Purple Knight FAQ
-
Warum sollten wir Purple Knight verwenden?Um Ihre hybride Active Directory-Umgebung abzusichern, müssen Sie wie ein Angreifer denken. Purple Knight ordnet Sicherheitsindikatoren vor und nach einem Angriff den MITRE ATT&CK- und ANSSI-Frameworks zu und bietet eine Gesamtrisikobewertung zusammen mit der Wahrscheinlichkeit einer Kompromittierung und spezifischen Abhilfemaßnahmen. Purple Knight bietet auch neue Sicherheits-Framework-Tags für das MITRE D3FEND-Modell, ein Beta-Framework für die Netzwerkabwehr. Sie können Purple Knight verwenden, um AD und Azure AD proaktiv gegen neue Taktiken und Techniken von Angreifern zu schützen, und zwar mit einer integrierten Bedrohungsmodellierung, die von einem Team von Sicherheitsexperten ständig aktualisiert wird.
-
Wie verwende ich Purple Knight , um meine Azure Active Directory-Umgebung zu bewerten?Um Purple Knight in Ihrer Azure AD-Umgebung auszuführen, müssen Sie die Anwendungsregistrierung in Azure AD mit einem definierten und genehmigten Satz von Anwendungsberechtigungen für den Microsoft Graph erstellen und aktualisieren. Jorge de Almeida Pinto, Semperis Senior Solutions Architect und Product Manager, hat ein PowerShell-Skript erstellt , das diesen Schritt automatisiert.
Um das Skript zu verwenden, benötigen Sie zwei PowerShell-Module - AzureAD und Az.Accounts - und das Konto, das die Anwendungsregistrierung erstellt, muss ein Global Admin sein. Das Skript unterstützt die folgenden Aufgaben:
- Erstellt und aktualisiert die App-Registrierung in Azure AD für Purple Knight 1.5, um nach Sicherheitslücken in Azure AD scannen zu können
- Löscht die Registrierung der Anwendung in Azure AD
- Zuweisung der erforderlichen Microsoft Graph-Anwendungsberechtigungen und Erteilung der Zustimmung beim Erstellen oder Aktualisieren der Anwendung
- Erstellt ein Client Secret, das standardmäßig eine Stunde lang gültig ist, wenn die App erstellt oder aktualisiert wird (bei Bedarf können Sie eine Lebensdauer in Tagen für das Client Secret angeben)
- Löscht alle Client-Secrets aus der App-Registrierung in Azure AD
- Zeigt die Mandanten-ID, die Anwendungs-ID, die zugewiesenen und genehmigten Berechtigungen und das Client Secret an, das in der ausführbaren Purple Knight Datei verwendet werden soll.
Die vollständige Liste der Funktionen und Beispiele sowie das PowerShell-Skript Purple Knight 1.5 finden Sie auf dem Semperis GitHub-Konto.
-
Was macht Semperis mit den Informationen, die Purple Knight über unsere Umgebung generiert?Nichts! Purple Knight hat keine Phone-Home-Funktionen. Die Daten und Informationen, die das Tool generiert, stehen ausschließlich der Organisation zur Verfügung, die das Tool einsetzt und sind niemals für Semperis verfügbar.
-
Kann Purple Knight Informationen in Sicherheitslösungen wie unser SIEM einspeisen?Nein, Purple Knight bietet eine Punkt-zu-Punkt-Analyse der Schwachstellen von Active Directory und des allgemeinen Sicherheitszustands. Allerdings hat Semperis Directory Services Protector (DSP) kann leicht in ein SIEM integriert werden, um eine einzige Ansicht der Active Directory-Sicherheitsdaten (einschließlich der Indikatoren, die von Purple Knight verfolgt werden) zu bieten.
-
Was ist der Unterschied zwischen Purple Knight und Semperis DSP?Purple Knight bietet eine punktgenaue Ansicht und Bewertung der Risiken von Active Directory und Azure AD. DSP bietet einen kontinuierlichen Überblick über AD und Azure AD, einschließlich alerting, change tracking, automatic remediationund Unterstützung für hybride AD-Umgebungen.
-
Wie viele Sicherheitsindikatoren werden von Purple Knight verfolgt?Das Semperis-Forschungsteam untersucht laufend, wie Cyberkriminelle die Informationssysteme von Unternehmen kompromittieren wollen - insbesondere durch Ausnutzung von Schwachstellen in AD und Azure AD. Semperis nutzt diese Bedrohungsdaten, um die Liste der Sicherheitsindikatoren, die Purple Knight verfolgt, ständig zu aktualisieren.
Eine vollständige Liste der Indikatoren finden Sie in den Purple Knight Sicherheitsindikatoren.
-
Was sind die häufigsten Mängel, die Purple Knight feststellt?Die durchschnittliche Gesamtbewertung von Purple Knight liegt bei 61 %, wobei die Kerberos-Sicherheit im Durchschnitt 43 % und die Gruppenrichtliniensicherheit im Durchschnitt 58 % beträgt. Im Dokument Purple Knight Sicherheitsindikatoren finden Sie eine vollständige Übersicht über die Indikatoren für die einzelnen Kategorien.
-
Wie lange dauert ein Purple Knight Scan?Die Zeit, die für einen Purple Knight -Scan benötigt wird, hängt von der Größe und Komplexität Ihrer Active Directory-Umgebung und den durchgeführten Scans ab. In der Regel dauert ein Scan einer Gesamtstruktur einige Minuten. Zusätzliche Zeit wird für einen Zerologon-Scan benötigt, bei dem RPC ausgeführt wird, um alle Domänencontroller zu überprüfen.
-
Welche Auswirkungen hat Purple Knight auf die Performance unseres Netzes?Purple Knight hat keine Auswirkungen auf die Leistung der Umgebung. Bei größeren Domänen (100K+ Objekte, 10+ Domänencontroller) kann es jedoch zu langen Laufzeiten und hohem Speicherverbrauch auf dem lokalen Rechner kommen, auf dem Purple Knight läuft.
-
Wie passt sich Purple Knight an neue Bedrohungen, neue Schwachstellen und neue Angriffstaktiken an?Das Semperis-Forschungsteam untersucht laufend, wie Cyberkriminelle die Informationssysteme von Unternehmen kompromittieren wollen - insbesondere durch Ausnutzung von Schwachstellen in Active Directory. Semperis nutzt diese Bedrohungsdaten, um die Liste der Sicherheitsindikatoren, die Purple Knight verfolgt, ständig zu aktualisieren.
Eine vollständige Liste der Indikatoren finden Sie in den Purple Knight Sicherheitsindikatoren.
-
Wie lässt sich Purple Knight mit einem Microsoft-Risikobewertungsprogramm vergleichen?Ein Microsoft Risk Assessment Program (RAP) ist ein intensives und langfristiges Projekt, wohingegen Purple Knight einen sofortigen Nutzen bietet. Ein RAP umfasst mehrere Tools, Bewertungen und die Einbindung von Mitarbeitern und ist nur im Rahmen des Microsoft-Premier Support erhältlich. Purple Knight ist ein kostenloses Tool, das einen schnellen Überblick über den aktuellen Zustand Ihres Active Directory sowie eine Anleitung zur Behebung von Problemen bietet.
-
Wie schneidet Purple Knight im Vergleich zu anderen Tools wie BloodHound und PingCastle ab?Purple Knight bietet benutzerfreundliche, umsetzbare Reports und ist einfacher zu handhaben als PingCastle. BloodHound sucht nicht wie Purple Knight nach Schwachstellen, sondern zeigt potenzielle Angriffspfade auf, die die Benutzer selbst untersuchen, priorisieren und beheben müssen. Informationen über den gemeinsamen Einsatz dieser Tools finden Sie unter "BloodHound und Purple Knight: Besseres Zusammenspiel bei der Absicherung von Active Directory".
-
Was ist ein typisches Purple Knight Bewertungsergebnis?Die durchschnittliche anfängliche Purple Knight Gesamtbewertung liegt bei 61 %, wobei die Kerberos-Sicherheit im Durchschnitt 43 % und die Gruppenrichtliniensicherheit im Durchschnitt 58 % beträgt. Im Dokument Purple Knight Sicherheitsindikatoren finden Sie eine vollständige Übersicht über die Indikatoren für die einzelnen Kategorien.
-
Wie nutze ich die Ergebnisse meiner Analyse?Purple Knight generiert einen detaillierten Bericht, der alle gescannten Indikatoren, den Pass/Fail-Status jedes Indikators, die Zuordnung zum MITRE ATT&CK Framework und Empfehlungen zur Abhilfe enthält. Sie können diese wertvollen Informationen nutzen, um Einblicke zu gewinnen und Prioritäten für Sicherheitsverbesserungen zu setzen.