Semperis lanza Ready1 para transformar la respuesta a las crisis cibernéticas
Seguimiento y corrección de cambios malintencionados en AD

Auditoría de cambios y reversión de Active Directory

Audite y corrija cambios maliciosos en Active Directory y Entra ID.

Solicitar una demostración

Detenga los ataques rápidos a Active Directory

Sofisticados grupos de ransomware-as-a-service (RaaS) tienen como objetivo Active Directory, el servicio de identidad central para el 90% de las organizaciones de todo el mundo, con ataques que se mueven por las redes a una velocidad asombrosa. Para detener los ataques, las organizaciones necesitan rastrear los cambios maliciosos en tiempo real y revertirlos rápidamente.

Informe Semperis:
73%
de las organizaciones NO confían en poder prevenir los ataques Entra ID
Pen testers logran comprometer AD en
82%
de sus intentos, según Enterprise Management Associates
Informe de Defensa Digital de Microsoft:
1 hora, 42 minutos
el tiempo medio para que un atacante comience a moverse lateralmente después de comprometer el dispositivo
7 minutos
El tiempo que tardó el ataque NotPetya de 2017 en paralizar la red de Maersk; recuperar Active Directory llevó 9 días

Defienda AD con auditoría y corrección de cambios avanzadas

La auditoría y corrección de cambios maliciosos en Active Directory requiere soluciones diseñadas específicamente para hacer frente a ataques sofisticados dirigidos tanto al AD local como al Entra ID. El primer paso es implementar herramientas de monitorización que puedan detectar cambios en el entorno híbrido de AD, incluyendo modificaciones en las cuentas de usuario, cambios en las directivas de grupo y cambios en los controladores de dominio (DC). Estas herramientas también pueden proporcionar visibilidad sobre quién realizó los cambios y cuándo se produjeron. Una vez detectados los cambios, hay que responder con rapidez y precisión. En muchos casos, los ataques se mueven a través de las redes demasiado rápido para la intervención humana, por lo que es fundamental contar con una solución automatizada.

icono del globo ocular
Monitor

Supervise continuamente AD y Entra ID en busca de cambios maliciosos.

Auditoría

Audite los cambios que se producen en la infraestructura de AD.

icono de lista de control
Remediar

Anule los cambios malintencionados en AD local y Entra ID.

Seguimiento de los cambios en AD y Entra ID

El paradigma de seguridad de Entra ID es diferente

Muchas organizaciones están adoptando entornos de identidad híbridos, implementando tanto Active Directory local como Entra ID. Aunque la flexibilidad de los entornos de identidad híbridos aporta enormes ventajas, este enfoque también conlleva un mayor riesgo. Al igual que con el AD local, Entra ID tiene sus debilidades, y la mezcla híbrida crea oportunidades adicionales para los atacantes. Como en el caso de las filtraciones de Kaseya y SolarWinds, los ciberdelincuentes explotan las debilidades de seguridad de los sistemas de identidad híbridos entrando en la nube y trasladándose al sistema local, o viceversa. Auditar y remediar los cambios maliciosos en Entra ID requiere un enfoque completamente diferente de la gestión de la seguridad de AD en las instalaciones.

  • El nuevo modelo de autenticación significa que conceptos familiares como bosques y Objetos de Política de Grupo ya no se aplican en el entorno Entra ID.
  • Decisiones como la de fusionar AD on-prem y Entra ID con Azure Connect pueden tener importantes consecuencias para la seguridad.
  • La noción de perímetro de red tradicional no existe en Entra ID, por lo que los equipos de TI y seguridad tienen que defenderse de una infinidad de posibles puntos de entrada.
  • El cambio a Entra ID conlleva cambios significativos en el modelo de permisos: En un entorno AD híbrido, las identidades se almacenan en la nube, potencialmente vulnerable a ataques similares a los de SolarWinds y Kaseya.
  • La falta de visibilidad de los cambios potencialmente maliciosos en el entorno híbrido de AD puede comprometer la seguridad.
Más información
Es difícil auditar Entra ID y los cambios de AD on-prem

La falta de visibilidad en el entorno de AD híbrido significa que los ataques podrían entrar a través de Entra ID y pasar a AD local, o viceversa. Las organizaciones necesitan soluciones que les ayuden a auditar y corregir los ataques, tanto si se originan en la nube como en el entorno de identidad local.

  • La visión única de los cambios en Entra ID y en AD on-prem puede arrojar luz sobre los ataques que se mueven a través del entorno.
  • La auditoría de cambios Entra ID en tiempo real puede ayudar a controlar los cambios malintencionados.
  • La capacidad de revertir cambios tanto en el AD local como en Entra ID ayuda a responder a los ataques rápidos en el entorno de AD híbrido.
Más información

Auditoría de los cambios de AD que eluden los SIEM

Los ataques avanzados pueden eludir el rastreo

Tener la capacidad de detectar a los atacantes que entran, se mueven o, peor aún, administran su sistema de identidad es clave para una respuesta rápida. Dado el prolongado tiempo de permanencia del malware, es evidente que a los ciberdelincuentes se les da muy bien trabajar en sigilo. Para detectar ataques avanzados que evaden los sistemas basados en registros o eventos, necesita una solución que utilice diferentes tácticas para rastrear las amenazas de seguridad de AD y Entra ID.

  • Utiliza múltiples fuentes de datos, incluido el flujo de replicación de AD, para auditar cambios tales como cambios en las directivas de grupo, cambios en la pertenencia a grupos de administradores de dominio y otros cambios que escapan a muchos sistemas de supervisión.
  • Utiliza un seguimiento a prueba de manipulaciones para capturar los cambios incluso si se desactiva el registro de seguridad, se eliminan los registros, los agentes se desactivan o dejan de funcionar, o los cambios se inyectan directamente en AD.
  • Ofrece análisis forenses para identificar cambios sospechosos, aislar cambios realizados por cuentas comprometidas y rastrear otras fuentes y detalles de incidentes.
  • Proporcione notificaciones en tiempo real cuando se produzcan cambios operativos y relacionados con la seguridad en AD.
Más información

Corrección de cambios malintencionados en AD y Entra ID

Detener los ataques de AD exige actuar con rapidez

Los ciberataques relacionados con AD pueden paralizar las operaciones empresariales en cuestión de minutos. Para detener los ataques, las organizaciones necesitan soluciones que ofrezcan una corrección automatizada de los cambios no deseados.

  • La reversión automática de los cambios maliciosos detiene los ataques que se propagan por las redes con demasiada rapidez para la intervención humana.
  • Las funciones de búsqueda instantánea de objetos y atributos de AD ayudan a las organizaciones a resolver los cambios no deseados en cuestión de minutos.
  • Las funciones de reversión granular ayudan a los equipos de TI y seguridad a deshacer cambios en atributos individuales, miembros de grupos, objetos y contenedores en cualquier momento.
Nuestra misión resuena entre los líderes del sector
Perspectivas de Gartner

Tenemos muchos cambios ocurriendo en nuestro entorno Active Directory, adición de servidores Linux, etc... [Directory Services Protector] nos ayuda a monitorizar y revertir cambios peligrosos con un solo clic.

Leer la reseña Miembro del equipo de TI, organización empresarial
El Al Israel Airlines

Semperis ofrece una tecnología superior, y su Directory Services Protector es un activo tremendo para cualquier empresa que utilice Active Directory.

Más información Chen Amran Director Adjunto de Infraestructura y Comunicación, El Al Airlines
Sanidad

Utilizamos Directory Services Protector para que nos avise de los cambios en las directivas de grupo. Nos ha permitido implantar procesos internos de control y mejora de los cambios más estrictos para evitar actividades informáticas deshonestas que podrían convenirnos pero no son seguras.

Director de Tecnología Práctica Médica de Especialidad Ortopédica
Perspectivas de Gartner

Directory Services Protector es excepcional con informes, supervisión y corrección en tiempo real, informes activos y notificaciones instantáneas cuando se modifican o cambian objetos.

Leer la reseña Administrador senior de sistemas Windows Organización empresarial

Preguntas frecuentes sobre auditoría de cambios y reversión de AD

¿Qué es la auditoría de Active Directory?

La auditoría de Active Directory es el proceso de supervisión de AD en busca de vulnerabilidades y errores comunes de configuración y gestión que pueden abrir la puerta a compromisos de seguridad. Muchas organizaciones tienen entornos AD heredados con docenas o cientos de errores de configuración que se han acumulado a lo largo del tiempo. Debido a los recursos limitados y a la falta de conocimientos sobre AD en el personal, a menudo se pasa por alto la auditoría continua de AD y Entra ID en busca de brechas de seguridad. Los ciberdelincuentes saben que muchas brechas de seguridad comunes de AD no se abordan, lo que convierte a AD en el objetivo número 1 de los ciberataques: Los investigadores de Mandiant informan de que 9 de cada 10 ataques afectan a AD de alguna manera. Para conocer las vulnerabilidades de seguridad de AD en su organización, descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que analiza el entorno de AD en busca de cientos de indicadores de exposición (IOE) y de compromiso (IOC), proporciona una puntuación de seguridad general y ofrece orientación prioritaria para la corrección por parte de expertos en seguridad de AD.

¿Cómo se auditan los cambios en las directivas de grupo?

La auditoría de los cambios en las directivas de grupo es una parte fundamental del refuerzo de la seguridad de Active Directory y supone un reto porque las soluciones tradicionales de supervisión basada en eventos no suelen incluir detalles sobre los cambios dentro de una directiva de grupo. Por ejemplo, si un atacante realiza un cambio malicioso con el ransomware Ryuk ransomware, la única señal será que una cuenta con acceso a la directiva de grupo ha realizado un cambio, lo que probablemente no activará una alerta. Para detectar cambios maliciosos en la directiva de grupo, necesita una solución que utilice varias fuentes de datos, incluido el flujo de replicación de AD, para obtener un contexto adicional que indique un posible ataque en curso. Para comprender las brechas de seguridad en su AD relacionadas con las desconfiguraciones de las directivas de grupo, descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que analiza el entorno AD en busca de cientos de indicadores de exposición (IOE) y compromiso (IOC). Purple Knight busca varios errores de configuración de las directivas de grupo, incluidos los cambios ejecutables de SYSVOL, la delegación de enlaces de GPO en el nivel de sitio de AD y las contraseñas reversibles encontradas en los GPO.

¿Cómo puedo realizar un seguimiento de los cambios en Active Directory?

Para realizar un seguimiento de los cambios en Active Directory, es necesario supervisar continuamente el entorno de AD en busca de indicadores de exposición (IOE) y de compromiso (IOC) relacionados con la seguridad de las cuentas de Active Directory, la delegación de AD, la directiva de grupo, Kerberos, la seguridad de Entra ID y la seguridad de la infraestructura de AD. Los grupos de ransomware están desarrollando constantemente nuevos métodos para comprometer AD, que es el principal almacén de identidades para el 90% de las organizaciones de todo el mundo. Con un acceso privilegiado a AD, los ciberdelincuentes pueden acceder a toda la red y paralizar las operaciones empresariales. Para una evaluación puntual de las brechas de seguridad de AD, descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que escanea el entorno de AD en busca de cientos de indicadores de exposición (IOE) y de compromiso (IOC), proporciona una puntuación de seguridad global y ofrece orientación prioritaria para la corrección por parte de expertos en seguridad de AD. Para realizar un seguimiento continuo de los cambios en AD y Entra ID, consulte Directory Services Protectoruna solución de detección y monitoreo de amenazas de AD que rastrea los cambios en AD y Entra ID y proporciona reversión automatizada de cambios maliciosos en AD.

¿Cómo puedo hacer un seguimiento de las vulnerabilidades de seguridad en Entra ID?

Puede utilizar la herramienta gratuita de evaluación de la seguridad de AD Purple Knight para escanear su entorno de Entra ID en busca de varios IOE e IOC, incluyendo cuentas de invitados inactivas, políticas de acceso condicional mal configuradas y usuarios privilegiados de Entra ID que también son usuarios privilegiados en AD on-prem, lo que puede resultar en que ambos entornos se vean comprometidos. Puede utilizar Directory Services Protector para rastrear los cambios de Entra ID en tiempo real; para obtener más información, consulte "Mejore la protección de AD y Entra ID contra amenazas cibernéticas".

¿Cómo puedo auditar cambios en Active Directory como DCShadow?

DCShadow es uno de los pocos tipos de ataques que no dejan pruebas de actividad maliciosa, por lo que son difíciles de detectar con los sistemas tradicionales basados en eventos o registros. Esta técnica de ataque elude el registro tradicional basado en SIEM. En su lugar, los cambios se inyectan directamente en el flujo de replicación de los controladores de dominio de producción. Para protegerse de los ataques que eluden la supervisión tradicional, las organizaciones necesitan soluciones que utilicen varias fuentes de datos, incluido el flujo de replicación de AD. Para una detección y respuesta exhaustivas a las amenazas de AD, incluida la capacidad de auditar AD en busca de ataques que eluden los SIEM y otras herramientas de supervisión tradicionales, consulte Directory Services Protector.

Auditoría y corrección de cambios malintencionados en Active Directory

No te pierdas las amenazas de AD o Entra ID

Echa un vistazo Directory Services Protector
Nuestra misión resuena entre los líderes del sector

Más soluciones de seguridad y recuperación de AD

Reducción de la superficie de ataque de Active Directory

Copia de seguridad y recuperación de AD

Consolidación y migración de AD

Más recursos

Aprenda más sobre cómo auditar y revertir cambios maliciosos en Active Directory y Entra ID.

Cómo defenderse de los ataques a Active Directory que no dejan rastro

Cómo defenderse de los ataques a Active Directory que no dejan rastro

  • Blog
Restablecimiento de Active Directory tras un ataque de ransomware

Restablecimiento de Active Directory tras un ataque de ransomware

  • Webinar
Comprender y proteger Kerberos: la parte más vulnerable de la ciberseguridad

Comprender y proteger Kerberos: la parte más vulnerable de la ciberseguridad

  • Webinar
Ver todos