Security Guardian

Security Guardian améliore CrowdStrike Falcon AD en offrant des fonctionnalités spécialisées supplémentaires pour votre environnement Active Directory. Il émet des alertes sur les outils, techniques et procédures (TTP) spécifiques des attaquants au sein d’Active Directory, assurant ainsi une détection complète des menaces. Security Guardian renforce l’adhésion aux politiques de gestion des comptes de privilèges en entravant les relations implicites, en particulier en ce qui concerne les objets de niveau zéro. Il catégorise automatiquement ces objets critiques et surveille toute dérive par rapport à leur état connu. En outre, Security Guardian identifie, alerte et protège proactivement contre les mauvaises configurations d’Active Directory, telles que les changements de paramètres des objets de stratégie de groupe (GPO) et les attaques de base de données (.DIT). Il conserve également les résultats et les données d’audit conformément aux exigences de conservation, garantissant ainsi une gestion de la sécurité complète et conforme.

Change Auditor et On Demand Audit fournissent des données d’événements enrichies à partir d’Active Directory et offrent des capacités de protection d’Active Directory et de Group Policy. Security Guardian améliore ces fonctionnalités en capturant l’état des objets Active Directory et les données de mauvaise configuration, en plus des données d’événements de Change Auditor. Il automatise les capacités de protection des objets de niveau zéro, garantissant ainsi une approche de sécurité plus complète. En outre, Security Guardian s’intègre parfaitement à Change Auditor et On Demand Audit. Il permet d’exécuter directement les modèles de protection de niveau zéro disponibles dans Change Auditor et garantit que les anomalies et les événements pertinents sont envoyés de On Demand Audit à Security Guardian, créant ainsi un cadre de sécurité robuste et intégré.

SpecterOps BloodHound Enterprise permet l’identification de l’Active Directory Tier Zero et la gestion des voies d’attaque. Security Guardian améliore ces capacités en mettant en évidence tout changement de l’état connu des objets de niveau zéro, ce qui permet l’application de stratégies de gouvernance immédiates pour certifier ou annuler les changements. Il renforce le respect des politiques de gestion des comptes de privilèges en empêchant les relations implicites sur les objets de niveau zéro. Security Guardian collecte également les configurations de la surface d’attaque sur les contrôleurs de domaine, comme le service d’impression désynchronisée, et peut immédiatement interrompre certaines voies d’attaque basées sur Active Directory, comme les changements de propriété des objets Tier Zero et les attaques .DIT. En outre, Security Guardian s’intègre parfaitement à SpecterOps BloodHound Enterprise en l’utilisant comme fournisseur de niveau zéro. Les valeurs d’impact de SpecterOps BloodHound Enterprise Tier Zero sont affichées directement sur l’interface de Security Guardian, créant ainsi une solution de sécurité puissante et cohérente.

Oui. Les solutions SIEM, telles que Sentinel et Splunk, rassemblent d’énormes quantités de signaux provenant de diverses sources afin d’assurer une surveillance complète de la sécurité. Security Guardian améliore ces solutions en étant spécifiquement conçu pour Active Directory. Il analyse et met en évidence les erreurs de configuration des identités et les risques liés à Active Directory et aux objets de niveau zéro. Security Guardian s’intègre de manière transparente aux outils SIEM grâce à la transmission directe des résultats via des API standard, garantissant que toutes les données pertinentes sont incluses dans votre SIEM pour appliquer une politique de sécurité plus robuste et plus ciblée.