Tenable Identity Exposure 3.19 온프레미스(2022-04-20)
새로운 기능
-
확장성 — 공격 지표를 동적으로 활성화하고 비활성화합니다.
-
LDAP 인증 — SASL 바인딩을 활성화/비활성화하는 기능이 추가되었습니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 LDAP를 사용한 인증을 참조하십시오.
-
메모리 캐시 — Tenable Identity Exposure에서 공격 지표(IoA)에 유리하도록 메모리 사용을 크게 개선했습니다.
-
새 공격 지표(자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.)
-
DPAPI 도메인 백업 키 추출 공격 지표는 LSA RPC 호출을 사용하여 백업 키에 액세스하는 다양한 공격 도구를 탐지할 수 있습니다.
-
대규모 컴퓨터 정찰: Active Directory 대상에 대량의 인증 요청을 생성하는 정찰 공격을 탐지합니다.
-
로컬 관리자 열거: Active Directory 데이터 열거 공격을 탐지합니다.
-
NTDS 추출: NTDS 추출은 공격자가 Active Directory 암호(예: 비밀번호 해시, Kerberos 키)를 저장하는 NTDS.dit 데이터베이스를 검색하는 데 사용하는 기술을 나타냅니다.
-
SAM 이름 가장: 이 공격 지표는 보안 기술 없이 표준 계정에서 도메인에 대한 권한을 상승시킬 수 있는 두 가지 취약성을 악용하려고 시도하는 공격자를 탐지합니다.
-
Kerberoasting IoA는 Active Directory 서비스 계정 자격 증명을 대상으로 하는 Kerberoasting 공격을 탐지하고 알림을 보냅니다.
-
-
Windows Server 2022 — Windows Server 2022에 대한 온프레미스 지원입니다.
-
Caroli 구성 요소 사용 중단 — 플랫폼 성능을 최적화하기 위해 사용을 중단했습니다.
-
InfluxDB 및 Equuleus 사용 중단 — 플랫폼 성능과 데이터 일관성을 최적화하기 위해 사용을 중단했습니다.
참고: 온프레미스 설치의 경우, Tenable Identity Exposure의 데이터베이스 구현을 변경하면 업그레이드 중 대시보드에서 과거 데이터가 손실됩니다. 온프레미스 플랫폼에서 사용자, 일탈 및 규정 준수 점수의 통계 기록이 삭제됩니다. 사용자/일탈 수 및 규정 준수 점수에 대한 위젯이 다시 초기화 후 가장 최신 값을 복구하지만 선형 차트 위젯은 데이터 포인트가 하나만 남고 점진적으로 값이 복원됩니다. -
도메인 연결 테스트 — 추가하거나 수정하기 전에 도메인 연결(LDAP 및 SYSVOL)을 테스트할 수 있습니다.
- 확장성 — Tenable Identity Exposure에서는 해결된 일탈은 더 이상 유용한 것으로 간주하지 않고 6개월 후에 데이터베이스에서 삭제합니다.
- 노출 지표 — 노출 지표 개선 사항 권한 있는 사용자에 대한 로그온을 제한합니다.
-
워크로드 할당량 — 동시에 실행되는 공격 지표 수에 대한 제한을 조정하는 새로운 기능입니다.
-
공격 경로: Active Directory 관계를 탐색하기 위한 새로운 그래픽 표현입니다.
-
블래스트 반경: AD 내에서 침해되었을 가능성이 있는 자산의 내부 확산 이동을 평가합니다.
-
공격 경로: 특정 진입점에서 자산이 도달하게 하는 권한 상승 기술을 예상합니다.
-
자산 노출: 자산 노출 시각화를 사용하여 자산의 취약성을 측정하고 모든 상승 경로를 차단합니다.
-
-
허니팟 계정 — Kerberoasting 공격 지표가 로그인 또는 서비스 요청을 탐지하도록 허용합니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 허니팟 계정을 참조하십시오.
-
API 엔드포인트 — API를 사용하여 데이터베이스에서 Active Directory 개체를 검색합니다.
-
Tenable Identity Exposure에서 LDAP 컨테이너에 대한 변경 사항(예: 이동, 이름 변경)을 컨테이너 하위 요소로 전달합니다.
버그 수정
Tenable Identity Exposure 버전 3.19에는 성능 개선 사항 외에도 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 | 결함 ID |
|---|---|
| Tenable Identity Exposure에서 다시 API 점수 정보를 반환합니다. | 해당 없음 |
| 이제 위젯 편집이 이전에 선택한 도메인을 반영합니다. | 해당 없음 |
| 이제 새로운 SQL 색인으로 인해 Tenable Identity Exposure의 분석 성능이 개선되었습니다. | 해당 없음 |
| Tenable Identity Exposure에서 올바른 월에서 1일에 발생하는 공격을 표시합니다. | 해당 없음 |
| GPO를 제거하면 Tenable Identity Exposure에서 삭제된 이벤트만 표시합니다. | 해당 없음 |
| SYSVOL 연결이 끊어지면 Tenable Identity Exposure에서 연결을 갱신하여 리스너가 새 이벤트를 가져오도록 합니다. | 해당 없음 |
| 이제 자격 증명 로밍 사용자와 그룹의 허용 목록에서 samAccountName 형식을 허용합니다. | 해당 없음 |
| Tenable Identity Exposure에서 해결된 일탈을 더 이상 유용한 것으로 간주하지 않고 6개월 후에 데이터베이스에서 삭제합니다. | 해당 없음 |
| 이제 Tenable Identity Exposure에서 알 수 없는 userAccountControl 특성이 있는 사용자를 활성 AD 사용자로 간주합니다. 이것은 Tenable Identity Exposure에서 제공한 계정에 이 특성이나 해당 특성 세트를 읽을 권한이 없을 경우 발생할 수 있습니다. 따라서 대시보드나 라이선스의 사용자 수 합계가 늘어날 수 있습니다. 자세한 내용은 기술적 필수 조건 문서에서 사용자 계정을 참조하십시오. | 해당 없음 |
| Tenable Identity Exposure에서 LDAP 컨테이너에 대한 변경 사항(예: 이동, 이름 변경)을 컨테이너 하위 요소로 전달합니다. | 해당 없음 |
| 자격 증명을 변경하더라도 SYSVOL 공유에 대한 연결이 성공합니다. | 해당 없음 |
| 이제 도메인을 삭제하고 다시 만들어서 권한이 있는 경로를 수정한 후에 Kerberos의 위험한 위임이 해결됩니다. | 해당 없음 |
| 이제 허용 목록에서 예상 형식을 명확히 지정합니다. | 해당 없음 |
| 공격 경로를 활성화한 후 SQL 서버가 정확하게 작동합니다. | 해당 없음 |
| 알림 이메일에 올바른 이미지 형식이 포함됩니다. | 해당 없음 |
| 이제 제어 경로 관계에서 소스와 대상 유형을 고려합니다. | 해당 없음 |
| Tenable Identity Exposure에서 컨테이너 이동을 탐지하면 하위 DN을 업데이트합니다. | 해당 없음 |
| 이제 공개 API를 사용하여 관리자 역할이 있는 마지막 사용자를 삭제할 수 없습니다. | 해당 없음 |
|
노출 지표(IoE) C-PKI-DANG-ACCESS:
|
해당 없음 |
| C-DC-ACCESS-CONSISTENCY IoE가 "삭제된 DC 보관" 토글 업데이트를 반영합니다. | 해당 없음 |
| 토글 업데이트 후 IoA/IoE 서비스가 다시 시작됩니다. | 해당 없음 |
| C-PASSWORD-POLICY IoE가 이제 모든 비전역 보안 그룹을 허용합니다. | 해당 없음 |
| Tenable Identity Exposure에서 대시보드 이름을 30자로 제한하고 이 제한을 초과하는 기존 이름을 30자 이내로 자릅니다. | 해당 없음 |
| Tenable Identity Exposure에서 변경 사항이 많은 개체의 수가 얼마 되지 않을 때 SQL 서버에서의 AD 개체 검색을 안정화했습니다. | 해당 없음 |
| 이제 위험한 위임 RBCD 백도어에서 계정 SID를 확인합니다. | 해당 없음 |
| Tenable Identity Exposure에서 대용량 메시지를 처리하려고 계속 시도하지 않습니다. | 해당 없음 |
| 네이티브 관리자 그룹 구성원 IoE(C-NATIVE-ADM-GROUP-MEMBERS): 기본 제공되는 관리자 그룹을 사용자 지정 그룹 옵션에 넣더라도 일관되지 않은 동작이 발생하지 않습니다. | 해당 없음 |
| 이제 권한 있는 사용자에 대한 로그온 제한 IoE(C-ADMIN-RESTRICT-AUTH)에서 하위 조직 단위로부터 컴퓨터를 제거하는 시점을 확인합니다. | 해당 없음 |
| 휴면 계정 IoE가 더 이상 삭제된 사용자를 반영하지 않습니다. | 해당 없음 |
| 이제 Tenable Identity Exposure API에서 사용자 생성 시 활성 상태가 아닌 경우 400 오류를 전송합니다. | 해당 없음 |
| 이제 Tenable Identity Exposure에서 Windows LTS 버전을 지원합니다. | 해당 없음 |
| 삭제된 사이트가 더 이상 일탈에 표시되지 않습니다. | 해당 없음 |
| Tenable Identity Exposure에서 OU를 변경할 때 그룹 구성원을 업데이트합니다. | 해당 없음 |
| Active Directory가 느리면 크롤링이 이미 진행 중이라면 더 이상 정기 크롤링이 시작되지 않습니다. | 해당 없음 |
| 3.1에서 3.11로 마이그레이션하더라도 GPO에서 오탐 일탈이 발생하지 않습니다. | 해당 없음 |
| Tenable Identity Exposure 크롤링 단계가 더 많은 경계 사례를 지원합니다. | 해당 없음 |
| Tenable Identity Exposure의 온프레미스 설치 프로그램에서 이제 최신 NodeJs 모듈을 사용합니다. | 해당 없음 |
| Tenable Identity Exposure의 분석 서비스는 실패 후 RabbitMQ 서버로 다시 연결합니다. | 해당 없음 |
| groupPolicyContainers 개체를 부분적으로 다시 크롤링하면 모든 특성이 반영됩니다. | 해당 없음 |
패치
Tenable Identity Exposure 3.19.12
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.12에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| RabbitMQ 라이브러리 종속성을 업그레이드하여 CVE-2022-37026을 수정했습니다. | 해당 없음 |
| Windows Server 2022 — Windows 2022 도메인 컨트롤러에 공격 지표를 설치할 때 더 이상 서버를 다시 부팅하지 않아도 됩니다. | 해당 없음 |
Tenable Identity Exposure 3.19.10
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.10에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| Tenable Identity Exposure에서 더 이상 AD 특성 msds-revealedusers를 수집하지 않고 Trail Flow에 표시하지 않습니다. 이것은 보안 분석에 유용하지 않았습니다. | 해당 없음 |
| RabbitMq 채널 연결의 복원력이 향상되었습니다. | 해당 없음 |
| IoE 페이지에서 특정 도메인 하나를 필터링하더라도 더 이상 예상치 못한 규정 준수 "도메인 없음" IoE가 표시되지 않습니다. | 해당 없음 |
Tenable Identity Exposure 3.19.9
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.9에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| Tenable Identity Exposure가 더 이상 SecProbe에서 Server Authentication EKU 검사를 수행하지 않습니다. | 해당 없음 |
| 이제 부분적으로 도메인이 조인된 컴퓨터에서 Tenable Identity Exposure가 해당 도메인과 관련된 SDDL 바이그램을 성공적으로 디코딩할 수 있습니다(예: Domain Admins의 경우 DA). | 해당 없음 |
| UAC를 사용 중지하는 AdObjectGptTmpl 개체가 마지막에 올 때 IoE 위험한 중요한 권한이 올바릅니다. | 해당 없음 |
Tenable Identity Exposure 3.19.8
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.8에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| SYSVOL의 크롤링과 수신이 이제 더 이상 충돌하지 않도록 동일한 연결을 사용합니다. | 해당 없음 |
Tenable Identity Exposure 3.19.7
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.7에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| Tenable Identity Exposure에서 내부 메시지 사용 효율이 개선되었습니다. | 해당 없음 |
| Tenable Identity Exposure에서 RabbitMQ 채널 연결 복원력이 개선되었습니다. | 해당 없음 |
| Tenable Identity Exposure에서 더 이상 userCertificate 특성을 수집하지 않습니다. | 해당 없음 |
| 이제 RabbitMQ 소비자가 독점적 큐에서 연결을 계속 시도합니다. | 해당 없음 |
| 공격 지표 로컬 관리자 열거 IoA는 이제 로컬 관리자가 로컬에서 열거되면 정상적인 작업일 가능성이 크므로 이를 필터링합니다. | 해당 없음 |
| Tenable Identity Exposure에서 내부 호출의 삭제된 도메인 또는 보안 프로필과 관련된 일탈을 자동으로 해결합니다. | 해당 없음 |
| 이제 설치 프로그램이 사용자 지정 인증서의 만료 날짜를 검사할 때 로캘을 고려합니다. | 해당 없음 |
Tenable Identity Exposure 3.19.5
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.5는 조기 릴리스로 인해 랜섬웨어 강화 노출 지표를 제거했습니다.
Tenable Identity Exposure 3.19.4(온프레미스)
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.4에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| IoA의 통합 보기의 PDF 내보내기가 온프레미스 설치에 제공됩니다. | 해당 없음 |
Tenable Identity Exposure 3.19.2(온프레미스)
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.2에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| Tenable Identity Exposure에서 새 시계열 데이터가 포함된 토폴로지 보기의 도메인 상세 정보를 표시합니다. | 해당 없음 |
| Tenable Identity Exposure 설치 프로그램은 지역 날짜/시간을 처리할 수 있습니다(온프레미스). | 해당 없음 |
Tenable Identity Exposure 3.19.1
Tenable Identity Exposure 버전 Tenable Identity Exposure3.19.1에 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| 노출 지표가 다시 스레드로부터 안전한 해싱 캐시를 사용합니다. | 해당 없음 |
| Tenable Identity Exposure에서 데이터베이스를 차단하지 않고 오래된 다중 값 특성을 효율적으로 제거합니다. | 해당 없음 |