Proteja sua infraestrutura de identidade crítica contra ataques cibernéticos com a plataforma de detecção e resposta a ameaças à identidade (ITDR) mais abrangente do setor para o Active Directory e o Azure AD.
Proteger o Active Directory e o Azure Active Directory é difícil. As configurações incorretas se acumulam com o tempo, criando vulnerabilidades de segurança herdadas que os invasores adoram explorar - na verdade, 9 em cada 10 ataques cibernéticos envolvem o AD, de acordo com pesquisadores da Mandiant. A Semperis fornece a mais abrangente detecção e resposta a ameaças ao AD híbrido, monitorando continuamente o ambiente, revertendo alterações maliciosas e fornecendo uma visão única da postura de segurança do AD e do Azure AD.
Proteger o Active Directory é difícil devido à sua complexidade e à proliferação de grupos de ransomware, como o LockBit e o Vice Society, que visam o AD com novas tácticas, técnicas e procedimentos (TTPs). O Directory Services Protector coloca a segurança do AD e do Azure AD em piloto automático com monitorização contínua de ameaças ao AD, alertas em tempo real e capacidades de correcção autónomas. O DSP ajuda-o a responder de forma mais eficaz a incidentes de segurança do AD e a erros operacionais diários.
Monitorizar continuamente o AD para detectar indicadores de exposição (IOEs) e indicadores de comprometimento (IOCs) que possam resultar em comprometimentos do AD. Utilize a inteligência de ameaças incorporada de investigadores de segurança especializados para descobrir configurações incorrectas comuns, tais como palavras-passe expiradas e contas de confiança com palavras-passe antigas.
Reverter automaticamente alterações maliciosas no AD local. Criar notificações de auditoria sobre alterações arriscadas a objectos e atributos sensíveis do AD. Reverter alterações indesejadas no Azure AD.
Capture as alterações mesmo que a segurança esteja desligada, os registos estejam em falta, os agentes estejam desactivados ou inoperacionais ou as alterações de risco sejam injectadas directamente no AD.
Utilize o controlo de alterações quase em tempo real em DSP para o Azure AD para monitorizar as alterações às atribuições de funções, associações de grupos e atributos de utilizadores.
Reverter as alterações do Azure AD em utilizadores, grupos e funções. Restaurar objectos de utilizador ou de grupo que permanecem na reciclagem do Azure AD.
Utilize modelos de relatórios de conformidade pré-criados que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX.
Traga dados detalhados de segurança do Active Directory - incluindo dados de alteração do Active Directory, dados do Indicador de Segurança DSP e eventos de regras de notificação DSP - para visualizações familiares do Splunk Enterprise para fornecer contexto significativo e visibilidade das vulnerabilidades em todo o seu ambiente.
Utilize novas pastas de trabalho para o Microsoft Sentinel que lhe permitem ver dados adicionais de DSP, tais como dados de alteração do Active Directory e eventos de regras de notificação de DSP , nos dashboards do Sentinel.
O Active Directory é o principal serviço de identidade para 90% das empresas em todo o mundo, fornecendo autenticação de utilizadores e acesso a aplicações e serviços críticos para as empresas. Um ataque que elimine o AD (como no ciberataque NotPetya de 2017 ao gigante dos transportes marítimos Maersk) pode perturbar as operações comerciais. Devido a configurações incorrectas herdadas e vulnerabilidades não corrigidas, o AD é um alvo frequente para os atacantes, incluindo grupos de ransomware sofisticados como o LockBit e o Vice Society. Os investigadores da Mandiant estimam actualmente que 9 em cada 10 ataques envolvem o AD.
Directory Services Protector (DSP) é uma solução de detecção e resposta a ameaças à identidade (ITDR) reconhecida pela Gartner que coloca a segurança do Active Directory híbrido em piloto automático com monitorização contínua e visibilidade sem paralelo em ambientes AD locais e Azure AD, rastreio inviolável e reversão automática de alterações maliciosas.
Nos ataques baseados no AD, a única fonte de dados inalterável é o fluxo de replicação do AD, que está fora do âmbito da visão de qualquer SIEM. Além disso, a maioria das ferramentas de auditoria de alterações do AD baseadas em agentes não tem visibilidade profunda para detectar e impedir tais ataques. O fluxo de replicação do AD é o único método fiável de captar todas as alterações (pré-ataque e durante um ataque), independentemente da forma como um atacante possa tentar encobrir os seus rastos. DSP integra-se com qualquer solução SIEM que consuma dados formatados em SYSLOG. DSP integra-se ainda com o Microsoft Sentinel e o Splunk. Com o Microsoft Sentinel, o DSP fornece pastas de trabalho que permitem visualizar dados adicionais do DSP no painel do Sentinel, como dados de alteração do Active Directory e eventos de regras de notificação. O aplicativo DSP Splunk Enterprise fornece dados detalhados de segurança do AD no painel do Splunk para fornecer contexto e visibilidade adicionais sobre vulnerabilidades em todo o ambiente.
DSP fornece uma avaliação contínua de vulnerabilidades de segurança em todo o seu ambiente AD local e híbrido, analisando centenas de Indicators of Exposure (IOEs) e comprometimento (IOCs) em várias categorias de segurança do AD, incluindo segurança de contas, Política de Grupo, Kerberos, delegação do AD, infra-estrutura do AD e Azure AD. DSP fornece um painel de controlo da pontuação geral da postura de segurança, pontuações de categoria, indicadores de segurança agrupados por gravidade e orientação de correcção prioritária de especialistas em segurança do AD.
Sim, DSP oferece reversão de alterações maliciosas para o AD local e o Azure AD. DSP fornece correção automatizada de alterações arriscadas no AD local para evitar ataques que se movem rápido demais para intervenção humana. DSP O DSP também suporta a reversão granular, permitindo-lhe reverter alterações a atributos individuais, membros de grupos, objectos e contentores - e para qualquer ponto no tempo, não apenas para uma cópia de segurança anterior. também fornece a capacidade de reverter alterações do Azure AD em utilizadores, grupos e funções. DSP também pode restaurar objectos de utilizadores ou grupos que permanecem na reciclagem do Azure AD.
DSP é não é intrusivo e foi criado para ser compatível com o AD. Esta abordagem única capta as alterações sem comprometer a estabilidade do AD.
DSP foi criado especificamente para o AD e pode suportar até mesmo os ambientes AD mais complexos, incluindo implantações de várias organizações e várias florestas. Grandes e pequenas organizações confiam na Semperis para ajudá-las a detectar vulnerabilidades de diretório, interceptar ataques cibernéticos em andamento e se recuperar rapidamente de ransomware e outras emergências de integridade de dados.
Tanto o Microsoft Defender for Identity (MDI) como as soluções da Semperis têm funções críticas na protecção dos sistemas de identidade contra ataques:
A combinação das soluções Semperis com o Microsoft Defender for Identity (MDI) proporciona uma defesa em camadas contra ataques que exploram as identidades dos utilizadores e o serviço de identidade AD.
Directory Services Protector inclui modelos de relatórios de conformidade que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX. Pode importar pacotes de conformidade individuais para DSP para apoiar as necessidades da sua organização. Também pode agendar qualquer relatório DSP , incluindo relatórios de conformidade, para geração e distribuição recorrentes.
O método de pontuação Directory Services Protector inclui vários factores, incluindo as potenciais consequências de uma vulnerabilidade explorada, a facilidade de exploração e a prevalência geral. Com base nestes factores, é atribuída a cada indicador uma classificação de gravidade (nível e número) que reflecte o potencial impacto na postura de segurança, disponibilidade e desempenho. A classificação de gravidade é então utilizada na fórmula de pontuação para calcular o risco global representado pela vulnerabilidade.
DSP permite-lhe adicionar objectos ou condições individuais que constituem um risco conhecido a uma lista de ignorados, para que deixem de accionar um alerta em DSP ou afectem a pontuação global da postura de segurança. Esta abordagem ajuda-o a avaliar com precisão o risco e a acelerar a correcção.