Détection et réponse aux menaces AD

Directory Services Protector

Protégez votre infrastructure d'identité critique contre les cyberattaques grâce à la plateforme de détection et de réponse aux menaces liées à l'identité (ITDR) la plus complète du marché pour Active Directory et Azure AD.

Secure AD et Azure AD

Sécurité complète de l'Active Directory

Il est difficile de sécuriser Active Directory et Azure Active Directory. Les erreurs de configuration s'accumulent au fil du temps, créant des vulnérabilités de sécurité héritées que les attaquants adorent exploiter - en fait, 9 cyberattaques sur 10 impliquent AD, selon les chercheurs de Mandiant. Semperis fournit la détection et la réponse les plus complètes aux menaces AD hybrides en surveillant continuellement l'environnement, en rétablissant les changements malveillants et en fournissant une vue unique de la posture de sécurité AD et Azure AD.

Empêcher les pirates d'accéder à AD et Azure AD

Capturer les changements AD et Azure AD qui contournent les journaux de sécurité

Remédier automatiquement aux modifications malveillantes

Accélérer la réponse aux incidents et prévenir les attaques futures

Maîtrisez la sécurité de votre Active Directory

Active Directory ne peut pas résister aux cybermenaces actuelles. Et il est notoirement difficile de protéger à la fois AD sur site et Azure AD dans un environnement hybride. De plus, les attaquants se déplacent souvent des sites sur site vers le cloud (ou vice versa) pour obtenir des privilèges élevés, comme dans le cas de l'attaque de SolarWinds. Dans notre monde où le mobile est roi, où le cloud est roi, tout appareil connecté peut exposer le cœur de votre infrastructure informatique.

Dans un scénario AD hybride, la surface d'attaque potentielle s'élargit. Directory Services Protector est la seule solution de détection et de réponse aux menaces qui offre une vue unique des vulnérabilités de sécurité dans l'environnement hybride. Avec DSP, vous pouvez corréler les changements entre AD sur site et Azure AD pour arrêter les attaquants.

Réduire la surface d'attaque

Découvrez les vulnérabilités AD et les configurations à risque dans les environnements hybrides avant que les attaquants ne le fassent. Obtenez des conseils prioritaires et orientés vers l'action de la part d'une communauté de chercheurs en menaces de sécurité AD. Réduisez votre surface d'attaque AD et gardez une longueur d'avance sur le paysage des menaces en constante évolution.

Demander une démonstration

Détecter les attaques avancées

Mettez en lumière les attaquants qui se déplacent latéralement dans votre environnement AD hybride sans être contrôlés. Utilisez plusieurs sources de données, y compris le flux de réplication AD, pour obtenir une visibilité ininterrompue sur les attaques AD avancées qui contournent la détection basée sur les agents ou les journaux. Intégrez des données de sécurité détaillées à Splunk, Microsoft Sentinel ou d'autres solutions SIEM pour une visibilité inégalée sur les menaces potentielles.

Demander une démonstration

Automatiser la remédiation

Mettez la sécurité AD en pilote automatique pour stopper les attaquants dans leur élan. Annulez automatiquement les modifications malveillantes dans AD qui sont trop risquées pour attendre une intervention humaine. Annulez les modifications non souhaitées dans Azure AD. Créez des déclencheurs et des alertes personnalisés pour votre équipe chargée des opérations de sécurité.

Demander une démonstration

Accélérer la réponse aux incidents AD

Accélérer l'analyse médico-légale des attaques AD. Réduisez les dommages causés par une attaque en trouvant et en éradiquant rapidement les logiciels malveillants. Traduire les données de modification AD et Azure AD non structurées dans un format lisible par l'homme. Recherchez, corrélez et annulez facilement les modifications AD au niveau des objets et des attributs. Recherchez n'importe quel point dans le temps pour isoler les comptes AD compromis et prévenir de futures attaques.

Demander une démonstration

Composez votre numéro de sécurité Active Directory

La sécurisation d'Active Directory est difficile en raison de sa complexité et de la prolifération de groupes de ransomware tels que LockBit et Vice Society qui ciblent AD avec de nouvelles tactiques, techniques et procédures (TTP). Directory Services Protector met la sécurité AD et Azure AD en pilote automatique avec une surveillance continue des menaces AD, des alertes en temps réel et des capacités de remédiation autonomes. DSP vous aide à répondre plus efficacement aux incidents de sécurité AD et aux erreurs opérationnelles de tous les jours.

Évaluation de la vulnérabilité

Surveillez en permanence AD pour détecter les indicateurs d'exposition (IOE) et les indicateurs de compromission (IOC) susceptibles de compromettre AD. Utiliser les renseignements intégrés sur les menaces fournis par les chercheurs experts en sécurité pour découvrir les mauvaises configurations courantes telles que les mots de passe expirés et les comptes de confiance avec d'anciens mots de passe.

Remédiation automatisée

Annulez automatiquement les modifications malveillantes dans AD on-prem. Créer des notifications d'audit sur les modifications risquées d'objets et d'attributs AD sensibles. Annulez les modifications non souhaitées dans Azure AD.

Traçabilité à l'épreuve des manipulations

Capturez les changements même si la sécurité est désactivée, si les journaux sont manquants, si les agents sont désactivés ou inopérants, ou si des changements risqués sont injectés directement dans AD.

Suivi des modifications dans Azure AD

Utilisez le suivi des modifications en temps quasi réel dans DSP for Azure AD pour surveiller les modifications apportées aux attributions de rôles, aux appartenances à des groupes et aux attributs des utilisateurs.

Annulation des modifications apportées à Azure AD

Revenir sur les modifications apportées par Azure AD aux utilisateurs, aux groupes et aux rôles. Restaurer les objets d'utilisateurs ou de groupes qui restent dans la corbeille Azure AD.

Rapports de conformité

Utilisez des modèles de rapports de conformité prédéfinis qui s'alignent sur les normes de conformité courantes, notamment GDPR, HIPAA, PCI et SOX.

Intégration de Splunk

Apportez des données détaillées sur la sécurité d'Active Directory - y compris les données de changement d'Active Directory, les données de l'indicateur de sécurité DSP et les événements de la règle de notification DSP - dans les vues familières de Splunk Enterprise pour fournir un contexte et une visibilité significatifs sur les vulnérabilités dans l'ensemble de votre environnement.

Intégration de Microsoft Sentinel

Utilisez de nouveaux classeurs pour Microsoft Sentinel qui vous permettent d'afficher des données supplémentaires provenant de DSP, telles que les données de changement d'Active Directory et les événements de règles de notification DSP , dans les tableaux de bord Sentinel.

Délégation avec RBAC

Utilisez un contrôle d'accès basé sur les rôles (RBAC) robuste et une interface utilisateur web riche pour donner aux administrateurs AD des capacités de visualisation et de restauration pour leur périmètre de contrôle spécifique.

Des rapports puissants

Utilisez les rapports intégrés créés par les experts AD pour mieux comprendre les aspects opérationnels, de conformité et de sécurité de votre système d'identité. Créez des rapports personnalisés basés sur des requêtes sophistiquées dans les bases de données LDAP et DSP . Téléchargez un rapport HTML avec l'état et le score de votre posture de sécurité actuelle, y compris les détails pour chaque indicateur d'exposition.

Notifications en temps réel

Définissez des alertes par le biais de notifications par courrier électronique lorsque des changements opérationnels et liés à la sécurité se produisent en temps réel dans AD.

Support PowerShell

Utilisez le module PowerShell de DSP pour automatiser les processus et intégrer les opérations et la gestion de DSP dans votre ensemble d'outils existant.

Recherche et réparation instantanées

Utilisez la base de données en ligne intégrée DSP pour trouver et corriger les changements d'objets et d'attributs AD indésirables en deux minutes ou moins.

Retour en arrière granulaire

Revenir sur les modifications apportées aux attributs individuels, aux membres de groupes, aux objets et aux conteneurs, à n'importe quel moment, et pas seulement à une sauvegarde précédente.

Analyse médico-légale

Identifier les modifications suspectes et isoler les modifications effectuées par des comptes compromis. Utiliser les données de DSP pour soutenir les opérations de Digital Forensics and Incident Response (DFIR) afin de suivre les sources et les détails des incidents.

Visualisation de la sécurité de l'AD hybride

Affichez facilement les modifications provenant d'Azure AD. Utilisez la vue hybride pour corréler les modifications entre AD sur site et Azure AD.

Voir tout

Rétablir la vue sur votre SIEM

Un nombre croissant d'attaques contournent l'audit de sécurité

Contrairement aux outils de suivi qui s'appuient uniquement sur les journaux de sécurité et les agents de chaque contrôleur de domaine, Semperis DSP surveille plusieurs sources de données, y compris le flux de réplication d'Active Directory. Le flux de réplication AD est la seule méthode fiable pour détecter chaque changement, quelle que soit la manière dont les attaquants tentent de brouiller les pistes. Semperis DSP transmet les changements AD suspects à votre système SIEM avec un contexte significatif, ce qui réduit considérablement la charge de travail des analystes de sécurité. Vous pouvez utiliser des alertes prédéfinies pour Microsoft Sentinel, Splunk et d'autres outils SIEM et SOAR. Vous pouvez également créer des alertes personnalisées pour les outils SecOps et les systèmes de billetterie, y compris ServiceNow.

INTÉGRATIONS SIEM PRÊTES À L'EMPLOI

Votre Active Directory est-il vulnérable à une cyberattaque ?

Active Directory est le principal service d'identité pour 90 % des entreprises dans le monde, fournissant l'authentification des utilisateurs et l'accès aux applications et services critiques de l'entreprise. Une attaque qui anéantit l'AD (comme lors de la cyberattaque NotPetya de 2017 contre le géant du transport maritime Maersk) peut perturber les activités de l'entreprise. En raison de mauvaises configurations et de vulnérabilités non corrigées, AD est une cible fréquente pour les attaquants, y compris les groupes de ransomware sophistiqués tels que LockBit et Vice Society. Les chercheurs de Mandiant estiment aujourd'hui que 9 attaques sur 10 impliquent AD.

Rapport de l'EMA :

50%

des organisations ont subi une attaque sur AD au cours des 1 à 2 dernières années

Rapport de l'EMA :

82%

des tentatives d'exploitation d'AD par les pen testers sont couronnées de succès

Gartner :

33%

des organisations n'ont pas mis en place de défense AD

Rapport 2023 de Veeam :

21%

des entreprises ayant payé une rançon n'ont pas pu récupérer leurs données

Des entreprises de premier plan lui font confiance

Découvrez les témoignages de nos clients

Semperis offre une technologie supérieure et son site Directory Services Protector est un atout considérable pour toute entreprise qui utilise Active Directory.
Chen Amran Directeur adjoint de l'infrastructure et de la communication, El Al Airlines

Protéger l'AD hybride contre les cyberattaques

Questions fréquemment posées

Qu'est-ce que Directory Services Protector?

Directory Services Protector (DSP) est une solution de détection et de réponse aux menaces identitaires (ITDR) reconnue par Gartner, qui met la sécurité de l'Active Directory hybride en pilotage automatique grâce à une surveillance continue et une visibilité inégalée dans les environnements AD sur site et Azure AD, un suivi infaillible et un retour en arrière automatique des modifications malveillantes.

Pourquoi aurais-je besoin de DSP si j'ai déjà un SIEM ?

Dans les attaques basées sur AD, la seule source de données inaltérable est le flux de réplication AD, qui est en dehors du champ de vision de tout SIEM. En outre, la plupart des outils d'audit des changements AD basés sur des agents ne disposent pas d'une visibilité suffisante pour détecter et contrecarrer de telles attaques. Le flux de réplication AD est la seule méthode fiable pour détecter chaque changement (avant et pendant une attaque), quelle que soit la manière dont un attaquant peut tenter de brouiller les pistes. DSP s'intègre à toute solution SIEM qui consomme des données au format SYSLOG. DSP s'intègre également à Microsoft Sentinel et à Splunk. Avec Microsoft Sentinel, DSP fournit des classeurs qui vous permettent d'afficher des données DSP supplémentaires dans le tableau de bord de Sentinel, telles que les données de changement d'Active Directory et les événements de règles de notification. L'application Splunk Enterprise DSP fournit des données détaillées sur la sécurité AD dans le tableau de bord Splunk afin de fournir un contexte et une visibilité supplémentaires sur les vulnérabilités dans l'ensemble de l'environnement.

Les capacités de Directory Services Protectorcomprennent-elles l'évaluation des vulnérabilités d'AD ?

DSP fournit une évaluation continue des vulnérabilités de sécurité dans votre environnement AD sur site et hybride, en recherchant des centaines de Indicators of Exposure (IOEs) et de compromis (IOC) dans diverses catégories de sécurité AD, notamment la sécurité des comptes, la stratégie de groupe, Kerberos, la délégation AD, l'infrastructure AD et Azure AD. DSP fournit un tableau de bord du score global de la posture de sécurité, des scores par catégorie, des indicateurs de sécurité regroupés par gravité, et des conseils de remédiation priorisés de la part des experts en sécurité AD.

DSP remédie-t-il aux changements indésirables dans AD sur site et Azure AD ?

Oui, DSP permet de revenir sur des modifications malveillantes pour AD sur site et Azure AD. DSP permet une remédiation automatisée des modifications risquées dans AD sur site afin de prévenir les attaques trop rapides pour une intervention humaine. DSP DSP offre également la possibilité de revenir en arrière sur les modifications apportées à Azure AD dans les utilisateurs, les groupes et les rôles. DSP peut également restaurer les objets des utilisateurs ou des groupes qui restent dans la corbeille d'Azure AD.

Quel est l'impact de DSPsur les performances d'AD ?

DSP est est non intrusif et conçu pour être compatible avec AD. Cette approche unique permet de capturer les changements sans compromettre la stabilité d'AD.

DSP peut-il prendre en charge des environnements AD complexes ?

DSP est spécialement conçu pour AD et peut prendre en charge les environnements AD les plus complexes, y compris les déploiements multi-organisations et multi-forêts. Certains des AD les plus importants et les plus complexes qui existent s'appuient sur Semperis pour les aider à repérer les vulnérabilités des répertoires, à intercepter les cyber-attaques en cours et à se remettre rapidement des ransomwares et autres urgences liées à l'intégrité des données.

En quoi Directory Services Protector est-il différent de Microsoft Defender for Identity ?

Les solutions Microsoft Defender for Identity (MDI) et Semperis jouent toutes deux un rôle essentiel dans la protection des systèmes d'identité contre les attaques :

MDI utilise l'analyse basée sur l'utilisateur (UBA) pour surveiller et alerter sur les comportements des utilisateurs qui correspondent aux modèles connus d'attaque de l'identité de l'utilisateur.
Semperis protège l'ensemble du service AD hybride, vecteur d'attaque commun dans 90 % des incidents, grâce à une technologie brevetée conçue pour prévenir, atténuer et récupérer les attaques basées sur l'identité.

La combinaison des solutions de Semperis avec Microsoft Defender for Identity (MDI) fournit une défense en couches contre les attaques qui exploitent les identités des utilisateurs et le service d'identité AD.

Le site DSP facilite-t-il l'établissement des rapports de conformité ?

Directory Services Protector inclut des modèles de rapports de conformité qui s'alignent sur les normes de conformité courantes, notamment GDPR, HIPAA, PCI et SOX. Vous pouvez ajouter des groupes de conformité individuels à DSP pour répondre aux besoins de votre organisation. Vous pouvez programmer n'importe quel rapport DSP , y compris les rapports de conformité, pour une génération et une distribution récurrentes.

Quels sont les critères utilisés par DSP pour générer le score de sécurité ?

Directory Services ProtectorLa méthode de notation de l'OMPI est basée sur une variété de facteurs, y compris les conséquences potentielles si un attaquant exploite la vulnérabilité, la facilité d'exploitation de la vulnérabilité, et la prévalence globale de la vulnérabilité dans l'environnement. Sur la base de ces facteurs, chaque indicateur se voit attribuer une note de gravité (niveau et nombre) qui reflète l'impact potentiel de la vulnérabilité sur votre posture de sécurité, votre disponibilité et vos performances. La note de gravité est ensuite utilisée dans la formule de notation pour calculer le risque global posé par la vulnérabilité.

Le site DSP me permet-il de spécifier les événements qui déclenchent une alerte ?

DSP vous permet d'ajouter des objets individuels ou des conditions qui ont été identifiés comme un "risque connu" à une liste d'ignorés afin qu'ils ne déclenchent plus d'alerte dans DSP ou qu'ils n'affectent pas le score global de la posture de sécurité. Cette approche vous permet d'évaluer plus précisément le risque posé par les objets restants et d'accélérer les efforts de remédiation.