Purple Knightla herramienta gratuita de evaluación de la seguridad de Active Directory (AD) descargada por más de 10.000 usuarios, ahora le permite identificar y abordar las brechas de seguridad en su entorno de identidad híbrida. Así es: La última versión de Purple Knight introduce indicadores de seguridad de Azure AD. La capacidad de abordar las brechas de seguridad tanto en AD on-prem como en Azure AD le da una ventaja a la hora de defenderse contra las amenazas actuales.
Con un escenario híbrido, la superficie de ataque potencial se amplía para los adversarios. En la actualidad, los ataques suelen comenzar en las instalaciones y trasladarse a la nube, como en el caso del ataque de SolarWinds, o pasar de la nube a las instalaciones. La nueva versión de Purple Knight ayuda a las organizaciones a descubrir las brechas de seguridad que pueden exponer sus sistemas de identidad híbridos a los atacantes.
Purple Knight-disponible para su descarga aquí- tambiénincluye compatibilidad con el modelo D3FEND™ de MITRE, nuevos indicadores de seguridad de AD on-prem, mejoras en los informes y algunas correcciones de errores y mejoras en los scripts.
Novedades de Purple Knight 1.5
Además de introducir 10 indicadores de seguridad de Azure AD, Purple Knight 1.5 incluye nuevas etiquetas de marco de seguridad para el modelo D3FEND de MITRE, un marco beta para la defensa de redes. MITRE D3FEND es una base de conocimientos de técnicas de contramedidas de ciberseguridad que puede ayudarle a diseñar, implantar y defender mejor los sistemas en red. Purple Knight también incluye siete nuevos indicadores de seguridad para AD on-prem, así como mejoras en los informes HTML y PDF. Esto es lo que incluye Purple Knight 1.5:
- 10 indicadores de seguridad de Azure AD que le ayudarán a comprender su postura general de seguridad en el entorno de identidad híbrida
- Etiquetas de marco de seguridad para el modelo D3FEND de MITRE, un marco beta para la defensa de redes
- Mejoras en el informe de evaluación de seguridad HTML, incluido un panel de navegación que permite localizar rápidamente información específica dentro del informe sin necesidad de desplazarse y una estructura de informe actualizada que incluye evaluaciones de AD y Azure AD cuando se ejecuta en un entorno híbrido.
- Posibilidad de generar una versión mejorada en PDF del informe de evaluación de la seguridad
- Varias correcciones de errores y mejoras de script
Utilización de Purple Knight para evaluar la seguridad de su entorno de identidad híbrida
Purple Knight 1.5 analiza su entorno Azure AD en busca de los siguientes indicadores de exposición (IOE), que señalan configuraciones de riesgo que los atacantes pueden explotar:
- Usuarios con privilegios en AAD que también tienen privilegios en AD
- Las unidades administrativas no se utilizan
- Comprobar si los invitados tienen permisos para invitar a otros invitados
- Comprobación de los permisos de riesgo de la API concedidos a los responsables del servicio de la aplicación
- Comprobar si se permite la autenticación heredada
- MFA no está configurado para las cuentas privilegiadas
- Los usuarios que no son administradores pueden registrar aplicaciones personalizadas
- Los grupos privilegiados contienen cuentas de invitados
- Los valores predeterminados de seguridad no están activados
- Se permite el consentimiento del usuario sin restricciones
Descargar script para conectar Purple Knight a Azure Active Directory
Para ejecutar Purple Knight en su entorno Azure AD, necesita crear y actualizar el registro de la aplicación en Azure AD con un conjunto definido y consentido de permisos de aplicación para Microsoft Graph. Jorge de Almeida Pinto, Senior Solutions Architect and Product Manager de Semperis, creó un script de PowerShell que automatiza este paso.
Para utilizar el script, necesitará dos módulos de PowerShell (AzureAD y Az.Accounts) yla cuenta que cree el registro de la aplicación debe ser un administrador global. El script admite las siguientes tareas:
- Crea y actualiza el registro de la aplicación en Azure AD para que Purple Knight 1.5 pueda analizar las vulnerabilidades en Azure AD
- Elimina el registro de la aplicación en Azure AD
- Asigna los permisos necesarios de la aplicación Microsoft Graph y da su consentimiento al crear o actualizar la aplicación
- Crea un secreto de cliente que, por defecto, es válido durante una hora al crear o actualizar la aplicación (si es necesario, puede proporcionar un tiempo de vida de cliente en días para el secreto de cliente)
- Elimina todos los secretos de cliente del registro de la aplicación en Azure AD
- Muestra el ID de inquilino, el ID de la aplicación, los permisos asignados y consentidos, y el secreto de cliente que se utilizará en el archivo ejecutable Purple Knight
Consulte la lista completa de funciones y ejemplos y descargue el script PowerShell Purple Knight 1.5 en la cuenta GitHub de Semperis.
Nuevos indicadores de seguridad de Active Directory
Además de introducir indicadores de seguridad de Azure AD, Purple Knight 1.5 incluye siete nuevos indicadores de seguridad de AD on-prem:
- Cuentas con delegación restringida configuradas en krbtgt
- Plantillas de certificados que permiten a los solicitantes especificar un subjectAltName
- Plantillas de certificados con tres o más configuraciones no seguras
- FGPP no aplicado al grupo
- La firma LDAP no es necesaria en los controladores de dominio
- Grupos de operadores que no están vacíos
- Los controladores de dominio admiten el tipo de cifrado RC4
Cómo acceder a Purple Knight 1.5
Puede descargar Purple Knight 1 .5 aquí. Recuerde revisar el último documento de inicio rápido Purple Knight para obtener orientación importante antes de descomprimir y ejecutar Purple Knight. Encontrarás los detalles de la última versión y el SHA 256 aquí.
Si eres nuevo en Purple Knight, consulta también los siguientes recursos:
- Lea el documento de inicio rápido
- Únase a la comunidad Slack de Purple Knight
- Explore nuestro rastreador de indicadores de seguridad
- Consulte nuestra guía del usuario Purple Knight
Purple Knight introduce indicadores de seguridad de Azure AD para combatir los ataques a la identidad híbrida
Con la introducción de los indicadores de seguridad de Azure AD, Purple Knight es un poderoso recurso en su defensa contra ataques dirigidos a entornos AD híbridos. Agradecemos sus comentarios y preguntas en el canal de SlackPurple Knight , o puede enviarnos un correo electrónico aquí.
