Proteja su infraestructura de identidad crítica de los ciberataques con la plataforma de detección y respuesta a amenazas de identidad (ITDR) más completa del sector para Active Directory y Azure AD.
Proteger Active Directory y Azure Active Directory es difícil. Los errores de configuración se acumulan con el tiempo, creando vulnerabilidades de seguridad heredadas que a los atacantes les encanta explotar; de hecho, 9 de cada 10 ciberataques tienen que ver con AD, según los investigadores de Mandiant. Semperis proporciona la detección y respuesta a amenazas de AD híbrido más completa al supervisar continuamente el entorno, revertir los cambios maliciosos y proporcionar una vista única de la postura de seguridad de AD y Azure AD.
Proteger Active Directory es difícil debido a su complejidad y a la proliferación de grupos de ransomware como LockBit y Vice Society que atacan a AD con nuevas tácticas, técnicas y procedimientos (TTP). Directory Services Protector pone la seguridad de AD y Azure AD en piloto automático con supervisión continua de amenazas de AD, alertas en tiempo real y capacidades de corrección autónomas. DSP le ayuda a responder con mayor eficacia a los incidentes de seguridad de AD y a los errores operativos cotidianos.
Supervise continuamente AD en busca de indicadores de exposición (IOE) e indicadores de compromiso (IOC) que podrían dar lugar a compromisos de AD. Utilice la inteligencia sobre amenazas integrada de investigadores de seguridad expertos para descubrir errores de configuración comunes, como contraseñas caducadas y cuentas de confianza con contraseñas antiguas.
Haga retroceder automáticamente los cambios malintencionados en AD local. Cree notificaciones de auditoría sobre cambios peligrosos en objetos y atributos sensibles de AD. Revierta los cambios no deseados en Azure AD.
Capture los cambios aunque la seguridad esté desconectada, falten registros, los agentes estén desactivados o inoperativos, o se inyecten cambios peligrosos directamente en AD.
Utilice el seguimiento de cambios casi en tiempo real en DSP para Azure AD a fin de supervisar los cambios en la asignación de funciones, la pertenencia a grupos y los atributos de los usuarios.
Deshacer los cambios de Azure AD en usuarios, grupos y roles. Restaurar objetos de usuario o grupo que permanecen en la papelera de reciclaje de Azure AD.
Utilice plantillas de informes de cumplimiento predefinidas que se ajusten a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX.
Lleve datos detallados de seguridad de Active Directory -incluidos datos de cambios de Active Directory, datos de indicadores de seguridad de DSP y eventos de reglas de notificación de DSP - a las conocidas vistas de Splunk Enterprise para proporcionar un contexto y una visibilidad significativos de las vulnerabilidades en todo su entorno.
Utilice nuevos libros de trabajo para Microsoft Sentinel que le permiten ver datos adicionales de DSP, como datos de cambios de Active Directory y eventos de reglas de notificación de DSP , dentro de los paneles de Sentinel.
Active Directory es el principal servicio de identidad para el 90 % de las empresas de todo el mundo, ya que proporciona autenticación de usuarios y acceso a aplicaciones y servicios críticos para el negocio. Un ataque que anule AD (como en el ciberataque NotPetya de 2017 contra el gigante naviero Maersk) puede interrumpir las operaciones empresariales. Debido a las desconfiguraciones heredadas y a las vulnerabilidades sin parchear, AD es un objetivo frecuente para los atacantes, incluidos grupos sofisticados de ransomware como LockBit y Vice Society. Los investigadores de Mandiant estiman que 9 de cada 10 ataques tienen que ver con AD.
Directory Services Protector (DSP) es una solución de detección y respuesta a amenazas de identidad (ITDR) reconocida por Gartner que pone la seguridad de Active Directory híbrido en piloto automático con supervisión continua y visibilidad sin precedentes en entornos AD locales y Azure AD, seguimiento a prueba de manipulaciones y reversión automática de cambios maliciosos.
En los ataques basados en AD, la única fuente de datos inalterable es el flujo de replicación de AD, que queda fuera del alcance de la vista de cualquier SIEM. Además, la mayoría de las herramientas de auditoría de cambios de AD basadas en agentes carecen de la visibilidad necesaria para detectar y frustrar este tipo de ataques. El flujo de replicación de AD es el único método fiable para captar todos los cambios (antes y durante un ataque), independientemente de cómo intente el atacante cubrir sus huellas. DSP se integra con cualquier solución SIEM que consuma datos con formato SYSLOG. DSP se integra además con Microsoft Sentinel y Splunk. Con Microsoft Sentinel, DSP proporciona libros de trabajo que permiten ver datos adicionales de DSP en el panel de Sentinel, como datos de cambios de Active Directory y eventos de reglas de notificación. La aplicación DSP Splunk Enterprise proporciona datos detallados de seguridad de AD en el panel de Splunk para ofrecer un contexto y una visibilidad adicionales de las vulnerabilidades en todo el entorno.
DSP proporciona una evaluación continua de las vulnerabilidades de seguridad en su entorno AD on-prem e híbrido, escaneando cientos de Indicators of Exposure (IOEs) y comprometiendo (IOCs) a través de varias categorías de seguridad AD, incluyendo seguridad de cuentas, Política de Grupo, Kerberos, delegación AD, infraestructura AD y Azure AD. DSP proporciona un panel de control de la puntuación global de la postura de seguridad, puntuaciones de categoría, indicadores de seguridad agrupados por gravedad, y orientación de remediación priorizada de expertos en seguridad AD.
Sí, DSP ofrece reversión de cambios maliciosos tanto para AD local como para Azure AD. DSP ofrece corrección automatizada de cambios peligrosos en AD local para evitar ataques que avanzan demasiado rápido para la intervención humana. DSP También admite la reversión granular, lo que le permite revertir cambios en atributos individuales, miembros de grupos, objetos y contenedores, y a cualquier punto en el tiempo, no solo a una copia de seguridad anterior. DSP también proporciona la capacidad de revertir cambios de Azure AD en usuarios, grupos y roles. DSP también puede restaurar objetos de usuario o grupo que permanecen en la papelera de reciclaje de Azure AD.
DSP es no es intrusivo y está diseñado para ser compatible con AD. Este enfoque único captura los cambios sin comprometer la estabilidad de AD.
DSP está diseñado específicamente para AD y puede soportar incluso los entornos AD más complejos, incluyendo despliegues multiorganización y multiforestales. Organizaciones grandes y pequeñas confían en Semperis para ayudarles a detectar vulnerabilidades de directorio, interceptar ciberataques en curso y recuperarse rápidamente de ransomware y otras emergencias de integridad de datos.
Tanto Microsoft Defender for Identity (MDI) como las soluciones de Semperis desempeñan un papel fundamental en la protección de los sistemas de identidad frente a los ataques:
La combinación de las soluciones de Semperis con Microsoft Defender for Identity (MDI) proporciona una defensa en capas contra los ataques que explotan las identidades de los usuarios y el servicio de identidad de AD.
Directory Services Protector incluye plantillas de informes de cumplimiento que se ajustan a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX. Puede importar paquetes de cumplimiento individuales a DSP para satisfacer las necesidades de su organización. También puede programar cualquier informe de DSP , incluidos los informes de cumplimiento, para su generación y distribución periódicas.
El método de puntuación de Directory Services Protector comprende varios factores, como las consecuencias potenciales de una vulnerabilidad explotada, la facilidad de explotación y la prevalencia general. En función de estos factores, se asigna a cada indicador una calificación de gravedad (nivel y número) que refleja el impacto potencial en la postura de seguridad, la disponibilidad y el rendimiento. El índice de gravedad se utiliza en la fórmula de puntuación para calcular el riesgo global que plantea la vulnerabilidad.
DSP le permite añadir objetos o condiciones individuales que constituyen un riesgo conocido a una lista de ignorados para que ya no activen una alerta en DSP ni afecten a la puntuación global de la postura de seguridad. Este enfoque le ayuda a evaluar con precisión el riesgo y acelerar la corrección.