Erkennung und Reaktion auf Bedrohungen des AD

Directory Services Protector

Schützen Sie Ihre kritische Identitätsinfrastruktur vor Cyberangriffen mit der branchenweit umfassendsten ITDR-Plattform (Identity Threat Detection and Response) für Active Directory und Azure AD.

Umfassende Active Directory-Sicherheit

Die Sicherung von Active Directory und Azure Active Directory ist schwierig. Fehlkonfigurationen häufen sich im Laufe der Zeit und schaffen veraltete Sicherheitslücken, die Angreifer gerne ausnutzen - laut Mandiant-Forschern betreffen 9 von 10 Cyberangriffen AD. Semperis bietet die umfassendste Erkennung von und Reaktion auf hybride AD-Bedrohungen, indem es die Umgebung kontinuierlich überwacht, böswillige Änderungen rückgängig macht und einen einzigen Überblick über die Sicherheitslage von AD und Azure AD bietet.

Verhindern Sie, dass sich Angreifer Zugang zu AD und Azure AD verschaffen.
Erfassen Sie AD- und Azure AD-Änderungen, die die Sicherheitsprotokolle umgehen
Bösartige Änderungen automatisch beheben
Beschleunigen Sie die Reaktion auf Vorfälle und verhindern Sie zukünftige Angriffe

Gewinnen Sie die Kontrolle über die Sicherheit Ihres Active Directory

Active Directory kann den aktuellen Cyber-Bedrohungen nicht standhalten. Und der Schutz von AD vor Ort und Azure AD in einer hybriden Umgebung ist bekanntermaßen schwierig. Außerdem wechseln Angreifer oft von lokalen Systemen in die Cloud (oder umgekehrt), um sich erhöhte Rechte zu verschaffen - wie bei dem Angriff von SolarWinds. In unserer mobilen und cloudbasierten Welt kann jedes verbundene Gerät das Herzstück Ihrer IT-Infrastruktur preisgeben.

In einem hybriden AD-Szenario vergrößert sich die potenzielle Angriffsfläche. Directory Services Protector ist die einzige Lösung zur Erkennung von und Reaktion auf Bedrohungen, die eine einzige Übersicht über Sicherheitsschwachstellen in der gesamten hybriden Umgebung bietet. Mit DSP können Sie Änderungen im lokalen AD und im Azure AD korrelieren, um Angreifer zu stoppen.

Minimieren Sie die Angriffsfläche
Minimieren Sie die Angriffsfläche

Entdecken Sie AD-Schwachstellen und riskante Konfigurationen in hybriden Umgebungen, bevor es Angreifer tun. Erhalten Sie priorisierte, handlungsorientierte Anleitungen von einer Gemeinschaft von AD-Sicherheitsforschern. Reduzieren Sie Ihre AD-Angriffsfläche und bleiben Sie der sich ständig weiterentwickelnden Bedrohungslandschaft voraus.

Demo anfordern
Erkennen Sie fortgeschrittene Angriffe
Erkennen Sie fortgeschrittene Angriffe

Werfen Sie ein Schlaglicht auf Angreifer, die sich unkontrolliert durch Ihre hybride AD-Umgebung bewegen. Nutzen Sie mehrere Datenquellen, einschließlich des AD-Replikationsstroms, um einen ununterbrochenen Einblick in fortgeschrittene AD-Angriffe zu erhalten, die die agenten- oder protokollbasierte Erkennung umgehen. Integrieren Sie detaillierte Sicherheitsdaten mit Splunk, Microsoft Sentinel oder anderen SIEM-Lösungen, um einen beispiellosen Einblick in potenzielle Bedrohungen zu erhalten.

Demo anfordern
Automatisieren Sie die Wiederherstellung
Automatisieren Sie die Wiederherstellung

Schalten Sie die AD-Sicherheit auf Autopilot, um Angreifer auf der Stelle zu stoppen. Machen Sie bösartige Änderungen in AD, die zu riskant sind, um auf menschliches Eingreifen zu warten, automatisch rückgängig. Machen Sie unerwünschte Änderungen in Azure AD rückgängig. Erstellen Sie benutzerdefinierte Auslöser und Warnungen für Ihr Security Operations Team.

Demo anfordern
Beschleunigen Sie die Reaktion auf AD-Vorfälle
Beschleunigen Sie die Reaktion auf AD-Vorfälle

Beschleunigen Sie die forensische Analyse von AD-Angriffen. Verringern Sie den Schaden durch einen Angriff, indem Sie Malware schnell finden und beseitigen. Übersetzen Sie unstrukturierte AD- und Azure AD-Änderungsdaten in ein für Menschen lesbares Format. Suchen Sie mühelos nach AD-Änderungen auf Objekt- und Attributsebene, setzen Sie sie in Beziehung und machen Sie sie rückgängig. Gehen Sie bis zu einem beliebigen Zeitpunkt zurück, um gefährdete AD-Konten zu isolieren und zukünftige Angriffe zu verhindern.

Demo anfordern

Wiederherstellung der Sicht auf Ihr SIEM

Eine wachsende Zahl von Angriffen umgeht die Sicherheitsprüfung

Im Gegensatz zu Tracking-Tools, die sich ausschließlich auf Sicherheitsprotokolle und Agenten auf jedem Domänencontroller verlassen, überwacht Semperis DSP mehrere Datenquellen, darunter auch den Active Directory-Replikationsstrom. Der AD-Replikationsstrom ist die einzige zuverlässige Methode, um jede Änderung zu erfassen, ganz gleich, wie Angreifer versuchen, ihre Spuren zu verwischen. Semperis DSP leitet verdächtige AD-Änderungen mit aussagekräftigem Kontext an Ihr SIEM-System weiter und entlastet so die Sicherheitsanalysten drastisch. Sie können vordefinierte Warnmeldungen für Microsoft Sentinel, Splunk und andere SIEM- und SOAR-Tools verwenden. Sie können auch benutzerdefinierte Warnmeldungen für SecOps-Tools und Ticketing-Systeme, einschließlich ServiceNow, erstellen.

SOFORT EINSATZBEREITE SIEM-INTEGRATIONEN

Ist Ihr Active Directory anfällig für einen Cyberangriff?

Active Directory ist der primäre Identitätsdienst für 90 % der Unternehmen weltweit, der die Benutzerauthentifizierung und den Zugriff auf geschäftskritische Anwendungen und Dienste ermöglicht. Ein Angriff, der AD auslöscht (wie der NotPetya-Cyberangriff auf den Schifffahrtsriesen Maersk im Jahr 2017), kann den Geschäftsbetrieb unterbrechen. Aufgrund veralteter Fehlkonfigurationen und ungepatchter Schwachstellen ist AD ein häufiges Ziel für Angreifer, einschließlich ausgeklügelter Ransomware-Gruppen wie LockBit und Vice Society. Forscher von Mandiant schätzen, dass 9 von 10 Angriffen AD betreffen.

EMA-Bericht:
50%
der Unternehmen haben in den letzten 1-2 Jahren einen Angriff auf AD erlebt
EMA-Bericht:
82%
der Versuche von Pen-Testern, AD auszunutzen, sind erfolgreich
Gartner:
33%
der Unternehmen haben keinen AD-Schutz eingerichtet
2023 Veeam Bericht:
21%
der Unternehmen, die Lösegeld gezahlt haben, konnten ihre Daten nicht wiederherstellen

Vertrauen bei branchenführenden Unternehmen

Semperis bietet überlegene Technologie, und Directory Services Protector ist ein enormer Gewinn für jedes Unternehmen, das Active Directory verwendet.

Chen Amran Stellvertretender Direktor für Infrastruktur und Kommunikation, El Al Airlines
Partner
Hertz
Schön
Mi.gov

Schützen Sie das hybride AD vor Cyberangriffen

Häufig gestellte Fragen

Was ist Directory Services Protector?

Directory Services Protector (DSP) ist eine von Gartner anerkannte Identity Threat Detection and Response (ITDR)-Lösung, die hybride Active Directory-Sicherheit auf Autopilot stellt, mit kontinuierlicher Überwachung und beispielloser Transparenz in lokalen AD- und Azure AD-Umgebungen, manipulationssicherer Nachverfolgung und automatischem Rollback von bösartigen Änderungen.

Warum sollte ich DSP benötigen, wenn ich bereits ein SIEM habe?

Bei AD-basierten Angriffen ist die einzige unveränderliche Datenquelle der AD-Replikationsstrom, der außerhalb des Blickfelds eines SIEM liegt. Außerdem verfügen die meisten agentenbasierten Tools zur Überprüfung von AD-Änderungen nicht über die nötige Transparenz, um solche Angriffe zu erkennen und zu vereiteln. Der AD-Replikationsstrom ist die einzige zuverlässige Methode, um jede Änderung (vor und während eines Angriffs) zu erfassen, egal wie ein Angreifer versucht, seine Spuren zu verwischen. DSP lässt sich mit jeder SIEM-Lösung integrieren, die SYSLOG-formatierte Daten verarbeitet. DSP lässt sich außerdem mit Microsoft Sentinel und Splunk integrieren. Mit Microsoft Sentinel bietet DSP Arbeitsmappen, mit denen Sie zusätzliche DSP Daten innerhalb des Sentinel-Dashboards anzeigen können, z. B. Daten zu Active Directory-Änderungen und Benachrichtigungsregel-Ereignisse. Die DSP Splunk Enterprise App liefert detaillierte AD-Sicherheitsdaten im Splunk-Dashboard, um zusätzlichen Kontext und Einblick in Schwachstellen in der gesamten Umgebung zu bieten.

Beinhaltet das Angebot von Directory Services Protectorauch die Bewertung von AD-Schwachstellen?

DSP bietet eine kontinuierliche Bewertung der Sicherheitsschwachstellen in Ihrer lokalen und hybriden AD-Umgebung und scannt auf Hunderte von Indicators of Exposure (IOEs) und Kompromittierungen (IOCs) in verschiedenen Kategorien der AD-Sicherheit, einschließlich Kontosicherheit, Gruppenrichtlinien, Kerberos, AD-Delegation, AD-Infrastruktur und Azure AD. DSP bietet ein Dashboard mit der Gesamtbewertung der Sicherheitslage, Kategoriebewertungen, nach Schweregrad gruppierte Sicherheitsindikatoren und priorisierte Abhilfeanleitungen von AD-Sicherheitsexperten.

Behebt DSP unerwünschte Änderungen sowohl in On-Prem AD als auch in Azure AD?

Ja, DSP bietet ein Rollback bösartiger Änderungen sowohl für On-Prem AD als auch für Azure AD. DSP bietet eine automatische Behebung riskanter Änderungen im On-Prem AD, um Angriffe zu verhindern, die für ein menschliches Eingreifen zu schnell sind. DSP unterstützt außerdem ein granulares Rollback, mit dem Sie Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern rückgängig machen können - und zwar zu jedem beliebigen Zeitpunkt, nicht nur zu einem früheren Backup. DSP bietet außerdem die Möglichkeit, Azure AD-Änderungen an Benutzern, Gruppen und Rollen rückgängig zu machen. DSP kann auch Benutzer- oder Gruppenobjekte wiederherstellen, die sich noch im Azure AD-Papierkorb befinden.

Wie wirkt sich DSPauf die Leistung von AD aus?

DSP ist nicht aufdringlich und auf Kompatibilität mit AD ausgelegt. Dieser einzigartige Ansatz erfasst Änderungen, ohne die Stabilität von AD zu beeinträchtigen.

Kann DSP komplexe AD-Umgebungen unterstützen?

DSP wurde speziell für AD entwickelt und kann selbst die komplexesten AD-Umgebungen unterstützen, einschließlich Implementierungen für mehrere Organisationen und mehrere Wälder. Einige der größten und komplexesten ADs, die es gibt, vertrauen auf Semperis um Schwachstellen in Verzeichnissen aufzuspüren, laufende Cyber-Angriffe abzufangen und sich schnell von Ransomware und anderen Notfällen der Datenintegrität zu erholen.

Wie unterscheidet sich Directory Services Protector von Microsoft Defender for Identity?

Sowohl Microsoft Defender for Identity (MDI) als auch die Lösungen von Semperis spielen eine entscheidende Rolle beim Schutz von Identitätssystemen vor Angriffen:

  • MDI verwendet benutzerbasierte Analysen (UBA), um das Verhalten von Benutzern, die in bekannte Angriffsmodelle für Benutzeridentitäten passen, zu überwachen und zu melden.
  • Semperis schützt den gesamten hybriden AD-Dienst - den häufigsten Angriffsvektor bei 90 Prozent der Vorfälle - mit einer patentierten Technologie, die speziell für die Verhinderung, Abschwächung und Wiederherstellung von identitätsbasierten Angriffen entwickelt wurde.

Die Kombination von Semperis-Lösungen mit Microsoft Defender for Identity (MDI) bietet eine mehrschichtige Verteidigung gegen Angriffe, die Benutzeridentitäten und den AD-Identitätsdienst ausnutzen.

Hilft DSP bei der Compliance-Berichterstattung?

Directory Services Protector enthält Vorlagen für Compliance-Berichte, die sich an gängigen Compliance-Standards orientieren, darunter GDPR, HIPAA, PCI und SOX. Sie können wichtige individuelle Compliance-Bündel in DSP einbinden, um die Anforderungen Ihres Unternehmens zu erfüllen. Sie können jeden DSP Bericht, einschließlich der Compliance-Berichte, für die wiederkehrende Erstellung und Verteilung planen.

Welche Kriterien verwendet DSP für die Erstellung der Sicherheitsbewertung?

Directory Services ProtectorDie Bewertungsmethode des Programms basiert auf einer Reihe von Faktoren, darunter die möglichen Folgen, wenn ein Angreifer die Schwachstelle ausnutzt, wie einfach die Schwachstelle auszunutzen ist und wie verbreitet die Schwachstelle in der Umgebung insgesamt ist. Auf der Grundlage dieser Faktoren wird jedem Indikator ein Schweregrad (Stufe und Zahl) zugewiesen, der die möglichen Auswirkungen der Schwachstelle auf Ihre Sicherheitslage, Verfügbarkeit und Leistung widerspiegelt. Der Schweregrad wird dann in der Bewertungsformel verwendet, um das Gesamtrisiko zu berechnen, das von der Sicherheitslücke ausgeht.

Kann ich auf DSP festlegen, welche Ereignisse einen Alarm auslösen?

DSP können Sie einzelne Objekte oder Bedingungen, die als "bekanntes Risiko" identifiziert wurden, in eine Ignorierliste aufnehmen, so dass sie keinen Alarm mehr in DSP auslösen oder die Gesamtbewertung der Sicherheitslage beeinflussen. Auf diese Weise können Sie das Risiko, das von den verbleibenden Objekten ausgeht, genauer einschätzen und die Abhilfemaßnahmen beschleunigen.

Sehen Sie Directory Services Protector in Aktion

Fordern Sie eine Demo an und sprechen Sie mit einem Active Directory Sicherheitsexperten.