Purple Knight Perguntas Mais Frequentes
-
Porque devemos utilizar o Purple Knight?Para bloquear o ambiente híbrido do Active Directory, é preciso pensar como um invasor. O site Purple Knight mapeia indicadores de segurança pré e pós-ataque para as estruturas MITRE ATT&CK e ANSSI, oferecendo uma pontuação geral de risco juntamente com a probabilidade de comprometimento e etapas específicas de correção. O site Purple Knight também fornece novas tags de estrutura de segurança para o modelo MITRE D3FEND, uma estrutura beta para defesa de rede. Pode utilizar Purple Knight para reforçar proactivamente o AD e o Entra ID contra novas tácticas e técnicas de adversários com modelação de ameaças incorporada que é constantemente actualizada por uma equipa de especialistas em segurança.
-
Como posso utilizar Purple Knight para avaliar o meu ambiente Entra ID Active Directory?Para executar o Purple Knight no seu ambiente Entra ID, é necessário criar e atualizar o registo da aplicação no Entra ID com um conjunto definido e consentido de permissões de aplicação para o Microsoft Graph. Jorge de Almeida Pinto, arquiteto de soluções sénior e gestor de produtos da Semperis, criou um script PowerShell que automatiza este passo.
Para utilizar o guião, necessitará de dois módulos PowerShell - AzureAD e Az.Accounts - ea conta que cria o registo da aplicação deve ser uma Administração Global. O guião suporta as seguintes tarefas:
- Cria e actualiza o registo da aplicação no Entra ID para Purple Knight 1.5 para poder verificar vulnerabilidades no Azure AD
- Elimina o registo da aplicação no Entra ID
- Atribui as permissões necessárias para a aplicação no Microsoft Graph e dá o seu consentimento ao criar ou actualizar a aplicação
- Cria um segredo do cliente que por omissão é válido por uma hora quando se cria ou actualiza a aplicação (se necessário, pode fornecer uma vida útil em dias para o segredo do cliente)
- Elimina todos os segredos dos clientes do registo da aplicação em Azure AD
- Apresenta o ID do Tenant, o ID da aplicação, as permissões atribuídas e consentidas e o segredo do cliente a ser utilizado no ficheiro executável Purple Knight
Ver a lista completa de funções e exemplos e baixar o script Purple Knight 1.5 PowerShell na conta do Semperis GitHub.
-
O que é que a Semperis faz com a informação que o Purple Knight gera sobre o nosso ambiente?Nada! O Purple Knight não tem a capacidade de comunicar qualquer informação à Semperis. Os dados e informações que a ferramenta gera estão exclusivamente à disposição da organização que a gere e nunca são disponibilizados à Semperis.
-
Pode o Purple Knight integrar a informação com soluções de segurança como o nosso SIEM?Não, o site Purple Knight fornece um scorecard pontual das vulnerabilidades do Active Directory e da saúde geral da segurança. No entanto, a Semperis Directory Services Protector (DSP) pode integrar-se facilmente com um SIEM para fornecer uma visão única dos dados de segurança do Active Directory (incluindo os indicadores monitorizados por Purple Knight).
-
Qual é a diferença entre Purple Knight e Semperis DSP?Purple Knight fornece uma visão pontual e uma avaliação dos riscos do Active Directory e do Entra ID. O DSP fornece uma visão contínua do AD e do Azure AD, incluindo alerting, change tracking, automatic remediatione suporte para ambientes AD híbridos.
-
Quantos indicadores de segurança são revistos pelo Purple Knight ?A equipa de investigação da Semperis estuda continuamente as formas como os cibercriminosos estão a conspirar para comprometer os sistemas de informação das organizações - particularmente através da exploração de vulnerabilidades no AD e no Entra ID. A Semperis utiliza esta inteligência de ameaças para atualizar constantemente a lista de indicadores de segurança que Purple Knight rastreia.
Para uma lista completa de indicadores, reveja os Indicadores de SegurançaPurple Knight .
-
Quais são as deficiências mais comuns encontradas em Purple Knight ?A pontuação média global Purple Knight é de 61%, com a segurança de Kerberos a atingir uma média de 43% e a segurança da Política de Grupo a atingir uma média de 58%. Consulte o documento Purple Knight Indicadores de Segurança para uma visão completa dos indicadores associados a cada categoria.
-
Quanto tempo demora uma análise pelo Purple Knight ?O tempo necessário para executar uma análise com o Purple Knight vai variar consoante o tamanho e complexidade do seu Active Directory e dos testes que forem executados. Normalmente, uma análise de uma floresta demora minutos, com o tempo adicional necessário para uma análise do indicador Zerologon, que efectua chamadas RPC para analisar todos os controladores de domínio.
-
Qual o impacto do Purple Knight no desempenho do nosso ambiente?O Purple Knight não tem qualquer impacto no desempenho do AD. Contudo, para domínios maiores (100K+ objectos, 10+ controladores de domínio), os utilizadores poderão experimentar longos tempos de execução e elevada utilização de memória na máquina local a executar o Purple Knight.
-
Como é que o Purple Knight se adapta a ameaças emergentes, novas fraquezas e novas tácticas de ataque?A Equipa de Investigação Semperis estuda continuamente as formas como os cibercriminosos estão a conspirar para comprometer os sistemas de informação das organizações - especialmente explorando as vulnerabilidades no Active Directory. A Semperis utiliza esta inteligência de ameaças para actualizar constantemente a lista de indicadores de segurança que o Purple Knight analisa.
Para uma lista completa de indicadores, reveja os Indicadores de SegurançaPurple Knight .
-
Como é que o Purple Knight se compara com o Programa de Avaliação de Riscos da Microsoft (RAP)?O Programa de Avaliação de Riscos da Microsoft (RAP) é um compromisso intenso e de longo prazo, enquanto que o Purple Knight proporciona valor imediato. Um RAP inclui múltiplas ferramentas, avaliações e diferentes recursos humanos especializados e está disponível apenas a clientes Microsoft Premier. O Purple Knight é uma ferramenta gratuita que fornece análises rápidas do estado actual do seu Active Directory, incluindo acções de remediação recomendadas.
-
Como se compara Purple Knight com outras ferramentas, tais como BloodHound e PingCastle?Purple Knight fornece relatórios mais fáceis de utilizar e accionáveis e é mais fácil de executar do que o PingCastle. BloodHound não procura exposições como faz Purple Knight , mas sim mapeia potenciais caminhos de ataque que os utilizadores precisam de explorar, priorizar, e abordar por si próprios. Para informações sobre a utilização conjunta destas ferramentas, consulte "BloodHound e Purple Knight: Better Together for Hardening Active Directory Security".
-
Qual é a pontuação de avaliação típica do Purple Knight ?A pontuação média inicial Purple Knight global é de 61%, com Kerberos Security a atingir uma média de 43% e Group Policy Security a atingir uma média de 58%. Consulte o documento Purple Knight Indicadores de Segurança para uma visão completa dos indicadores associados a cada categoria.
-
Como é que utilizo os resultados da minha avaliação?O Purple Knight gera um relatório detalhado que inclui todos os indicadores analisados, o estado de aprovação/reprovação de cada indicador, o seu mapeamento para o MITRE ATT&CK Framework e recomendações de remediação. Pode utilizar esta valiosa informação para obter informações e dar prioridade a melhorias de segurança.