Rileva le modifiche dannose in AD

Rilevamento e risposta alle minacce di Active Directory

Monitora ogni modifica ad Active Directory e Azure AD, comprese le minacce avanzate che sfuggono al monitoraggio tradizionale.

Rilevamento delle minacce ad Active Directory e Azure AD

Le organizzazioni dipendono dall'infrastruttura di identità per autenticare gli utenti e fornire un accesso sicuro alle applicazioni e ai servizi business-critical. Per il 90% delle organizzazioni di tutto il mondo, Active Directory e Azure Active Directory costituiscono il nucleo dei loro servizi di identità. Ma proteggere Active Directory è difficile, dato il suo costante cambiamento, l'enorme numero di impostazioni e il panorama sempre più sofisticato delle minacce. La protezione dei sistemi AD ibridi comporta ulteriori sfide, poiché molti attacchi iniziano in sede e si spostano nel cloud. La protezione dagli attacchi richiede un monitoraggio continuo di AD e Azure AD e una visione unica delle modifiche dannose in tutto l'ambiente.

Rapporto Semperis:
73%
delle organizzazioni NON sono sicure di poter prevenire gli attacchi ad Azure AD
Rapporto Microsoft Digital Defense:
88%
delle organizzazioni colpite da incidenti di ransomware non hanno adottato le migliori pratiche di sicurezza di AD e Azure AD
Rapporto Microsoft Digital Defense:
1 ora, 42 minuti
il tempo mediano in cui un attore dell'attacco inizia a muoversi lateralmente dopo la compromissione del dispositivo
Rapporto Microsoft Digital Defense:
68%
delle organizzazioni colpite da incidenti informatici non aveva un processo efficace di gestione delle vulnerabilità e delle patch

Assumi il controllo del rilevamento e della risposta alle minacce a Active Directory

Per difendersi dalle minacce in continua evoluzione, le organizzazioni devono monitorare costantemente Active Directory e Azure AD alla ricerca di indicatori di esposizione (IOE) e indicatori di compromesso (IOC), compresi gli attacchi avanzati come DCShadow che eludono le tradizionali soluzioni di monitoraggio basate su log o eventi.

icona del bulbo oculare
Monitoraggio

Esegui la scansione continua dell'ambiente AD e Azure AD alla ricerca di indicatori di esposizione (IOE) e indicatori di compromessi (IOC).

Rilevare

Scopri gli attacchi avanzati come DCShadow, che eludono le soluzioni tradizionali basate su log ed eventi, compresi i SIEM.

icona della lista di controllo
Rispondere

Ferma gli aggressori con il monitoraggio a prova di manomissione, le notifiche in tempo reale e il rollback automatico delle modifiche.

Rileva e contrasta i crescenti attacchi ai sistemi di identità

Monitora continuamente le nuove minacce

Gruppi sofisticati di ransomware-as-a-service (RaaS) stanno intensificando gli attacchi ai sistemi di identità nel tentativo di ottenere l'accesso a risorse critiche. Per difendere l'ambiente AD ibrido in un panorama di minacce in costante evoluzione, le organizzazioni devono:

  • Eseguire la scansione di AD e Azure AD per centinaia di vulnerabilità (IOE e IOC), costantemente aggiornate per affrontare le nuove minacce
  • Acquisire le modifiche dannose anche se la registrazione di sicurezza è disattivata, i registri vengono eliminati, gli agenti vengono disattivati o smettono di funzionare o le modifiche vengono inserite direttamente in AD
  • Individuare e correggere le modifiche indesiderate agli oggetti e agli attributi di AD e Azure AD
  • Identificare e isolare le modifiche dannose per supportare le operazioni di Digital Forensics and Incident Response (DFIR)
  • Impostare notifiche in tempo reale sulle modifiche di AD e Azure AD
Scopri di più
Difenditi dagli attacchi AD che non lasciano traccia

I criminali informatici escogitano continuamente nuove tattiche e tecniche per accedere ad Active Directory, rendendo i loro attacchi sempre più pericolosi. Quando si tratta di rilevare azioni potenzialmente dannose all'interno di Active Directory), la maggior parte delle organizzazioni si affida al consolidamento dei log degli eventi dei controller di dominio e alle soluzioni SIEM per individuare accessi e modifiche anomale. Questo approccio funziona, a patto che la tecnica di attacco lasci una traccia di log. Alcuni attacchi sofisticati non lasciano alcuna traccia di attività dannose. Le organizzazioni hanno bisogno di soluzioni in grado di rilevare e proteggersi da attacchi quali:

  • DCShadow, che registra un DC rogue, aggirando il monitoraggio SIEM tradizionale
  • Modifiche ai Criteri di gruppo, che per impostazione predefinita non vengono catturate dai registri eventi
  • Attacchi Zerologon, che aggirano gli strumenti di monitoraggio che non controllano le modifiche inattese delle password sui DC
Per saperne di più
La nostra mission è acclamata dai leader del settore
Microsoft

Gli attori avanzati attaccano le implementazioni di identità on-premise per effettuare una violazione sistemica e creare un ponte verso l'accesso degli amministratori nel cloud. Le organizzazioni in ambienti Active Directory ibridi hanno bisogno di una sicurezza incentrata sulle identità per proteggere i loro sistemi AD e Azure AD dagli attacchi. Ciò richiede un monitoraggio e una valutazione continui della postura di sicurezza di AD e Azure AD per difendersi dagli attacchi basati sulle identità, in collaborazione con i team di sicurezza tradizionali.

Alex Weinert VP of Identity Security, Microsoft
El Al Israel Airlines

Semperis offre una tecnologia di livello decisamente superiore. Il sito Directory Services Protector è un'enorme risorsa per qualsiasi azienda che utilizzi Active Directory.

Per saperne di più Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines
Gartner Peer Insights

Abbiamo molte modifiche da apportare al nostro ambiente Active Directory, tra cui aggiungere server Linux… [Directory Services Protector] ci aiuta a monitorare e ripristinare le modifiche pericolose con un solo clic.

Leggi la recensione Membro del team IT, Organizzazione aziendale
Gartner Peer Insights

L'implementazione di Semperis DSP e ADFR è stata un gioco da ragazzi. Il servizio e la guida che abbiamo ricevuto dal team Semperis sono stati eccezionali.

Leggi la recensione IT Specialist Organizzazione bancaria aziendale
Gartner Peer Insights

Directory Services Protector è eccezionale grazie alle funzionalità di reportistica, monitoraggio e correzione in tempo reale, reporting attivo e notifiche istantanee in caso di modifica o cambiamento di oggetti.

Leggi la recensione Amministratore di sistemi Windows senior Organizzazione aziendale

Domande frequenti sul rilevamento e sulla risposta alle minacce AD

Qual è il modo migliore per valutare le attuali vulnerabilità di Active Directory?

L'hardening di AD inizia con la conoscenza delle vulnerabilità e degli errori comuni di configurazione e gestione che aprono la strada alle compromissioni. Per difendere AD, gli amministratori devono sapere in che modo gli aggressori prendono di mira l'ambiente bersaglio. Per condurre una valutazione completa delle vulnerabilità dell'ambiente AD è necessaria una soluzione che sia continuamente aggiornata per eseguire la scansione degli attuali indicatori di esposizione (IOE) e indicatori di compomesso (IOC). Per una prima valutazione è possibile scaricare e utilizzare lo strumento gratuito Purple Knight, che analizza l'ambiente per centinaia di IOE e IOC, genera un punteggio di sicurezza complessivo e fornisce indicazioni sulle priorità di correzione da parte degli esperti di sicurezza AD.

Quali sono le vulnerabilità di sicurezza AD più critiche?

A causa di configurazioni errate di AD legacy che si accumulano nel tempo, molti ambienti AD presentano decine o centinaia di vulnerabilità di sicurezza. Le vulnerabilità critiche includono configurazioni errate relative all'autenticazione, come l'abilitazione dell'accesso anonimo ad AD. La concessione di privilegi eccessivi è un'altra fonte comune di vulnerabilità della sicurezza di AD. Per ulteriori informazioni sulle vulnerabilità di sicurezza comuni di AD, leggi "Conosci le vulnerabilità di sicurezza di Active Directory?".

Come si possono rilevare gli attacchi AD progettati per eludere i sistemi di monitoraggio?

I cyberattaccanti stanno sviluppando metodi sempre più sofisticati per violare gli ambienti AD che evitano il rilevamento. Per rilevare le modifiche dannose che eludono i sistemi di monitoraggio tradizionali (come i SIEM), è necessaria una soluzione che utilizzi più fonti di dati. Cerca uno strumento in grado di catturare le modifiche anche se il logging di sicurezza è disattivato, i log vengono eliminati, gli agenti vengono disattivati o smettono di funzionare o le modifiche vengono inserite direttamente in AD.

Come si monitorano le vulnerabilità di sicurezza in Azure AD?

È possibile utilizzare lo strumento gratuito di valutazione della sicurezza AD Purple Knight per analizzare l'ambiente Azure AD alla ricerca di vari IOE e IOC, tra cui account guest inattivi, criteri di accesso condizionato non configurati correttamente e utenti privilegiati di Azure AD che sono anche utenti privilegiati in AD on-premise, che possono compromettere entrambi gli ambienti. È possibile utilizzare Directory Services Protector per monitorare le modifiche di Azure AD in tempo reale; per ulteriori informazioni, vedere "5 nuovi modi per proteggere AD e Azure AD".

Rileva e difenditi contro gli attacchi AD

Non lasciarti sfuggire le minacce di AD o Azure AD

Scopri Directory Services Protector
La nostra mission è acclamata dai leader del settore

Scopri altre soluzioni di sicurezza e ripristino dell'ambiente AD