Schützen Sie Ihre kritische Identitätsinfrastruktur vor Cyberangriffen mit der branchenweit umfassendsten ITDR-Plattform (Identity Threat Detection and Response) für Active Directory und Azure AD.
Die Sicherung von Active Directory und Azure Active Directory ist schwierig. Fehlkonfigurationen häufen sich im Laufe der Zeit und schaffen veraltete Sicherheitslücken, die Angreifer gerne ausnutzen - laut Mandiant-Forschern betreffen 9 von 10 Cyberangriffen AD. Semperis bietet die umfassendste Erkennung von und Reaktion auf hybride AD-Bedrohungen, indem es die Umgebung kontinuierlich überwacht, böswillige Änderungen rückgängig macht und einen einzigen Überblick über die Sicherheitslage von AD und Azure AD bietet.
Die Sicherung von Active Directory ist aufgrund seiner Komplexität und der Verbreitung von Ransomware-Gruppen wie LockBit und Vice Society, die mit neuen Taktiken, Techniken und Verfahren (TTPs) auf AD abzielen, schwierig. Directory Services Protector schaltet die AD- und Azure AD-Sicherheit auf Autopilot mit kontinuierlicher AD-Bedrohungsüberwachung, Echtzeitwarnungen und autonomen Abhilfemaßnahmen. DSP hilft Ihnen, effektiver auf AD-Sicherheitsvorfälle und alltägliche Betriebsfehler zu reagieren.
Überwachen Sie das AD kontinuierlich auf Indikatoren für eine Gefährdung (IOEs) und Indikatoren für eine Kompromittierung (IOCs), die zu einer Kompromittierung des AD führen könnten. Nutzen Sie integrierte Bedrohungsdaten von Sicherheitsexperten, um häufige Fehlkonfigurationen wie abgelaufene Passwörter und vertrauenswürdige Konten mit alten Passwörtern aufzudecken.
Machen Sie bösartige Änderungen im On-Prem AD automatisch rückgängig. Erstellen Sie Audit-Benachrichtigungen über riskante Änderungen an sensiblen AD-Objekten und -Attributen. Machen Sie unerwünschte Änderungen in Azure AD rückgängig.
Erfassen Sie Änderungen auch dann, wenn sich die Sicherheit abmeldet, Protokolle fehlen, Agenten deaktiviert oder nicht funktionsfähig sind oder riskante Änderungen direkt in AD eingespeist werden.
Verwenden Sie die Änderungsverfolgung in DSP für Azure AD nahezu in Echtzeit, um Änderungen an Rollenzuweisungen, Gruppenmitgliedschaften und Benutzerattributen zu überwachen.
Azure AD-Änderungen an Benutzern, Gruppen und Rollen rückgängig machen. Wiederherstellung von Benutzer- oder Gruppenobjekten, die im Azure AD-Papierkorb verbleiben.
Verwenden Sie vorgefertigte Vorlagen für Compliance-Berichte, die den gängigen Compliance-Standards entsprechen, darunter GDPR, HIPAA, PCI und SOX.
Bringen Sie detaillierte Active Directory-Sicherheitsdaten - einschließlich Active Directory-Änderungsdaten, DSP Security Indicator-Daten und DSP Benachrichtigungsregel-Ereignisse - in die vertrauten Splunk Enterprise-Ansichten, um aussagekräftigen Kontext und Einblick in Schwachstellen in Ihrer gesamten Umgebung zu erhalten.
Verwenden Sie neue Arbeitsmappen für Microsoft Sentinel, mit denen Sie zusätzliche Daten von DSP, wie z.B. Daten zu Active Directory-Änderungen und DSP Benachrichtigungsregel-Ereignisse, innerhalb der Sentinel-Dashboards anzeigen können.
Active Directory ist der primäre Identitätsdienst für 90 % der Unternehmen weltweit, der die Benutzerauthentifizierung und den Zugriff auf geschäftskritische Anwendungen und Dienste ermöglicht. Ein Angriff, der AD auslöscht (wie der NotPetya-Cyberangriff auf den Schifffahrtsriesen Maersk im Jahr 2017), kann den Geschäftsbetrieb unterbrechen. Aufgrund veralteter Fehlkonfigurationen und ungepatchter Schwachstellen ist AD ein häufiges Ziel für Angreifer, einschließlich ausgeklügelter Ransomware-Gruppen wie LockBit und Vice Society. Forscher von Mandiant schätzen, dass 9 von 10 Angriffen AD betreffen.
Directory Services Protector (DSP) ist eine von Gartner anerkannte Identity Threat Detection and Response (ITDR)-Lösung, die hybride Active Directory-Sicherheit auf Autopilot stellt, mit kontinuierlicher Überwachung und beispielloser Transparenz in lokalen AD- und Azure AD-Umgebungen, manipulationssicherer Nachverfolgung und automatischem Rollback von bösartigen Änderungen.
Bei AD-basierten Angriffen ist die einzige unveränderliche Datenquelle der AD-Replikationsstrom, der außerhalb des Blickfelds eines SIEM liegt. Außerdem verfügen die meisten agentenbasierten Tools zur Überprüfung von AD-Änderungen nicht über die nötige Transparenz, um solche Angriffe zu erkennen und zu vereiteln. Der AD-Replikationsstrom ist die einzige zuverlässige Methode, um jede Änderung (vor und während eines Angriffs) zu erfassen, egal wie ein Angreifer versucht, seine Spuren zu verwischen. DSP lässt sich mit jeder SIEM-Lösung integrieren, die SYSLOG-formatierte Daten verarbeitet. DSP lässt sich außerdem mit Microsoft Sentinel und Splunk integrieren. Mit Microsoft Sentinel bietet DSP Arbeitsmappen, mit denen Sie zusätzliche DSP Daten innerhalb des Sentinel-Dashboards anzeigen können, z. B. Daten zu Active Directory-Änderungen und Benachrichtigungsregel-Ereignisse. Die DSP Splunk Enterprise App liefert detaillierte AD-Sicherheitsdaten im Splunk-Dashboard, um zusätzlichen Kontext und Einblick in Schwachstellen in der gesamten Umgebung zu bieten.
DSP bietet eine kontinuierliche Bewertung der Sicherheitsschwachstellen in Ihrer lokalen und hybriden AD-Umgebung und scannt auf Hunderte von Indicators of Exposure (IOEs) und Kompromittierungen (IOCs) in verschiedenen Kategorien der AD-Sicherheit, einschließlich Kontosicherheit, Gruppenrichtlinien, Kerberos, AD-Delegation, AD-Infrastruktur und Azure AD. DSP bietet ein Dashboard mit der Gesamtbewertung der Sicherheitslage, Kategoriebewertungen, nach Schweregrad gruppierte Sicherheitsindikatoren und priorisierte Abhilfeanleitungen von AD-Sicherheitsexperten.
Ja, DSP bietet ein Rollback bösartiger Änderungen sowohl für On-Prem AD als auch für Azure AD. DSP bietet eine automatische Behebung riskanter Änderungen im On-Prem AD, um Angriffe zu verhindern, die für ein menschliches Eingreifen zu schnell sind. DSP unterstützt außerdem ein granulares Rollback, mit dem Sie Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern rückgängig machen können - und zwar zu jedem beliebigen Zeitpunkt, nicht nur zu einem früheren Backup. DSP bietet außerdem die Möglichkeit, Azure AD-Änderungen an Benutzern, Gruppen und Rollen rückgängig zu machen. DSP kann auch Benutzer- oder Gruppenobjekte wiederherstellen, die sich noch im Azure AD-Papierkorb befinden.
DSP ist nicht aufdringlich und auf Kompatibilität mit AD ausgelegt. Dieser einzigartige Ansatz erfasst Änderungen, ohne die Stabilität von AD zu beeinträchtigen.
DSP wurde speziell für AD entwickelt und kann selbst die komplexesten AD-Umgebungen unterstützen, einschließlich Implementierungen für mehrere Organisationen und mehrere Wälder. Einige der größten und komplexesten ADs, die es gibt, vertrauen auf Semperis um Schwachstellen in Verzeichnissen aufzuspüren, laufende Cyber-Angriffe abzufangen und sich schnell von Ransomware und anderen Notfällen der Datenintegrität zu erholen.
Sowohl Microsoft Defender for Identity (MDI) als auch die Lösungen von Semperis spielen eine entscheidende Rolle beim Schutz von Identitätssystemen vor Angriffen:
Die Kombination von Semperis-Lösungen mit Microsoft Defender for Identity (MDI) bietet eine mehrschichtige Verteidigung gegen Angriffe, die Benutzeridentitäten und den AD-Identitätsdienst ausnutzen.
Directory Services Protector enthält Vorlagen für Compliance-Berichte, die sich an gängigen Compliance-Standards orientieren, darunter GDPR, HIPAA, PCI und SOX. Sie können wichtige individuelle Compliance-Bündel in DSP einbinden, um die Anforderungen Ihres Unternehmens zu erfüllen. Sie können jeden DSP Bericht, einschließlich der Compliance-Berichte, für die wiederkehrende Erstellung und Verteilung planen.
Directory Services ProtectorDie Bewertungsmethode des Programms basiert auf einer Reihe von Faktoren, darunter die möglichen Folgen, wenn ein Angreifer die Schwachstelle ausnutzt, wie einfach die Schwachstelle auszunutzen ist und wie verbreitet die Schwachstelle in der Umgebung insgesamt ist. Auf der Grundlage dieser Faktoren wird jedem Indikator ein Schweregrad (Stufe und Zahl) zugewiesen, der die möglichen Auswirkungen der Schwachstelle auf Ihre Sicherheitslage, Verfügbarkeit und Leistung widerspiegelt. Der Schweregrad wird dann in der Bewertungsformel verwendet, um das Gesamtrisiko zu berechnen, das von der Sicherheitslücke ausgeht.
DSP können Sie einzelne Objekte oder Bedingungen, die als "bekanntes Risiko" identifiziert wurden, in eine Ignorierliste aufnehmen, so dass sie keinen Alarm mehr in DSP auslösen oder die Gesamtbewertung der Sicherheitslage beeinflussen. Auf diese Weise können Sie das Risiko, das von den verbleibenden Objekten ausgeht, genauer einschätzen und die Abhilfemaßnahmen beschleunigen.