Detección y respuesta a amenazas AD

Directory Services Protector

Proteja su infraestructura de identidad crítica de los ciberataques con la plataforma de detección y respuesta a amenazas de identidad (ITDR) más completa del sector para Active Directory y Azure AD.

Secure AD y Azure AD

Seguridad integral de Active Directory

Proteger Active Directory y Azure Active Directory es difícil. Los errores de configuración se acumulan con el tiempo, creando vulnerabilidades de seguridad heredadas que a los atacantes les encanta explotar; de hecho, 9 de cada 10 ciberataques tienen que ver con AD, según los investigadores de Mandiant. Semperis proporciona la detección y respuesta a amenazas de AD híbrido más completa al supervisar continuamente el entorno, revertir los cambios maliciosos y proporcionar una vista única de la postura de seguridad de AD y Azure AD.

Impedir que los atacantes accedan a AD y Azure AD

Capturar los cambios de AD y Azure AD que eluden los registros de seguridad

Corregir automáticamente los cambios malintencionados

Acelerar la respuesta a incidentes y prevenir futuros ataques

Controle la seguridad de Active Directory

Active Directory no puede hacer frente a las ciberamenazas actuales. Y proteger tanto AD local como Azure AD en un entorno híbrido es notoriamente difícil. Además, los atacantes a menudo se mueven de las instalaciones a la nube (o viceversa) en busca de privilegios elevados, como en el ataque de SolarWinds. En nuestro mundo en el que el móvil es lo primero y la nube lo primero, cualquier dispositivo conectado puede exponer el corazón de su infraestructura de TI.

En un escenario de AD híbrido, la superficie potencial de ataque se amplía. Directory Services Protector es la única solución de detección y respuesta a amenazas que proporciona una visión única de las vulnerabilidades de seguridad en todo el entorno híbrido. Con DSP, puede correlacionar los cambios en AD local y Azure AD para detener a los atacantes.

Minimizar la superficie de ataque

Descubra las vulnerabilidades de AD y las configuraciones de riesgo en entornos híbridos antes de que lo hagan los atacantes. Obtenga orientación priorizada y orientada a la acción de una comunidad de investigadores de amenazas a la seguridad de AD. Reduzca la superficie de ataque de AD y adelántese al panorama de amenazas en constante evolución.

Solicitar una demostración

Detectar ataques avanzados

Descubra a los atacantes que se desplazan lateralmente por su entorno híbrido de AD sin ser detectados. Utilice varias fuentes de datos, incluido el flujo de replicación de AD, para obtener una visibilidad ininterrumpida de los ataques avanzados a AD que eluden la detección basada en agentes o registros. Integre datos de seguridad detallados con Splunk, Microsoft Sentinel u otras soluciones SIEM para obtener una visibilidad sin precedentes de las amenazas potenciales.

Solicitar una demostración

Automatizar la corrección

Ponga la seguridad de AD en piloto automático para detener a los atacantes en seco. Deshaga automáticamente los cambios maliciosos en AD que sean demasiado arriesgados para esperar a la intervención humana. Deshaga cambios no deseados en Azure AD. Cree activadores y alertas personalizados para su equipo de operaciones de seguridad.

Solicitar una demostración

Acelerar la respuesta a incidentes AD

Acelere el análisis forense de los ataques de AD. Mitigue los daños de un ataque encontrando y erradicando rápidamente el malware. Traduzca los datos de cambios no estructurados de AD y Azure AD a un formato legible por humanos. Busque, correlacione y deshaga fácilmente los cambios de AD a nivel de objetos y atributos. Profundice hasta cualquier punto en el tiempo para aislar las cuentas de AD comprometidas y evitar futuros ataques.

Solicitar una demostración

Marque la seguridad de su Active Directory

Proteger Active Directory es difícil debido a su complejidad y a la proliferación de grupos de ransomware como LockBit y Vice Society que atacan a AD con nuevas tácticas, técnicas y procedimientos (TTP). Directory Services Protector pone la seguridad de AD y Azure AD en piloto automático con supervisión continua de amenazas de AD, alertas en tiempo real y capacidades de corrección autónomas. DSP le ayuda a responder con mayor eficacia a los incidentes de seguridad de AD y a los errores operativos cotidianos.

Evaluación de la vulnerabilidad

Supervise continuamente AD en busca de indicadores de exposición (IOE) e indicadores de compromiso (IOC) que podrían dar lugar a compromisos de AD. Utilice la inteligencia sobre amenazas integrada de investigadores de seguridad expertos para descubrir errores de configuración comunes, como contraseñas caducadas y cuentas de confianza con contraseñas antiguas.

Corrección automatizada

Haga retroceder automáticamente los cambios malintencionados en AD local. Cree notificaciones de auditoría sobre cambios peligrosos en objetos y atributos sensibles de AD. Revierta los cambios no deseados en Azure AD.

Seguimiento a prueba de manipulaciones

Capture los cambios aunque la seguridad esté desconectada, falten registros, los agentes estén desactivados o inoperativos, o se inyecten cambios peligrosos directamente en AD.

Seguimiento de cambios en Azure AD

Utilice el seguimiento de cambios casi en tiempo real en DSP para Azure AD a fin de supervisar los cambios en la asignación de funciones, la pertenencia a grupos y los atributos de los usuarios.

Reversión de cambios en Azure AD

Deshacer los cambios de Azure AD en usuarios, grupos y roles. Restaurar objetos de usuario o grupo que permanecen en la papelera de reciclaje de Azure AD.

Informes de conformidad

Utilice plantillas de informes de cumplimiento predefinidas que se ajusten a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX.

Integración con Splunk

Lleve datos detallados de seguridad de Active Directory -incluidos datos de cambios de Active Directory, datos de indicadores de seguridad de DSP y eventos de reglas de notificación de DSP - a las conocidas vistas de Splunk Enterprise para proporcionar un contexto y una visibilidad significativos de las vulnerabilidades en todo su entorno.

Integración con Microsoft Sentinel

Utilice nuevos libros de trabajo para Microsoft Sentinel que le permiten ver datos adicionales de DSP, como datos de cambios de Active Directory y eventos de reglas de notificación de DSP , dentro de los paneles de Sentinel.

Delegación con RBAC

Utilice un sólido control de acceso basado en funciones (RBAC) y una rica interfaz de usuario web para ofrecer a los administradores de AD funciones de visualización y restauración para su ámbito de control específico.

Potentes informes

Utilice informes integrados creados por expertos en AD para obtener información sobre aspectos operativos, de cumplimiento y de seguridad de su sistema de identidad. Cree informes personalizados basados en sofisticadas consultas a bases de datos LDAP y DSP. Descargue un informe HTML con el estado y la puntuación actuales de su postura de seguridad, incluidos los detalles de cada indicador de exposición.

Notificaciones en tiempo real

Establezca alertas mediante notificaciones por correo electrónico cuando se produzcan cambios operativos y relacionados con la seguridad en AD en tiempo real.

Compatibilidad con PowerShell

Utilice el módulo PowerShell de DSP para automatizar procesos e integrar las operaciones y la gestión de DSP en su conjunto de herramientas existente.

Búsqueda y reparación instantáneas

Utilice la base de datos en línea integrada DSP para encontrar y corregir cambios no deseados en objetos y atributos de AD en dos minutos o menos.

Retroceso granular

Revierta los cambios realizados en atributos individuales, miembros de grupos, objetos y contenedores en cualquier momento, no sólo en una copia de seguridad anterior.

Análisis forense

Identifique los cambios sospechosos y aísle los cambios realizados por cuentas comprometidas. Utilice los datos de DSP para respaldar las operaciones de análisis forense digital y respuesta a incidentes (DFIR) con el fin de rastrear las fuentes y los detalles de los incidentes.

Visualización de la seguridad de AD híbrido

Vea fácilmente los cambios originados en Azure AD. Utilice la vista híbrida para correlacionar los cambios entre on-prem AD y Azure AD.

Ver todos

Restaurar la vista de su SIEM

Un número creciente de ataques elude las auditorías de seguridad

A diferencia de las herramientas de seguimiento que se basan únicamente en los registros de seguridad y los agentes de cada controlador de dominio, Semperis DSP supervisa múltiples fuentes de datos, incluido el flujo de replicación de Active Directory. El flujo de replicación de Active Directory es el único método fiable para detectar todos los cambios, independientemente de cómo intenten ocultar sus huellas los atacantes. Semperis DSP reenvía los cambios sospechosos de AD a su sistema SIEM con un contexto significativo, reduciendo drásticamente la carga de los analistas de seguridad. Puede utilizar alertas predefinidas para Microsoft Sentinel, Splunk y otras Herramientas de SIEM y SOAR. También puede crear alertas personalizadas para herramientas SecOps y sistemas de tickets, incluido ServiceNow.

INTEGRACIONES SIEM LISTAS PARA USAR

¿Es su Active Directory vulnerable a un ciberataque?

Active Directory es el principal servicio de identidad para el 90 % de las empresas de todo el mundo, ya que proporciona autenticación de usuarios y acceso a aplicaciones y servicios críticos para el negocio. Un ataque que anule AD (como en el ciberataque NotPetya de 2017 contra el gigante naviero Maersk) puede interrumpir las operaciones empresariales. Debido a las desconfiguraciones heredadas y a las vulnerabilidades sin parches, AD es un objetivo frecuente para los atacantes, incluidos grupos sofisticados de ransomware como LockBit y Vice Society. Los investigadores de Mandiant estiman que 9 de cada 10 ataques tienen que ver con AD.

Informe de la EMA:

50%

de las organizaciones sufrieron un ataque contra AD en los últimos 1-2 años

Informe de la EMA:

82%

de los pen testers que intentan explotar AD tienen éxito

Gartner:

33%

de las organizaciones no disponen de defensa AD

Informe Veeam 2023:

21%

de las empresas que pagaron rescates no pudieron recuperar sus datos

La confianza de las empresas líderes del sector

Descubra las historias de nuestros clientes

Semperis ofrece una tecnología superior, y su Directory Services Protector es un activo tremendo para cualquier empresa que utilice Active Directory.
Chen Amran Director Adjunto de Infraestructura y Comunicación, El Al Airlines

Preguntas más frecuentes

¿Qué es Directory Services Protector?

Directory Services Protector (DSP) es una solución de detección y respuesta a amenazas de identidad (ITDR) reconocida por Gartner que pone la seguridad de Active Directory híbrido en piloto automático con supervisión continua y visibilidad sin precedentes en entornos AD locales y Azure AD, seguimiento a prueba de manipulaciones y reversión automática de cambios maliciosos.

¿Para qué necesito DSP si ya tengo un SIEM?

En los ataques basados en AD, la única fuente de datos inalterable es el flujo de replicación de AD, que queda fuera del alcance de la vista de cualquier SIEM. Además, la mayoría de las herramientas de auditoría de cambios de AD basadas en agentes carecen de la visibilidad necesaria para detectar y frustrar este tipo de ataques. El flujo de replicación de AD es el único método fiable para captar todos los cambios (antes y durante un ataque), independientemente de cómo intente el atacante cubrir sus huellas. DSP se integra con cualquier solución SIEM que consuma datos con formato SYSLOG. DSP se integra además con Microsoft Sentinel y Splunk. Con Microsoft Sentinel, DSP proporciona libros de trabajo que permiten ver datos adicionales de DSP en el panel de Sentinel, como datos de cambios de Active Directory y eventos de reglas de notificación. La aplicación DSP Splunk Enterprise proporciona datos detallados de seguridad de AD en el panel de Splunk para ofrecer un contexto y una visibilidad adicionales de las vulnerabilidades en todo el entorno.

¿Incluye Directory Services Protector evaluaciones de vulnerabilidad de AD?

DSP proporciona una evaluación continua de las vulnerabilidades de seguridad en su entorno AD on-prem e híbrido, escaneando cientos de indicadores de exposición (IOEs) y compromiso (IOCs) a través de varias categorías de seguridad AD, incluyendo seguridad de cuentas, Política de Grupo, Kerberos, delegación AD, infraestructura AD y Azure AD. DSP proporciona un panel de control de la puntuación global de la postura de seguridad, puntuaciones de categoría, indicadores de seguridad agrupados por gravedad, y orientación de remediación priorizada de expertos en seguridad AD.

¿Repara DSP los cambios no deseados tanto en on-prem AD como en Azure AD?

Sí, DSP ofrece reversión de cambios maliciosos tanto para AD local como para Azure AD. DSP ofrece corrección automatizada de cambios peligrosos en AD local para evitar ataques que avanzan demasiado rápido para la intervención humana. DSP También admite la reversión granular, lo que le permite revertir cambios en atributos individuales, miembros de grupos, objetos y contenedores, y a cualquier punto en el tiempo, no solo a una copia de seguridad anterior. DSP también proporciona la capacidad de revertir cambios de Azure AD en usuarios, grupos y roles. DSP también puede restaurar objetos de usuario o grupo que permanecen en la papelera de reciclaje de Azure AD.

¿Qué impacto tiene DSP en el rendimiento de AD?

DSP es no es intrusivo y está diseñado para ser compatible con AD. Este enfoque único captura los cambios sin comprometer la estabilidad de AD.

¿Puede DSP soportar entornos AD complejos?

DSP está diseñado específicamente para AD y puede soportar incluso los entornos AD más complejos, incluyendo despliegues de múltiples organizaciones y múltiples bosques. Organizaciones grandes y pequeñas confían en Semperis para ayudarles a detectar vulnerabilidades de directorio, interceptar ciberataques en curso y recuperarse rápidamente de ransomware y otras emergencias de integridad de datos.

¿En qué se diferencia Directory Services Protector de Microsoft Defender for Identity?

Tanto Microsoft Defender for Identity (MDI) como las soluciones de Semperis desempeñan un papel fundamental en la protección de los sistemas de identidad frente a los ataques:

MDI utiliza análisis basados en el usuario (UBA) para supervisar y alertar sobre los comportamientos de los usuarios que se ajustan a los modelos conocidos de ataque a la identidad de los usuarios.
Semperis protege todo el servicio AD híbrido -el vector de ataque común en el 90 por ciento de los incidentes- con tecnología patentada diseñada específicamente para prevenir, mitigar y recuperarse de los ataques basados en identidades.

La combinación de las soluciones de Semperis con Microsoft Defender for Identity (MDI) proporciona una defensa en capas contra los ataques que explotan las identidades de los usuarios y el servicio de identidad de AD.

¿Ayuda DSP con los informes de cumplimiento?

Directory Services Protector incluye plantillas de informes de cumplimiento que se ajustan a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX. Puede importar paquetes de cumplimiento individuales a DSP para satisfacer las necesidades de su organización. También puede programar cualquier informe de DSP , incluidos los informes de cumplimiento, para su generación y distribución periódicas.

¿Qué criterios utiliza DSP para generar la puntuación de seguridad?

El método de puntuación de Directory Services Protector comprende varios factores, como las consecuencias potenciales de una vulnerabilidad explotada, la facilidad de explotación y la prevalencia general. En función de estos factores, se asigna a cada indicador una calificación de gravedad (nivel y número) que refleja el impacto potencial en la postura de seguridad, la disponibilidad y el rendimiento. El índice de gravedad se utiliza en la fórmula de puntuación para calcular el riesgo global que plantea la vulnerabilidad.

¿Permite DSP especificar qué eventos activan una alerta?

DSP le permite añadir objetos o condiciones individuales que constituyen un riesgo conocido a una lista de ignorados para que ya no activen una alerta en DSP ni afecten a la puntuación global de la postura de seguridad. Este enfoque le ayuda a evaluar con precisión el riesgo y acelerar la corrección.