站得住脚的身份曝光
安全的Active Directory和消除攻击路径
控制你的Active Directory(广告)和Azure广告安全成为business-impacting之前找到并修复缺陷问题。
站得住脚的身份曝光(原Tenable.ad)是一种快速、无代理活动目录的安全解决方案,可以让你看到所有在你复杂的活动目录环境,预测重要的减少风险和消除攻击路径之前攻击者利用。
请求一个演示
没有
特权升级
横向运动
下一步的攻击者
袭击发生之前找到并修复Active Directory的弱点
发现和优先使用站得住脚的身份暴露在Active Directory风险评分。降低你的身份与风险逐步修复指导。
检测和实时响应Active Directory的攻击
检测活动目录攻击像DCShadow,蛮力,密码喷洒,DCSync等等。站得住脚的身份曝光丰富你的SIEM, SOC或飙升攻击的见解,这样你可以很快地回应,停止攻击。
可以通过成立一个风险管理平台
开云app安装不了怎么办 是一个风险管理平台,旨在帮助你组织获得可见性在你的现代攻击表面,专注努力防止可能的袭击,并准确地交流网络风险支持最佳的业务性能。成立一个平台提供了广泛的漏洞覆盖跨越IT资产,云资源、容器、web应用程序和身份系统。
开云app安装不了怎么办安全活动目录
- 发现潜在的问题威胁你的Active Directory安全
- 识别危险的信任关系
- 分数曝光和优先处理单位风险评分
- 抓住每一个改变你的Active Directory和Azure广告
- 活动目录的变化之间的联系和恶意行为
- 统一身份在Active Directory和Azure广告
- 可视化深入攻击细节
- 探讨横切ATT&CK直接从事件的细节描述
连续检测和防止Active Directory的攻击
没有代理。没有特权。没有延迟。
预防和检测复杂的Active Directory攻击没有代理和特权。
部署在任何地方
站得住脚的身份暴露提供了灵活的建筑设计:on-prem保留数据的现场和在你的控制和SaaS利用云。支持活动目录(Active Directory)和Azure。
常见问题
- 发现任何隐藏的弱点在您的活动目录配置
- 发现潜在的问题威胁你的Active Directory安全
- 解剖每个错误配置——简而言之
- 新的资产风险得分能力量化资产风险通过结合脆弱性,暴露和身份权利(由站得住脚的人工智能和数据科学的引擎
- 为每个问题得到建议修复
- 创建自定义仪表板管理活动目录安全风险降低
- 发现危险的信任关系
- 新观点统一身份从Active Directory和Azure广告
- 抓住每一个改变你的广告
- 发现每个域主要攻击事件在你的活动目录
- 想象每一个精确攻击的威胁时间表
- 巩固攻击分布在一个视图中
- 活动目录的变化之间的联系和恶意行为
- 深入分析一个Active Directory袭击的细节
- 探讨横切ATT&CK®直接从检测到的事件的描述
攻击向量 |
描述 |
已知的攻击工具 |
主教法冠攻击矩阵 |
特权帐户运行Kerberos服务 |
高度特权帐户使用brute-forceable Kerberos服务主体名称 |
Kerberom |
特权升级、横向运动、持久性 |
危险的Kerberos代表团 |
检查,没有危险的代表团(无约束、协议转换等)授权 |
Nishang |
特权升级、横向运动、持久性 |
使用弱密码算法在Active Directory PKI |
根证书公钥基础设施部署在内部活动目录不能使用弱密码算法 |
ANSSI-ADCP |
持久性、特权升级,横向运动 |
危险的关键对象上的代表团访问权限 |
一些访问权限允许非法用户控制关键对象被发现 |
侦探犬 |
漏出,横向运动,指挥和控制,凭据访问特权升级 |
密码策略中的多个问题 |
在一些特定的帐户,当前密码保护政策不足以确保强劲的凭证 |
Patator |
国防逃税,横向运动、凭证访问特权升级 |
危险RODC管理账户 |
行政组负责只读域控制器包含异常账户 |
Impacket |
凭据访问、国防逃税、特权升级 |
敏感的GPO链接的关键对象 |
一些GPO由非管理员账户管理与敏感活动目录对象(例如KDC账户、域控制器、行政组,等等)。 |
ANSSI-ADCP |
指挥和控制、凭证访问持久性、特权升级 |
管理账户允许域控制器连接到其他系统 |
安全策略部署在监控基础设施并不妨碍行政账户连接到资源以外,导致接触敏感的凭证 |
CrackMapExec |
国防逃税,凭据访问 |
危险的信任关系 |
配置错误的信任关系属性减少一个目录的安全基础设施 |
Kekeo |
横向运动、凭证访问特权升级,防御逃税 |
可逆的GPO的密码 |
确认没有GPO包含密码存储在一个可逆的格式 |
SMB密码履带 |
凭据访问特权升级 |
运行一个过时的电脑操作系统 |
过时的系统不支持编辑器了,大大增加基础设施脆弱性 |
Metasploit |
横向运动,指挥和控制 |
账户使用pre-Windows 2000兼容的访问控制 |
账户pre-Windows 2000兼容的访问组的成员,可以绕过具体的安全措施 |
Impacket |
横向运动,防御逃税 |
地方行政账户管理 |
确保当地行政账户集中管理和安全使用圈 |
CrackMapExec |
国防逃税,凭据访问横向运动 |
危险的匿名用户配置 |
匿名访问被激活的监控活动目录基础设施导致敏感信息泄漏 |
Impacket |
漏出 |
异常RODC过滤属性 |
过滤策略应用于一些只读域控制器会导致敏感信息缓存,允许特权升级 |
Mimikatz (DCShadow) |
特权升级,防御逃税 |
缺乏限制侧向运动的攻击场景 |
横向运动限制没有被激活的监控活动目录的基础设施,允许攻击者反弹从机器到机器的相同级别的特权 |
CrackMapExec |
横向运动 |
明文密码存储在直流股票 |
一些文件在直流股份,以任何身份验证的用户访问,可能包含明文密码,允许特权升级 |
SMBSpider |
凭据访问特权升级、持久性 |
危险的访问控制权限登录脚本 |
一些脚本,运行在一台计算机或一个用户登录,有危险的访问权限,导致特权升级 |
Metasploit |
横向运动、特权升级、持久性 |
危险的GPO中使用的参数 |
一些危险的参数(如限制组,LM哈希计算,NTLM认证水平,敏感的参数,等等)由GPO设定,创造安全漏洞 |
应答器 |
发现、凭证访问执行、持久性、特权升级,防御逃税 |
危险的用户帐户控制配置中定义的参数 |
一些用户帐户的用户帐户控制属性定义危险参数(例如PASSWD_NOTREQD或PARTIAL_SECRETS_ACCOUNT),危及安全的说账户 |
Mimikatz (LSADump) |
持久性、特权升级防御逃税 |
缺乏应用安全补丁 |
一些在Active Directory服务器注册没有最近应用安全更新 |
Metasploit |
指挥和控制特权升级,防御逃税 |
蛮力尝试用户帐户 |
一些用户帐户已经蛮力的目标 |
Patator |
凭据访问 |
Kerberos配置用户帐户 |
一些帐户使用弱的Kerberos配置 |
Mimikatz(银票) |
凭据访问特权升级 |
异常或文件存储在直流分享 |
一些域控制器用于主机non-necessary文件或网络共享 |
SMBSpider |
发现,漏出 |
后门技术 |
描述 |
已知的攻击工具 |
斜方攻击矩阵 |
确保SDProp一致性 |
控制adminSDHolder对象处于一个干净的状态 |
Mimikatz(金票) |
特权升级、持久性 |
确保SDProp一致性 |
验证用户的主组并没有改变 |
侦探犬 |
特权升级、持久性 |
验证根域对象权限 |
确保在根域对象上设置的权限是理智的 |
侦探犬 |
特权升级、持久性 |
验证敏感GPO对象和文件权限 |
确保GPO对象上设置的权限和文件与敏感的容器(如欧域控制器)是理智的 |
侦探犬 |
执行特权升级,持久性 |
危险的RODC KDC帐户访问权限 |
KDC帐户上使用一些只读域控制器可以通过非法的用户帐户控制,导致凭据泄漏 |
Mimikatz (DCSync) |
特权升级、持久性 |
敏感的证书映射到用户帐户 |
一些altSecurityIdentities X509证书存储在用户账户属性,允许证书的私钥的所有者作为该用户进行身份验证 |
指挥和控制、凭证访问特权升级,持久性 |
|
流氓Krbtgt SPN定期账户 |
KDC的服务主体名称出现在一些普通用户账户,导致Kerberos票据伪造的 |
Mimikatz(金票) |
特权升级、持久性 |
KDC去年改变密码 |
KDC帐户密码必须定期改变 |
Mimikatz(金票) |
凭据访问特权升级、持久性 |
账户有一个危险的SID历史属性 |
检查用户或计算机帐户使用特权SID SID历史上的属性 |
DeathStar |
特权升级、持久性 |
流氓域控制器 |
确保只有合法的域控制器服务器注册到活动目录的基础设施 |
Mimikatz (DCShadow) |
执行、国防逃税、特权升级,持久性 |
非法的驱动器加密密钥的访问控制 |
一些复苏驱动器加密密钥存储在活动目录可以被别人比访问管理员和电脑有关 |
ANSSI-ADCP |
凭据访问特权升级、持久性 |
异常条目模式安全描述符 |
活动目录架构已被修改导致新标准访问权限或对象可以危及监控基础设施 |
侦探犬 |
特权升级、持久性 |
DSRM账户激活 |
活动目录恢复账户已激活,暴露在凭证盗窃 |
Mimikatz (LSADump) |
凭据访问、执行、国防逃税、特权升级,持久性 |
身份验证哈希不重新当使用智能卡 |
一些用户帐户使用智能卡身份验证不散列足够频繁更新凭证 |
Mimikatz (LSADump) |
持久性 |
可逆的用户帐户的密码 |
验证没有参数密码存储在一个可逆的格式 |
Mimikatz(直流同步) |
凭据访问 |
使用显式拒绝访问容器 |
Active Directory容器或诸多定义明确的拒绝,导致潜在的后门隐藏 |
侦探犬 |
国防逃税、持久性 |
广告配置错误经常发生,所以,时间点审计成为弃用几分钟后他们开始和关注配置错误,而不是包括指标的妥协。
另一方面,站得住脚的身份曝光是一个安全的平台,不断为新的弱点扫描你的广告和攻击,实时提醒用户的问题。
广告的安全是一个重要的难题,和站得住脚的身份暴露安全生态系统无缝地融合在一起。
我们的Syslog集成确保所有SIEM和大部分票务系统可以集成站得住脚的身份暴露出来。我们也有可供QRadar本地应用,Splunk和幽灵。
