
네이티브 관리자 그룹 구성원 IoE(C-NATIVE-ADM-GROUP-MEMBERS): 기본 제공되는 관리자 그룹을 사용자 지정 그룹 옵션에 넣더라도 일관되지 않은 동작이 발생하지 않습니다. | 해당 없음 |
이제 권한 있는 사용자에 대한 로그온 제한 IoE(C-ADMIN-RESTRICT-AUTH)에서 하위 조직 단위로부터 컴퓨터를 제거하는 시점을 확인합니다. | 해당 없음 |
휴면 계정 IoE가 더 이상 삭제된 사용자를 반영하지 않습니다. | 해당 없음 |
이제 Tenable Identity Exposure API에서 사용자 생성 시 활성 상태가 아닌 경우 400 오류를 전송합니다. | 해당 없음 |
이제 Tenable Identity Exposure에서 Windows LTS 버전을 지원합니다. | 해당 없음 |
삭제된 사이트가 더 이상 일탈에 표시되지 않습니다. | 해당 없음 |
Tenable Identity Exposure에서 OU를 변경할 때 그룹 구성원을 업데이트합니다. | 해당 없음 |
Active Directory가 느리면 크롤링이 이미 진행 중이라면 더 이상 정기 크롤링이 시작되지 않습니다. | 해당 없음 |
3.1에서 3.11로 마이그레이션하더라도 GPO에서 오탐 일탈이 발생하지 않습니다. | 해당 없음 |
Tenable Identity Exposure 크롤링 단계가 더 많은 경계 사례를 지원합니다. | 해당 없음 |
Tenable Identity Exposure의 온프레미스 설치 프로그램에서 이제 최신 NodeJs 모듈을 사용합니다. | 해당 없음 |
Tenable Identity Exposure의 분석 서비스는 실패 후 RabbitMQ 서버로 다시 연결합니다. | 해당 없음 |
groupPolicyContainers 개체를 부분적으로 다시 크롤링하면 모든 특성이 반영됩니다. | 해당 없음 |
패치
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.12에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
RabbitMQ 라이브러리 종속성을 업그레이드하여 CVE-2022-37026을 수정했습니다. | 해당 없음 |
Windows Server 2022 — Windows 2022 도메인 컨트롤러에 공격 지표를 설치할 때 더 이상 서버를 다시 부팅하지 않아도 됩니다. | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.10에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
Tenable Identity Exposure에서 더 이상 AD 특성 msds-revealedusers를 수집하지 않고 Trail Flow에 표시하지 않습니다. 이것은 보안 분석에 유용하지 않았습니다. | 해당 없음 |
RabbitMq 채널 연결의 복원력이 향상되었습니다. | 해당 없음 |
IoE 페이지에서 특정 도메인 하나를 필터링하더라도 더 이상 예상치 못한 규정 준수 "도메인 없음" IoE가 표시되지 않습니다. | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.9에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
Tenable Identity Exposure가 더 이상 SecProbe에서 Server Authentication EKU 검사를 수행하지 않습니다. | 해당 없음 |
이제 부분적으로 도메인이 조인된 컴퓨터에서 Tenable Identity Exposure가 해당 도메인과 관련된 SDDL 바이그램을 성공적으로 디코딩할 수 있습니다(예: Domain Admins의 경우 DA). | 해당 없음 |
UAC를 사용 중지하는 AdObjectGptTmpl 개체가 마지막에 올 때 IoE 위험한 중요한 권한이 올바릅니다. | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.8에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
SYSVOL의 크롤링과 수신이 이제 더 이상 충돌하지 않도록 동일한 연결을 사용합니다. | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.7에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
Tenable Identity Exposure에서 내부 메시지 사용 효율이 개선되었습니다. | 해당 없음 |
Tenable Identity Exposure에서 RabbitMQ 채널 연결 복원력이 개선되었습니다. | 해당 없음 |
Tenable Identity Exposure에서 더 이상 userCertificate 특성을 수집하지 않습니다. | 해당 없음 |
이제 RabbitMQ 소비자가 독점적 큐에서 연결을 계속 시도합니다. | 해당 없음 |
공격 지표 로컬 관리자 열거 IoA는 이제 로컬 관리자가 로컬에서 열거되면 정상적인 작업일 가능성이 크므로 이를 필터링합니다. | 해당 없음 |
Tenable Identity Exposure에서 내부 호출의 삭제된 도메인 또는 보안 프로필과 관련된 일탈을 자동으로 해결합니다. | 해당 없음 |
이제 설치 프로그램이 사용자 지정 인증서의 만료 날짜를 검사할 때 로캘을 고려합니다. | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.5는 조기 릴리스로 인해 랜섬웨어 강화 노출 지표를 제거했습니다.
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.4에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
IoA의 통합 보기의 PDF 내보내기가 온프레미스 설치에 제공됩니다. | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.2에는 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
Tenable Identity Exposure에서 새 시계열 데이터가 포함된 토폴로지 보기의 도메인 상세 정보를 표시합니다. | 해당 없음 |
Tenable Identity Exposure 설치 프로그램은 지역 날짜/시간을 처리할 수 있습니다(온프레미스). | 해당 없음 |
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.1에 다음과 같은 패치가 포함됩니다.
패치 | 결함 ID |
---|---|
노출 지표가 다시 스레드로부터 안전한 해싱 캐시를 사용합니다. | 해당 없음 |
Tenable Identity Exposure에서 데이터베이스를 차단하지 않고 오래된 다중 값 특성을 효율적으로 제거합니다. | 해당 없음 |