Purple Knight Questions fréquemment posées

  • Qu'est-ce que Purple Knight?

    Purple Knight est un outil d'évaluation de la sécurité d'Active Directory et d'Entra ID utilisé par des milliers d'organisations pour identifier rapidement les vulnérabilités dans les environnements AD hybrides et recevoir des conseils d'experts pour y remédier.

  • Combien coûte le site Purple Knight ?

    Purple Knight est gratuit.

  • Pourquoi devrions-nous utiliser Purple Knight?

    Pour verrouiller votre environnement Active Directory hybride, vous devez penser comme un attaquant. Purple Knight met en correspondance les indicateurs de sécurité pré- et post-attaque avec les cadres ATT&CK et ANSSI de MITRE, offrant un score de risque global ainsi que la probabilité de compromission et des étapes de remédiation spécifiques. Purple Knight fournit également de nouvelles étiquettes de cadre de sécurité pour le modèle D3FEND de MITRE, un cadre bêta pour la défense du réseau. Vous pouvez utiliser Purple Knight pour renforcer AD et Entra ID de manière proactive contre les nouvelles tactiques et techniques des adversaires grâce à une modélisation intégrée des menaces qui est constamment mise à jour par une équipe d'experts en sécurité.

  • L'exécution de Purple Knight apporte-t-elle des modifications à l'Active Directory sur site ?

    Non, Purple Knight n'apporte pas de modifications à Active Directory. L'outil nécessite la possibilité d'exécuter des scripts PowerShell et utilise des requêtes LDAP via RPC pour des analyses de vulnérabilité spécifiques.

  • Comment puis-je utiliser Purple Knight pour évaluer mon environnement Entra ID Active Directory ?

    Pour exécuter Purple Knight dans votre environnement Entra ID, vous devez créer et mettre à jour l'enregistrement de l'application dans Entra ID avec un ensemble défini et consenti de permissions d'application pour le Microsoft Graph. Jorge de Almeida Pinto, architecte de solutions et gestionnaire de produits senior de Semperis, a créé un script PowerShell qui automatise cette étape.

    Pour utiliser le script, vous aurez besoin de deux modules PowerShell - AzureAD et Az.Accounts - etle compte qui crée l'enregistrement de l'application doit être un administrateur global. Le script prend en charge les tâches suivantes :

    • Création et mise à jour de l'enregistrement de l'application dans Entra ID pour Purple Knight 1.5 afin de pouvoir analyser les vulnérabilités dans Azure AD.
    • Supprime l'enregistrement de l'application dans Entra ID
    • Attribue les autorisations requises pour l'application Microsoft Graph et donne son consentement lors de la création ou de la mise à jour de l'application.
    • Crée un secret client qui, par défaut, est valable pendant une heure lors de la création ou de la mise à jour de l'application (si nécessaire, vous pouvez fournir une durée de vie en jours pour le secret client).
    • Supprime tous les secrets du client de l'enregistrement de l'application dans Azure AD.
    • Affiche l'ID du locataire, l'ID de l'application, les autorisations attribuées et consenties, et le secret du client à utiliser dans le fichier exécutable Purple Knight .

    Consultez la liste complète des fonctions et des exemples et téléchargez le script PowerShell Purple Knight 1.5 sur le compte GitHub de Semperis.

  • Le site Purple Knight est-il une solution SaaS ?

    Purple Knight est un logiciel installé.

  • Quelles autorisations Active Directory sont nécessaires pour exécuter Purple Knight?

    Purple Knight est conçu pour donner un aperçu rapide de votre environnement AD et Entra ID tel qu'un attaquant le verrait. Par conséquent, Purple Knight ne nécessite aucune autorisation élevée ou d'administrateur.

  • Que fait Semperis avec les informations que Purple Knight génère sur notre environnement ?

    Rien ! Purple Knight ne remonte aucune information. Les données et les informations que l'outil génère sont exclusivement à la disposition de l'organisation qui l'utilise et ne sont jamais accessibles à Semperis.

  • Le site Purple Knight peut-il alimenter en informations des solutions de sécurité telles que notre SIEM ?

    Non, Purple Knight fournit un tableau de bord ponctuel des vulnérabilités d'Active Directory et de l'état général de la sécurité. Cependant, Semperis Directory Services Protector (DSP) peut facilement s'intégrer à un SIEM pour fournir une vue unique des données de sécurité d'Active Directory (y compris les indicateurs suivis par Purple Knight).

  • Quelle est la différence entre Purple Knight et Semperis DSP ?

    Purple Knight fournit une vue ponctuelle et une évaluation des risques liés à Active Directory et Entra ID. DSP fournit une vue continue d'AD et d'Azure AD, y compris alerting, change tracking, automatic remediationet la prise en charge des environnements AD hybrides.

  • Combien d'indicateurs de sécurité sont suivis par Purple Knight ?

    L'équipe de recherche de Semperis étudie continuellement les façons dont les cybercriminels complotent pour compromettre les systèmes d'information des organisations, en particulier en exploitant les vulnérabilités d'AD et d'Entra ID. Semperis utilise ces renseignements sur les menaces pour mettre à jour en permanence la liste des indicateurs de sécurité que Purple Knight suit.

    Pour une liste complète des indicateurs, consultez le site Purple Knight Indicateurs de sécurité.

  • Est-ce que Purple Knight s'intéresse à autre chose qu'à AD ?

    Purple Knight est conçu pour les environnements AD hybrides : Il couvre à la fois les environnements AD sur site et Entra ID.

  • Quelles sont les déficiences les plus courantes que l'on trouve sur le site Purple Knight ?

    Le score global moyen de Purple Knight est de 61 %, la sécurité de Kerberos étant en moyenne de 43 % et celle de la stratégie de groupe de 58 %. Consultez le document sur les indicateurs de sécurité de Purple Knight pour obtenir une vue complète des indicateurs associés à chaque catégorie.

  • Combien de temps dure un scanner Purple Knight ?

    Le temps nécessaire à l'exécution d'un scan Purple Knight varie en fonction de la taille et de la complexité de votre environnement Active Directory et des scans exécutés. En général, l'analyse d'une forêt prend quelques minutes, et un temps supplémentaire est nécessaire pour une analyse Zerologon, qui exécute un RPC pour analyser tous les contrôleurs de domaine.

  • Quel est l'impact des performances de Purple Knight sur notre environnement ?

    Purple Knight n'a aucun impact sur les performances de l'environnement. Cependant, pour les grands domaines (plus de 100 000 objets, plus de 10 contrôleurs de domaine), les utilisateurs peuvent constater des temps d'exécution longs et une utilisation élevée de la mémoire sur la machine locale qui exécute Purple Knight.

  • Comment Purple Knight s'adapte-t-il aux nouvelles menaces, aux nouvelles faiblesses et aux nouvelles tactiques d'attaque ?

    L'équipe de recherche de Semperis étudie en permanence les moyens par lesquels les cybercriminels complotent pour compromettre les systèmes d'information des organisations, notamment en exploitant les vulnérabilités d'Active Directory. Semperis utilise ces renseignements sur les menaces pour mettre constamment à jour la liste des indicateurs de sécurité que Purple Knight suit.

    Pour une liste complète des indicateurs, consultez le site Purple Knight Indicateurs de sécurité.

  • Comment le site Purple Knight se compare-t-il à un programme d'évaluation des risques de Microsoft ?

    Un programme d'évaluation des risques (RAP) de Microsoft est un engagement intense et à long terme, tandis que Purple Knight offre une valeur immédiate. Un programme d'évaluation des risques (RAP) comprend plusieurs outils, évaluations et implications personnelles et n'est disponible qu'avec la tarification Microsoft de premier ordre. Purple Knight est un outil gratuit qui fournit des instantanés rapides de l'état actuel de votre Active Directory, ainsi que des conseils de remédiation exploitables.

  • Comment Purple Knight se compare-t-il à d'autres outils, tels que BloodHound et PingCastle ?

    Purple Knight fournit des rapports plus conviviaux et exploitables et est plus facile à utiliser que PingCastle. BloodHound ne recherche pas les expositions comme le fait Purple Knight , mais cartographie plutôt les chemins d'attaque potentiels que les utilisateurs doivent explorer, hiérarchiser et traiter par eux-mêmes. Pour plus d'informations sur l'utilisation conjointe de ces outils, voir "BloodHound et Purple Knight: Better Together for Hardening Active Directory Security".

  • Quel est le score typique de l'évaluation Purple Knight ?

    Le score global initial moyen de Purple Knight est de 61 %, avec une moyenne de 43 % pour la sécurité de Kerberos et de 58 % pour la sécurité des stratégies de groupe. Consultez le document sur les indicateurs de sécurité de Purple Knight pour obtenir une vue complète des indicateurs associés à chaque catégorie.

  • À quelle fréquence puis-je effectuer une évaluation sur Purple Knight ?

    Vous pouvez exécuter Purple Knight aussi souvent que vous le souhaitez.

  • Comment puis-je utiliser les résultats de mon évaluation ?

    Purple Knight génère un rapport détaillé comprenant tous les indicateurs analysés, l'état de réussite/échec de chaque indicateur, sa correspondance avec le cadre ATT&CK de MITRE et les recommandations de remédiation. Vous pouvez utiliser ces informations précieuses pour mieux comprendre et prioriser les améliorations de sécurité.