Tenable Identity Exposure 2024 릴리스 정보

팁: 구독하여 Tenable 설명서 업데이트 시 알림을 받을 수 있습니다.

이 릴리스 정보는 최신순으로 나열되어 있습니다.

Tenable Identity Exposure 3.81.2 (2024-10-29)

Tenable Identity Exposure 버전 3.81.2에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 공격 지표 수신기가 ASCII가 아닌 인코딩을 지원합니다.

Tenable Identity Exposure 3.81 (2024-10-21)

  • 컴퓨터 강화 GPO가 없는 도메인 위험 노출 지표:

    • 메모리 내 자격 증명을 보호하는 데 사용되는 Windows Defender Credential Guard 보안 기능과 관련한 새로운 이유.

    • Windows의 "Point and Print" 기능과 관련한 새로운 이유: 인쇄 드라이버 설치 및 업데이트 강화.

    • MiTM 및 Replay 공격을 완화하기 위한 LDAP 세션 서명 및 채널 바인딩과 관련한 새로운 이유.

  • 휴면 계정 위험 노출 지표에 지난 45일간 아무런 인증도 수행한 적 없는(lastLogonTimestamp 특성 기반) 도메인 컨트롤러를 보고하기 위한 새로운 이유가 생겼습니다. 이 기간은 새로운 옵션을 통해 사용자 지정할 수 있습니다.

  • DCSync-Like 공격을 허용하는 루트 개체 권한 이제 위험 노출 지표에 새로운 옵션 "Keep MSOL_* accounts"가 포함되어 이 옵션을 사용해 해당 계정을 제외하고 오탐을 줄일 수 있습니다. 이 옵션은 기본적으로 보안 프로필에서 사용 중지되어 있어 IOE가 MSOL_* 계정을 일탈로 플래그하지 않게 합니다.

  • NTDS 추출 공격 지표의 이름이 "허용된 프로세스"로 변경되어 "적극적" 모드 전용인 용도를 명확하게 밝히고, 사용하지 않는 "허용된 NTDS 대상 경로" 옵션은 제거했습니다.

  • 성능Tenable Identity Exposure에서 내부 모니터링 기능을 개선했습니다.

Tenable Identity Exposure 버전 3.81에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 Secure Relay 예약된 작업에 유효한 매개 변수 -AfadRolePath가 있습니다. 업그레이드하는 중에 Tenable Identity Exposure에서 예약된 작업을 제거하고 다시 생성합니다.
이제 Envoy가 IPv4를 먼저 사용하고 IPv6로 폴백하여 이전 구성(반대로 우선 순위를 지정)을 수정합니다.
이제 Tenable Identity Exposure가 지연을 포함해 수집된 Windows 이벤트 로그를 분석하도록 조정됩니다.
이제 Tenable Identity Exposure가 로그인 후에도 헤더의 표시 상태가 유지되도록 보장합니다.
Tenable Identity Exposure에서 Identity Explorer의 로딩 오류를 해결했습니다.
Tenable Identity Exposure에서 공격 알림 블레이드의 로딩 성능을 강화했습니다.
이제 Secure Relay가 디렉터리 수신기에 더 이상 필요하지 않은 루프를 발생시키는 LDAP 쿼리를 보내지 않습니다.
이제 보호된 사용자 그룹을 사용하지 않음 위험 노출 지표의 "허용된 사용자" 옵션이 사용자를 허용 목록에 추가할 때 이전처럼 고유 이름만 사용하는 것이 아니라 사용자 주체 이름(UPN), SID, sAMAccountName도 사용하게 허용합니다.

Tenable Identity Exposure 3.80(2024-10-03)

  • RSOP 기반 위험 노출 지표(IoE) — 전반적인 제품 성능을 향상하기 위해 이제 Tenable Identity Exposure에서 실시간이 아닌 30분에 한 번씩 소수의 IoE에 대하여 RSOP 검사를 수행합니다. 자세한 내용은 RSOP 기반 위험 노출 지표를 참조하십시오.

Tenable Identity Exposure 버전 3.80에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 '허용된 트러스티 목록' 옵션을 사용하면 계정에 이전 형식(DN 형식) 외에도 추가로 SID 형식을 사용할 수 있습니다.
이제 "위험한 Kerberos 위임" 위험 노출 지표가 사용 중지된 개체의 허용 목록 추가를 적용합니다.
이제 원인으로 지목된 특성을 지역화하면 상세한 값이 표시됩니다.
이제 위험 노출 지표(IoE)에 표시되는 최신 탐지 날짜의 정확도가 개선되었습니다.
Tenable Identity Exposure에 상태를 알 수 없는 상태 검사 문제에 대한 설명이 표시됩니다.
Tenable Identity Exposure에서 트러스트 특성을 정확하게 구문 분석하여(드문 경우지만, 특성이 누락된 경우도 마찬가지) 문제 없이 토폴로지 보기를 표시합니다.
일탈 상세 보기를 종료하면 페이지가 이전의 Active Directory 또는 Microsoft Entra ID 탭으로 돌아갑니다.
Tenable Identity Exposure에서 DCSyncData에 'UserNameVariants' 필드를 추가하여 형식과 관계없이(SID, UPN, sAMAccountName) 사용자 이름을 허용 목록에 추가할 수 있게 되었습니다. 현재, 이 변경 사항은 DCSync 공격 IoA에만 해당합니다.
이제 Tenable Identity Exposure에서 개선된 상관 관계 분석 엔진을 통해 정확한 PetitPotam 공격 벡터를 제공합니다. IoA 이벤트 수신기를 다시 배포해야 합니다.
이제 DCSync IoA에서 Tenable 서비스 계정의 'samAccountName'이 20자를 초과하는 경계 사례를 감안하여 권한 있는 분석 기능을 사용 설정했을 때 알림이 트리거되지 않도록 합니다.

Tenable Identity Exposure 3.79 (2024-09-16)

Tenable Identity Exposure 버전 3.79에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 dnsProperty 특성의 디코더가 동적 업데이트와 관련된 바이너리 데이터를 정확하게 구문 분석합니다.
이제 일탈이 발견되지 않은 경우 위험 노출 지표 세부 정보 창이 정확하게 표시됩니다.
Tenable Identity Exposure에서 Tenable Cloud Service에 대한 편집 권한이 없는 사용자를 대상으로 Tenable 클라우드 구성을 사용 중지합니다.
특정 경계 사례의 경우, 이제 Tenable Identity Exposure에서 계층 0 자산 그래프가 성공적으로 구성되도록 보장합니다.
보안 분석 서비스는 보안 검사와 같은 컴퓨팅 집약적인 작업을 수행할 때 철저한 위협 탐지를 위해 대량의 데이터 세트를 처리하기 때문에 CPU 사용량이 높습니다. 이로 인해 CPU가 급증할 수 있지만, 포괄적인 보안 범위를 보장합니다.
이제 Tenable Identity Exposure에서 큰따옴표(")를 이스케이프하여 내보낸 데이터의 정확도를 개선해 정확한 CSV 내보낼 수 있도록 합니다.
IoE의 최신 탐지 날짜 정확도가 개선되었습니다.
이제 Tenable Identity Exposure에서 이전에 OrphanGPO 이유와 관련하여 제기된 일탈을 정확하게 닫습니다.
이제 "Microsoft Entra ID와 동기화된 권한 있는 AD 사용자 계정" IoE에 더 이상 "허용 목록 컴퓨터" 옵션이 필요하지 않습니다.
"충돌하는 보안 주체" IoE가 대량의 CPU 사용량 문제를 해결하기 위해 보안 분석 서비스 시작 중에 과도한 검사를 줄였습니다.
Tenable Identity Exposure에서 성능 저하를 방지하기 위해 RMQ 메모리 한도를 높였습니다.
Tenable Identity Exposure에서 GPO 및 dnsNodes와 같은 기술적 개체에 특히 집중하여 특정 AD 개체의 표시된 이름을 향상했습니다.
Tenable Identity Exposure에서 samAccountName의 표시를 개선하고 검색 가능하도록 설정했습니다.

Tenable Identity Exposure 3.78(2024-08-27)

  • 위험 노출 지표

    • Netlogon 프로토콜의 안전하지 않은 구성 - Tenable Identity Exposure에서 이제 "레지스트리 키 검사 건너뛰기" 옵션의 기본값을 "참"으로 설정합니다. 이 변경 사항에서는 사용자가 2021년 2월 9일 업데이트를 적용했다고 가정합니다. 이 수정 사항은 기본 프로필에만 적용되며, 사용자 지정 프로필에는 영향을 주지 않습니다.

    • 사용하지 않는 OS를 실행하는 컴퓨터 - Tenable Identity Exposure에서는 활성 상태의 사용하지 않는 컴퓨터에 대한 마지막 로그인 정보를 추가했습니다.

  • Entra ID의 위험 노출 지표: 이제 다음 Entra ID IoE는 사용 중지된 사용자와 서비스 주체를 무시합니다.

    • 테넌트에 영향을 미치는 위험한 API 권한

    • 자격 증명이 있는 자사 서비스 주체

    • 관리자 수가 많음

    • 권한 있는 계정의 MFA 누락

    • 권한 없는 계정의 MFA 누락

      그 이유는 공격자가 이러한 항목을 바로 악용할 수 없기 때문입니다. MFA IoE의 경우, Microsoft Graph API가 사용 중지된 사용자의 MFA 상태를 잘못 반환합니다.

  • 공격 지표

    • DCSync는 소스가 접두사 MSOL_을 포함한 사용자 이름인 경우 알림을 트리거하지 않습니다(하드코딩됨, 기본 모드에서만 유효).

    • 대상 IP가 알려지지 않은 경우, 로컬 관리자의 열거는 알림을 트리거하지 않습니다.

    • Golden Ticket은 공격자가 TGT를 위조하여 인증한 경우에만 알림을 트리거합니다(기본 모드만 해당).

    • 도구가 Arctic Wolf Network에 속하는 경우 OS 자격 증명 덤핑: LSASS 메모리가 알림을 트리거하지 않습니다(기본 모드만 해당).

  • 이제 이메일 알림은 TLS 1.2 및 1.3과 같은 유효한 암호화 프로토콜만 지원합니다. Secure Relay를 재정의하여 SSL v3와 같이 사용 중단된 SMTP 암호화 표준을 강제 적용한 경우, 해당 재정의를 제거해야 합니다. 이제부터는 "Tls12", "Tls13" 또는 "Tls12, Tls13" 값만 허용됩니다(서버 버전에 따라 자동 전환). 지원되지 않는 값을 사용하면 릴레이가 시작되지 않습니다.

Tenable Identity Exposure 버전 3.78에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 Pendo 기능이 특정 Tenable Identity Exposure 환경에서 활성 상태입니다.
Tenable Identity Exposure 환경의 기본 URL(<environment>.tenable.ad)에 액세스할 때 Tenable Identity Exposure 사용자 인터페이스가 더 이상 두 번 로드되지 않습니다.
Tenable Identity Exposure에서 Secure Relay 설치 프로그램을 업데이트하여 현재 사용자가 로컬 관리자인지 검사하는 방식을 개선하여 이제 설치 프로그램이 도메인에 조인된 컴퓨터에서 제대로 작동합니다.
Tenable Identity Exposure에서 서비스 간 내부 요청/응답 흐름을 개선하여 이벤트 수집 중에 교착 상태가 발생하지 않게 했습니다.

이제 Entra ID 위험 노출 지표(IoE)의 일탈 개체 창을 닫으면 필터링 기본 설정이 보존된 채로 적절한 Entra ID IoE 목록으로 정확하게 리디렉션됩니다. 이 개선 사항을 적용한 이유는 일탈 개체의 URL 구조가 변경되었기 때문입니다. 이제 사용자가 IoE 목록에 처음 액세스했을 때 조회한 탭에 따라서 URL 구조에 "ad" 또는 "meid"가 포함됩니다.
이제 보안 분석 서비스를 호스팅하는 컴퓨터에서 공격 지표(IoA) 교착 상태 문제가 더 이상 발생하지 않습니다.
인바운드 트러스트의 경우, Tenable Identity Exposure 계산에 필요한 데이터가 로컬에 저장되지 않고 다른 도메인에 저장됩니다. 이 다른 도메인이 제품에 포함된 경우, 적절하게 모니터링되고 "보호"됩니다. 해당 도메인 관점에서 보았을 때 이 트러스트 관계는 아웃바운드 트러스트로 간주됩니다. 이 트러스트가 위험하다고 판단되면 Tenable Identity Exposure에서 이 특정 트러스트에 대해 해당 도메인에서 일탈을 탐지합니다.
이제 연결되지 않았거나 사용 중지되었거나 연결이 없는 GPO IoE가 제거된 GPO 관련 상황에 좀 더 효과적으로 대처합니다.
Tenable Identity Exposure에서는 성능을 개선하고 제품 중단을 방지하기 위해 Secure Relay와 디렉터리 수신기 사이의 504 오류를 줄였습니다.

Tenable Identity Exposure 3.76 (2024-07-25)

  • 충돌하는 보안 주체 위험 노출 지표(IoE) — 사용자, 컴퓨터 또는 그룹과 같은 중복된(충돌하는) 개체가 없는지 검사하는 새로운 IoE입니다.

  • 위험한 Kerberos 위임 IoE — 새로운 이유를 통해, 제한된 위임(msDS-AllowedToDelegateTo)이 사용하는 특성이 존재하지 않는 서비스 주체 이름(SPN)을 언급하는 계정을 모두 보고합니다.

  • Active DirectoryTenable Identity Exposure에서 관리하는 AD 개체의 크기 한도를 늘렸습니다.

Tenable Identity Exposure 버전 3.76에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
ID 탐색기에서 "테넌트 검색" 레이블이 이제 올바른 프랑스어 현지화 버전으로 표시됩니다.
이제 섀도 자격 증명 IoE가 연결 없는 키 자격 증명에서 발생한 오탐을 정확하게 처리합니다.
도메인 관리자 계정을 사용해 도메인에 조인된 시스템에 Secure Relay를 설치하면 팝업 메시지가 표시되어 로컬 관리자 계정을 사용하도록 안내합니다.
Tenable Identity Exposure에서 위험 노출 지표 페이지와 관련된 권한 동작을 업데이트했습니다.
이제 일부 경계 사례에서 NTDS 추출 공격 지표(IoA)가 적절히 작동하지 않게 방해했던 로깅 문제가 없습니다.

Tenable Identity Exposure 3.75 (2024-07-16)

  • 섀도 자격 증명 위험 노출 지표(IoE) — "Windows Hello for Business" 기능 및 그와 관련된 키 자격 증명에서 섀도 자격 증명의 백도어와 구성 오류를 탐지하는 새 IoE입니다.

  • 사용자 기본 그룹 IoE — 권한이 부족해 primaryGroupID 특성이 비어 있는 것으로 표시되는 모든 계정에 대한 추가적인 이유가 보고됩니다.

  • 비밀번호 스프레잉 공격 지표(IoA) — 상황에 따라 이 IoA 때문에 메모리 과부하와 같은 시스템 성능 문제가 발생한 경우가 있지만, 이제는 동일한 공격과 관련된 알림을 단일 알림으로 그룹화해 이러한 문제를 해결했습니다.

  • 이러한 IoA는 다음과 같은 경우 더 이상 알림을 트리거하지 않습니다.

    • DC Sync— 소스가 Azure ADConnect 도구와 관련된 사용자이거나 호스트 이름인 경우(기본 모드만 해당).

    • NTDS 추출 — 소스 도구가 VSS Requestor 또는 Veeam인 경우(정상적인 백업 도구).

    • 로컬 관리자 열거 — IoA가 소스 사용자 SID를 찾을 수 없는 경우(기본 모드만 해당).

    • Petit Potam — IoA가 관련 로그온 이벤트를 가져올 수 없는 경우.

    • Golden Ticket — IoA가 소스 벡터를 가져올 수 없는 경우(기본 모드만 해당).

Tenable Identity Exposure 버전 3.75에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 비밀번호 추측 IoA의 옵션 "탐지 시간 간격"이 올바른 레이블로 표시됩니다.
이제 사용자에게 약한 비밀번호 정책 적용 IoE가 정확한 언어의 리소스에 연결됩니다.
이제 ID 탐색기 페이지가 ID 데이터를 더 빠르게 로드합니다.

Tenable Identity Exposure 3.74 (2024-06-26)

  • DC 동기화, NTDS 추출, 로컬 관리자 열거 공격 지표(IoA) — 다음 상황에서 "기본" 모드는 더 이상 알림을 보내지 않습니다.

    • IoA가 이벤트 손실 또는 이벤트 수집 시 중대한 지연을 탐지하는 경우.

    • 이벤트 데이터가 누락되어 IoA가 공격의 소스를 식별할 수 없는 경우.

  • NTDS 추출 IoA — "기본" 및 "적극적" 모드에 새로운 활성 옵션 "허용 목록에 추가된 프로세스"가 공격 중에 플래그된 정상 프로세스를 예외로 인정합니다.

Tenable Identity Exposure 버전 3.74에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
새로운 메커니즘을 도입하여 badPwdCount 특성에 수정 사항이 너무 많더라도 데이터베이스 복원력이 보장됩니다. 특정 경계 사례의 경우, 불량 비밀번호 수 이벤트 비율을 관리하는 서비스가 메시지 큐 관리자로부터 연결이 끊겨 이벤트 처리가 중단되기도 했습니다.
활동 로그가 더 이상 내부 서비스 활동을 보고하지 않습니다.

Tenable Identity Exposure 3.73 (2024-06-13)

Tenable Identity Exposure 버전 3.73에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure의 기능 향상으로 소형 SaaS 플랫폼에서 SQL 쿼리가 무기한 실행되지 않도록 방지하여 안정적인 데이터베이스 접근성을 보장합니다.
작업 영역 메뉴(앱 스위처)가 사용자 인터페이스에서 차지하는 공간이 줄어 페이지 내용을 표시할 여유 공간을 확보했습니다.

Tenable Identity Exposure 3.72 (2024-05-30)

  • 이제 사용자가 분석을 트리거하기 전에 공격 지표(IoA)의 이벤트 수집 기간(값: 30초~9분)을 설정할 수 있습니다(레이턴시와 정확도 사이에 절충).

  • Golden Ticket IoA — 오탐을 줄이기 위해 Tenable Identity Exposure에서 10시간의 지연 기간을 두고, 이 기간에 자동적으로 정상 사용자를 허용 목록에 추가합니다.

Tenable Identity Exposure 버전 3.72에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure에서 Relay 시작 중에 Relay와 플랫폼 사이 네트워크 검사를 수행하는 메커니즘을 도입했습니다. 플랫폼이 아직 작동하지 않으면 Relay 시작 프로세스는 안정적인 연결을 확인할 때까지 대기 상태를 유지합니다.
이제 통신 채널에 중단이 발생하는 경우 인증 서비스가 채널을 자동으로 복원해 안정적인 인증 기능을 보장합니다.
Tenable Identity Exposure에서는 계정 잠금 중 사용자 열거 기능을 다루기 위한 보안 메커니즘을 구현했습니다.
이제 테넌트 필터링 기능이 제대로 작동하여 사용자가 Entra ID 관련 인시던트를 다룰 때 각자의 테넌트에 대한 위험 노출 지표를 필터링하고 조회할 수 있습니다.

Tenable Identity Exposure 3.71 (2024-05-22)

참고: Tenable Identity Exposure 3.70의 개선 사항과 버그 수정은 3.71 버전에 포함됩니다.

  • 공격 지표(IoA)

  • DC Sync:

  • 정상적인 이벤트를 필터링하는 시간을 더 오래 가질 수 있도록 "시간 지연" 옵션의 기본값을 1시간에서 12시간으로 늘렸습니다.

  • 기본 프로필에서 "알 수 없는 소스 허용" 옵션을 사용자 지정하지 못해 생기는 미탐을 방지하기 위해 해당 옵션의 기본값을 거짓에서 참으로 변경했습니다.

  • Golden Ticket — 특정 케이스에서 오탐이 트리거되는 것을 방지하기 위해 Windows 이벤트 로그 손실을 탐지합니다.

  • 로컬 관리자의 열거 — 관리형 서비스 계정이 필터링 프로세스를 거쳐 오탐 탐지 발생률을 줄입니다.관리형 서비스 계정은 필터링 프로세스를 거쳐 오탐 탐지의 발생 횟수를 줄입니다.

  • 위험 노출 지표(IoE)

    • 보호된 사용자 그룹을 사용하지 않음 — IoE의 추가 이유는 해당 그룹에 없는 모든 권한 있는 사용자를 보고합니다.

    • KRBTGT 계정의 마지막 비밀번호 변경 — Windows Hello for Business(클라우드 트러스트 배포)의 krbtgt_AzureAD 계정을 지원합니다.

Tenable Identity Exposure 버전 3.71에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정

공격 지표(IoA):

  • 자격 증명 덤핑: LSASS 메모리

    • 알 수 없는 항목의 수를 줄이기 위해 이 IoA의 공격 벡터에서 프로세스 이름의 상관 관계 분석을 변경했습니다.

    • 기본 모드에서 거부 목록 필터링을 개선했습니다.

  • NTDS 추출 — 기본 모드에서 거부 목록 필터링을 개선했습니다.
KRBTGT 계정의 마지막 비밀번호 변경 공격 지표 — 보안 프로필 사용자 지정에서 '사용 중지된 계정 유지' 및 '삭제된 계정 유지' 옵션을 제거했습니다.
이제 가끔씩 IoA 및 IoE 분석이 한 시간 이상 중단되는 경우가 없을 것입니다.
Tenable Identity Exposure에서 Identity Explorer 페이지의 데이터 품질을 개선했습니다.
이제 Relay는 레이턴시가 있는 네트워크 전반에서 Syslog 메시지가 안정적으로 전달되도록 보장합니다.
이제 웹 애플리케이션이 LDAPS 인증, SMTPS 등과 같은 TLS 연결의 유효성 검사에 사용할 목적으로 ECC CA 인증서를 업로드하도록 지원합니다.

Tenable Identity Exposure 3.69 (2024-04-18)

  • 신규 위험 노출 지표(IoE)

    • 관리형 서비스 계정 위험한 구성 오류 - 관리형 서비스 계정이 적절하게 배포되고 구성되었는지 확인합니다.

    • 사용 설정된 게스트 계정 - 기본 제공하는 게스트 계정이 사용 중지되었는지 확인합니다.

  • 위험 노출 지표 개선 사항

    • 컴퓨터 강화 GPO가 없는 도메인 — 모든 도메인 컴퓨터가 명시적으로 비활성화해야 하는 null 세션을 해결하도록 설계된 새 검사를 통합했습니다.

    • 기본 관리 그룹 멤버 - "Exchange 서버", "Exchange Windows 권한" 및 "Exchange 신뢰할 수 있는 하위 시스템" 그룹을 사용자 지정 그룹의 허용 목록에 추가했습니다. 이 수정 사항은 기본 보안 프로필에만 적용되며 기존 사용자 지정 보안 프로필에는 적용되지 않습니다.

    • 이전 비밀번호를 사용하는 사용자 계정 - 권한 있는 사용자와 일반 사용자를 구분하는 이유를 두 가지 더 추가했습니다.

  • 처리량을 높이기 위해 이제 LDAP 검색 요청이 Relay 및 Ceti 서비스 사이에서 결과를 배치 작업으로 처리합니다.

Tenable Identity Exposure 버전 3.69에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Golden Ticket 공격 지표의 탐지 알고리즘이 강화되어 오탐과 미탐을 줄입니다.
이제 Windows 2000 이전 호환 액세스 제어를 사용하는 계정 IoE의 일탈 수정이 정확하게 표시됩니다.
이제 컴퓨터 강화 GPO가 없는 도메인 IoE가 조사 결과를 정확하게 탐지합니다.

Tenable Identity Exposure 3.68 (2024-04-08)

위험 노출 지표(IoE) 개선 사항:

  • 휴면 계정 — 권한이 있는 사용자와 일반 사용자를 구분하는 새로운 이유 두 가지를 추가했습니다.

  • 사용하지 않는 OS를 실행하는 컴퓨터 — "비활성 사용하지 않는 OS" 일탈에서 마지막으로 성공한 사용자 로그온의 타임스탬프를 표시하기 위한 새로운 값 'lastLogonTimestamp'를 추가했습니다.

  • 컴퓨터 강화 GPO가 없는 도메인

    • 도메인 컨트롤러(SYSVOL/NETLOGON 공유)에 대하여 구성된 강화된 UNC 경로와 관련된 새로운 검사를 도입했습니다.

    • 도메인 컨트롤러에서 비활성화된 상태로 유지되어야 하는 Print Spooler 서비스와 관련된 새로운 검사를 도입했습니다.

    • 도메인 컨트롤러와 기타 서버에서 서버 메시지 블록(SMB) 서명이 적절하게 시행되는지 확인하기 위한 개선 사항을 추가했습니다. 이 개선 사항은 "기본 도메인 컨트롤러 정책" 매개 변수를 확인하고 다른 서버에서 GPO가 정확하게 구성되었는지 확인합니다.

  • 정책 결과 집합(RSoP) IoE - 최신 캐시로 RSoP IoE를 다시 실행하기 위해, 이제 Tenable Identity Exposure에서 버퍼링된 이벤트를 단기간에 걸쳐 집계하여 분석할 변경 사항의 수를 줄입니다(기본적으로 1분이며 "권한 있는 사용자의 로그온 제한" IoE만 해당).

Tenable Identity Exposure 버전 3.68에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 신규 IoA 옵션을 도입하기 전에 만든 사용자 지정 보안 프로필에서 공격 지표(IoA) 옵션을 업데이트할 수 있습니다.
이제 공개 API 엔드포인트 /export/profile/:profileId/checkers/:checkerId가 옵션 없이 정확하게 작동합니다.

Tenable Identity Exposure 3.67 (2024-03-21)

  • "위임에 대한 보호 없음"을 이유로 컴퓨터가 일탈로 표시될 수 없습니다. Tenable Identity Exposure에서 이 문제와 관련된 모든 기존 일탈을 확인하고 해결합니다.

  • 위험 노출 지표(IoE) 개선 사항 - 사용자 계정의 Kerberos 구성 IoE에서, 스마트카드가 있는 사용자는 AS-REP Roasting 공격으로부터 안전하며 Tenable Identity Exposure에서는 더 이상 이것을 보안 문제로 플래그하지 않습니다.

  • 공격 지표(IoA) 개선 사항:

    • 비밀번호 추측 - 새 옵션인 "비밀번호 스프레잉 탐지 시간 간격"에서 각각의 실패한 로그인 시도를 잠재적인 공격이 진행 중인 것으로 분류하는 기간(분 단위)을 지정합니다.

    • 로컬 관리자의 열거

      • 새 옵션인 "적극적 모드에서 필터링된 액세스 권한"에서는 잠재적인 공격이 진행 중인 것으로 분류하기 위해 '네트워크 공유 개체가 검사됨' 이벤트에서 가져온 지정된 액세스 권한만 고려합니다. 이 목록은 적극적 모드에만 해당합니다.

      • 이제 "Windows Server 2016 이전 버전을 사용하는 도메인 컨트롤러에 대한 추론" 옵션의 기본값이 "False"입니다.

    • DCSync - 이제 "알 수 없는 소스 허용" 옵션의 기본값이 "False"입니다.

    • NTDS 추출 - "기본 모드"의 새 "거부 목록": diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, wmi 기반 기법, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI 기반 기법.

    • 자격 증명 덤핑 LSASS 메모리 - "기본 모드"의 새 "거부 목록": mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.

Tenable Identity Exposure 버전 3.67에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정

이제 다음과 같은 IoA 구성에서 다음 옵션을 수정하면 Tenable Identity Exposure에서 보안 프로필을 정확하게 업데이트합니다.

  • 자격 증명 덤핑 LSASS 메모리: - "적극적 모드" 및 "공격 도구"

  • DCSync: "적극적 모드" 및 "지연 시간"

  • Golden Ticket: "지연 시간"
Tenable One 라이선스가 있는 경우, 사용자는 Tenable Vulnerability Management에서 만들며 Tenable Identity Exposure로 전파됩니다. 이 경우, Tenable Identity Exposure에서 "사용자 만들기" 버튼을 클릭하면 메시지가 표시되어 Tenable Vulnerability Management로 이동해 사용자를 만들라고 알립니다.
이제 Tenable Identity Exposure의 IoE 창에 모든 Entra ID IoE가 표시됩니다.
이제 설치 또는 업그레이드 이후 C:\Tenable\Logs에서 MSI 로그 파일을 사용할 수 있습니다.

Tenable Identity Exposure 3.66 (2024-03-11)

공격 지표(IoA) - 오탐을 제한하기 위해 다음 IoA에 새 옵션이 있습니다. 자세한 내용은 공격 지표 참조 가이드를 참조하십시오.

참고: 이번 릴리스부터 모든 보안 프로필의 모든 IoA에서 "적극적 모드" 옵션이 기본적으로 "False"로 설정됩니다. 각 보안 프로필의 IoA마다 이 옵션을 "True"로 전환할 수 있습니다.

  • 의심스러운 DC 비밀번호 변경 - 새 옵션:

    • "적극적 모드":

  • True: 사용자가 인증되었든 아니든 관계없이 공격을 탐지합니다.

  • False(기본값): 인증된 사용자만 탐지합니다.

  • "비밀번호 변경 간격": "적극적 모드"에서 이 옵션은 두 번의 비밀번호 변경 사이의 기간을 지정합니다(기본값은 30일).

  • DCSync - 새 옵션:

  • "적극적 모드":

    • True: IoA 규칙을 기반으로 모든 공격을 트리거하여 수많은 오탐을 생성할 수 있습니다.

    • False(기본값): 컴퓨터가 도메인에 있지 않은 경우에만 공격을 트리거합니다. 이렇게 하면 탐지하는 공격의 수는 더 적지만 오탐을 방지할 수 있습니다.

개선 사항

  • 정책 결과 집합(RSoP)에 따라 위험 노출 지표의 연산 기간을 최적화하여 RSoP와 관련된 일탈 연산 속도가 더 느려집니다. 자세한 내용은 Tenable Identity Exposure 사용자 가이드의 RSoP 기반 위험 노출 지표를 참조하십시오.

  • 역할 권한 관리에서 Entra ID 테넌트의 데이터 가시성을 제한하는 지원을 추가했습니다.

Tenable Identity Exposure 버전 3.66에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
OS 자격 증명 덤핑 LSASS IoA — 이제 Tenable Identity Exposure에서 "적극적 모드" 옵션에 지정된 허용 목록을 고려합니다.
Tenable Identity Exposure에서는 변경을 제한하는 스로틀링 수단을 사용하여 badPwdCount 특성에 대한 수많은 수정 사항을 처리할 때 데이터베이스의 복원력을 강화하기 위한 새로운 메커니즘을 구현했습니다.
Tenable Identity Exposure에서 중국어 명명 규칙을 업데이트했습니다.

Tenable Identity Exposure 3.65 (2024-02-27)

공격 지표(IoA) — 오탐을 제한하기 위해 다음 IoA에 설정되는 새로운 기본값입니다. 자세한 내용은 공격 지표 참조 가이드를 참조하십시오.

  • Golden Ticket — 새로운 "적극적 모드" 옵션:

    • False(기본, 기본값): 대상 사용자가 도메인 컨트롤러이거나 Domain Admins 그룹에 속한 사용자인 경우에만 공격을 트리거합니다.

    • True: 대상 사용자 이름이 "Domain Admins" 그룹의 구성원이나 도메인 컨트롤러가 아니더라도 공격을 허용합니다. 또한, 일부 도메인 컨트롤러가 모니터링되지 않는 경우에도 공격을 허용합니다(즉, Windows Event Log를 내보내지 않음).

  • SAMAccountName 가장 — 새로운 "적극적 모드" 옵션:

    • False(기본, 기본값): TargetUserName이 도메인 컨트롤러(DC)가 아닌 경우 공격을 트리거하지 않습니다.

    • True: IoA 규칙을 기반으로 모든 공격을 트리거하여 수많은 오탐을 생성할 수 있습니다.

  • OS 자격 증명 덤핑: LSASS 메모리 — 새로운 옵션:

    • "적극적 모드":

    • False(기본, 기본값): 이 IoA는 도구를 인식하고 미리 정의된 프로세스만 합법적이지 않은 것으로 간주합니다.

    • True: 이 IoA는 허용 목록에 없는 모든 공격 도구를 합법적이지 않은 것으로 간주합니다.

    • "적극적 모드에서 허용되는 프로세스": 선택 사항이며 "적극적 모드" 옵션이 True인 경우에만 적용됩니다.

    • "기본 모드 - 거부 목록": 기본 모드에서는 지정된 도구만 공격을 트리거할 수 있습니다.

  • NTDS 추출— 새로운 옵션:

    • "적극적 모드":

  • False(기본, 기본값): 이 IoA는 도구를 인식하고 미리 정의된 프로세스만 합법적이지 않은 것으로 간주합니다.

  • True: 이 IoA는 허용 목록에 없는 모든 공격 도구를 합법적이지 않은 것으로 간주합니다.

  • "기본 모드 - 거부 목록": 기본 모드에서는 지정된 도구만 공격을 트리거할 수 있습니다.

  • "기본 모드 공격 허용 목록에 추가된 프로세스"(이전의 "허용 목록에 추가된 프로세스"): 선택 사항이며 "적극적 모드" 옵션이 True인 경우에만 적용됩니다.

  • 대규모 컴퓨터 정찰— 옵션에 대한 새로운 기본값:

    • 컴퓨터 수 — 5000

    • 최소 컴퓨터 수 — 100

    • 컴퓨터 비율 — 95

    • 슬라이딩 시간 — 240

    • 공격 간 대기 시간 — 240

  • 비밀번호 추측— 옵션에 대한 새로운 기본값:

    • 시도에 실패한 계정 수 — 10,000

  • 로컬 관리자 열거 — 이제 "Windows Server 2016 이전 버전을 사용하는 도메인 컨트롤러에 대한 추론" 옵션이 기본적으로 "False"로 설정됩니다.

위험 노출 지표(IoE)

  • 새로운 IoE

  • 권한 있는 인증 사일로 구성 — 권한 있는(계층 0) 계정의 인증 사일로 구성과 관련한 단계별 가이드를 제공합니다.

  • 권한 있는 AD 사용자 계정을 Microsoft Entra ID에 동기화 — 권한 있는 Active Directory 사용자 계정이 Microsoft Entra ID에 동기화되지 않았는지 검사합니다.

  • 개선 사항

    • 위험한 Kerberos 위임 IoE — Microsoft Entra Connect 계정(AZUREADSSOACC)에 대한 Kerberos 위임의 현재 구성을 탐지하기 위한 새로운 이유를 소개합니다.

    • 해독 가능한 비밀번호 IoE — 비밀번호 설정 개체(PSO) 내의 msDS-PasswordReversibleEncryptionEnabled 속성에서 정의한 설정을 기반으로 해독 가능한 형식으로 저장하도록 구성된 비밀번호를 유효성 검사합니다.

    • 로컬 관리자 계정 관리 IoE — "LAPS 버전 설치됨"이라는 새로운 옵션으로 새로운 Microsoft Local Administrator Password Solution(LAPS)에 대한 지원을 추가하고 사용자 선택에 기반하여 LAPS 버전 구성을 유효성 검사합니다.

Tenable Identity Exposure 버전 3.65에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure에서 Microsoft Entra ID 테넌트 삭제와 관련된 문제를 해결했습니다. 이전에는 삭제 휴지통 아이콘을 클릭하면 이전에 획득한 특정 자산이 남아 있을 수 있었습니다. 현재 해결 방법으로 이 프로세스 중에 모든 자산이 완전히 삭제됩니다.
Tenable Identity Exposure에서 권한이 낮은 로컬 사용자가 Tenable Identity Exposure Secure Relay 호스트에서 애플리케이션 파일을 수정할 수 있는 주입 취약성을 해결했습니다.
Tenable Identity Exposure에서 데이터베이스의 데이터 불일치가 원인일 수 있는 null 값으로 인한 쿼리 실패 문제를 해결했습니다. 예를 들어, 필수적인 Software Factory(SF)에 아직 도달하지 않은 자산에 대해 압축 권한이 지정된 경우 이런 문제가 발생할 수 있습니다.
Tenable Identity Exposure에서 드물게 발생하는 특정 시나리오에서 초기화 중에 충돌이 일어나지 않도록 공격 경로 기능을 강화했습니다.
Tenable Identity Exposure에서 데이터베이스가 무결성이나 성능을 저하하지 않고 badPwdCount 속성에 대한 여러 수정 사항을 처리할 수 있도록 보장하는 새로운 메커니즘을 구현했습니다.

Tenable Identity Exposure 3.64 (2024-02-07)

Tenable Identity Exposure 버전 3.64에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
공격 지표 의심스러운 DC 비밀번호 변경에서 기본적으로 30일마다 비밀번호를 변경하는 Windows Server 2008 R2 시스템과 관련된 오탐을 해결했습니다.

Tenable Identity Exposure 3.63 (2024-01-24)

  • 공격 지표자격 증명 덤핑: LSASS 메모리NTDS 추출 공격 지표의 "허용된 프로세스" 옵션에 오탐을 발생시키는 것으로 알려진 프로세스를 포함합니다.

Tenable Identity Exposure 버전 3.63에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure에서 토폴로지 도메인과 연관된 도메인을 제거한 후에는 더 이상 해당 토폴로지 도메인이 표시되지 않습니다.
이제 Microsoft Entra ID의 현재 스캔 상태에 스캔 실패 오류가 표시됩니다. 이전 스캔이 성공했더라도 마찬가지입니다.
이제 Tenable Identity Exposure에서 Syslog 알림 구성 업데이트 후 CA 인증서를 정확하게 새로 고칩니다.
이 기능이 활성 상태이면 Tenable Identity Exposure의 내부 기술 데이터가 더 이상 Tenable Cloud에 자산으로 전송되지 않습니다.
비밀번호 약점 탐지 위험 노출 지표에서 비밀번호 재사용과 관련된 일탈에 이제 문제가 있는 비밀번호 해시 접두사가 드러납니다.
호스트 이름이 없는 4776 이벤트를 분석한 결과가 "알 수 없는" 소스인 경우, 이제 Tenable Identity Exposure에서 이 일탈을 비밀번호 스프레잉 공격 지표의 "알 수 없는 소스 허용" 옵션에 따라 필터링하여 제거합니다.

Tenable Identity Exposure 3.62 (2024-01-10)

Tenable Identity Exposure 버전 3.62에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 Tenable Identity Exposure에서 이름이 500자를 초과하는 특성을 만들 때 SYSVOL 파일을 컴퓨팅합니다.
이제 Secure Realy에 SYSLOG 구성에 적용된 수정 사항이 반영되어 SYSLOG 메시지가 SIEM으로 이동하도록 다시 사용 설정합니다.
이제 랜섬웨어에 대한 강화 부족 위험 노출 지표(IoE)가 허용 목록 제외를 정확하게 관리합니다.
Tenable Identity Exposure에서 IoE의 권한 있는 그룹의 정확한 자격 요건에 영향을 미치는 문제를 해결했습니다(일반 사용자에 대해 설정된 AdminCount 특성, 권한 있는 그룹의 사용 중지된 계정, Kerberos 서비스를 실행하는 권한 있는 계정계정의 매핑된 인증서).
이제 Microsoft Entra ID 스캔 상태가 더 정확하여 문제가 발생하는 경우 더 분명하게 표시합니다.