- Reversão de alterações maliciosas no Azure AD
- Alertas nos IOCs para deteção avançada de ameaças ao AD
- Relatórios fáceis de entender sobre a postura geral de segurança
- Relatórios de conformidade regulamentar para GDPR, HIPAA, PCI e SOX
- Integração com o Splunk e o Microsoft Sentinel para fornecer um contexto significativo aos dados de segurança do AD
- Reforçar a segurança do AD e do Azure AD com deteção abrangente de ameaças
Proteger o Active Directory (AD) - o alvo comum em 9 de cada 10 ciberataques - édifícil. Muitas organizações têm ambientes AD antigos com configurações incorrectas acumuladas que os atacantes adoram explorar. E embora 90% das organizações em todo o mundo utilizem o AD como o seu principal armazenamento de identidade, a investigação da Gartner mostra que apenas 33% têm qualquer tipo de sistema de segurança do AD implementado. Adicione o Azure Active Directory (Azure AD) - agora chamado Entra ID - à mistura, e os desafios aumentam.
Leitura relacionada
O rastreio de actividade maliciosa no Azure AD e no AD no local é notoriamente difícil. As equipas no local e na nuvem estão frequentemente isoladas, o que complica a detecção de alterações em todo o ambiente.
O Semperis Directory Services Protector (DSP) facilita a protecção do seu ambiente AD híbrido. Além disso, acabámos de lançar novas melhorias que ajudam as equipas de TI e de segurança a colocar o AD e o Azure AD em piloto automático, poupando recursos preciosos e melhorando a segurança geral do AD.
Vamos mergulhar nas novas capacidades do DSP que ajudam as organizações a proteger o AD e o Azure AD contra ciberataques.
1. Reversão de alterações maliciosas no Azure AD
Para mitigar um ataque ao seu ambiente AD híbrido, é necessária uma forma eficaz de anular alterações maliciosas no Azure AD. O Semperis DSP oferece reversão de alterações indesejadas ou maliciosas em usuários, grupos ou funções no Azure AD. Também é possível restaurar objectos do Azure AD que tenham sido eliminados de forma suave (ou seja, eliminados mas ainda na reciclagem do Azure AD), dando-lhe a capacidade de recuperar dados perdidos ou eliminados.
2. Alertas nos IOCs para detecção avançada de ameaças AD
"Os indicadores de compromisso (IOC) no DSP permitem-lhe saber quando ocorreu a violação, para que possa detetar ameaças atempadamente e agir rapidamente para travar os atacantes na sua trajetória. Os IOC também fornecem dados cruciais para localizar com precisão a área afetada e reduzir o tempo de inatividade."
3. Relatórios fáceis de entender sobre a postura geral de segurança
DSP tem um fluxo simplificado para a criação de relatórios. Um relatório geral de postura de segurança fornece um instantâneo visual dos principais indicadores de segurança para partilhar com os líderes empresariais. Este relatório inclui:
- Uma pontuação de postura de segurança até 100%
- Um resumo do estado do indicador de exposição (IOE) (detectado, não avaliado ou aprovado)
- Pontuações de categorias individuais para categorias do Azure AD e do AD local, incluindo segurança de conta, segurança Kerberos, Política de Grupo e muito mais
DSPO método de pontuação da postura de segurança da empresa baseia-se numa variedade de factores, incluindo:
- Potenciais consequências se um atacante explorar a vulnerabilidade
- A facilidade com que a vulnerabilidade pode ser explorada
- A prevalência global da vulnerabilidade no ambiente
Cada indicador inclui uma classificação de gravidade (nível e número) que reflecte o potencial impacto da vulnerabilidade na sua postura de segurança, disponibilidade e desempenho. Esta classificação de gravidade é depois utilizada na fórmula de pontuação para calcular o risco global representado pela vulnerabilidade.
4. Relatórios de conformidade regulamentar para GDPR, HIPAA, PCI e SOX
DSP inclui modelos para dezenas de relatórios de conformidade comuns, que pode carregar a partir do serviço Web da Semperis ou importar através do módulo DSP PowerShell. Estes relatórios, adaptados aos requisitos do GDPR, HIPAA, PCI e SOX, fornecem informações sobre a configuração e segurança do AD que são relevantes para garantir a conformidade regulamentar. Por exemplo, os modelos de relatório para o GDPR incluem listas de todas as contas de computador excluídas no AD e listas de alterações de status de grupo nos últimos 30 dias.
5. Integração com o Splunk e o Microsoft Sentinel para fornecer um contexto significativo aos dados de segurança do AD
DSP sempre detectou IOCs que ultrapassam as soluções tradicionais baseadas em registos ou eventos. Para tal, DSP utiliza várias fontes de dados, incluindo o fluxo de replicação do AD. DSP encaminha depois as alterações suspeitas, juntamente com um contexto significativo, para o seu sistema de gestão de eventos e informações de segurança (SIEM). Com base nesse recurso, o DSP agora traz os dados de segurança do AD para exibições familiares do Splunk. O DSP fornece painéis predefinidos que exibem dados de alteração do AD, dados de indicadores de segurança do DSP e eventos de regras de notificação do DSP . Também pode utilizar os alertas predefinidos do DSPcomo modelos para criar alertas personalizados para orquestração, automatização e resposta de segurança (SOAR) e sistemas de bilhética.
Também expandimos a integração de DSPcom o Microsoft Sentinel, fornecendo novas pastas de trabalho que permitem visualizar informações de DSP , tais como dados de alteração do AD e eventos de regras de notificação de DSP , na interface do Microsoft Sentinel.
Reforçar a segurança do AD e do Azure AD com detecção abrangente de ameaças
Os ataques contra o AD e o Azure AD não vão acabar tão cedo. Grupos de ransomware como serviço (RaaS), como o LockBit e o Vice Society, estão a visar implacavelmente os sistemas AD híbridos. É difícil para as equipas de TI e de segurança manterem-se à frente das ameaças emergentes. Mas com as novas capacidades que estamos a introduzir em DSP- criadas por uma equipa de especialistas em segurança do AD - esperamos tornar a defesa do seu sistema AD híbrido contra estes ataques um pouco mais fácil.