Purple Knight Perguntas Mais Frequentes

  • O que é Purple Knight?

    O Purple Knight é uma ferramenta de avaliação de segurança Active Directory e Azure AD, utilizada por milhares de organizações para identificar rapidamente vulnerabilidades em ambientes AD híbridos e receber orientação prioritária e especializada de remediação.

  • Quanto custa o Purple Knight ?

    Purple Knight é grátis.

  • Porque devemos utilizar o Purple Knight?

    Para robustecer o seu ambiente híbrido Active Directory, deve pensar como um atacante. O Purple Knight mapeia os indicadores de segurança antes e depois do ataque ao guia normativo MITRE ATT&CK e ANSSI, oferecendo uma pontuação de risco global juntamente com a probabilidade de compromisso e passos específicos de remediação. O Purple Knight também fornece novas etiquetas segundo o modelo MITRE D3FEND, um guia normativo beta para a defesa da rede. Pode utilizar o Purple Knight para robustecer proactivamente AD e Azure AD contra novas tácticas e técnicas adversárias com modelos de ameaça incorporados que são constantemente actualizados por uma equipa de peritos em segurança.

  • A execução do Purple Knight faz alterações no Active Directory?

    Não, Purple Knight não faz alterações ao Active Directory. A ferramenta requer a capacidade de executar scripts PowerShell e utiliza consultas LDAP sobre RPC para análise de vulnerabilidades específicas.

  • Como posso utilizar o Purple Knight para avaliar o meu ambiente do Azure Active Directory?

    Para executar o Purple Knight no seu ambiente Azure AD, é necessário criar e actualizar o registo da aplicação no Azure AD com um conjunto definido e consentido de permissões de aplicação para o Gráfico Microsoft. Jorge de Almeida Pinto, Arquitecto e Gestor de Produto da Semperis Senior Solutions, criou um script PowerShell que automatiza este passo.

    Para utilizar o guião, necessitará de dois módulos PowerShell - AzureAD e Az.Accounts - ea conta que cria o registo da aplicação deve ser uma Administração Global. O guião suporta as seguintes tarefas:

    • Cria e actualiza o registo da aplicação no Azure AD para Purple Knight 1.5 para poder procurar vulnerabilidades no Azure AD
    • Elimina a App Registration do Azure AD
    • Atribui as permissões necessárias para a aplicação no Microsoft Graph e dá o seu consentimento ao criar ou actualizar a aplicação
    • Cria um segredo do cliente que por omissão é válido por uma hora quando se cria ou actualiza a aplicação (se necessário, pode fornecer uma vida útil em dias para o segredo do cliente)
    • Elimina todos os segredos dos clientes do registo da aplicação em Azure AD
    • Apresenta o ID do Tenant, o ID da aplicação, as permissões atribuídas e consentidas e o segredo do cliente a ser utilizado no ficheiro executável Purple Knight

    Ver a lista completa de funções e exemplos e baixar o script Purple Knight 1.5 PowerShell na conta do Semperis GitHub.

  • Purple Knight é uma solução SaaS?

    O Purple Knight é software instalável.

  • Que permissões no Active Directory são necessárias para executar o Purple Knight?

    O Purple Knight foi concebido para efectuar uma análise rápida do seu ambiente AD e Azure AD como um atacante o faria. Por conseguinte, Purple Knight não requer quaisquer permissões elevadas ou de administrador.

  • O que é que a Semperis faz com a informação que o Purple Knight gera sobre o nosso ambiente?

    Nada! O Purple Knight não tem a capacidade de comunicar qualquer informação à Semperis. Os dados e informações que a ferramenta gera estão exclusivamente à disposição da organização que a gere e nunca são disponibilizados à Semperis.

  • Pode o Purple Knight integrar a informação com soluções de segurança como o nosso SIEM?

    Não, o site Purple Knight fornece um scorecard pontual das vulnerabilidades do Active Directory e da saúde geral da segurança. No entanto, a Semperis Directory Services Protector (DSP) pode integrar-se facilmente com um SIEM para fornecer uma visão única dos dados de segurança do Active Directory (incluindo os indicadores monitorizados por Purple Knight).

  • Qual é a diferença entre Purple Knight e Semperis DSP?

    Purple Knight fornece uma visão pontual e uma avaliação dos riscos do Active Directory e do Azure AD. O DSP fornece uma visão contínua do AD e do Azure AD, incluindo alerting, change tracking, automatic remediatione suporte para ambientes AD híbridos.

  • Quantos indicadores de segurança são revistos pelo Purple Knight ?

    A Equipa de Investigação Semperis estuda continuamente as formas como os cibercriminosos estão a planear comprometer os sistemas de informação das organizações - especialmente explorando as vulnerabilidades no AD e no Azure AD. A Semperis utiliza esta inteligência de ameaças para actualizar constantemente a lista de indicadores de segurança que Purple Knight rastreia.

    Para uma lista completa de indicadores, reveja os Indicadores de SegurançaPurple Knight .

  • Será que o Purple Knight revolha para algo para além de AD?

    O Purple Knight é especialmente concebido para ambientes AD híbridos: cobre tanto ambientes AD on-premises, como ambientes Azure AD.

  • Quais são as deficiências mais comuns encontradas em Purple Knight ?

    A pontuação média global Purple Knight é de 61%, com a segurança de Kerberos a atingir uma média de 43% e a segurança da Política de Grupo a atingir uma média de 58%. Consulte o documento Purple Knight Indicadores de Segurança para uma visão completa dos indicadores associados a cada categoria.

  • Quanto tempo demora uma análise pelo Purple Knight ?

    O tempo necessário para executar uma análise com o Purple Knight vai variar consoante o tamanho e complexidade do seu Active Directory e dos testes que forem executados. Normalmente, uma análise de uma floresta demora minutos, com o tempo adicional necessário para uma análise do indicador Zerologon, que efectua chamadas RPC para analisar todos os controladores de domínio.

  • Qual o impacto do Purple Knight no desempenho do nosso ambiente?

    O Purple Knight não tem qualquer impacto no desempenho do AD. Contudo, para domínios maiores (100K+ objectos, 10+ controladores de domínio), os utilizadores poderão experimentar longos tempos de execução e elevada utilização de memória na máquina local a executar o Purple Knight.

  • Como é que o Purple Knight se adapta a ameaças emergentes, novas fraquezas e novas tácticas de ataque?

    A Equipa de Investigação Semperis estuda continuamente as formas como os cibercriminosos estão a conspirar para comprometer os sistemas de informação das organizações - especialmente explorando as vulnerabilidades no Active Directory. A Semperis utiliza esta inteligência de ameaças para actualizar constantemente a lista de indicadores de segurança que o Purple Knight analisa.

    Para uma lista completa de indicadores, reveja os Indicadores de SegurançaPurple Knight .

  • Como é que o Purple Knight se compara com o Programa de Avaliação de Riscos da Microsoft (RAP)?

    O Programa de Avaliação de Riscos da Microsoft (RAP) é um compromisso intenso e de longo prazo, enquanto que o Purple Knight proporciona valor imediato. Um RAP inclui múltiplas ferramentas, avaliações e diferentes recursos humanos especializados e está disponível apenas a clientes Microsoft Premier. O Purple Knight é uma ferramenta gratuita que fornece análises rápidas do estado actual do seu Active Directory, incluindo acções de remediação recomendadas.

  • Como se compara Purple Knight com outras ferramentas, tais como BloodHound e PingCastle?

    Purple Knight fornece relatórios mais fáceis de utilizar e accionáveis e é mais fácil de executar do que o PingCastle. BloodHound não procura exposições como faz Purple Knight , mas sim mapeia potenciais caminhos de ataque que os utilizadores precisam de explorar, priorizar, e abordar por si próprios. Para informações sobre a utilização conjunta destas ferramentas, consulte "BloodHound e Purple Knight: Better Together for Hardening Active Directory Security".

  • Qual é a pontuação de avaliação típica do Purple Knight ?

    A pontuação média inicial Purple Knight global é de 61%, com Kerberos Security a atingir uma média de 43% e Group Policy Security a atingir uma média de 58%. Consulte o documento Purple Knight Indicadores de Segurança para uma visão completa dos indicadores associados a cada categoria.

  • Com que frequência posso fazer uma avaliação com o Purple Knight ?

    Pode executar o Purple Knight com a frequência que entender.

  • Como é que utilizo os resultados da minha avaliação?

    O Purple Knight gera um relatório detalhado que inclui todos os indicadores analisados, o estado de aprovação/reprovação de cada indicador, o seu mapeamento para o MITRE ATT&CK Framework e recomendações de remediação. Pode utilizar esta valiosa informação para obter informações e dar prioridade a melhorias de segurança.