Erkennung und Abwehr von Bedrohungen in AD

Directory Services Protector

Schützen Sie Ihre kritische Identitätsinfrastruktur vor Cyberangriffen mit der branchenweit umfassendsten ITDR-Plattform (Identity Threat Detection and Response) für Active Directory und Azure AD.

Umfassende Active Directory-Sicherheit

Die Sicherung von Active Directory und Azure Active Directory ist ein schwieriges Unterfangen, denn im Laufe der Zeit mehren sich Fehlkonfigurationen. Dadurch entstehen Sicherheitsschwachstellen, die Angreifer gerne ausnutzen. In der Tat zeigen Forschungsergebnisse von Mandiant, dass 9 von 10 Cyberangriffen AD betreffen. Semperis bietet eine äußerst umfassende Lösung für die Erkennung von und die Reaktion auf hybride AD-Bedrohungen, die die Umgebung kontinuierlich überwacht, böswillige Änderungen rückgängig macht und einen zentralen Überblick über die Sicherheitslage von AD und Azure AD bietet.

Angreifern den Zugang zu AD und Azure AD verweigern
Änderungen in AD und Azure AD erfassen, die die Sicherheitsprotokolle umgehen
Böswillige Änderungen automatisch beheben
Schneller auf Vorfälle reagieren und zukünftige Angriffe verhindern

Die Sicherheit von Active Directory in Ihrer Hand

Active Directory kann den aktuellen Cyberbedrohungen nicht standhalten. Es ist bekanntlich schwierig, das lokale AD und Azure AD in einer hybriden Umgebung zu schützen. Außerdem wechseln Angreifer oft von lokalen Systemen in die Cloud (oder umgekehrt), um sich höhere Berechtigungen zu verschaffen – wie bei dem Angriff auf SolarWinds. In unserer mobilen und cloudbasierten Welt kann jedes verbundene Gerät das Kernstück Ihrer IT-Infrastruktur preisgeben.

In einem hybriden AD-Szenario vergrößert sich die potenzielle Angriffsfläche. Directory Services Protector ist die einzige Lösung zur Erkennung von und Reaktion auf Bedrohungen, die eine einheitliche Übersicht über Sicherheitsschwachstellen in der gesamten hybriden Umgebung bietet. Mit DSP können Sie Änderungen im lokalen AD und im Azure AD korrelieren, um Angreifer zu stoppen.

Die Angriffsfläche reduzieren
Die Angriffsfläche reduzieren

Geben Sie Angreifern keine Chance, indem Sie AD-Schwachstellen und riskante Konfigurationen in hybriden Umgebungen frühzeitig erkennen. Erhalten Sie priorisierte, handlungsorientierte Anleitungen von einer Gemeinschaft von AD-Sicherheitsforschern. Reduzieren Sie Ihre AD-Angriffsfläche und bleiben Sie der ständig wachsenden Bedrohungslandschaft voraus.

Demo anfordern
Fortgeschrittene Angriffe erkennen
Fortgeschrittene Angriffe erkennen

Halten Sie Angreifer im Auge, die sich mit Lateral-Movement-Taktiken unkontrolliert in Ihrer hybriden AD-Umgebung ausbreiten. Verschaffen Sie sich anhand mehrerer Datenquellen, einschließlich des AD-Replikationsdatenstroms, einen ununterbrochenen Überblick über fortgeschrittene AD-Angriffe, die die agenten- oder protokollbasierte Erkennung umgehen. Integrieren Sie detaillierte Sicherheitsdaten mit Splunk, Microsoft Sentinel oder anderen SIEM-Lösungen, um einen beispiellosen Einblick in potenzielle Bedrohungen zu erhalten.

Demo anfordern
Die Wiederherstellung automatisieren
Die Wiederherstellung automatisieren

Schalten Sie die AD-Sicherheit auf Autopilot, um Angreifern unverzüglich Einhalt zu gebieten. Führen Sie automatische Rollbacks von böswilligen Änderungen in AD durch, wenn es zu riskant ist, auf menschliche Eingriffe zu warten. Machen Sie unerwünschte Änderungen in Azure AD rückgängig. Erstellen Sie benutzerdefinierte Auslöser und Warnungen für Ihr Security Operations Team.

Demo anfordern
Schneller auf AD-Vorfälle reagieren
Schneller auf AD-Vorfälle reagieren

Beschleunigen Sie die forensische Analyse von AD-Angriffen. Verringern Sie den durch einen Angriff verursachten Schaden, indem Sie Malware schnell finden und beseitigen. Übertragen Sie unstrukturierte AD- und Azure AD-Änderungsdaten in ein für Menschen lesbares Format. Suchen Sie mühelos nach AD-Änderungen auf Objekt- und Attributsebene, setzen Sie sie einfach in Beziehung und machen Sie sie problemlos rückgängig. Gehen Sie bis zu einem beliebigen Zeitpunkt zurück, um gefährdete AD-Konten zu isolieren und zukünftige Angriffe zu verhindern.

Demo anfordern
Unsere Vision findet bei Branchenführern Anklang

Die Sicht auf Ihr SIEM wiederherstellen

Immer mehr Angriffe umgehen die Sicherheitsprüfung

Im Gegensatz zu Tracking-Tools, die sich ausschließlich auf Sicherheitsprotokolle und Agenten in jedem Domänencontroller verlassen, überwacht Semperis DSP mehrere Datenquellen, darunter auch den Active Directory-Replikationsstrom. Der AD-Replikationsstrom ist die einzige zuverlässige Methode, um jede Änderung zu erfassen, ganz gleich, auf welche Art Angreifer ihre Spuren zu verwischen versuchen. Semperis DSP leitet verdächtige AD-Änderungen mit aussagekräftigem Kontext an Ihr SIEM-System weiter und entlastet so die Sicherheitsanalysten. Sie können vordefinierte Warnmeldungen für Microsoft Sentinel, Splunk und andere SIEM- und SOAR-Tools verwenden. Darüber hinaus können Sie benutzerdefinierte Warnmeldungen für SecOps-Tools und Ticketing-Systeme, einschließlich ServiceNow, erstellen.

SOFORT EINSATZBEREITE SIEM-INTEGRATIONEN
Azurblauer Wächter
IBM Radar
Solarwinds
Alien-Gewölbe
McAfee
splunk
LogRhythmus
RSA Netwitness Plattform
Mikrofokus
Sumo-Logik

Ist Ihr Active Directory anfällig für einen Cyberangriff?

Active Directory ist für 90 % der Unternehmen weltweit der primäre Identitätsdienst, der Benutzerauthentifizierung und Zugriff auf geschäftskritische Anwendungen und Dienste ermöglicht. Ein Angriff, der AD komplett außer Gefecht setzt (wie der NotPetya-Cyberangriff der Containerschiff-Reederei Maersk im Jahr 2017), kann den Geschäftsbetrieb unterbrechen. Aufgrund von Fehlkonfigurationen in Legacy-Systemen und ungepatchter Schwachstellen ist AD ein häufiges Ziel für Angreifer, einschließlich ausgeklügelter Ransomware-Gruppen wie LockBit und Vice Society. Forscher von Mandiant schätzen, dass 9 von 10 Angriffen AD betreffen.

EMA-Bericht:
50%
der Unternehmen haben in den letzten 1-2 Jahren einen Angriff auf AD erlebt
EMA-Bericht:
82%
der Versuche von Pentestern, AD zu kompromittieren, sind erfolgreich
Gartner:
33%
der Unternehmen keine AD-Schutzvorrichtung
2023 Veeam Bericht:
21%
aller Unternehmen, die Lösegeld gezahlt haben, konnten ihre Daten nicht wiederherstellen
Werden Sie Teil unseres Star-Teams

Branchenführende Unternehmen setzen auf uns

Semperis stellt hochwertige Technologien bereit und Directory Services Protector ist eine große Bereicherung für jedes Unternehmen, das Active Directory verwendet.

Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines
Partner
Hertz
Schön
Mi.gov
Seile & Gray

Häufig gestellte Fragen

Was ist Directory Services Protector?

Directory Services Protector (DSP) ist eine von Gartner anerkannte Identity Threat Detection and Response- (ITDR-)Lösung, die hybride Active Directory-Sicherheit automatisiert. Sie umfasst eine kontinuierliche Überwachung und eine beispiellose Transparenz in lokalen AD- und Azure AD-Umgebungen, manipulationssichere Nachverfolgung und automatisches Rollback von unerwünschten Änderungen.

Welche Gründe sprechen für DSP, wenn ich bereits ein SIEM habe?

Bei AD-basierten Angriffen ist die einzige unveränderliche Datenquelle der AD-Replikationsstrom, der außerhalb des SIEM-Systems nicht sichtbar ist. Außerdem verfügen die meisten agentenbasierten Tools zur Überprüfung von AD-Änderungen nicht über die nötige Transparenz, um solche Angriffe zu erkennen und zu vereiteln. Der AD-Replikationsstrom ist die einzige zuverlässige Methode, um jede Änderung (vor und während eines Angriffs) zu erfassen. Dabei sind jegliche Versuche von Angreifenden, die Spuren zu verwischen, vergeblich. DSP lässt sich mit jeder SIEM-Lösung integrieren, die SYSLOG-formatierte Daten verarbeitet. DSP ist darüber hinaus mit Microsoft Sentinel und Splunk kompatibel. In Verbindung mit Microsoft Sentinel bietet DSP Arbeitsmappen, mit denen Sie zusätzliche DSP-Daten innerhalb des Sentinel-Dashboards anzeigen können, z. B. Daten zu Active Directory-Änderungen sowie Benachrichtigungsregel-Ereignisse. Die DSP Splunk Enterprise-App stellt detaillierte AD-Sicherheitsdaten im Splunk-Dashboard bereit, um zusätzlichen Kontext und Einblick in Schwachstellen in der gesamten Umgebung zu bieten.

Umfasst Directory Services Protector auch Bewertungen von AD-Schwachstellen?

DSP bietet eine kontinuierliche Bewertung von Sicherheitsschwachstellen in Ihrer lokalen und hybriden AD-Umgebung und scannt auf Hunderte von Gefährdungsindikatoren (Indicators of Exposure, IOEs) und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) in verschiedenen AD-Sicherheitskategorien, einschließlich Kontosicherheit, Gruppenrichtlinien, Kerberos, AD-Delegation, AD-Infrastruktur und Azure AD. DSP umfasst ein Dashboard mit einer Gesamtbewertung der Sicherheitslage, Kategoriebewertungen, nach Schweregrad gruppierte Sicherheitsindikatoren und Anleitungen für priorisierte Abhilfemaßnahmen von AD-Sicherheitsexperten.

Behebt DSP unerwünschte Änderungen sowohl im lokalen AD als auch in Azure AD?

Ja, DSP bietet ein Rollback unerwünschter Änderungen sowohl für das lokale AD als auch für Azure AD. DSP bietet eine automatische Behebung riskanter Änderungen im lokalen AD, um Angriffe zu verhindern, die für ein menschliches Eingreifen zu schnell sind. DSP unterstützt außerdem ein granulares Rollback, mit dem Sie Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern rückgängig machen können – bis zu jedem beliebigen Zeitpunkt, nicht nur bis zu einem früheren Backup. DSP bietet außerdem die Möglichkeit, Azure AD-Änderungen an Benutzern, Gruppen und Rollen rückgängig zu machen. Darüber hinaus kann DSP auch Benutzer- oder Gruppenobjekte wiederherstellen, die sich noch im Azure AD-Papierkorb befinden.

Wie wirkt sich DSP auf die Leistung von AD aus?

DSP ist nicht intrusive und auf Kompatibilität mit AD ausgelegt. Durch diesen einzigartigen Ansatz werden Änderungen ohne Beeinträchtigung der Stabilität von AD erfasst.

Kann DSP komplexe AD-Umgebungen unterstützen?

DSP wurde speziell für AD entwickelt und kann selbst die komplexesten AD-Umgebungen unterstützen, einschließlich Implementierungen für mehrere Organisationen und mehrere Gesamtstrukturen. Unternehmen aller Größenordnungen verlassen sich auf Semperis, wenn es darum geht, Schwachstellen in Verzeichnissen zu erkennen, laufende Cyberangriffe abzufangen und sich schnell von Ransomware und anderen Datenintegritätsnotfällen zu erholen.

Wie unterscheidet sich Directory Services Protector von Microsoft Defender for Identity?

Microsoft Defender for Identity (MDI) und die Lösungen von Semperis spielen gleichermaßen eine entscheidende Rolle beim Schutz von Identitätssystemen vor Angriffen:

  • MDI verwendet benutzerbasierte Analysen, um Verhaltensweisen von Benutzern, die bekannten Modellen für Angriffe auf Benutzeridentitäten entsprechen, zu überwachen und zu melden.
  • Semperis schützt den gesamten hybriden AD-Dienst – den häufigsten Angriffsvektor bei 90 Prozent der Vorfälle – mit einer patentierten Technologie, die speziell für die Verhinderung, Abschwächung und Wiederherstellung von identitätsbasierten Angriffen entwickelt wurde.

Die Kombination von Semperis-Lösungen mit Microsoft Defender for Identity (MDI) bietet eine mehrschichtige Verteidigung gegen Angriffe, die Benutzeridentitäten und den AD-Identitätsdienst ausnutzen.

Hilft DSP bei der Compliance-Berichterstattung?

Directory Services Protector enthält Vorlagen für Compliance-Berichte, die gängigen Compliance-Standards entsprechen, darunter GDPR, HIPAA, PCI und SOX. Je nach den Anforderungen Ihres Unternehmen können Sie einzelne Compliance-Bündel in DSP importieren. Darüber hinaus können Sie beliebige DSP-Berichte, wie zum Beispiel Compliance-Berichte, für eine wiederkehrende Erstellung und Verteilung planen.

Welche Kriterien verwendet DSP für die Erstellung der Sicherheitsbewertung?

Die Directory Services Protector-Bewertungsmethode umfasst verschiedene Faktoren, darunter die potenziellen Folgen einer ausgenutzten Schwachstelle, die Leichtigkeit der Ausnutzung und die allgemeine Verbreitung. Auf der Grundlage dieser Faktoren wird jedem Indikator ein Schweregrad (Stufe und Zahl) zugewiesen, der die potenziellen Auswirkungen auf die Sicherheitslage, Verfügbarkeit und Leistung widerspiegelt. Der Schweregrad wird dann in der Bewertungsformel verwendet, um das von der Schwachstelle ausgehende Gesamtrisiko zu berechnen.

Kann ich in DSP festlegen, welche Ereignisse einen Alarm auslösen?

In DSP können Sie einzelne Objekte oder Bedingungen, die ein bekanntes Risiko darstellen, in eine Ignorierliste aufnehmen. Dies bewirkt, dass sie keinen Alarm in DSP auslösen oder die Gesamtbewertung der Sicherheitslage beeinflussen. Dieser Ansatz hilft Ihnen, Risiken genau zu bewerten und Abhilfemaßnahmen zu beschleunigen.

Unsere Vision findet bei Branchenführern Anklang

Erleben Sie Directory Services Protector in Aktion

Fordern Sie eine Demo an und sprechen Sie mit einem Active Directory-Sicherheitsexperten.