Directory Services Protector

Directory Services Protector (DSP) é uma solução de deteção e resposta a ameaças de identidade (ITDR) reconhecida pelo Gartner que coloca a segurança híbrida do Active Directory em piloto automático com monitoramento contínuo e visibilidade inigualável em ambientes AD e Entra ID locais, rastreamento inviolável e reversão automática de alterações maliciosas.

Nos ataques baseados no AD, a única fonte de dados inalterável é o fluxo de replicação do AD, que está fora do âmbito da visão de qualquer SIEM. Além disso, a maioria das ferramentas de auditoria de alterações do AD baseadas em agentes não tem visibilidade profunda para detectar e impedir tais ataques. O fluxo de replicação do AD é o único método fiável de captar todas as alterações (pré-ataque e durante um ataque), independentemente da forma como um atacante possa tentar encobrir os seus rastos. DSP integra-se com qualquer solução SIEM que consuma dados formatados em SYSLOG. DSP integra-se ainda com o Microsoft Sentinel e o Splunk. Com o Microsoft Sentinel, o DSP fornece pastas de trabalho que permitem visualizar dados adicionais do DSP no painel do Sentinel, como dados de alteração do Active Directory e eventos de regras de notificação. O aplicativo DSP Splunk Enterprise fornece dados detalhados de segurança do AD no painel do Splunk para fornecer contexto e visibilidade adicionais sobre vulnerabilidades em todo o ambiente.

DSP fornece uma avaliação contínua das vulnerabilidades de segurança em todo o seu ambiente AD local e híbrido, procurando centenas de Indicators of Exposure (IOEs) e comprometimento (IOCs) em várias categorias de segurança do AD, incluindo segurança de conta, Política de Grupo, Kerberos, delegação do AD, infraestrutura do AD e Entra ID. DSP fornece um painel de controlo da pontuação geral da postura de segurança, pontuações de categoria, indicadores de segurança agrupados por gravidade e orientação de correção prioritária de especialistas em segurança do AD.

Sim, o DSP oferece reversão de alterações maliciosas para o AD local e o Entra ID. O DSP fornece correção automatizada de alterações arriscadas no AD local e no Entra ID para evitar ataques que se movem muito rápido para intervenção humana. O DSP também suporta reversão granular, permitindo reverter alterações em atributos individuais, membros de grupos, objetos e contêineres - e em qualquer ponto no tempo, não apenas em um backup anterior. 

DSP é não é intrusivo e foi criado para ser compatível com o AD. Esta abordagem única capta as alterações sem comprometer a estabilidade do AD.

DSP foi criado especificamente para o AD e pode suportar até mesmo os ambientes AD mais complexos, incluindo implantações de várias organizações e várias florestas. Grandes e pequenas organizações confiam na Semperis para ajudá-las a detetar vulnerabilidades de diretório, intercetar ataques cibernéticos em andamento e se recuperar rapidamente de ransomware e outras emergências de integridade de dados. Com processamento optimizado para algumas das maiores organizações do mundo, o DSP consegue lidar com o grande volume de alterações diárias e de hora a hora que são comuns em ambientes AD massivos. 

Tanto o Microsoft Defender for Identity (MDI) como as soluções da Semperis têm funções críticas na protecção dos sistemas de identidade contra ataques:

• A MDI utiliza a análise baseada no utilizador (UBA) para monitorizar e alertar para comportamentos do utilizador que se enquadram em modelos conhecidos de ataque à identidade do utilizador.
• A Semperis protege todo o serviço de AD híbrido - o vector de ataque comum em 90% dos incidentes - com tecnologia patenteada criada especificamente para prevenir, mitigar e recuperar de ataques baseados na identidade.

A combinação das soluções Semperis com o Microsoft Defender for Identity (MDI) proporciona uma defesa em camadas contra ataques que exploram as identidades dos utilizadores e o serviço de identidade AD.

Directory Services Protector inclui modelos de relatórios de conformidade que se alinham com as normas de conformidade comuns, incluindo GDPR, HIPAA, PCI e SOX. Pode importar pacotes de conformidade individuais para DSP para apoiar as necessidades da sua organização. Também pode agendar qualquer relatório DSP , incluindo relatórios de conformidade, para geração e distribuição recorrentes.

O método de pontuação Directory Services Protector inclui vários factores, incluindo as potenciais consequências de uma vulnerabilidade explorada, a facilidade de exploração e a prevalência geral. Com base nestes factores, é atribuída a cada indicador uma classificação de gravidade (nível e número) que reflecte o potencial impacto na postura de segurança, disponibilidade e desempenho. A classificação de gravidade é então utilizada na fórmula de pontuação para calcular o risco global representado pela vulnerabilidade.

"O DSP permite-lhe adicionar objetos ou condições individuais que constituem um risco conhecido a uma lista de itens ignorados, para que deixem de acionar um alerta em DSP ou afetem a pontuação global da postura de segurança. Esta abordagem ajuda-o a avaliar com precisão o risco e a acelerar a correção."