Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

SpecterOps BloodHound Enterprise

Reduzieren Sie Ihre Angriffsfläche und sorgen Sie für umfassende Active Directory- und Azure-Sicherheit. Angriffspfad-Verwaltung ist eine kritische Komponente beim Schutz von Active Directory(AD)- und Microsoft 365-Umgebungen vor Angriffen. Wenn man bedenkt, dass Microsoft allein im Jahr 2021 mehr als 25 Milliarden Angriffsversuche auf Unternehmenskonten gemeldet hat, ist das Absichern von Angriffspfaden unabdingbar. SpecterOps BloodHound Enterprise vereinfacht diesen Prozess erheblich, indem Problemstellen priorisiert und quantifiziert werden, sodass Sie die nötigen Informationen erhalten, um die Angriffspfade mit dem höchsten Risiko zu identifizieren und zu beseitigen.
How to identify Active Directory attack paths before cyberattackers do 02:44
Die Angriffspfad-Verwaltung gestaltete sich schon immer schwierig. Warum ist das so? Weil Sicherheitsverantwortliche häufig darauf getrimmt sind, sich auf Listen zu stützen – und sie Tausende von allgemeinen Konfigurationsproblemen prüfen. Angreifer stützen sich dagegen auf Diagramme. Diese Sichtweise macht es ihnen leichter, effektive Angriffspfade zu identifizieren. SpecterOps BloodHound Enterprise hilft Ihnen dabei, das Risiko von Angriffen deutlich zu reduzieren. Dank einer grafischen Darstellung aller Angriffspfade in AD und Azure können Sie mühelos die wichtigsten potenziellen Zugangswege für Angreifer identifizieren, priorisieren und beseitigen.

Wesentliche Vorteile

Kontinuierliche Abbildung von Angriffspfaden

Durch die Visualisierung aller Beziehungen und Verbindungen in AD und Azure können Sie neue und vorhandene Angriffspfade einfach identifizieren.

Priorisierung von Problemstellen

Analysieren Sie die Auswirkungen jedes beliebigen Punkts in einem Angriffspfad und identifizieren Sie die besten Orte, wo möglichst viele Pfade blockiert werden können.

Schutz wichtiger Assets

Identifizieren Sie alle kritischen Tier-0-Assets und überwachen Sie diese anschließend automatisch durch die Integration mit On Demand Audit auf verdächtige Aktivitäten, die auf deren Kompromittierung hindeuten.

Praktische Anleitungen zur Bereinigung

Profitieren Sie von praktischen Anleitungen zur Bereinigung mit klaren Anweisungen, ohne dass umfangreiche Änderungen an AD erforderlich sind.

Umfassende Bereinigungsanalyse

Nutzen Sie den detaillierten Verlauf der Benutzeraktivitäten von On Demand Audit, um Angriffspfade zu untersuchen, bevor der Zugriff auf den Pfad entfernt wird – so stellen Sie sicher, dass es keine unerwarteten Folgen bei der Bereinigung gibt.

Analyse des AD-Sicherheitsstatus

Definieren Sie für AD und Azure eine durchgehende Baseline, um zu überwachen und zu messen, wie das Risiko durch die Entfernung von Angriffspfaden reduziert wird.

Herausragende Einblicke in Azure AD

Auch wenn Azure andere Technologien für das Identity and Access Management nutzt, können sich Angreifer so wie bei AD Zugriff über identitätsbasierte Angriffspfade verschaffen.

Funktionen

Top-Down-Ansicht kritischer Assets

SpecterOps BloodHound Enterprise bietet hervorragende Unterstützung bei der Angriffspfad-Verwaltung durch die Anzeige Ihrer kritischsten Assets in AD und Azure (Azure AD und Azure Resource Manager) – die wichtigsten Komponenten, über die ein Angreifer auf keinen Fall die Kontrolle erlangen darf. Aus dieser Ansicht werden dann "von oben nach unten" alle Angriffspfade abgebildet. Mit der Abwehr betraute Personen müssen beim Absichern von Angriffspfaden jeden möglichen Weg berücksichtigen. SpecterOps BloodHound Enterprise identifiziert jede Beziehung in Ihrer Hybrid-Umgebung und zeigt auf, wie Angreifer beliebige Prinzipale missbrauchen könnten, um sich Zugriff auf diese wichtigen Assets zu verschaffen.

Identifizierung und Quantifizierung von Problemstellen

Die Abbildung kritischer Assets und Pfade ist jedoch nur ein Teil der Angriffspfad-Verwaltung. SpecterOps BloodHound Enterprise geht noch einen Schritt weiter und quantifiziert diese Problemstellen. Beispielsweise kann Sie die Lösung darüber informieren, dass durch die Anwendung einer bestimmten Zugriffssteuerungsliste auf einen bestimmten Domänencontroller 92 % Ihrer Active Directory-Benutzer und -Computer die Domäne gefährden können. Sie erhalten sehr genaue Angaben zu den damit verbundenen Risiken sowie den spezifischen Berechtigungen, die Sie ändern müssen, um den Angriffspfad zu beseitigen und nachgelagerte Fehlkonfigurationen zu minimieren.

Quantifizierung der Auswirkungen auf den Sicherheitsstatus

Da SpecterOps BloodHound Enterprise jedes Risiko analysiert, erhalten Sie einen umfassenden Einblick in das Gesamtrisiko, dem Ihr Unternehmen mit Ihrer hybriden AD-Umgebung ausgesetzt ist. Wenn Sie Ihre Angriffspfad-Verwaltung durch Beseitigung der Problemstellen verbessern, können Sie außerdem sehen, welche Auswirkungen diese Änderungen auf Ihren Sicherheitsstatus insgesamt haben. Beispielsweise könnten Sie durch das Absichern von Angriffspfaden Ihr Risiko, das Opfer eines Angriffs zu werden, deutlich reduzieren. Die meisten Unternehmen beginnen mit einem Risiko zwischen 70 und 100 %. Ihr Ziel sollte es jedoch sein, das Risiko Ihres Unternehmens unter 20 % bringen – und SpecterOps BloodHound Enterprise kann Ihnen dabei helfen.
Umfassende Risikobewertung und Bedrohungsüberwachung in der Angriffspfad-Verwaltungssoftware

Umfassende Risikobewertung und Bedrohungsschutz

Integrieren Sie SpecterOps BloodHound Enterprise mit On Demand Audit und Change Auditor, um eine umfassende Lösung zur Risikobewertung und Bedrohungsüberwachung zu erhalten. Mit diesen beiden Tools sind Sie in der Lage, alle Tier-0-Assets zu identifizieren, alle Angriffspfade vorherzusehen und diese anschließend auf verdächtige Aktivitäten zu überwachen. Darüber hinaus sind Sie auch in der Lage, Bedrohungen frühzeitig zu erkennen – einschließlich nicht autorisierter Replikationen von Domänen, Offline-Extraktionen der AD-Datenbank und GPO-Verknüpfungen. Sie können sogar Veränderungen an sensiblen Objekten wie privilegierten Gruppen und Gruppenrichtlinien blockieren, um Versuche der Rechteausweitung zu verhindern und zu entschärfen sowie kostspielige Ransomware-Angriffe zu vermeiden.
Verringerung von Angriffspfaden mit abgesicherten GPOs

Verringerung von Angriffspfaden mit abgesicherten GPOs

Indem Sie SpecterOps BloodHound Enterprise mit GPOADmin kombinieren, können Sie die Angriffspfad-Verwaltung durch Absicherung von GPOs effektiv verbessern. Mit diesen Lösungen können Sie bereits vor der Bereitstellung sicherstellen, dass jegliche Änderungen den Best Practices der Änderungsverwaltung entsprechen. Dies ist ein wichtiger Schritt bei der Verwaltung von Active Directory-Gruppenrichtlinien. Außerdem können Sie GPOs kontinuierlich durch automatisierte Attestierung validieren – dies ist für jede Drittanbieterlösung zur Verwaltung von Gruppenrichtlinien unerlässlich. Falls eine GPO-Änderung unerwünschte Auswirkungen hat, können Sie schnell wieder auf eine funktionierende GPO umstellen, damit Ihre Umgebung in Sekundenschnelle wieder reibungslos läuft.
Risikoschutz und sichere Bereinigung

Risikoschutz und sichere Bereinigung

Für echten Risikoschutz und eine sichere Bereinigung empfiehlt sich die Kombination von SpecterOps BloodHound Enterprise mit Recovery Manager for Active Directory Disaster Recovery Edition oder On Demand Recovery. Mit dieser Produktkombination verfügen Sie über umfassende Funktionen zur Sicherung Ihres hybriden Active Directory und schnellen Wiederherstellung bei Fehlern, Beschädigung oder Notfällen. Außerdem können Sie jegliche Änderungen seit der letzten Sicherung identifizieren, indem Sie den Onlinestatus von AD mit einer Sicherung (oder mehreren Sicherungen) vergleichen. Sie können jedes beliebige AD-Objekt wiederherstellen, einschließlich Benutzern, Attributen, Organisationseinheiten (organizational units, OUs), Computern, Subnetzen, Standorten, Konfigurationen und Gruppenrichtlinienobjekten (GPOs).

Tour

Kontinuierliche Abbildung von Angriffspfaden
Problemstellen identifizieren
Top-Down-Ansicht kritischer Assets
Komplexe Beziehungen untersuchen
Umfassende Bedrohungsüberwachung
Bereinigung priorisieren
Praktische Anleitungen zur Bereinigung
Verringerung von GPO-Angriffspfaden
Risikoschutz und Versicherung
Kontinuierliche Abbildung von Angriffspfaden

Kontinuierliche Abbildung von Angriffspfaden

Visualisieren Sie jeden Angriffspfad zu Ihren kritischen AD- und Azure-Assets mit allen komplexen Beziehungen und Verbindungen.

Technische Daten

SpecterOps BloodHound Enterprise erfordert die Installation des On-Premises-Agenten SharpHound Enterprise, ein wichtiges Element in Ihrer Bereitstellung, das Daten über Ihre Umgebung erfasst und zur Verarbeitung und Analyse in Ihre Instanz von BloodHound Enterprise hochlädt. SharpHound Enterprise wird in der Regel auf einem einzigen, mit der Domäne verknüpften Windows-System pro Domäne bereitgestellt und als Domänenbenutzerkonto ausgeführt.

Der AzureHound Enterprise Service erfasst Daten über Ihre Azure-Umgebung und lädt diese zur Verarbeitung und Analyse in Ihre Instanz von BloodHound Enterprise hoch. AzureHound Enterprise wird in der Regel auf einem Windows-System pro Azure-Tenant bereitgestellt und kann auf dem gleichen System wie Ihr SharpHound Enterprise Dienstkonto ausgeführt werden.

System:
  • Windows Server 2012 (oder höher)
  • 16 GB RAM
  • 100 GB Speicherplatz
  • .NET 4.5.2 (oder höher)
Netzwerktechnologie:
  • TLS an 443/TCP für Ihre Tenant-URL (vom Account-Team bereitgestellt)
  • TLS an 443/TCP für den Azure-Tenant (sofern zutreffend)
Berechtigungen:

SharpHound (On-Premises-Active Directory-Sammlung)

  • Dienstkonto zur lokalen Administratorgruppe hinzugefügt

AzureHound (Azure-Sammlung)

  • Directory Reader für Azure AD-Tenant
  • Reader für alle Azure-Abonnements
  • Directory.Read.All für Microsoft Graph

Die Active Directory-Aufzählung stellt die grundlegendsten Informationen bereit, die für BloodHound Enterprise erforderlich sind. Für maximale Transparenz listet SharpHound Enterprise außerdem die lokalen Gruppen und Sitzungen auf allen mit der Domäne verknüpften Microsoft-Systemen auf.

Art der Erfassung

Dienstkontoberechtigungen

Zugriff auf Servicenetzwerk

Active Directory

Domänenbenutzerkonto mit der Berechtigung zum Lesen gelöschter Objekte.

LDAP an 389/TCP für mindestens einen Domänencontroller

Lokale Gruppen und Benutzersitzungen (Privilegiert)

Lokaler Administrator auf Workstations und Servern

SMB an 445/TCP für alle mit der Domäne verknüpften Systeme

Azure

Directory Reader für Azure AD-Tenant, Reader für alle Azure-Abonnements, AppRoleAssignment.ReadWrite.All und RoleManagement.Read.All für Microsoft Graph

TLS an 443/TCP für Ihren Tenant

Jetzt starten

Umfassende Angriffspfad-Verwaltung