Detecção e resposta a ameaças AD

Directory Services Protector

Proteja sua infraestrutura de identidade crítica contra ataques cibernéticos com a plataforma de detecção e resposta a ameaças à identidade (ITDR) mais abrangente do setor para o Active Directory e o Azure AD.

AD seguro e Azure AD

Segurança abrangente do Active Directory

Proteger o Active Directory e o Azure Active Directory é difícil. As configurações incorretas se acumulam com o tempo, criando vulnerabilidades de segurança herdadas que os invasores adoram explorar - na verdade, 9 em cada 10 ataques cibernéticos envolvem o AD, de acordo com pesquisadores da Mandiant. A Semperis fornece a mais abrangente detecção e resposta a ameaças ao AD híbrido, monitorando continuamente o ambiente, revertendo alterações maliciosas e fornecendo uma visão única da postura de segurança do AD e do Azure AD.

Impedir que os atacantes obtenham acesso ao AD e ao Azure AD

Capturar alterações do AD e do Azure AD que contornam os registos de segurança

Corrigir automaticamente alterações maliciosas

Acelerar a resposta a incidentes e prevenir futuros ataques

Obtenha o controlo da segurança do Active Directory

O Active Directory não consegue resistir às actuais ameaças cibernéticas. E proteger o AD no local e o Azure AD num ambiente híbrido é notoriamente difícil. Além disso, os atacantes passam frequentemente do local para a nuvem (ou vice-versa) em busca de privilégios elevados - como no ataque da SolarWinds. No nosso mundo que dá prioridade à mobilidade e à nuvem, qualquer dispositivo ligado pode expor o coração da sua infra-estrutura de TI.

Num cenário de AD híbrido, a potencial superfície de ataque expande-se. Directory Services Protector é a única solução de detecção e resposta a ameaças que fornece uma visão única das vulnerabilidades de segurança em todo o ambiente híbrido. Com DSP, pode correlacionar alterações no AD local e no Azure AD para travar os atacantes.

Minimizar a superfície de ataque

Descubra vulnerabilidades do AD e configurações de risco em ambientes híbridos antes que os atacantes o façam. Obtenha orientação prioritária e orientada para a acção de uma comunidade de investigadores de ameaças à segurança do AD. Reduza a superfície de ataque do AD e fique à frente do cenário de ameaças em constante evolução.

Pedir uma demonstração

Detectar ataques avançados

Destaque os atacantes que se deslocam lateralmente através do seu ambiente AD híbrido sem serem controlados. Utilize várias fontes de dados, incluindo o fluxo de replicação do AD, para obter visibilidade ininterrupta de ataques avançados ao AD que contornam a detecção baseada em agentes ou registos. Integre dados de segurança detalhados com o Splunk, o Microsoft Sentinel ou outras soluções SIEM para obter visibilidade inigualável de ameaças potenciais.

Pedir uma demonstração

Automatizar a correcção

Colocar a segurança do AD em piloto automático para parar os atacantes no seu caminho. Reverta automaticamente alterações maliciosas no AD que são demasiado arriscadas para esperar pela intervenção humana. Desfazer alterações indesejadas no Azure AD. Crie gatilhos e alertas personalizados para a sua equipa de operações de segurança.

Pedir uma demonstração

Acelerar a resposta a incidentes de AD

Acelerar a análise forense de ataques AD. Mitigar os danos de um ataque encontrando e erradicando rapidamente o malware. Traduzir dados de alteração não estruturados do AD e do Azure AD para um formato legível por humanos. Pesquise, correlacione e desfaça facilmente as alterações do AD nos níveis de objeto e atributo. Faça drill down até qualquer ponto no tempo para isolar contas do AD comprometidas e evitar ataques futuros.

Pedir uma demonstração

Marque a segurança do Active Directory

Proteger o Active Directory é difícil devido à sua complexidade e à proliferação de grupos de ransomware, como o LockBit e o Vice Society, que visam o AD com novas tácticas, técnicas e procedimentos (TTPs). O Directory Services Protector coloca a segurança do AD e do Azure AD em piloto automático com monitorização contínua de ameaças ao AD, alertas em tempo real e capacidades de correcção autónomas. O DSP ajuda-o a responder de forma mais eficaz a incidentes de segurança do AD e a erros operacionais diários.

Avaliação da vulnerabilidade

Monitorizar continuamente o AD para detectar indicadores de exposição (IOEs) e indicadores de comprometimento (IOCs) que possam resultar em comprometimentos do AD. Utilize a inteligência de ameaças incorporada de investigadores de segurança especializados para descobrir configurações incorrectas comuns, tais como palavras-passe expiradas e contas de confiança com palavras-passe antigas.

Correcção automatizada

Reverter automaticamente alterações maliciosas no AD local. Criar notificações de auditoria sobre alterações arriscadas a objectos e atributos sensíveis do AD. Reverter alterações indesejadas no Azure AD.

Rastreio inviolável

Capture as alterações mesmo que a segurança esteja desligada, os registos estejam em falta, os agentes estejam desactivados ou inoperacionais ou as alterações de risco sejam injectadas directamente no AD.

Controlo de alterações do Azure AD

Utilize o controlo de alterações quase em tempo real em DSP para o Azure AD para monitorizar as alterações às atribuições de funções, associações de grupos e atributos de utilizadores.

Reversão de alterações do Azure AD

Reverter as alterações do Azure AD em utilizadores, grupos e funções. Restaurar objectos de utilizador ou de grupo que permanecem na reciclagem do Azure AD.

Relatórios de conformidade

Utilize modelos de relatórios de conformidade pré-criados que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX.

Integração com o Splunk

Traga dados detalhados de segurança do Active Directory - incluindo dados de alteração do Active Directory, dados do Indicador de Segurança DSP e eventos de regras de notificação DSP - para visualizações familiares do Splunk Enterprise para fornecer contexto significativo e visibilidade das vulnerabilidades em todo o seu ambiente.

Integração do Microsoft Sentinel

Utilize novas pastas de trabalho para o Microsoft Sentinel que lhe permitem ver dados adicionais de DSP, tais como dados de alteração do Active Directory e eventos de regras de notificação de DSP , nos dashboards do Sentinel.

Delegação com RBAC

Utilize o robusto Controlo de Acesso Baseado em Funções (RBAC) e uma interface de utilizador Web avançada para dar aos administradores do AD capacidades de visualização e restauro para o seu âmbito de controlo específico.

Relatórios poderosos

Utilize relatórios incorporados criados por especialistas em AD para obter informações sobre aspectos operacionais, de conformidade e de segurança do seu sistema de identidade. Crie relatórios personalizados com base em consultas sofisticadas às bases de dados LDAP e DSP . Descarregue um relatório HTML com o estado e a pontuação da sua postura de segurança actual, incluindo detalhes para cada Indicador de Exposição.

Notificações em tempo real

Defina alertas através de notificações por correio electrónico à medida que ocorrem alterações operacionais e relacionadas com a segurança em tempo real no AD.

Suporte do PowerShell

Utilize o módulo PowerShell do DSP para automatizar processos e integrar as operações e a gestão do DSP no seu conjunto de ferramentas existente.

Localização e correcção instantâneas

Utilize a base de dados online incorporada DSP para localizar e corrigir alterações indesejadas de objectos e atributos do AD em dois minutos ou menos.

Reversão granular

Reverter alterações a atributos individuais, membros de grupos, objectos e contentores - para qualquer ponto no tempo, não apenas para uma cópia de segurança anterior.

Análise forense

Identificar alterações suspeitas e isolar as alterações efectuadas por contas comprometidas. Utilizar os dados de DSP para apoiar as operações de Resposta a Incidentes e Perícia Digital (DFIR), a fim de seguir as fontes e os pormenores dos incidentes.

Visualização da segurança do AD híbrido

Veja facilmente as alterações que tiveram origem no Azure AD. Utilize a vista híbrida para correlacionar as alterações entre o AD no local e o Azure AD.

Ver tudo

Restaurar a visão do seu SIEM

Um número crescente de ataques contorna as auditorias de segurança

Ao contrário das ferramentas de rastreamento que dependem apenas de logs de segurança e agentes em cada controlador de domínio, o Semperis DSP monitora várias fontes de dados, incluindo o fluxo de replicação do Active Directory. O fluxo de replicação do AD é o único método confiável de capturar todas as alterações, independentemente de como os invasores tentam encobrir seus rastros. O Semperis DSP encaminha alterações suspeitas do AD para o seu sistema SIEM com um contexto significativo, reduzindo drasticamente a carga sobre os analistas de segurança. Pode utilizar alertas predefinidos para o Microsoft Sentinel, Splunk e outras ferramentas SIEM e SOAR. Também pode criar alertas personalizados para ferramentas SecOps e sistemas de bilhética, incluindo o ServiceNow.

INTEGRAÇÕES SIEM PRONTAS A UTILIZAR

O seu Active Directory está vulnerável a um ataque informático?

O Active Directory é o principal serviço de identidade para 90% das empresas em todo o mundo, fornecendo autenticação de utilizadores e acesso a aplicações e serviços críticos para as empresas. Um ataque que elimine o AD (como no ciberataque NotPetya de 2017 ao gigante dos transportes marítimos Maersk) pode perturbar as operações comerciais. Devido a configurações incorrectas herdadas e vulnerabilidades não corrigidas, o AD é um alvo frequente para os atacantes, incluindo grupos de ransomware sofisticados como o LockBit e o Vice Society. Os investigadores da Mandiant estimam actualmente que 9 em cada 10 ataques envolvem o AD.

Relatório da EMA:

50%

das organizações sofreram um ataque ao AD nos últimos 1-2 anos

Relatório da EMA:

82%

das tentativas de exploração do AD por parte dos testadores de segurança são bem sucedidas

Gartner:

33%

das organizações não têm uma defesa AD implementada

Relatório Veeam 2023:

21%

das empresas que pagaram um resgate não conseguiram recuperar os seus dados

Confiado por empresas líderes do sector

Explore as histórias dos nossos clientes

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.
Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines

Perguntas mais frequentes

O que é Directory Services Protector?

Directory Services Protector (DSP) é uma solução de detecção e resposta a ameaças à identidade (ITDR) reconhecida pela Gartner que coloca a segurança do Active Directory híbrido em piloto automático com monitorização contínua e visibilidade sem paralelo em ambientes AD locais e Azure AD, rastreio inviolável e reversão automática de alterações maliciosas.

Para que é que eu precisaria de DSP se já tenho um SIEM?

Nos ataques baseados no AD, a única fonte de dados inalterável é o fluxo de replicação do AD, que está fora do âmbito da visão de qualquer SIEM. Além disso, a maioria das ferramentas de auditoria de alterações do AD baseadas em agentes não tem visibilidade profunda para detectar e impedir tais ataques. O fluxo de replicação do AD é o único método fiável de captar todas as alterações (pré-ataque e durante um ataque), independentemente da forma como um atacante possa tentar encobrir os seus rastos. DSP integra-se com qualquer solução SIEM que consuma dados formatados em SYSLOG. DSP integra-se ainda com o Microsoft Sentinel e o Splunk. Com o Microsoft Sentinel, o DSP fornece pastas de trabalho que permitem visualizar dados adicionais do DSP no painel do Sentinel, como dados de alteração do Active Directory e eventos de regras de notificação. O aplicativo DSP Splunk Enterprise fornece dados detalhados de segurança do AD no painel do Splunk para fornecer contexto e visibilidade adicionais sobre vulnerabilidades em todo o ambiente.

As capacidades do Directory Services Protectorincluem avaliações de vulnerabilidades do AD?

DSP fornece uma avaliação contínua de vulnerabilidades de segurança em todo o seu ambiente AD local e híbrido, analisando centenas de Indicators of Exposure (IOEs) e comprometimento (IOCs) em várias categorias de segurança do AD, incluindo segurança de contas, Política de Grupo, Kerberos, delegação do AD, infra-estrutura do AD e Azure AD. DSP fornece um painel de controlo da pontuação geral da postura de segurança, pontuações de categoria, indicadores de segurança agrupados por gravidade e orientação de correcção prioritária de especialistas em segurança do AD.

O DSP corrige alterações indesejadas no AD local e no Azure AD?

Sim, DSP oferece reversão de alterações maliciosas para o AD local e o Azure AD. DSP fornece correção automatizada de alterações arriscadas no AD local para evitar ataques que se movem rápido demais para intervenção humana. DSP O DSP também suporta a reversão granular, permitindo-lhe reverter alterações a atributos individuais, membros de grupos, objectos e contentores - e para qualquer ponto no tempo, não apenas para uma cópia de segurança anterior. também fornece a capacidade de reverter alterações do Azure AD em utilizadores, grupos e funções. DSP também pode restaurar objectos de utilizadores ou grupos que permanecem na reciclagem do Azure AD.

Qual é o impacto do desempenho do DSPno AD?

DSP é não é intrusivo e foi criado para ser compatível com o AD. Esta abordagem única capta as alterações sem comprometer a estabilidade do AD.

O site DSP pode suportar ambientes AD complexos?

DSP foi criado especificamente para o AD e pode suportar até mesmo os ambientes AD mais complexos, incluindo implantações de várias organizações e várias florestas. Grandes e pequenas organizações confiam na Semperis para ajudá-las a detectar vulnerabilidades de diretório, interceptar ataques cibernéticos em andamento e se recuperar rapidamente de ransomware e outras emergências de integridade de dados.

Em que é que o Directory Services Protector é diferente do Microsoft Defender para Identidade?

Tanto o Microsoft Defender for Identity (MDI) como as soluções da Semperis têm funções críticas na protecção dos sistemas de identidade contra ataques:

A MDI utiliza a análise baseada no utilizador (UBA) para monitorizar e alertar para comportamentos do utilizador que se enquadram em modelos conhecidos de ataque à identidade do utilizador.
A Semperis protege todo o serviço de AD híbrido - o vector de ataque comum em 90% dos incidentes - com tecnologia patenteada criada especificamente para prevenir, mitigar e recuperar de ataques baseados na identidade.

A combinação das soluções Semperis com o Microsoft Defender for Identity (MDI) proporciona uma defesa em camadas contra ataques que exploram as identidades dos utilizadores e o serviço de identidade AD.

O sítio DSP ajuda a elaborar relatórios de conformidade?

Directory Services Protector inclui modelos de relatórios de conformidade que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX. Pode importar pacotes de conformidade individuais para DSP para apoiar as necessidades da sua organização. Também pode agendar qualquer relatório DSP , incluindo relatórios de conformidade, para geração e distribuição recorrentes.

Que critérios utiliza o sítio DSP para gerar a pontuação de segurança?

O método de pontuação Directory Services Protector inclui vários factores, incluindo as potenciais consequências de uma vulnerabilidade explorada, a facilidade de exploração e a prevalência geral. Com base nestes factores, é atribuída a cada indicador uma classificação de gravidade (nível e número) que reflecte o potencial impacto na postura de segurança, disponibilidade e desempenho. A classificação de gravidade é então utilizada na fórmula de pontuação para calcular o risco global representado pela vulnerabilidade.

O site DSP permite-me especificar quais os eventos que accionam um alerta?

DSP permite-lhe adicionar objectos ou condições individuais que constituem um risco conhecido a uma lista de ignorados, para que deixem de accionar um alerta em DSP ou afectem a pontuação global da postura de segurança. Esta abordagem ajuda-o a avaliar com precisão o risco e a acelerar a correcção.