Deteção e resposta a ameaças do AD

Directory Services Protector

Proteja sua infraestrutura de identidade crítica contra ataques cibernéticos com a plataforma de deteção e resposta a ameaças de identidade (ITDR) mais abrangente do setor para Active Directory e Entra ID.

AD seguro e Entra ID Solicitar uma demonstração

Segurança abrangente do AD híbrido

Proteger o Active Directory e o Entra ID é difícil. As configurações incorretas se acumulam com o tempo, criando vulnerabilidades de segurança herdadas que os invasores adoram explorar - na verdade, 9 em cada 10 ataques cibernéticos envolvem o AD, de acordo com pesquisadores da Mandiant. A Semperis fornece a mais abrangente deteção e resposta a ameaças híbridas ao AD, monitorando continuamente o ambiente, revertendo automaticamente alterações maliciosas e fornecendo uma visão única da postura de segurança do AD e do Entra ID.

Impedir que os atacantes obtenham acesso ao AD e ao Entra ID

Capturar alterações de AD e Entra ID que contornam os registos de segurança

Corrigir automaticamente alterações maliciosas

Acelerar a resposta a incidentes e prevenir futuros ataques

Obtenha controlo da segurança do Active Directory e do Entra ID

O Active Directory não pode resistir às ameaças cibernéticas atuais. E proteger o AD local e o Entra ID em um ambiente híbrido é notoriamente difícil. Além disso, os invasores geralmente passam do local para a nuvem (ou vice-versa) em busca de privilégios elevados - como no ataque da SolarWinds. Em nosso mundo que prioriza os dispositivos móveis e a nuvem, qualquer dispositivo conectado pode expor o coração da sua infraestrutura de TI.

Em um cenário híbrido de AD e Entra ID, a superfície de ataque potencial se expande. Directory Services Protector é a única solução de deteção e resposta a ameaças que fornece uma visão única das vulnerabilidades de segurança em todo o ambiente híbrido. Com DSP, é possível correlacionar alterações no AD local e no Entra ID para deter os invasores.

Minimizar a superfície de ataque

Descubra vulnerabilidades do AD e do Entra ID e configurações arriscadas em ambientes híbridos antes que os invasores o façam. Obtenha orientação priorizada e orientada para a ação de uma comunidade de pesquisadores de ameaças à segurança do AD. Reduza a superfície de ataque do seu sistema de identidade híbrida e fique à frente do cenário de ameaças em constante evolução.

Solicitar uma demonstração

Detectar ataques avançados

Destaque os atacantes que se deslocam lateralmente através do seu ambiente AD híbrido sem serem controlados. Utilize várias fontes de dados, incluindo o fluxo de replicação do AD, para obter visibilidade ininterrupta de ataques avançados ao AD que contornam a detecção baseada em agentes ou registos. Integre dados de segurança detalhados com o Splunk, o Microsoft Sentinel ou outras soluções SIEM para obter visibilidade inigualável de ameaças potenciais.

Solicitar uma demonstração

Automatizar a correcção

Colocar a segurança do AD e do Entra ID no piloto automático para deter os invasores em suas trilhas. Reverta automaticamente alterações maliciosas no AD e no Entra ID que são muito arriscadas para aguardar a intervenção humana. Crie regras e alertas personalizados para sua equipe de operações de segurança.

Solicitar uma demonstração

Acelerar a resposta a incidentes de AD

Acelerar a análise forense de ataques AD. Reduzir os danos de um ataque, encontrando e erradicando rapidamente o malware. Traduzir dados de alteração não estruturados do AD e do Entra ID para um formato legível por humanos. Pesquise, correlacione e desfaça facilmente as alterações do AD nos níveis de objeto e atributo. Faça drill down até qualquer ponto no tempo para isolar contas do AD comprometidas e evitar ataques futuros.

Solicitar uma demonstração

Marque a segurança do Active Directory híbrido

Proteger o Active Directory é difícil devido à sua complexidade e à proliferação de grupos de ransomware, como o LockBit e o Vice Society, que visam o AD com novas tácticas, técnicas e procedimentos (TTPs). Directory Services Protector coloca a segurança do AD e do Entra ID em piloto automático com monitorização contínua de ameaças ao AD, alertas em tempo real e capacidades de correção autónomas. DSP ajuda-o a responder mais eficazmente a incidentes de segurança do AD e a erros operacionais diários.

Avaliação da vulnerabilidade

Monitorar continuamente o AD e o Entra ID em busca de indicadores de exposição (IOEs) e indicadores de comprometimento (IOCs) que possam resultar em comprometimentos do sistema de identidade híbrida. Use a inteligência de ameaças incorporada de pesquisadores de segurança especializados para descobrir configurações incorretas comuns, como senhas expiradas e contas de confiança com senhas antigas.

Correcção automatizada

Reverter automaticamente alterações maliciosas no AD local e no Entra ID. Criar notificações de auditoria sobre alterações arriscadas em objetos e atributos sensíveis do AD e do Entra ID.

Rastreio inviolável

Capture as alterações mesmo que a segurança esteja desligada, os registos estejam em falta, os agentes estejam desactivados ou inoperacionais ou as alterações de risco sejam injectadas directamente no AD.

Controlo de alterações de ID Entra

Use o rastreamento de alterações quase em tempo real em DSP para Entra ID para monitorar alterações em atribuições de funções, associações de grupos e atributos de usuários.

Automatizar a correção do Entra ID

Auto-undo arriscado Entra ID muda em utilizadores, grupos e funções com regras e alertas personalizados.

Relatórios de conformidade

Utilize modelos de relatórios de conformidade pré-criados que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX.

Integração com o Splunk

Traga dados detalhados de segurança do Active Directory - incluindo dados de alteração do Active Directory, dados do Indicador de Segurança DSP e eventos de regras de notificação DSP - para visualizações familiares do Splunk Enterprise para fornecer contexto significativo e visibilidade das vulnerabilidades em todo o seu ambiente.

Integração do Microsoft Sentinel

Utilize novas pastas de trabalho para o Microsoft Sentinel que lhe permitem ver dados adicionais de DSP, tais como dados de alteração do Active Directory e eventos de regras de notificação de DSP , nos dashboards do Sentinel.

Delegação com RBAC

Utilize o robusto Controlo de Acesso Baseado em Funções (RBAC) e uma interface de utilizador Web avançada para dar aos administradores do AD capacidades de visualização e restauro para o seu âmbito de controlo específico.

Relatórios poderosos

Utilize relatórios incorporados criados por especialistas em AD para obter informações sobre aspectos operacionais, de conformidade e de segurança do seu sistema de identidade. Crie relatórios personalizados com base em consultas sofisticadas às bases de dados LDAP e DSP . Descarregue um relatório HTML com o estado e a pontuação da sua postura de segurança actual, incluindo detalhes para cada Indicador de Exposição.

Notificações em tempo real

Defina alertas através de notificações por correio electrónico à medida que ocorrem alterações operacionais e relacionadas com a segurança em tempo real no AD.

Suporte do PowerShell

Utilize o módulo PowerShell do DSP para automatizar processos e integrar as operações e a gestão do DSP no seu conjunto de ferramentas existente.

Localização e correcção instantâneas

Utilize a base de dados online incorporada DSP para localizar e corrigir alterações indesejadas de objectos e atributos do AD em dois minutos ou menos.

Reversão granular

Reverter alterações a atributos individuais, membros de grupos, objectos e contentores - para qualquer ponto no tempo, não apenas para uma cópia de segurança anterior.

Análise forense

Identificar alterações suspeitas e isolar as alterações efectuadas por contas comprometidas. Utilizar os dados de DSP para apoiar as operações de Resposta a Incidentes e Perícia Digital (DFIR), a fim de seguir as fontes e os pormenores dos incidentes.

Visualização de segurança Entra ID

Visualize facilmente as alterações originadas no Entra ID. Use a visualização híbrida para correlacionar alterações entre o AD local e o Entra ID.

Ver tudo

Restaurar a visão do seu SIEM

Um número crescente de ataques contorna as auditorias de segurança

Ao contrário das ferramentas de rastreamento que dependem apenas de logs de segurança e agentes em cada controlador de domínio, o Semperis DSP monitora várias fontes de dados, incluindo o fluxo de replicação do Active Directory. O fluxo de replicação do AD é o único método confiável de capturar todas as alterações, independentemente de como os invasores tentam encobrir seus rastros. O Semperis DSP encaminha alterações suspeitas do AD para o seu sistema SIEM com um contexto significativo, reduzindo drasticamente a carga sobre os analistas de segurança. Pode utilizar alertas predefinidos para o Microsoft Sentinel, Splunk e outras ferramentas SIEM e SOAR. Também pode criar alertas personalizados para ferramentas SecOps e sistemas de bilhética, incluindo o ServiceNow.

INTEGRAÇÕES SIEM PRONTAS A UTILIZAR

O seu Active Directory está vulnerável a um ataque informático?

O Active Directory é o principal serviço de identidade para 90% das empresas em todo o mundo, fornecendo autenticação de utilizadores e acesso a aplicações e serviços críticos para as empresas. Um ataque que elimine o AD (como no ciberataque NotPetya de 2017 ao gigante dos transportes marítimos Maersk) pode perturbar as operações comerciais. Devido a configurações incorrectas herdadas e vulnerabilidades não corrigidas, o AD é um alvo frequente para os atacantes, incluindo grupos de ransomware sofisticados como o LockBit e o Vice Society. Os investigadores da Mandiant estimam actualmente que 9 em cada 10 ataques envolvem o AD.

Relatório da EMA:

50%

das organizações sofreram um ataque ao AD nos últimos 1-2 anos

Relatório da EMA:

82%

das tentativas de exploração do AD por parte dos testadores de segurança são bem sucedidas

Gartner:

33%

das organizações não têm uma defesa AD implementada

Relatório Veeam 2023:

21%

das empresas que pagaram um resgate não conseguiram recuperar os seus dados

Confiado por empresas líderes do sector

Explore as histórias dos nossos clientes

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.
Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines

Perguntas mais frequentes

O que é Directory Services Protector?

Directory Services Protector (DSP) é uma solução de deteção e resposta a ameaças de identidade (ITDR) reconhecida pelo Gartner que coloca a segurança híbrida do Active Directory em piloto automático com monitoramento contínuo e visibilidade inigualável em ambientes AD e Entra ID locais, rastreamento inviolável e reversão automática de alterações maliciosas.

Para que é que eu precisaria de DSP se já tenho um SIEM?

Nos ataques baseados no AD, a única fonte de dados inalterável é o fluxo de replicação do AD, que está fora do âmbito da visão de qualquer SIEM. Além disso, a maioria das ferramentas de auditoria de alterações do AD baseadas em agentes não tem visibilidade profunda para detectar e impedir tais ataques. O fluxo de replicação do AD é o único método fiável de captar todas as alterações (pré-ataque e durante um ataque), independentemente da forma como um atacante possa tentar encobrir os seus rastos. DSP integra-se com qualquer solução SIEM que consuma dados formatados em SYSLOG. DSP integra-se ainda com o Microsoft Sentinel e o Splunk. Com o Microsoft Sentinel, o DSP fornece pastas de trabalho que permitem visualizar dados adicionais do DSP no painel do Sentinel, como dados de alteração do Active Directory e eventos de regras de notificação. O aplicativo DSP Splunk Enterprise fornece dados detalhados de segurança do AD no painel do Splunk para fornecer contexto e visibilidade adicionais sobre vulnerabilidades em todo o ambiente.

As capacidades do Directory Services Protector incluem avaliações de vulnerabilidades do AD?

DSP fornece uma avaliação contínua das vulnerabilidades de segurança em todo o seu ambiente AD local e híbrido, procurando centenas de Indicators of Exposure (IOEs) e comprometimento (IOCs) em várias categorias de segurança do AD, incluindo segurança de conta, Política de Grupo, Kerberos, delegação do AD, infraestrutura do AD e Entra ID. DSP fornece um painel de controlo da pontuação geral da postura de segurança, pontuações de categoria, indicadores de segurança agrupados por gravidade e orientação de correção prioritária de especialistas em segurança do AD.

O DSP corrige alterações indesejadas no AD local e no Entra ID?

Sim, o DSP oferece reversão de alterações maliciosas para o AD local e o Entra ID. O DSP fornece correção automatizada de alterações arriscadas no AD local e no Entra ID para evitar ataques que se movem muito rápido para intervenção humana. O DSP também suporta reversão granular, permitindo reverter alterações em atributos individuais, membros de grupos, objetos e contêineres - e em qualquer ponto no tempo, não apenas em um backup anterior.

Qual é o impacto do desempenho do DSPno AD?

DSP é não é intrusivo e foi criado para ser compatível com o AD. Esta abordagem única capta as alterações sem comprometer a estabilidade do AD.

O site DSP pode suportar ambientes AD complexos?

DSP foi criado especificamente para o AD e pode suportar até mesmo os ambientes AD mais complexos, incluindo implantações de várias organizações e várias florestas. Grandes e pequenas organizações confiam na Semperis para ajudá-las a detetar vulnerabilidades de diretório, intercetar ataques cibernéticos em andamento e se recuperar rapidamente de ransomware e outras emergências de integridade de dados. Com processamento optimizado para algumas das maiores organizações do mundo, o DSP consegue lidar com o grande volume de alterações diárias e de hora a hora que são comuns em ambientes AD massivos.

Em que é que o Directory Services Protector é diferente do Microsoft Defender para Identidade?

Tanto o Microsoft Defender for Identity (MDI) como as soluções da Semperis têm funções críticas na protecção dos sistemas de identidade contra ataques:

A MDI utiliza a análise baseada no utilizador (UBA) para monitorizar e alertar para comportamentos do utilizador que se enquadram em modelos conhecidos de ataque à identidade do utilizador.
A Semperis protege todo o serviço de AD híbrido - o vector de ataque comum em 90% dos incidentes - com tecnologia patenteada criada especificamente para prevenir, mitigar e recuperar de ataques baseados na identidade.

A combinação das soluções Semperis com o Microsoft Defender for Identity (MDI) proporciona uma defesa em camadas contra ataques que exploram as identidades dos utilizadores e o serviço de identidade AD.

O DSP ajuda a elaborar relatórios de conformidade?

Directory Services Protector inclui modelos de relatórios de conformidade que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX. Pode importar pacotes de conformidade individuais para DSP para apoiar as necessidades da sua organização. Também pode agendar qualquer relatório DSP , incluindo relatórios de conformidade, para geração e distribuição recorrentes.

Que critérios utiliza o sítio DSP para gerar a pontuação de segurança?

O método de pontuação Directory Services Protector inclui vários factores, incluindo as potenciais consequências de uma vulnerabilidade explorada, a facilidade de exploração e a prevalência geral. Com base nestes factores, é atribuída a cada indicador uma classificação de gravidade (nível e número) que reflecte o potencial impacto na postura de segurança, disponibilidade e desempenho. A classificação de gravidade é então utilizada na fórmula de pontuação para calcular o risco global representado pela vulnerabilidade.

O DSP permite especificar que eventos acionam um alerta?

"O DSP permite-lhe adicionar objetos ou condições individuais que constituem um risco conhecido a uma lista de itens ignorados, para que deixem de acionar um alerta em DSP ou afetem a pontuação global da postura de segurança. Esta abordagem ajuda-o a avaliar com precisão o risco e a acelerar a correção."