Purple Knight Domande frequenti
-
Perché dovremmo usare Purple Knight?Per bloccare il vostro ambiente Active Directory ibrido, dovete pensare come un aggressore. Purple Knight mappa gli indicatori di sicurezza pre- e post-attacco ai framework MITRE ATT&CK e ANSSI, offrendo un punteggio di rischio complessivo insieme alla probabilità di compromissione e alle fasi di rimedio specifiche. Purple Knight fornisce anche nuovi tag di framework di sicurezza per il modello MITRE D3FEND, un framework beta per la difesa della rete. È possibile utilizzare Purple Knight per rafforzare in modo proattivo AD e Azure AD contro le nuove tattiche e tecniche degli avversari, grazie alla modellazione delle minacce integrata, costantemente aggiornata da un team di esperti di sicurezza.
-
Come si utilizza Purple Knight per valutare l'ambiente Azure Active Directory?Per eseguire Purple Knight nell'ambiente Azure AD, è necessario creare e aggiornare la registrazione dell'applicazione in Azure AD con una serie di autorizzazioni definite e consentite per il Microsoft Graph. Jorge de Almeida Pinto, Senior Solutions Architect e Product Manager di Semperis, ha creato uno script PowerShell che automatizza questo passaggio.
Per utilizzare lo script, sono necessari due moduli PowerShell - AzureAD e Az.Accounts - el'account che crea la registrazione dell'applicazione deve essere un Global Admin. Lo script supporta le seguenti attività:
- Crea e aggiorna la registrazione dell'app in Azure AD per Purple Knight 1.5 per poter eseguire la scansione delle vulnerabilità in Azure AD.
- Elimina la registrazione dell'applicazione in Azure AD
- Assegna le autorizzazioni necessarie per l'applicazione Microsoft Graph e fornisce il consenso quando crea o aggiorna l'applicazione.
- Crea un segreto del cliente che, per impostazione predefinita, è valido per un'ora quando si crea o si aggiorna l'applicazione (se necessario, è possibile fornire una durata di vita del cliente in giorni per il segreto del cliente).
- Elimina tutti i secrets del client dalla registrazione dell'applicazione in Azure AD.
- Visualizza l'ID del tenant, l'ID dell'applicazione, le autorizzazioni assegnate e consentite e il segreto del client da utilizzare nel file eseguibile Purple Knight .
L'elenco completo delle funzioni e degli esempi e il download dello script PowerShell Purple Knight 1.5 sono disponibili sull'account GitHub di Semperis.
-
Cosa fa Semperis con le informazioni generate da Purple Knight sul nostro ambiente?Nulla! Purple Knight non ha funzionalità di phone-home. I dati e le informazioni che lo strumento genera sono esclusivamente a disposizione dell'organizzazione che lo gestisce e non sono mai disponibili per Semperis.
-
Purple Knight può inviare informazioni a soluzioni di sicurezza come il nostro SIEM?No, Purple Knight fornisce una scheda di valutazione in tempo reale delle vulnerabilità di Active Directory e dello stato di sicurezza generale. Tuttavia, Semperis Directory Services Protector (DSP) può facilmente integrarsi con un SIEM per fornire un'unica visione dei dati di sicurezza di Active Directory (compresi gli indicatori monitorati da Purple Knight).
-
Qual è la differenza tra Purple Knight e Semperis DSP?Purple Knight fornisce una visione e una valutazione puntuale dei rischi di Active Directory e Azure AD. DSP fornisce una visione continua di AD e Azure AD, che comprende alerting, change tracking, automatic remediatione il supporto per gli ambienti AD ibridi.
-
Quanti indicatori di sicurezza vengono monitorati da Purple Knight ?Il team di ricerca di Semperis studia continuamente i modi in cui i criminali informatici stanno tramando per compromettere i sistemi informatici delle organizzazioni, in particolare sfruttando le vulnerabilità di AD e Azure AD. Semperis utilizza queste informazioni sulle minacce per aggiornare costantemente l'elenco degli indicatori di sicurezza che Purple Knight tiene sotto controllo.
Per un elenco completo degli indicatori, consultare gli Purple Knight Security Indicators.
-
Quali sono le carenze più comuni riscontrate da Purple Knight ?Il punteggio medio complessivo di Purple Knight è del 61%, con una media del 43% per la sicurezza Kerberos e del 58% per la sicurezza dei Criteri di gruppo. Per una visione completa degli indicatori associati a ciascuna categoria, consultare il documento Purple Knight Security Indicators.
-
Quanto dura una scansione di Purple Knight ?Il tempo necessario per eseguire una scansione Purple Knight varia a seconda delle dimensioni e della complessità dell'ambiente Active Directory e delle scansioni da eseguire. In genere, una scansione di una foresta richiede pochi minuti, mentre è necessario altro tempo per una scansione Zerologon, che esegue una scansione RPC su tutti i controller di dominio.
-
Qual è l'impatto delle prestazioni di Purple Knight sul nostro ambiente?Purple Knight non ha alcun impatto sulle prestazioni dell'ambiente. Tuttavia, per i domini più grandi (oltre 100K oggetti, 10+ controller di dominio), gli utenti potrebbero riscontrare tempi di esecuzione lunghi e un elevato utilizzo della memoria sulla macchina locale che esegue Purple Knight.
-
In che modo Purple Knight si adatta alle minacce emergenti, alle nuove debolezze e alle nuove tattiche di attacco?Il team di ricerca di Semperis studia continuamente i modi in cui i criminali informatici stanno tramando per compromettere i sistemi informatici delle organizzazioni, in particolare sfruttando le vulnerabilità di Active Directory. Semperis utilizza queste informazioni sulle minacce per aggiornare costantemente l'elenco degli indicatori di sicurezza che Purple Knight tiene sotto controllo.
Per un elenco completo degli indicatori, consultare gli Purple Knight Security Indicators.
-
Come si colloca Purple Knight rispetto al Microsoft Risk Assessment Program?Il Microsoft Risk Assessment Program (RAP) è un impegno intenso e a lungo termine, mentre Purple Knight offre un valore immediato. Un RAP comprende più strumenti, valutazioni e coinvolgimento del personale ed è disponibile solo con i prezzi premier di Microsoft. Purple Knight è uno strumento gratuito che fornisce rapide istantanee dello stato attuale di Active Directory, insieme a indicazioni per la correzione.
-
Come si colloca Purple Knight rispetto ad altri strumenti, come BloodHound e PingCastle?Purple Knight fornisce rapporti più facili da usare e da gestire rispetto a PingCastle. BloodHound non cerca le esposizioni come fa Purple Knight , ma piuttosto mappa i potenziali percorsi di attacco che gli utenti devono esplorare, classificare e affrontare da soli. Per informazioni sull'uso congiunto di questi strumenti, vedere "BloodHound e Purple Knight: meglio insieme per rafforzare la sicurezza di Active Directory".
-
Qual è il punteggio tipico della valutazione di Purple Knight ?Il punteggio complessivo medio iniziale di Purple Knight è del 61%, con una media del 43% per Kerberos Security e del 58% per Group Policy Security. Per una visione completa degli indicatori associati a ciascuna categoria, consultare il documento Purple Knight Security Indicators.
-
Come si utilizzano i risultati della valutazione?Purple Knight genera un rapporto dettagliato che include tutti gli indicatori scansionati, lo stato di superamento/errore di ciascun indicatore, la sua mappatura con il MITRE ATT&CK Framework e le raccomandazioni per la correzione. È possibile utilizzare queste preziose informazioni per ottenere informazioni e dare priorità ai miglioramenti della sicurezza.