Schützen Sie Ihre kritische Identitätsinfrastruktur vor Cyberangriffen mit der branchenweit umfassendsten ITDR-Plattform (Identity Threat Detection and Response) für Active Directory und Azure AD.
Die Sicherung von Active Directory und Azure Active Directory ist ein schwieriges Unterfangen, denn im Laufe der Zeit mehren sich Fehlkonfigurationen. Dadurch entstehen Sicherheitsschwachstellen, die Angreifer gerne ausnutzen. In der Tat zeigen Forschungsergebnisse von Mandiant, dass 9 von 10 Cyberangriffen AD betreffen. Semperis bietet eine äußerst umfassende Lösung für die Erkennung von und die Reaktion auf hybride AD-Bedrohungen, die die Umgebung kontinuierlich überwacht, böswillige Änderungen rückgängig macht und einen zentralen Überblick über die Sicherheitslage von AD und Azure AD bietet.
Die Sicherung von Active Directory ist nicht nur aufgrund der Komplexität schwierig, sondern auch wegen der Verbreitung von Ransomware-Gruppen wie LockBit und Vice Society, die mit neuen Taktiken, Techniken und Verfahren (TTPs) auf AD abzielen. Directory Services Protector schaltet die AD- und Azure AD-Sicherheit auf Autopilot mit kontinuierlicher Überwachung von AD-Bedrohungen, Echtzeitwarnungen und autonomen Abhilfemaßnahmen. DSP hilft Ihnen, effektiver auf AD-Sicherheitsvorfälle und alltägliche Betriebsfehler zu reagieren.
Überwachen Sie AD kontinuierlich auf Gefährdungsindikatoren (IOEs) und Kompromittierungsindikatoren (IOCs), die zu einer Kompromittierung von AD führen könnten. Nutzen Sie integrierte Threat Intelligence von Sicherheitsexperten, um häufige Fehlkonfigurationen wie abgelaufene Passwörter und vertrauenswürdige Konten mit alten Passwörtern aufzudecken.
Machen Sie böswillige Änderungen im On-Prem AD automatisch rückgängig. Erstellen Sie Audit-Benachrichtigungen über riskante Änderungen an sensiblen AD-Objekten und -Attributen. Machen Sie unerwünschte Änderungen in Azure AD rückgängig.
Erfassen Sie Änderungen auch dann, wenn die Sicherheit abgemeldet ist, Protokolle fehlen, Agenten deaktiviert oder nicht funktionsfähig sind oder riskante Änderungen direkt in AD eingespeist werden.
Verwenden Sie in DSP für Azure AD die Änderungsverfolgung nahezu in Echtzeit, um Änderungen an Rollenzuweisungen, Gruppenmitgliedschaften und Benutzerattributen zu überwachen.
Machen Sie Azure AD-Änderungen an Benutzern, Gruppen und Rollen rückgängig. Stellen Sie Benutzer- oder Gruppenobjekte aus dem Azure AD-Papierkorb wieder her.
Verwenden Sie vorgefertigte Vorlagen für Compliance-Berichte, die den gängigen Compliance-Standards entsprechen, darunter GDPR, HIPAA, PCI und SOX.
Bringen Sie detaillierte Active Directory-Sicherheitsdaten – einschließlich Active Directory-Änderungsdaten, DSP Security Indicator-Daten und DSP Benachrichtigungsregel-Ereignisse – in die vertrauten Splunk Enterprise-Ansichten. So erhalten Sie aussagekräftigen Kontext und Einblick in Schwachstellen in Ihrer gesamten Umgebung.
Verwenden Sie neue Arbeitsmappen für Microsoft Sentinel, mit denen Sie zusätzliche Daten von DSP, wie z. B. Active Directory-Änderungsdaten und DSP-Benachrichtigungsregel-Ereignisse, innerhalb der Sentinel-Dashboards anzeigen können.
Active Directory ist für 90 % der Unternehmen weltweit der primäre Identitätsdienst, der Benutzerauthentifizierung und Zugriff auf geschäftskritische Anwendungen und Dienste ermöglicht. Ein Angriff, der AD komplett außer Gefecht setzt (wie der NotPetya-Cyberangriff der Containerschiff-Reederei Maersk im Jahr 2017), kann den Geschäftsbetrieb unterbrechen. Aufgrund von Fehlkonfigurationen in Legacy-Systemen und ungepatchter Schwachstellen ist AD ein häufiges Ziel für Angreifer, einschließlich ausgeklügelter Ransomware-Gruppen wie LockBit und Vice Society. Forscher von Mandiant schätzen, dass 9 von 10 Angriffen AD betreffen.
Directory Services Protector (DSP) ist eine von Gartner anerkannte Identity Threat Detection and Response- (ITDR-)Lösung, die hybride Active Directory-Sicherheit automatisiert. Sie umfasst eine kontinuierliche Überwachung und eine beispiellose Transparenz in lokalen AD- und Azure AD-Umgebungen, manipulationssichere Nachverfolgung und automatisches Rollback von unerwünschten Änderungen.
Bei AD-basierten Angriffen ist die einzige unveränderliche Datenquelle der AD-Replikationsstrom, der außerhalb des SIEM-Systems nicht sichtbar ist. Außerdem verfügen die meisten agentenbasierten Tools zur Überprüfung von AD-Änderungen nicht über die nötige Transparenz, um solche Angriffe zu erkennen und zu vereiteln. Der AD-Replikationsstrom ist die einzige zuverlässige Methode, um jede Änderung (vor und während eines Angriffs) zu erfassen. Dabei sind jegliche Versuche von Angreifenden, die Spuren zu verwischen, vergeblich. DSP lässt sich mit jeder SIEM-Lösung integrieren, die SYSLOG-formatierte Daten verarbeitet. DSP ist darüber hinaus mit Microsoft Sentinel und Splunk kompatibel. In Verbindung mit Microsoft Sentinel bietet DSP Arbeitsmappen, mit denen Sie zusätzliche DSP-Daten innerhalb des Sentinel-Dashboards anzeigen können, z. B. Daten zu Active Directory-Änderungen sowie Benachrichtigungsregel-Ereignisse. Die DSP Splunk Enterprise-App stellt detaillierte AD-Sicherheitsdaten im Splunk-Dashboard bereit, um zusätzlichen Kontext und Einblick in Schwachstellen in der gesamten Umgebung zu bieten.
DSP bietet eine kontinuierliche Bewertung von Sicherheitsschwachstellen in Ihrer lokalen und hybriden AD-Umgebung und scannt auf Hunderte von Gefährdungsindikatoren (Indicators of Exposure, IOEs) und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) in verschiedenen AD-Sicherheitskategorien, einschließlich Kontosicherheit, Gruppenrichtlinien, Kerberos, AD-Delegation, AD-Infrastruktur und Azure AD. DSP umfasst ein Dashboard mit einer Gesamtbewertung der Sicherheitslage, Kategoriebewertungen, nach Schweregrad gruppierte Sicherheitsindikatoren und Anleitungen für priorisierte Abhilfemaßnahmen von AD-Sicherheitsexperten.
Ja, DSP bietet ein Rollback unerwünschter Änderungen sowohl für das lokale AD als auch für Azure AD. DSP bietet eine automatische Behebung riskanter Änderungen im lokalen AD, um Angriffe zu verhindern, die für ein menschliches Eingreifen zu schnell sind. DSP unterstützt außerdem ein granulares Rollback, mit dem Sie Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern rückgängig machen können – bis zu jedem beliebigen Zeitpunkt, nicht nur bis zu einem früheren Backup. DSP bietet außerdem die Möglichkeit, Azure AD-Änderungen an Benutzern, Gruppen und Rollen rückgängig zu machen. Darüber hinaus kann DSP auch Benutzer- oder Gruppenobjekte wiederherstellen, die sich noch im Azure AD-Papierkorb befinden.
DSP ist nicht intrusive und auf Kompatibilität mit AD ausgelegt. Durch diesen einzigartigen Ansatz werden Änderungen ohne Beeinträchtigung der Stabilität von AD erfasst.
DSP wurde speziell für AD entwickelt und kann selbst die komplexesten AD-Umgebungen unterstützen, einschließlich Implementierungen für mehrere Organisationen und mehrere Gesamtstrukturen. Unternehmen aller Größenordnungen verlassen sich auf Semperis, wenn es darum geht, Schwachstellen in Verzeichnissen zu erkennen, laufende Cyberangriffe abzufangen und sich schnell von Ransomware und anderen Datenintegritätsnotfällen zu erholen.
Microsoft Defender for Identity (MDI) und die Lösungen von Semperis spielen gleichermaßen eine entscheidende Rolle beim Schutz von Identitätssystemen vor Angriffen:
Die Kombination von Semperis-Lösungen mit Microsoft Defender for Identity (MDI) bietet eine mehrschichtige Verteidigung gegen Angriffe, die Benutzeridentitäten und den AD-Identitätsdienst ausnutzen.
Directory Services Protector enthält Vorlagen für Compliance-Berichte, die gängigen Compliance-Standards entsprechen, darunter GDPR, HIPAA, PCI und SOX. Je nach den Anforderungen Ihres Unternehmen können Sie einzelne Compliance-Bündel in DSP importieren. Darüber hinaus können Sie beliebige DSP-Berichte, wie zum Beispiel Compliance-Berichte, für eine wiederkehrende Erstellung und Verteilung planen.
Die Directory Services Protector-Bewertungsmethode umfasst verschiedene Faktoren, darunter die potenziellen Folgen einer ausgenutzten Schwachstelle, die Leichtigkeit der Ausnutzung und die allgemeine Verbreitung. Auf der Grundlage dieser Faktoren wird jedem Indikator ein Schweregrad (Stufe und Zahl) zugewiesen, der die potenziellen Auswirkungen auf die Sicherheitslage, Verfügbarkeit und Leistung widerspiegelt. Der Schweregrad wird dann in der Bewertungsformel verwendet, um das von der Schwachstelle ausgehende Gesamtrisiko zu berechnen.
In DSP können Sie einzelne Objekte oder Bedingungen, die ein bekanntes Risiko darstellen, in eine Ignorierliste aufnehmen. Dies bewirkt, dass sie keinen Alarm in DSP auslösen oder die Gesamtbewertung der Sicherheitslage beeinflussen. Dieser Ansatz hilft Ihnen, Risiken genau zu bewerten und Abhilfemaßnahmen zu beschleunigen.