Purple Knight Questions fréquemment posées

  • Qu'est-ce que Purple Knight?

    Purple Knight est un outil d'évaluation de la sécurité d'Active Directory et d'Azure AD utilisé par des milliers d'organisations pour identifier rapidement les vulnérabilités des environnements AD hybrides et recevoir des conseils d'experts pour y remédier par ordre de priorité.

  • Combien coûte le site Purple Knight ?

    Purple Knight est gratuit.

  • Pourquoi devrions-nous utiliser Purple Knight?

    Pour verrouiller votre environnement hybride Active Directory, vous devez penser comme un attaquant. Purple Knight associe des indicateurs de sécurité avant et après attaque aux cadres MITRE ATT&CK et ANSSI, offrant un score de risque global, la probabilité de compromission ainsi que des étapes de remédiation spécifiques. Purple Knight fournit également de nouvelles balises lié au cadre de sécurité MITRE D3FEND , un cadre bêta pour la défense du réseau. Vous pouvez utiliser Purple Knight pour renforcer de manière proactive AD et Azure AD contre les nouvelles tactiques et techniques des adversaires grâce à une modélisation intégrée des menaces, constamment mise à jour par une équipe d'experts en sécurité.

  • L'exécution de Purple Knight apporte-t-elle des modifications à l'Active Directory sur site ?

    Non, Purple Knight n'apporte pas de modifications à Active Directory. L'outil nécessite la possibilité d'exécuter des scripts PowerShell et utilise des requêtes LDAP via RPC pour des analyses de vulnérabilité spécifiques.

  • Comment puis-je utiliser Purple Knight pour évaluer mon environnement Azure Active Directory ?

    Pour exécuter Purple Knight dans votre environnement Azure AD, vous devez créer et mettre à jour l'enregistrement de l'application dans Azure AD avec un ensemble défini et consenti de permissions d'application pour le Microsoft Graph. Jorge de Almeida Pinto, architecte principal de solutions et chef de produit chez Semperis, a créé un script PowerShell qui automatise cette étape.

    Pour utiliser le script, vous aurez besoin de deux modules PowerShell - AzureAD et Az.Accounts - etle compte qui crée l'enregistrement de l'application doit être un administrateur global. Le script prend en charge les tâches suivantes :

    • Crée et met à jour l'enregistrement des applications dans Azure AD pour Purple Knight 1.5 afin de pouvoir analyser les vulnérabilités dans Azure AD.
    • Supprime l'enregistrement de l'application dans Azure AD
    • Attribue les autorisations requises pour l'application Microsoft Graph et donne son consentement lors de la création ou de la mise à jour de l'application.
    • Crée un secret client qui, par défaut, est valable pendant une heure lors de la création ou de la mise à jour de l'application (si nécessaire, vous pouvez fournir une durée de vie en jours pour le secret client).
    • Supprime tous les secrets du client de l'enregistrement de l'application dans Azure AD.
    • Affiche l'ID du locataire, l'ID de l'application, les autorisations attribuées et consenties, et le secret du client à utiliser dans le fichier exécutable Purple Knight .

    Consultez la liste complète des fonctions et des exemples et téléchargez le script PowerShell Purple Knight 1.5 sur le compte GitHub de Semperis.

  • Le site Purple Knight est-il une solution SaaS ?

    Purple Knight est un logiciel installé.

  • Quelles autorisations Active Directory sont nécessaires pour exécuter Purple Knight?

    Purple Knight est conçu pour donner un aperçu rapide de votre environnement AD et Azure AD tel qu'un attaquant pourrait le voir. Par conséquent, Purple Knight ne nécessite pas de droits élevés ou d'autorisations d'administrateur.

  • Que fait Semperis avec les informations que Purple Knight génère sur notre environnement ?

    Rien ! Purple Knight ne remonte aucune information. Les données et les informations que l'outil génère sont exclusivement à la disposition de l'organisation qui l'utilise et ne sont jamais accessibles à Semperis.

  • Le site Purple Knight peut-il alimenter en informations des solutions de sécurité telles que notre SIEM ?

    Non, Purple Knight fournit un tableau de bord ponctuel des vulnérabilités d'Active Directory et de l'état général de la sécurité. Cependant, Semperis Directory Services Protector (DSP) peut facilement s'intégrer à un SIEM pour fournir une vue unique des données de sécurité d'Active Directory (y compris les indicateurs suivis par Purple Knight).

  • Quelle est la différence entre Purple Knight et Semperis DSP ?

    Purple Knight fournit une vue ponctuelle et une évaluation des risques liés à Active Directory et Azure AD. DSP fournit une vue continue d'AD et d'Azure AD, y compris alerting, change tracking, automatic remediationet la prise en charge des environnements AD hybrides.

  • Combien d'indicateurs de sécurité sont suivis par Purple Knight ?

    L'équipe de recherche de Semperis étudie en permanence les moyens par lesquels les cybercriminels complotent pour compromettre les systèmes d'information des organisations, notamment en exploitant les vulnérabilités d'AD et d'Azure AD. Semperis utilise ces renseignements sur les menaces pour mettre constamment à jour la liste des indicateurs de sécurité que Purple Knight suit.

    Pour une liste complète des indicateurs, consultez le site Purple Knight Indicateurs de sécurité.

  • Est-ce que Purple Knight s'intéresse à autre chose qu'à AD ?

    Purple Knight est spécialement conçu pour les environnements AD hybrides : Il couvre à la fois les environnements AD sur site et Azure AD.

  • Quelles sont les déficiences les plus courantes que l'on trouve sur le site Purple Knight ?

    Le score global moyen de Purple Knight est de 61 %, la sécurité de Kerberos étant en moyenne de 43 % et celle de la stratégie de groupe de 58 %. Consultez le document sur les indicateurs de sécurité de Purple Knight pour obtenir une vue complète des indicateurs associés à chaque catégorie.

  • Combien de temps dure un scanner Purple Knight ?

    Le temps nécessaire à l'exécution d'un scan Purple Knight varie en fonction de la taille et de la complexité de votre environnement Active Directory et des scans exécutés. En général, l'analyse d'une forêt prend quelques minutes, et un temps supplémentaire est nécessaire pour une analyse Zerologon, qui exécute un RPC pour analyser tous les contrôleurs de domaine.

  • Quel est l'impact des performances de Purple Knight sur notre environnement ?

    Purple Knight n'a aucun impact sur les performances de l'environnement. Cependant, pour les grands domaines (plus de 100 000 objets, plus de 10 contrôleurs de domaine), les utilisateurs peuvent constater des temps d'exécution longs et une utilisation élevée de la mémoire sur la machine locale qui exécute Purple Knight.

  • Comment Purple Knight s'adapte-t-il aux nouvelles menaces, aux nouvelles faiblesses et aux nouvelles tactiques d'attaque ?

    L'équipe de recherche de Semperis étudie en permanence les moyens par lesquels les cybercriminels complotent pour compromettre les systèmes d'information des organisations, notamment en exploitant les vulnérabilités d'Active Directory. Semperis utilise ces renseignements sur les menaces pour mettre constamment à jour la liste des indicateurs de sécurité que Purple Knight suit.

    Pour une liste complète des indicateurs, consultez le site Purple Knight Indicateurs de sécurité.

  • Comment le site Purple Knight se compare-t-il à un programme d'évaluation des risques de Microsoft ?

    Un programme d'évaluation des risques (RAP) de Microsoft est un engagement intense et à long terme, tandis que Purple Knight offre une valeur immédiate. Un programme d'évaluation des risques (RAP) comprend plusieurs outils, évaluations et implications personnelles et n'est disponible qu'avec la tarification Microsoft de premier ordre. Purple Knight est un outil gratuit qui fournit des instantanés rapides de l'état actuel de votre Active Directory, ainsi que des conseils de remédiation exploitables.

  • Comment Purple Knight se compare-t-il à d'autres outils, tels que BloodHound et PingCastle ?

    Purple Knight fournit des rapports plus conviviaux et exploitables et est plus facile à utiliser que PingCastle. BloodHound ne recherche pas les expositions comme le fait Purple Knight , mais cartographie plutôt les chemins d'attaque potentiels que les utilisateurs doivent explorer, hiérarchiser et traiter par eux-mêmes. Pour plus d'informations sur l'utilisation conjointe de ces outils, voir "BloodHound et Purple Knight: Better Together for Hardening Active Directory Security".

  • Quel est le score typique de l'évaluation Purple Knight ?

    Le score global initial moyen de Purple Knight est de 61 %, avec une moyenne de 43 % pour la sécurité de Kerberos et de 58 % pour la sécurité des stratégies de groupe. Consultez le document sur les indicateurs de sécurité de Purple Knight pour obtenir une vue complète des indicateurs associés à chaque catégorie.

  • À quelle fréquence puis-je effectuer une évaluation sur Purple Knight ?

    Vous pouvez exécuter Purple Knight aussi souvent que vous le souhaitez.

  • Comment puis-je utiliser les résultats de mon évaluation ?

    Purple Knight génère un rapport détaillé comprenant tous les indicateurs analysés, l'état de réussite/échec de chaque indicateur, sa correspondance avec le cadre ATT&CK de MITRE et les recommandations de remédiation. Vous pouvez utiliser ces informations précieuses pour mieux comprendre et prioriser les améliorations de sécurité.