Purple Knightla herramienta gratuita de evaluación de la seguridad de Active Directory (AD) descargada por más de 10.000 usuarios, ahora le permite identificar y abordar las brechas de seguridad en su entorno de identidad híbrida. Así es: La última versión de Purple Knight introduce los indicadores de seguridad Entra ID. La capacidad de abordar las lagunas de seguridad tanto en AD on-prem como en Entra ID le da una ventaja a la hora de defenderse contra las amenazas actuales.
Con un escenario híbrido, la superficie de ataque potencial se amplía para los adversarios. En la actualidad, los ataques suelen comenzar en las instalaciones y trasladarse a la nube, como en el caso del ataque de SolarWinds, o pasar de la nube a las instalaciones. La nueva versión de Purple Knight ayuda a las organizaciones a descubrir las brechas de seguridad que pueden exponer sus sistemas de identidad híbridos a los atacantes.
Purple Knight-disponible para su descarga aquí- tambiénincluye compatibilidad con el modelo D3FEND™ de MITRE, nuevos indicadores de seguridad de AD on-prem, mejoras en los informes y algunas correcciones de errores y mejoras en los scripts.
Novedades de Purple Knight 1.5
Además de introducir 10 indicadores de seguridad Entra ID, Purple Knight 1.5 incluye nuevas etiquetas de marco de seguridad para el modelo MITRE D3FEND, un marco beta para la defensa de redes. MITRE D3FEND es una base de conocimientos sobre técnicas de contramedidas de ciberseguridad que puede ayudarle a diseñar, desplegar y defender mejor los sistemas en red. Purple Knight también incluye siete nuevos indicadores de seguridad para AD on-prem, así como mejoras en los informes HTML y PDF. Esto es lo que incluye Purple Knight 1.5:
- 10 indicadores de seguridad de Entra ID que le ayudarán a comprender su postura general de seguridad en el entorno de identidad híbrida
- Etiquetas de marco de seguridad para el modelo D3FEND de MITRE, un marco beta para la defensa de redes
- Mejoras en el Informe de Evaluación de Seguridad HTML, incluyendo un panel de navegación que le permite localizar rápidamente información específica dentro del informe sin necesidad de desplazarse y una estructura de informe actualizada que incluye evaluaciones tanto de AD como de Entra ID cuando se ejecuta en un entorno híbrido.
- Posibilidad de generar una versión mejorada en PDF del informe de evaluación de la seguridad
- Varias correcciones de errores y mejoras de script
Utilización de Purple Knight para evaluar la seguridad de su entorno de identidad híbrida
Purple Knight 1.5 escanea su entorno Entra ID en busca de los siguientes indicadores de exposición (IOE), que señalan configuraciones riesgosas que los atacantes pueden explotar:
- Usuarios con privilegios en AAD que también tienen privilegios en AD
- Las unidades administrativas no se utilizan
- Comprobar si los invitados tienen permisos para invitar a otros invitados
- Comprobación de los permisos de riesgo de la API concedidos a los responsables del servicio de la aplicación
- Comprobar si se permite la autenticación heredada
- MFA no está configurado para las cuentas privilegiadas
- Los usuarios que no son administradores pueden registrar aplicaciones personalizadas
- Los grupos privilegiados contienen cuentas de invitados
- Los valores predeterminados de seguridad no están activados
- Se permite el consentimiento del usuario sin restricciones
Descargar script para conectar Purple Knight a Entra ID Active Directory
Para ejecutar Purple Knight en su entorno Entra ID, necesita crear y actualizar el registro de la aplicación en Entra ID con un conjunto definido y consentido de permisos de aplicación para Microsoft Graph. Jorge de Almeida Pinto, arquitecto sénior de soluciones y gestor de productos de Semperis, creó una secuencia de comandos PowerShell que automatiza este paso.
Para utilizar el script, necesitará dos módulos de PowerShell -EntraID y Az.Accounts- yla cuenta que cree el registro de la aplicación debe ser un administrador global. El script admite las siguientes tareas:
- Crea y actualiza el registro de aplicaciones en Entra ID para Purple Knight 1.5 para poder escanear vulnerabilidades en Entra ID.
- Elimina el registro de la aplicación en Entra ID
- Asigna los permisos necesarios de la aplicación Microsoft Graph y da su consentimiento al crear o actualizar la aplicación
- Crea un secreto de cliente que, por defecto, es válido durante una hora al crear o actualizar la aplicación (si es necesario, puede proporcionar un tiempo de vida de cliente en días para el secreto de cliente)
- Elimina todos los secretos de cliente del registro de la aplicación en Entra ID
- Muestra el ID de inquilino, el ID de la aplicación, los permisos asignados y consentidos, y el secreto de cliente que se utilizará en el archivo ejecutable Purple Knight
Consulte la lista completa de funciones y ejemplos y descargue el script PowerShell Purple Knight 1.5 en la cuenta GitHub de Semperis.
Nuevos indicadores de seguridad de Active Directory
Además de introducir los indicadores de seguridad Entra ID, Purple Knight 1.5 incluye siete nuevos indicadores de seguridad AD on-prem:
- Cuentas con delegación restringida configuradas en krbtgt
- Plantillas de certificados que permiten a los solicitantes especificar un subjectAltName
- Plantillas de certificados con tres o más configuraciones no seguras
- FGPP no aplicado al grupo
- La firma LDAP no es necesaria en los controladores de dominio
- Grupos de operadores que no están vacíos
- Los controladores de dominio admiten el tipo de cifrado RC4
Cómo acceder a Purple Knight 1.5
Puede descargar Purple Knight 1 .5 aquí. Recuerde revisar el último documento de inicio rápido Purple Knight para obtener orientación importante antes de descomprimir y ejecutar Purple Knight. Encontrarás los detalles de la última versión y el SHA 256 aquí.
Si eres nuevo en Purple Knight, consulta también los siguientes recursos:
- Lea el documento de inicio rápido
- Únase a la comunidad Slack de Purple Knight
- Explore nuestro rastreador de indicadores de seguridad
- Consulte nuestra guía del usuario Purple Knight
Purple Knight presenta los indicadores de seguridad Entra ID para combatir los ataques a la identidad híbrida
Con la introducción de los indicadores de seguridad Entra ID, Purple Knight es un poderoso recurso en su defensa contra ataques dirigidos a entornos AD híbridos. Agradecemos sus comentarios y preguntas en el canal de SlackPurple Knight , o puede enviarnos un correo electrónico aquí.
