Directory Services Protector

Directory Services Protector (DSP) es una solución de detección y respuesta a amenazas de identidad (ITDR) reconocida por Gartner que pone la seguridad de Active Directory híbrido en piloto automático con supervisión continua y visibilidad sin precedentes en los entornos AD y Entra ID locales, seguimiento a prueba de manipulaciones y reversión automática de cambios maliciosos.

En los ataques basados en AD, la única fuente de datos inalterable es el flujo de replicación de AD, que queda fuera del alcance de la vista de cualquier SIEM. Además, la mayoría de las herramientas de auditoría de cambios de AD basadas en agentes carecen de la visibilidad necesaria para detectar y frustrar este tipo de ataques. El flujo de replicación de AD es el único método fiable para captar todos los cambios (antes y durante un ataque), independientemente de cómo intente el atacante cubrir sus huellas. DSP se integra con cualquier solución SIEM que consuma datos con formato SYSLOG. DSP se integra además con Microsoft Sentinel y Splunk. Con Microsoft Sentinel, DSP proporciona libros de trabajo que permiten ver datos adicionales de DSP en el panel de Sentinel, como datos de cambios de Active Directory y eventos de reglas de notificación. La aplicación DSP Splunk Enterprise proporciona datos detallados de seguridad de AD en el panel de Splunk para ofrecer un contexto y una visibilidad adicionales de las vulnerabilidades en todo el entorno.

DSP proporciona una evaluación continua de las vulnerabilidades de seguridad en su entorno AD on-prem e híbrido, escaneando cientos de Indicators of Exposure (IOEs) y comprometiendo (IOCs) a través de varias categorías de seguridad AD, incluyendo seguridad de cuentas, Política de Grupo, Kerberos, delegación AD, infraestructura AD, y Entra ID. DSP proporciona un panel de control de la puntuación global de la postura de seguridad, puntuaciones de categoría, indicadores de seguridad agrupados por gravedad, y orientación de remediación priorizada de expertos en seguridad AD.

Sí, DSP ofrece reversión de cambios malintencionados tanto para AD local como para Entra ID. DSP ofrece corrección automatizada de cambios peligrosos en AD local y Entra ID para prevenir ataques que se mueven demasiado rápido para la intervención humana. DSP también soporta reversión granular, permitiéndole revertir cambios a atributos individuales, miembros de grupos, objetos y contenedores, y a cualquier punto en el tiempo, no sólo a una copia de seguridad previa. 

DSP es no es intrusivo y está diseñado para ser compatible con AD. Este enfoque único captura los cambios sin comprometer la estabilidad de AD.

DSP está diseñado específicamente para AD y puede soportar incluso los entornos AD más complejos, incluyendo despliegues multiorganización y multiforestales. Organizaciones grandes y pequeñas confían en Semperis para que les ayude a detectar vulnerabilidades en los directorios, interceptar ciberataques en curso y recuperarse rápidamente de ransomware y otras emergencias relacionadas con la integridad de los datos. Con un procesamiento optimizado para algunas de las organizaciones más grandes del mundo, DSP puede gestionar el gran volumen de cambios diarios y horarios que son habituales en los entornos AD masivos. 

Tanto Microsoft Defender for Identity (MDI) como las soluciones de Semperis desempeñan un papel fundamental en la protección de los sistemas de identidad frente a los ataques:

• MDI utiliza análisis basados en el usuario (UBA) para supervisar y alertar sobre los comportamientos de los usuarios que se ajustan a los modelos conocidos de ataque a la identidad de los usuarios.
• Semperis protege todo el servicio AD híbrido -el vector de ataque común en el 90 por ciento de los incidentes- con tecnología patentada diseñada específicamente para prevenir, mitigar y recuperarse de los ataques basados en identidades.

La combinación de las soluciones de Semperis con Microsoft Defender for Identity (MDI) proporciona una defensa en capas contra los ataques que explotan las identidades de los usuarios y el servicio de identidad de AD.

Directory Services Protector incluye plantillas de informes de cumplimiento que se ajustan a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX. Puede importar paquetes de cumplimiento individuales a DSP para satisfacer las necesidades de su organización. También puede programar cualquier informe de DSP , incluidos los informes de cumplimiento, para su generación y distribución periódicas.

El método de puntuación de Directory Services Protector comprende varios factores, como las consecuencias potenciales de una vulnerabilidad explotada, la facilidad de explotación y la prevalencia general. En función de estos factores, se asigna a cada indicador una calificación de gravedad (nivel y número) que refleja el impacto potencial en la postura de seguridad, la disponibilidad y el rendimiento. El índice de gravedad se utiliza en la fórmula de puntuación para calcular el riesgo global que plantea la vulnerabilidad.

DSP le permite añadir objetos o condiciones individuales que constituyen un riesgo conocido a una lista de ignorados para que ya no activen una alerta en DSP ni afecten a la puntuación global de la postura de seguridad. Este enfoque le ayuda a evaluar con precisión el riesgo y acelerar la corrección.