Detecção e resposta a ameaças AD

Directory Services Protector

Proteja sua infraestrutura de identidade crítica contra ataques cibernéticos com a plataforma de detecção e resposta a ameaças à identidade (ITDR) mais abrangente do setor para o Active Directory e o Azure AD.

Segurança abrangente do Active Directory

Proteger o Active Directory e o Azure Active Directory é difícil. As configurações incorretas se acumulam com o tempo, criando vulnerabilidades de segurança herdadas que os invasores adoram explorar - na verdade, 9 em cada 10 ataques cibernéticos envolvem o AD, de acordo com pesquisadores da Mandiant. A Semperis fornece a mais abrangente detecção e resposta a ameaças ao AD híbrido, monitorando continuamente o ambiente, revertendo alterações maliciosas e fornecendo uma visão única da postura de segurança do AD e do Azure AD.

Impedir que os atacantes obtenham acesso ao AD e ao Azure AD
Capturar alterações do AD e do Azure AD que contornam os registos de segurança
Corrigir automaticamente alterações maliciosas
Acelerar a resposta a incidentes e prevenir futuros ataques

Obtenha o controlo da segurança do Active Directory

O Active Directory não consegue resistir às actuais ameaças cibernéticas. E proteger o AD no local e o Azure AD num ambiente híbrido é notoriamente difícil. Além disso, os atacantes passam frequentemente do local para a nuvem (ou vice-versa) em busca de privilégios elevados - como no ataque da SolarWinds. No nosso mundo que dá prioridade à mobilidade e à nuvem, qualquer dispositivo ligado pode expor o coração da sua infra-estrutura de TI.

Num cenário de AD híbrido, a potencial superfície de ataque expande-se. Directory Services Protector é a única solução de detecção e resposta a ameaças que fornece uma visão única das vulnerabilidades de segurança em todo o ambiente híbrido. Com DSP, pode correlacionar alterações no AD local e no Azure AD para travar os atacantes.

Minimizar a superfície de ataque
Minimizar a superfície de ataque

Descubra vulnerabilidades do AD e configurações de risco em ambientes híbridos antes que os atacantes o façam. Obtenha orientação prioritária e orientada para a acção de uma comunidade de investigadores de ameaças à segurança do AD. Reduza a superfície de ataque do AD e fique à frente do cenário de ameaças em constante evolução.

Pedir uma demonstração
Detectar ataques avançados
Detectar ataques avançados

Destaque os atacantes que se deslocam lateralmente através do seu ambiente AD híbrido sem serem controlados. Utilize várias fontes de dados, incluindo o fluxo de replicação do AD, para obter visibilidade ininterrupta de ataques avançados ao AD que contornam a detecção baseada em agentes ou registos. Integre dados de segurança detalhados com o Splunk, o Microsoft Sentinel ou outras soluções SIEM para obter visibilidade inigualável de ameaças potenciais.

Pedir uma demonstração
Automatizar a correcção
Automatizar a correcção

Colocar a segurança do AD em piloto automático para parar os atacantes no seu caminho. Reverta automaticamente alterações maliciosas no AD que são demasiado arriscadas para esperar pela intervenção humana. Desfazer alterações indesejadas no Azure AD. Crie gatilhos e alertas personalizados para a sua equipa de operações de segurança.

Pedir uma demonstração
Acelerar a resposta a incidentes de AD
Acelerar a resposta a incidentes de AD

Acelerar a análise forense de ataques AD. Mitigar os danos de um ataque encontrando e erradicando rapidamente o malware. Traduzir dados de alteração não estruturados do AD e do Azure AD para um formato legível por humanos. Pesquise, correlacione e desfaça facilmente as alterações do AD nos níveis de objeto e atributo. Faça drill down até qualquer ponto no tempo para isolar contas do AD comprometidas e evitar ataques futuros.

Pedir uma demonstração
A nossa missão tem eco junto dos líderes do sector

Restaurar a visão do seu SIEM

Um número crescente de ataques contorna as auditorias de segurança

Ao contrário das ferramentas de rastreamento que dependem apenas de logs de segurança e agentes em cada controlador de domínio, o Semperis DSP monitora várias fontes de dados, incluindo o fluxo de replicação do Active Directory. O fluxo de replicação do AD é o único método confiável de capturar todas as alterações, independentemente de como os invasores tentam encobrir seus rastros. O Semperis DSP encaminha alterações suspeitas do AD para o seu sistema SIEM com um contexto significativo, reduzindo drasticamente a carga sobre os analistas de segurança. Pode utilizar alertas predefinidos para o Microsoft Sentinel, Splunk e outras ferramentas SIEM e SOAR. Também pode criar alertas personalizados para ferramentas SecOps e sistemas de bilhética, incluindo o ServiceNow.

INTEGRAÇÕES SIEM PRONTAS A UTILIZAR
Sentinela do Azure
Radar IBM
Solarwinds
Cofre de extraterrestres
McAfee
splunk
LogRitmo
Plataforma RSA Netwitness
Microfoco
Lógica do sumô

O seu Active Directory está vulnerável a um ataque informático?

O Active Directory é o principal serviço de identidade para 90% das empresas em todo o mundo, fornecendo autenticação de utilizadores e acesso a aplicações e serviços críticos para as empresas. Um ataque que elimine o AD (como no ciberataque NotPetya de 2017 ao gigante dos transportes marítimos Maersk) pode perturbar as operações comerciais. Devido a configurações incorrectas herdadas e vulnerabilidades não corrigidas, o AD é um alvo frequente para os atacantes, incluindo grupos de ransomware sofisticados como o LockBit e o Vice Society. Os investigadores da Mandiant estimam actualmente que 9 em cada 10 ataques envolvem o AD.

Relatório da EMA:
50%
das organizações sofreram um ataque ao AD nos últimos 1-2 anos
Relatório da EMA:
82%
das tentativas de exploração do AD por parte dos testadores de segurança são bem sucedidas
Gartner:
33%
das organizações não têm uma defesa AD implementada
Relatório Veeam 2023:
21%
das empresas que pagaram um resgate não conseguiram recuperar os seus dados
Junte-se à nossa equipa de estrelas

Confiado por empresas líderes do sector

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.

Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines
Parceiro
Hertz
Bonito
Mi.gov
Cordas e cinzentos

Perguntas mais frequentes

O que é Directory Services Protector?

Directory Services Protector (DSP) é uma solução de detecção e resposta a ameaças à identidade (ITDR) reconhecida pela Gartner que coloca a segurança do Active Directory híbrido em piloto automático com monitorização contínua e visibilidade sem paralelo em ambientes AD locais e Azure AD, rastreio inviolável e reversão automática de alterações maliciosas.

Para que é que eu precisaria de DSP se já tenho um SIEM?

Nos ataques baseados no AD, a única fonte de dados inalterável é o fluxo de replicação do AD, que está fora do âmbito da visão de qualquer SIEM. Além disso, a maioria das ferramentas de auditoria de alterações do AD baseadas em agentes não tem visibilidade profunda para detectar e impedir tais ataques. O fluxo de replicação do AD é o único método fiável de captar todas as alterações (pré-ataque e durante um ataque), independentemente da forma como um atacante possa tentar encobrir os seus rastos. DSP integra-se com qualquer solução SIEM que consuma dados formatados em SYSLOG. DSP integra-se ainda com o Microsoft Sentinel e o Splunk. Com o Microsoft Sentinel, o DSP fornece pastas de trabalho que permitem visualizar dados adicionais do DSP no painel do Sentinel, como dados de alteração do Active Directory e eventos de regras de notificação. O aplicativo DSP Splunk Enterprise fornece dados detalhados de segurança do AD no painel do Splunk para fornecer contexto e visibilidade adicionais sobre vulnerabilidades em todo o ambiente.

As capacidades do Directory Services Protectorincluem avaliações de vulnerabilidades do AD?

DSP fornece uma avaliação contínua de vulnerabilidades de segurança em todo o seu ambiente AD local e híbrido, analisando centenas de Indicators of Exposure (IOEs) e comprometimento (IOCs) em várias categorias de segurança do AD, incluindo segurança de contas, Política de Grupo, Kerberos, delegação do AD, infra-estrutura do AD e Azure AD. DSP fornece um painel de controlo da pontuação geral da postura de segurança, pontuações de categoria, indicadores de segurança agrupados por gravidade e orientação de correcção prioritária de especialistas em segurança do AD.

O DSP corrige alterações indesejadas no AD local e no Azure AD?

Sim, DSP oferece reversão de alterações maliciosas para o AD local e o Azure AD. DSP fornece correção automatizada de alterações arriscadas no AD local para evitar ataques que se movem rápido demais para intervenção humana. DSP O DSP também suporta a reversão granular, permitindo-lhe reverter alterações a atributos individuais, membros de grupos, objectos e contentores - e para qualquer ponto no tempo, não apenas para uma cópia de segurança anterior. também fornece a capacidade de reverter alterações do Azure AD em utilizadores, grupos e funções. DSP também pode restaurar objectos de utilizadores ou grupos que permanecem na reciclagem do Azure AD.

Qual é o impacto do desempenho do DSPno AD?

DSP é não é intrusivo e foi criado para ser compatível com o AD. Esta abordagem única capta as alterações sem comprometer a estabilidade do AD.

O site DSP pode suportar ambientes AD complexos?

DSP foi criado especificamente para o AD e pode suportar até mesmo os ambientes AD mais complexos, incluindo implantações de várias organizações e várias florestas. Grandes e pequenas organizações confiam na Semperis para ajudá-las a detectar vulnerabilidades de diretório, interceptar ataques cibernéticos em andamento e se recuperar rapidamente de ransomware e outras emergências de integridade de dados.

Em que é que o Directory Services Protector é diferente do Microsoft Defender para Identidade?

Tanto o Microsoft Defender for Identity (MDI) como as soluções da Semperis têm funções críticas na protecção dos sistemas de identidade contra ataques:

  • A MDI utiliza a análise baseada no utilizador (UBA) para monitorizar e alertar para comportamentos do utilizador que se enquadram em modelos conhecidos de ataque à identidade do utilizador.
  • A Semperis protege todo o serviço de AD híbrido - o vector de ataque comum em 90% dos incidentes - com tecnologia patenteada criada especificamente para prevenir, mitigar e recuperar de ataques baseados na identidade.

A combinação das soluções Semperis com o Microsoft Defender for Identity (MDI) proporciona uma defesa em camadas contra ataques que exploram as identidades dos utilizadores e o serviço de identidade AD.

O sítio DSP ajuda a elaborar relatórios de conformidade?

Directory Services Protector inclui modelos de relatórios de conformidade que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX. Pode importar pacotes de conformidade individuais para DSP para apoiar as necessidades da sua organização. Também pode agendar qualquer relatório DSP , incluindo relatórios de conformidade, para geração e distribuição recorrentes.

Que critérios utiliza o sítio DSP para gerar a pontuação de segurança?

O método de pontuação Directory Services Protector inclui vários factores, incluindo as potenciais consequências de uma vulnerabilidade explorada, a facilidade de exploração e a prevalência geral. Com base nestes factores, é atribuída a cada indicador uma classificação de gravidade (nível e número) que reflecte o potencial impacto na postura de segurança, disponibilidade e desempenho. A classificação de gravidade é então utilizada na fórmula de pontuação para calcular o risco global representado pela vulnerabilidade.

O site DSP permite-me especificar quais os eventos que accionam um alerta?

DSP permite-lhe adicionar objectos ou condições individuais que constituem um risco conhecido a uma lista de ignorados, para que deixem de accionar um alerta em DSP ou afectem a pontuação global da postura de segurança. Esta abordagem ajuda-o a avaliar com precisão o risco e a acelerar a correcção.

A nossa missão tem eco junto dos líderes do sector

Ver Directory Services Protector em acção

Solicite uma demonstração e fale com um especialista em segurança do Active Directory.