Preguntas frecuentes sobre Purple Knight

• ¿Qué es Purple Knight?

  Purple Knight es una herramienta de evaluación de la seguridad de Active Directory y Azure AD utilizada por miles de organizaciones para identificar rápidamente las vulnerabilidades en los entornos de AD híbridos y recibir asesoramiento prioritario y experto para remediarlas.

• ¿Cuánto cuesta Purple Knight ?

  Purple Knight es gratis.

• ¿Por qué debemos utilizar Purple Knight?

  Para blindar su entorno híbrido de Active Directory, debe pensar como un atacante. Purple Knight asigna indicadores de seguridad previos y posteriores a los ataques a los marcos MITRE ATT&CK y ANSSI, ofreciendo una puntuación de riesgo global junto con la probabilidad de que su sistema esté comprometido asi como los pasos específicos para remediarlo. Purple Knight también proporciona nuevas etiquetas de marco de seguridad para el modelo MITRE D3FEND, un marco beta para la defensa de la red. Puede utilizar Purple Knight para reforzar proactivamente AD y Azure AD contra las nuevas tácticas y técnicas de los adversarios con un modelo de amenazas integrado que se actualiza constantemente por parte de un equipo de expertos en seguridad.

• ¿Al ejecutar Purple Knight se producen cambios en el Directorio Activo local?

  No, Purple Knight no realiza cambios en Active Directory. La herramienta requiere la capacidad de ejecutar scripts de PowerShell y utiliza consultas LDAP sobre RPC para el escaneado específico de vulnerabilidades.

• ¿Cómo puedo utilizar Purple Knight para evaluar mi entorno de Azure Active Directory?

  Para ejecutar Purple Knight en su entorno de Azure AD, necesita crear y actualizar el registro de la aplicación en Azure AD con un conjunto de permisos de aplicación definidos y consentidos para Microsoft Graph. Jorge de Almeida Pinto, Arquitecto de Soluciones Senior y Gerente de Producto de Semperis, creó un script de PowerShell que automatiza este paso.

  Para utilizar el script, necesitará dos módulos de PowerShell -AzureAD y Az.Accounts- yla cuenta que crea el registro de la aplicación debe ser un administrador global. El script admite las siguientes tareas:

  • Crea y actualiza el registro de la aplicación en Azure AD para que Purple Knight 1.5 pueda analizar las vulnerabilidades en Azure AD
  • Elimina el registro de la aplicación en Azure AD
  • Asigna los permisos necesarios de la aplicación Microsoft Graph y da su consentimiento al crear o actualizar la aplicación
  • Crea un secreto de cliente que, por defecto, es válido durante una hora al crear o actualizar la aplicación (si es necesario, puede proporcionar un tiempo de vida de cliente en días para el secreto de cliente)
  • Elimina todos los secretos de cliente del registro de la aplicación en Azure AD
  • Muestra el ID de inquilino, el ID de la aplicación, los permisos asignados y consentidos, y el secreto de cliente que se utilizará en el archivo ejecutable Purple Knight

  Consulte la lista completa de funciones y ejemplos y descargue el script PowerShell de Purple Knight 1.5 en la cuenta GitHub de Semperis.

• ¿Es Purple Knight una solución SaaS?

  Purple Knight es un software instalado.

• ¿Qué permisos de Active Directory son necesarios para ejecutar Purple Knight?

  Purple Knight está diseñado para ofrecer una instantánea rápida de su entorno AD y Azure AD tal y como lo vería un atacante. Por lo tanto, Purple Knight no requiere ningún permiso elevado o de administrador.

• ¿Qué hace Semperis con la información que genera Purple Knight sobre nuestro entorno?

  Nada! Purple Knight no tiene capacidades 'home-phone'. Los datos y la información que genera la herramienta están exclusivamente a disposición de la organización que la ejecuta y nunca a disposición de Semperis.

• ¿Puede Purple Knight introducir información en soluciones de seguridad tales como nuestro SIEM?

  No, Purple Knight proporciona un cuadro de mando puntual de las vulnerabilidades de Active Directory y del estado general de la seguridad. Sin embargo, Semperis Directory Services Protector (DSP) puede integrarse fácilmente con un SIEM para proporcionar una vista única de los datos de seguridad de Active Directory (incluidos los indicadores rastreados por Purple Knight).

• ¿Cuál es la diferencia entre Purple Knight y Semperis DSP?

  Purple Knight proporciona una visión puntual y una evaluación de los riesgos de Active Directory y Azure AD. DSP proporciona una visión continua de AD y Azure AD, que incluye alerting, change tracking, automatic remediationy compatibilidad con entornos AD híbridos.

• ¿Cuántos indicadores de seguridad rastrea Purple Knight ?

  El equipo de investigación de Semperis estudia continuamente las formas en las que los ciberdelincuentes buscan comprometer los sistemas de información de las organizaciones, explotando especialmente  las vulnerabilidades de AD y Azure AD. Semperis utiliza esta inteligencia de amenazas para actualizar constantemente la lista de indicadores de seguridad que rastrea Purple Knight .

  Para obtener una lista completa de indicadores, consulte los Purple Knight Security Indicators.

• ¿Analiza Purple Knight algo más allá de AD?

  Purple Knight se ha creado especialmente para entornos AD híbridos: cubre tanto los entornos AD locales como Azure AD.

• ¿Cuáles son las deficiencias más comunes que encuentra Purple Knight ?

  La puntuación media global de Purple Knight es del 61%, con una puntuacion media para la seguridad de Kerberos del 43% y la de Políticas de Grupo del 58%. Consulte el documento Purple Knight Security Indicators para obtener una visión completa de los indicadores asociados a cada categoría.

• ¿Cuánto dura un rastreo en Purple Knight ?

  El tiempo necesario para ejecutar un análisis de Purple Knight varía en función del tamaño y la complejidad del entorno de Active Directory y de los análisis que se ejecuten. Normalmente, el análisis de un bosque tarda unos minutos, y se requiere tiempo adicional para un análisis de Zerologon, que ejecuta RPC para analizar todos los controladores de dominio.

• ¿Qué impacto en el rendimiento tiene Purple Knight en nuestro entorno?

  Purple Knight no tiene ningún impacto en el rendimiento del entorno. Sin embargo, en el caso de los dominios más grandes (más de 100.000 objetos, más de 10 controladores de dominio), los usuarios pueden experimentar tiempos de ejecución prolongados y un uso elevado de la memoria en la máquina local que ejecuta Purple Knight.

• ¿Cómo se ajusta Purple Knight a las amenazas emergentes, a las nuevas debilidades y a las nuevas tácticas de ataque?

  El equipo de investigación de Semperis estudia continuamente las formas en las que los ciberdelincuentes buscan comprometer los sistemas de información de las organizaciones, explotando especialmente  las vulnerabilidades de Active Directory. Semperis utiliza esta inteligencia de amenazas para actualizar constantemente la lista de indicadores de seguridad que rastrea Purple Knight .

  Para obtener una lista completa de indicadores, consulte los Purple Knight Security Indicators.

• ¿Cómo compara Purple Knight con un programa de evaluación de riesgos de Microsoft?

  Un programa de evaluación de riesgos de Microsoft (RAP) es una intervención intensa y a largo plazo, mientras que Purple Knight proporciona un valor inmediato. Un RAP incluye múltiples herramientas, evaluaciones y participación del personal, y solo está disponible con las tarifas premium de Microsoft. Purple Knight es una herramienta gratuita que proporciona instantáneas rápidas del estado actual de Active Directory, junto con una guía de corrección procesable.

• ¿Cómo compara Purple Knight con otras herramientas, como BloodHound y PingCastle?

  Purple Knight proporciona informes más fáciles de usar y procesables y es más fácil de ejecutar que PingCastle. BloodHound no busca exposiciones como lo hace Purple Knight , sino que mapea potenciales rutas de ataque que los usuarios deben explorar, priorizar y abordar por su cuenta. Para obtener información sobre el uso conjunto de estas herramientas, consulte "BloodHoundy Purple Knight: mejor juntos para reforzar la seguridad de Active Directory".

• ¿Cuál es la puntuación típica de una evaluación de Purple Knight ?

  La puntuación media global de Purple Knight es del 61%, la puntuacion media para la seguridad de Kerberos es del 43% y la de Políticas de Grupo del 58%. Consulte el documento Purple Knight Security Indicators para obtener una visión completa de los indicadores asociados a cada categoría.

• ¿Con qué frecuencia puedo realizar una evaluación en Purple Knight ?

  Puede consultar Purple Knight tantas veces como desee.

• ¿Cómo puedo utilizar los resultados de mi evaluación?

  Purple Knight genera un informe detallado que incluye todos los indicadores escaneados, el estado de aprobado/suspenso de cada indicador, su correspondencia con el Marco MITRE ATT&CK y las recomendaciones de reparación. Puede utilizar esta valiosa información para obtener información y priorizar las mejoras de seguridad.