Detección y respuesta a amenazas AD

Directory Services Protector

Proteja su infraestructura de identidad crítica de los ciberataques con la plataforma de detección y respuesta a amenazas de identidad (ITDR) más completa del sector para Active Directory y Azure AD.

Seguridad integral de Active Directory

Proteger Active Directory y Azure Active Directory es difícil. Los errores de configuración se acumulan con el tiempo, creando vulnerabilidades de seguridad heredadas que a los atacantes les encanta explotar; de hecho, 9 de cada 10 ciberataques tienen que ver con AD, según los investigadores de Mandiant. Semperis proporciona la detección y respuesta a amenazas de AD híbrido más completa al supervisar continuamente el entorno, revertir los cambios maliciosos y proporcionar una vista única de la postura de seguridad de AD y Azure AD.

Impedir que los atacantes accedan a AD y Azure AD
Capturar los cambios de AD y Azure AD que eluden los registros de seguridad
Corregir automáticamente los cambios malintencionados
Acelerar la respuesta a incidentes y prevenir futuros ataques

Controle la seguridad de Active Directory

Active Directory no puede hacer frente a las ciberamenazas actuales. Y proteger tanto AD local como Azure AD en un entorno híbrido es notoriamente difícil. Además, los atacantes a menudo se mueven de las instalaciones a la nube (o viceversa) en busca de privilegios elevados, como en el ataque de SolarWinds. En nuestro mundo en el que el móvil es lo primero y la nube lo primero, cualquier dispositivo conectado puede exponer el corazón de su infraestructura de TI.

En un escenario de AD híbrido, la superficie potencial de ataque se amplía. Directory Services Protector es la única solución de detección y respuesta a amenazas que proporciona una visión única de las vulnerabilidades de seguridad en todo el entorno híbrido. Con DSP, puede correlacionar los cambios en AD local y Azure AD para detener a los atacantes.

Minimizar la superficie de ataque
Minimizar la superficie de ataque

Descubra las vulnerabilidades de AD y las configuraciones de riesgo en entornos híbridos antes de que lo hagan los atacantes. Obtenga orientación priorizada y orientada a la acción de una comunidad de investigadores de amenazas a la seguridad de AD. Reduzca la superficie de ataque de AD y adelántese al panorama de amenazas en constante evolución.

Solicitar una demostración
Detectar ataques avanzados
Detectar ataques avanzados

Descubra a los atacantes que se desplazan lateralmente por su entorno híbrido de AD sin ser detectados. Utilice varias fuentes de datos, incluido el flujo de replicación de AD, para obtener una visibilidad ininterrumpida de los ataques avanzados a AD que eluden la detección basada en agentes o registros. Integre datos de seguridad detallados con Splunk, Microsoft Sentinel u otras soluciones SIEM para obtener una visibilidad sin precedentes de las amenazas potenciales.

Solicitar una demostración
Automatizar la corrección
Automatizar la corrección

Ponga la seguridad de AD en piloto automático para detener a los atacantes en seco. Deshaga automáticamente los cambios maliciosos en AD que sean demasiado arriesgados para esperar a la intervención humana. Deshaga cambios no deseados en Azure AD. Cree activadores y alertas personalizados para su equipo de operaciones de seguridad.

Solicitar una demostración
Acelerar la respuesta a incidentes AD
Acelerar la respuesta a incidentes AD

Acelere el análisis forense de los ataques AD. Mitigue los daños de un ataque encontrando y erradicando rápidamente el malware. Traduzca los datos de cambios no estructurados de AD y Azure AD a un formato legible por humanos. Busque, correlacione y deshaga fácilmente los cambios de AD a nivel de objetos y atributos. Profundice hasta cualquier punto en el tiempo para aislar las cuentas de AD comprometidas y evitar futuros ataques.

Solicitar una demostración

Restaurar la vista de su SIEM

Un número creciente de ataques elude las auditorías de seguridad

A diferencia de las herramientas de seguimiento que se basan únicamente en los registros de seguridad y los agentes de cada controlador de dominio, Semperis DSP supervisa múltiples fuentes de datos, incluido el flujo de replicación de Active Directory. El flujo de replicación de Active Directory es el único método fiable para detectar todos los cambios, independientemente de cómo intenten ocultar sus huellas los atacantes. Semperis DSP reenvía los cambios sospechosos de AD a su sistema SIEM con un contexto significativo, reduciendo drásticamente la carga de los analistas de seguridad. Puede utilizar alertas predefinidas para Microsoft Sentinel, Splunk y otras herramientas SIEM y SOAR. También puede crear alertas personalizadas para herramientas SecOps y sistemas de tickets, incluido ServiceNow.

INTEGRACIONES SIEM LISTAS PARA USAR

¿Es su Directorio Activo vulnerable a un ciberataque?

Active Directory es el principal servicio de identidad para el 90 % de las empresas de todo el mundo, ya que proporciona autenticación de usuarios y acceso a aplicaciones y servicios críticos para el negocio. Un ataque que anule AD (como en el ciberataque NotPetya de 2017 contra el gigante naviero Maersk) puede interrumpir las operaciones empresariales. Debido a las desconfiguraciones heredadas y a las vulnerabilidades sin parchear, AD es un objetivo frecuente para los atacantes, incluidos grupos sofisticados de ransomware como LockBit y Vice Society. Los investigadores de Mandiant estiman que 9 de cada 10 ataques tienen que ver con AD.

Informe de la EMA:
50%
de las organizaciones sufrieron un ataque contra AD en los últimos 1-2 años
Informe de la EMA:
82%
de los pen testers que intentan explotar AD tienen éxito
Gartner:
33%
de las organizaciones no disponen de defensa AD
Informe Veeam 2023:
21%
de las empresas que pagaron rescates no pudieron recuperar sus datos

La confianza de las empresas líderes del sector

Semperis ofrece una tecnología superior, y su Directory Services Protector es un activo tremendo para cualquier empresa que utilice Active Directory.

Chen Amran Director Adjunto de Infraestructura y Comunicación, El Al Airlines
socio
Hertz
Bonito
Mi.gov

Proteja la AD híbrida de los ciberataques

Preguntas más frecuentes

¿Qué es Directory Services Protector?

Directory Services Protector (DSP) es una solución de detección y respuesta a amenazas de identidad (ITDR) reconocida por Gartner que pone la seguridad de Active Directory híbrido en piloto automático con supervisión continua y visibilidad sin precedentes en entornos AD locales y Azure AD, seguimiento a prueba de manipulaciones y reversión automática de cambios maliciosos.

¿Para qué necesito DSP si ya tengo un SIEM?

En los ataques basados en AD, la única fuente de datos inalterable es el flujo de replicación de AD, que queda fuera del alcance de la vista de cualquier SIEM. Además, la mayoría de las herramientas de auditoría de cambios de AD basadas en agentes carecen de la visibilidad necesaria para detectar y frustrar este tipo de ataques. El flujo de replicación de AD es el único método fiable para captar todos los cambios (antes y durante un ataque), independientemente de cómo intente el atacante cubrir sus huellas. DSP se integra con cualquier solución SIEM que consuma datos con formato SYSLOG. DSP se integra además con Microsoft Sentinel y Splunk. Con Microsoft Sentinel, DSP proporciona libros de trabajo que permiten ver datos adicionales de DSP en el panel de Sentinel, como datos de cambios de Active Directory y eventos de reglas de notificación. La aplicación DSP Splunk Enterprise proporciona datos detallados de seguridad de AD en el panel de Splunk para ofrecer un contexto y una visibilidad adicionales de las vulnerabilidades en todo el entorno.

¿Incluye Directory Services Protectorevaluaciones de vulnerabilidad de AD?

DSP proporciona una evaluación continua de las vulnerabilidades de seguridad en su entorno AD on-prem e híbrido, escaneando cientos de Indicators of Exposure (IOEs) y comprometiendo (IOCs) a través de varias categorías de seguridad AD, incluyendo seguridad de cuentas, Política de Grupo, Kerberos, delegación AD, infraestructura AD y Azure AD. DSP proporciona un panel de control de la puntuación global de la postura de seguridad, puntuaciones de categoría, indicadores de seguridad agrupados por gravedad, y orientación de remediación priorizada de expertos en seguridad AD.

¿Repara DSP los cambios no deseados tanto en on-prem AD como en Azure AD?

Sí, DSP ofrece reversión de cambios maliciosos tanto para AD local como para Azure AD. DSP ofrece corrección automatizada de cambios peligrosos en AD local para evitar ataques que avanzan demasiado rápido para la intervención humana. DSP También admite la reversión granular, lo que le permite revertir cambios en atributos individuales, miembros de grupos, objetos y contenedores, y a cualquier punto en el tiempo, no solo a una copia de seguridad anterior. DSP también proporciona la capacidad de revertir cambios de Azure AD en usuarios, grupos y roles. DSP también puede restaurar objetos de usuario o grupo que permanecen en la papelera de reciclaje de Azure AD.

¿Qué impacto tiene DSPen el rendimiento de AD?

DSP es no es intrusivo y está diseñado para ser compatible con AD. Este enfoque único captura los cambios sin comprometer la estabilidad de AD.

¿Puede DSP soportar entornos AD complejos?

DSP está diseñado específicamente para AD y puede soportar incluso los entornos AD más complejos, incluyendo despliegues multiorganización y multiforestales. Organizaciones grandes y pequeñas confían en Semperis para ayudarles a detectar vulnerabilidades de directorio, interceptar ciberataques en curso y recuperarse rápidamente de ransomware y otras emergencias de integridad de datos.

¿En qué se diferencia Directory Services Protector de Microsoft Defender for Identity?

Tanto Microsoft Defender for Identity (MDI) como las soluciones de Semperis desempeñan un papel fundamental en la protección de los sistemas de identidad frente a los ataques:

  • MDI utiliza análisis basados en el usuario (UBA) para supervisar y alertar sobre los comportamientos de los usuarios que se ajustan a los modelos conocidos de ataque a la identidad de los usuarios.
  • Semperis protege todo el servicio AD híbrido -el vector de ataque común en el 90 por ciento de los incidentes- con tecnología patentada diseñada específicamente para prevenir, mitigar y recuperarse de los ataques basados en identidades.

La combinación de las soluciones de Semperis con Microsoft Defender for Identity (MDI) proporciona una defensa en capas contra los ataques que explotan las identidades de los usuarios y el servicio de identidad de AD.

¿Ayuda DSP con los informes de cumplimiento?

Directory Services Protector incluye plantillas de informes de cumplimiento que se ajustan a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX. Puede importar paquetes de cumplimiento individuales a DSP para satisfacer las necesidades de su organización. También puede programar cualquier informe de DSP , incluidos los informes de cumplimiento, para su generación y distribución periódicas.

¿Qué criterios utiliza DSP para generar la puntuación de seguridad?

El método de puntuación de Directory Services Protector comprende varios factores, como las consecuencias potenciales de una vulnerabilidad explotada, la facilidad de explotación y la prevalencia general. En función de estos factores, se asigna a cada indicador una calificación de gravedad (nivel y número) que refleja el impacto potencial en la postura de seguridad, la disponibilidad y el rendimiento. El índice de gravedad se utiliza en la fórmula de puntuación para calcular el riesgo global que plantea la vulnerabilidad.

¿Permite DSP especificar qué eventos activan una alerta?

DSP le permite añadir objetos o condiciones individuales que constituyen un riesgo conocido a una lista de ignorados para que ya no activen una alerta en DSP ni afecten a la puntuación global de la postura de seguridad. Este enfoque le ayuda a evaluar con precisión el riesgo y acelerar la corrección.

Vea Directory Services Protector en acción

Solicite una demostración y hable con un experto en seguridad de Active Directory.