Detectar alterações maliciosas no AD

Detecção e resposta a ameaças do Active Directory

Monitore todas as alterações no Active Diretory e no Entra ID - incluindo ameaças avançadas que escapam ao monitoramento tradicional.

Deteção de ameaças ao Active Diretory e Entra ID

As organizações dependem da infraestrutura de identidade para autenticar utilizadores e fornecer acesso seguro a aplicações e serviços críticos para o negócio. Para 90% das organizações em todo o mundo, o Active Diretory e o Entra ID formam o núcleo de seus serviços de identidade. Mas proteger o Active Diretory é difícil, dado seu fluxo constante, seu grande número de configurações e o cenário de ameaças cada vez mais sofisticado. A proteção de sistemas AD híbridos traz desafios adicionais, pois muitos ataques começam no local e passam para a nuvem. A proteção contra ataques requer uma monitorização contínua do AD e do Azure AD e uma visão única das alterações maliciosas em todo o ambiente.

Relatório Semperis:
73%
das organizações NÃO estão confiantes de que poderiam evitar ataques da Entra ID
Relatório de Defesa Digital da Microsoft:
88%
das organizações afectadas por incidentes de ransomware não utilizaram as melhores práticas de segurança do AD e do Entra ID
Relatório de Defesa Digital da Microsoft:
1 hora, 42 minutos
o tempo médio para um atacante começar a mover-se lateralmente após o comprometimento do dispositivo
Relatório de Defesa Digital da Microsoft:
68%
das organizações afectadas por incidentes cibernéticos não tinham um processo eficaz de gestão de vulnerabilidades e de correcções

Obter o controlo da detecção e resposta a ameaças AD

Para se protegerem contra ameaças em constante evolução, as organizações precisam monitorar continuamente o Active Diretory e o Entra ID em busca de Indicators of Exposure (IOEs) e Indicators of Compromise (IOCs), incluindo ataques avançados, como o DCShadow, que fogem das soluções tradicionais de monitoramento baseadas em logs ou eventos.

ícone do globo ocular
Monitor

Verificar continuamente o ambiente AD e Entra ID em busca de Indicators of Exposure (IOEs) e Compromisso (IOCs)

Detetar

Descubra ataques avançados, como o DCShadow, que escapam às soluções tradicionais baseadas em registos e eventos, incluindo SIEMs.

ícone da lista de controlo
Responder

Impeça os atacantes com rastreio inviolável, notificações em tempo real e reversão automática de alterações.

Detectar e responder aos crescentes ataques aos sistemas de identidade

Monitorização contínua de novas ameaças

Grupos sofisticados de ransomware-as-a-service (RaaS) estão a intensificar os seus ataques a sistemas de identidade num esforço para obter acesso a recursos críticos. Para defender o ambiente AD híbrido no cenário de ameaças em constante mudança, as organizações precisam de:

  • Analisa o AD e o Entra ID em busca de centenas de vulnerabilidades (IOEs e IOCs), constantemente actualizadas para fazer face a novas ameaças
  • Capturar alterações maliciosas mesmo que o registo de segurança seja desactivado, os registos sejam eliminados, os agentes sejam desactivados ou deixem de funcionar, ou as alterações sejam injectadas directamente no AD
  • Localizar e corrigir alterações indesejadas de objectos e atributos do AD e do Entra ID
  • Identificar e isolar alterações maliciosas para apoiar as operações de Perícia Digital e Resposta a Incidentes (DFIR)
  • Definir notificações em tempo real sobre alterações no AD e no Entra ID
Saiba mais
Defenda-se contra ataques AD que não deixam rasto

Os cibercriminosos desenvolvem continuamente novas tácticas e técnicas para obter acesso ao Active Directory, tornando os seus ataques ainda mais perigosos. Quando se trata de detectar acções potencialmente maliciosas no Active Directory (AD), a maior parte das organizações confia na consolidação do registo de eventos do controlador de domínio e nas soluções SIEM para detectar registos e alterações anormais. Esta abordagem funciona - desde que a técnica de ataque deixe um rasto de registo. Alguns ataques sofisticados não deixam provas de actividade maliciosa. As organizações precisam de soluções que detectem e protejam contra ataques como:

  • DCShadow, que regista um DC desonesto, contornando a monitorização SIEM tradicional
  • Alterações da Política de Grupo, que não são captadas pelos registos de eventos por defeito
  • Ataques Zerologon, que contornam as ferramentas de monitorização que não estão atentas a alterações inesperadas de palavras-passe nos DCs
Saiba mais
A nossa missão tem eco junto dos líderes do setor

Atores avançados estão atacando implantações de identidade no local para efetuar violação sistêmica e ponte para o acesso do administrador à nuvem. As organizações em ambientes híbridos do Active Diretory precisam de segurança de identidade em primeiro lugar para proteger seus sistemas AD e Entra ID contra ataques. Isto requer monitorização e avaliação contínuas da postura de segurança do AD e do Entra ID para defender contra ataques baseados na identidade em parceria com equipas de segurança tradicionais.

Alex Weinert Diretor de Produtos, Semperis
El Al Israel Airlines

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.

Saiba mais Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines
Insights dos pares da Gartner

Temos muitas alterações a acontecer no nosso ambiente Active Directory, adicionando servidores Linux, etc... [Directory Services Protector] ajuda-nos a monitorizar e a reverter alterações perigosas com um clique num botão.

Ler a crítica Membro da equipa de TI, organização empresarial
Insights dos pares da Gartner

O DSP e ADFR da Semperis foram muito fáceis de implementar. O serviço e a orientação que recebemos da equipa da Semperis foram excecionais.

Ler a crítica Especialista em TI Organização bancária empresarial
Insights dos pares da Gartner

Directory Services Protector é excepcional com relatórios, monitorização e correcção em tempo real, relatórios activos e notificações instantâneas quando os objectos são modificados ou alterados.

Ler a crítica Administrador Sénior de Sistemas Windows Organização Empresarial

Perguntas frequentes sobre a detecção e resposta a ameaças do AD

Qual é a melhor forma de avaliar as minhas actuais vulnerabilidades do Active Directory?

O reforço do AD começa com o controlo das vulnerabilidades e dos erros comuns de configuração e gestão que preparam o caminho para os compromissos. Para defender o AD, os administradores precisam de saber como os atacantes estão a atacar o seu ambiente. A realização de uma avaliação completa das vulnerabilidades no ambiente do AD requer uma solução que seja continuamente actualizada para procurar Indicators of Exposure (IOEs) e Indicators of Compromise (IOCs) actuais. Para efetuar uma avaliação inicial, pode descarregar e utilizar a ferramenta gratuita Purple Knightque examinará seu ambiente AD e Entra ID em busca de centenas de IOEs e IOCs, gerará uma pontuação geral de segurança e fornecerá orientação de correção priorizada de especialistas em segurança AD e Entra ID.

Quais são as vulnerabilidades de segurança do AD mais críticas?

Devido a configurações incorrectas do AD antigo que se acumulam ao longo do tempo, muitos ambientes AD híbridos têm dezenas ou centenas de vulnerabilidades de segurança. As vulnerabilidades críticas incluem configurações incorrectas relacionadas com a autenticação, tais como permitir o acesso anónimo ao AD. A permissão de privilégios excessivos é outra fonte comum de vulnerabilidades de segurança do AD. Para obter mais informações sobre as vulnerabilidades de segurança comuns do AD, consulte "Sabe quais são as suas vulnerabilidades de segurança do Active Diretory?"

Como posso detectar ataques ao AD concebidos para iludir os sistemas de monitorização?

Os ciberataques estão a desenvolver métodos cada vez mais sofisticados de violação de ambientes AD híbridos que evitam a deteção. Para detetar alterações maliciosas que contornam os sistemas de monitorização tradicionais (como SIEMs), é necessária uma solução que utilize várias fontes de dados. Procure uma ferramenta que possa capturar alterações mesmo que o registo de segurança esteja desativado, os registos sejam eliminados, os agentes sejam desactivados ou deixem de funcionar, ou as alterações sejam injectadas diretamente no AD.

Como posso rastrear vulnerabilidades de segurança no Entra ID?

Pode utilizar a ferramenta gratuita de avaliação da segurança do AD Purple Knight para verificar o ambiente do Entra ID em busca de vários IOEs e IOCs, incluindo contas de convidado inativas, políticas de acesso condicional mal configuradas e usuários privilegiados do Entra ID que também são usuários privilegiados no AD local, o que pode resultar no comprometimento de ambos os ambientes. É possível usar o Directory Services Protector para rastrear alterações de ID Entra em tempo real; para obter mais informações, consulte "5 novas maneiras de proteger o AD e o Azure AD"

Detectar e responder a ataques ao AD

Não perca as ameaças AD ou Entra ID

Verificar Directory Services Protector