Tenable Identity Exposure
Sécurisez Active Directory et bloquez les chemins d'attaque
Prenez en main la sécurité de votre Active Directory (AD) et Azure AD pour détecter et corriger les failles avant qu'elles n'aient un impact sur votre entreprise.
Tenable Identity Exposure est une solution rapide et sans agent pour Active Directory, qui vous offre une visibilité complète sur votre environnement AD complexe. Elle vous indique la meilleure façon de réduire le risque et d'éliminer les chemins d'attaque avant qu'ils ne soient exploités.
Demander une démoNon
À l'élévation de privilèges
Au mouvement latéral
À la progression des attaquants
Trouvez et corrigez les faiblesses d'Active Directory avant que des attaques ne se produisent
Découvrez et priorisez les expositions au sein d'Active Directory à l'aide du score de risque de l'identité de Tenable. Réduisez votre risque d'identité grâce à des conseils de remédiation pas-à-pas.
Détectez les attaques Active Directory et traitez-les en temps réel
Détectez les attaques contre Active Directory telles que DCShadow, Brute Force, Password Spraying, DCSync. Tenable Identity Exposure enrichit votre SIEM, SOC ou SOAR avec des insights sur les attaques, ce qui vous permet de réagir rapidement et de les bloquer.
Success story de clients
Découvrez comment Sanofi, leader mondial de l'industrie pharmaceutique, protège ses infrastructures Active Directory
Lire l'étude de casComment Vinci Energies a mis en place des paramètres de sécurité solides sur ses infrastructures Active Directory en constante évolution
Lire l'étude de casDécouvrez comment les petites entités de Lagardère protègent leurs infrastructures Active Directory avec des ressources limitées
Lire l'étude de cas« Grâce à la solution Tenable, nous n'avons plus à nous préoccuper de la sécurité d'Active Directory, ce qui nous permet de nous recentrer sur l'intégration de nouvelles activités. »Dominique Tessaro
Disponible via la plateforme de gestion de l'exposition Tenable One
Tenable One est une plateforme de gestion de l'exposition conçue pour aider votre entreprise à disposer d'une visibilité sur l'ensemble de la surface d'attaque moderne, vous concentrer sur la prévention des attaques probables et communiquer précisément le cyber-risque pour optimiser leurs performances opérationnelles. La plateforme Tenable One offre la plus vaste couverture des vulnérabilités, englobant les assets IT, les ressources cloud, les conteneurs, les applications web et les systèmes d'identité.
En savoir plusSécurisez Active Directory
- Découvrez les problèmes sous-jacents qui menacent la sécurité de votre Active Directory
- Identifiez les relations d'approbation dangereuses
- Notez les expositions et priorisez les remédiations via le score de risque de l'identité
- Détectez chaque changement se produisant dans votre Active Directory et Entra ID
- Établissez le lien entre des changements survenus dans Active Directory et des actions malveillantes
- Unifiez les identités au sein d'Active Directory et d'Entra ID
- Visualisez les attaques dans les moindres détails
- Explorez les descriptions MITRE ATT&CK directement depuis les détails de l'incident
FAQ
- Révélez les faiblesses qui se cachent dans vos configurations Active Directory
- Découvrez les problèmes sous-jacents qui menacent la sécurité de votre Active Directory
- Disséquez chaque mauvaise configuration, en des termes clairs
- Grâce au nouveau score d'exposition des assets, quantifiez le risque lié aux assets en combinant les droits inhérents aux vulnérabilités, à l'exposition et à l'identité (optimisé par l'intelligence artificielle et le moteur de data science de Tenable)
- Trouvez les mesures de correction recommandées pour chaque problème
- Créez des dashboards personnalisés pour gérer la sécurité de votre Active Directory et parvenir à une réduction du risque
- Découvrez les relations d'approbation dangereuses
- Nouveau - Visulaisez les identités de manière unifiée d'Active Directory et Entra ID
- Détectez tout changement se produisant dans votre AD
- Décelez d'importantes ataques par domain au sein de votre Active Directory
- Visualisez chaque menace à partir d'une chronologie d'attaque précise
- Consolidez la répartition des attaques dans une seule vue
- Établissez le lien entre des changements survenus dans Active Directory et des actions malveillantes
- Analysez les moindres détails d'une attaque contre Active Directory
- Explorez les descriptions MITRE ATT&CK® directement depuis les incidents détectés
Vecteur d'attaque |
Description |
Outils offensifs connus |
Matrice Mitre Attack |
Comptes à privilèges exécutant des services Kerberos |
Comptes à privilèges élevés utilisant un nom principal de service (SPN) Kerberos accessible par force brute |
Kerberom |
Élévation de privilèges, mouvement latéral, persistance |
Délégation Kerberos dangereuse |
Vérifier qu'aucune délégation dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée |
Nishang |
Élévation de privilèges, mouvement latéral, persistance |
Utilisation d'algorithmes de chiffrement dans une infrastructure PKI Active Directory |
Les certificats racine déployés dans l'infrastructure PKI Active Directory interne ne doivent pas utiliser d'algorithmes de chiffrement faible |
ANSSI-ADCP |
Persistance, élévation de privilèges, mouvement latéral |
Délégation dangereuse de droits d'accès sur des objets critiques |
Certains droits d'accès permettant à des utilisateurs non autorisés de contrôler des objets critiques ont été trouvés |
BloodHound |
Exfiltration, mouvement latéral, commande et contrôle, accès aux informations d'authentification, élévation de privilèges |
Plusieurs problèmes dans la stratégie de mot de passe |
Sur certains comptes spécifiques, les stratégies de mot de passe actuelles sont insuffisantes pour assurer une protection robuste des informations d'authentification |
Patator |
Évasion, mouvement latéral, accès aux informations d'authentification, élévation de privilèges |
Comptes dangereux dans la gestion des RODC |
Les groupes administratifs chargés des contrôleurs de domaine en lecture seule contiennent des comptes inhabituels |
Impacket |
Accès aux informations d'authentification, évasion, élévation de privilèges |
GPO sensible associée à des objets critiques |
Certaines GPO gérées par des comptes non administratifs sont liées à des objets Active Directory sensibles (le compte KDC, contrôleurs de domaine, groupes administratifs, etc.) |
ANSSI-ADCP |
Commande et contrôle, accès aux informations d'authentification, persistance, élévation de privilèges |
Comptes administratifs autorisés à se connecter à d'autres systèmes que les contrôleurs de domaine |
Les politiques de sécurité déployées sur l'infrastructure surveillée n'empêchent pas les comptes administratifs de se connecter à des ressources autres que des contrôleurs de domaine, ce qui expose les informations d'authentification sensibles |
CrackMapExec |
Évasion, accès aux informations d'authentification |
Relation de confiance dangereuse |
Des attributs de relation de confiance mal configurés diminuent la sécurité d'une infrastructure d'annuaire |
Kekeo |
Mouvement latéral, accès aux informations d'authentification, élévation de privilèges, évasion |
Mot de passe réversible dans une GPO |
Vérifier qu'aucune GPO ne contient de mot de passe stocké dans un format réversible |
Analyseur de mot de passe SMB |
Accès aux informations d'authentification, élévation de privilèges |
Ordinateurs exécutant un système d'exploitation obsolète |
Les systèmes obsolètes ne sont plus pris en charge par l'éditeur de logiciels et augmentent considérablement la vulnérabilité de l'infrastructure |
Metasploit |
Mouvement latéral, commande et contrôle |
Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 |
Compte appartenant au groupe Accès compatible avec les versions antérieures à 2000 en mesure de contourner des mesures de sécurité spécifiques |
Impacket |
Mouvement latéral, évasion |
Gestion des comptes administratifs locaux |
Garantir que les comptes administratifs locaux sont gérés de façon centralisée et sécurisée en utilisant LAPS |
CrackMapExec |
Évasion, accès aux informations d'authentification, mouvement latéral |
Configuration dangereuse d'utilisateurs anonymes |
L'accès anonyme est activé sur l'infrastructure Active Directory surveillée, ce qui entraîne une fuite d'informations sensibles |
Impacket |
Exfiltration |
Attributs filtrés inhabituels sur un RODC |
Les politiques de filtrage appliquées à certains contrôleurs de domaines en lecture seule (Read-Only Domain Controllers, RODC) peuvent entraîner la mise en cache d'informations sensibles, permettant ainsi une élévation de privilèges |
Mimikatz (DCShadow) |
Élévation de privilèges, évasion |
Absence de restriction pour les attaques par mouvements latéraux |
La restriction de mouvement latéral n'a pas été activée sur l'infrastructure Active Directory surveillée, ce qui permet aux attaquants de passer de machine en machine avec le même niveau de privilèges |
CrackMapExec |
Mouvement latéral |
Mot de passe en clair stocké dans des partages de contrôleur de domaine |
Certains fichiers sur des partages de contrôleur de domaine, auxquels peut accéder n'importe quel utilisateur authentifié, sont susceptibles de contenir un mot de passe en clair, permettant ainsi l'élévation de privilèges |
SMBSpider |
Accès aux informations d'authentification, élévation de privilèges, persistance |
Droits de contrôle d'accès dangereux sur des scripts d'ouverture de session |
Certains scripts, exécutés lors d'une ouverture de session d'utilisateur ou d'ordinateur, aboutissent à une élévation de privilèges |
Metasploit |
Mouvement latéral, élévation de privilèges, persistance |
Paramètres dangereux utilisés dans une GPO |
Certains paramètres dangereux (comme les groupes restreints, le calcul du hachage LM, le niveau d'authentification NTLM, les paramètres sensibles, etc.) sont définis par GPO, ce qui produit des violations de sécurité |
Responder |
Découverte, accès aux informations d'authentification, exécution, persistance, élévation de privilèges, évasion |
Paramètres dangereux définis dans la configuration du Contrôle de compte d'utilisateur |
La fonctionnalité Contrôle de compte d'utilisateur de certains comptes d'utilisateur définit des paramètres dangereux (par exemple PASSWD_NOTREQD ou PARTIAL_SECRETS_ACCOUNT), ce qui compromet la sécurité de ces comptes |
Mimikatz (LSADump) |
Persistence, élévation de privilèges, évasion |
Absence d'application de correctifs de sécurité |
Un serveur enregistré dans Active Directory n'a pas appliqué de correctifs de sécurité récemment |
Metasploit |
Élévation de privilèges Commande et contrôle, évasion |
Tentative d'attaque par force brute sur des comptes d'utilisateur |
Certains comptes d'utilisateur ont été ciblés par une tentative d'attaque par force brute |
Patator |
Accès aux informations d'authentification |
Configuration Kerberos sur des comptes d'utilisateur |
Certains comptes utilisent une configuration Kerberos faible |
Mimikatz (Silver Ticket) |
Accès aux informations d'authentification, élévation de privilèges |
Partage ou fichier inhabituel stocké sur le contrôleur de domaine |
Certains contrôleurs de domaine sont utilisés pour héberger des fichiers ou des partages réseau qui ne sont pas nécessaires |
SMBSpider |
Découverte, exfiltration |
Fait |
Description |
Outils offensifs connus |
Matrice Mitre Attack |
Garantir la cohérence du processus SDProp |
S'assurer que l'objet adminSDHolder est sain |
Mimikatz (Golden Ticket) |
Élévation de privilèges, persistance |
Garantir la cohérence du processus SDProp |
Vérifier que le groupe principal des utilisateurs n'a pas été changé |
BloodHound |
Élévation de privilèges, persistance |
Vérification des autorisations pour l'objet domaine racine |
S'assurer que les autorisations définies sur l'objet domaine racine sont saines |
BloodHound |
Élévation de privilèges, persistance |
Vérification des autorisations pour les fichiers et objets GPO sensibles |
S'assurer que les autorisations définies sur les fichiers et objets GPO liés à des conteneurs sensibles (telles que les unités d'organisation des contrôleurs de domaine) sont saines |
BloodHound |
Exécution, élévation de privilèges, persistance |
Droits d'accès dangereux sur le compte KDC d'un RODC |
Le compte KDC utilisé sur certains contrôleurs de domaine en lecture seule peut être contrôlé par un compte d'utilisateur non autorisé, entraînant des fuites d'informations d'authentification |
Mimikatz (DCSync) |
Élévation de privilèges, persistance |
Certificats sensibles associés à des comptes d'utilisateur |
Certains certificats X509 sont stockés dans l'attribut de compte d'utilisateur altSecurityIdentities, ce qui permet au détenteur de la clé privée d'un certificat de s'authentifier en empruntant l'identité de cet utilisateur |
Commande et contrôle, accès aux informations d'authentification, élévation de privilèges, persistance |
|
SPN Krbtgt non autorisé défini sur un compte standard |
Le nom principal de service (SPN, Service Principal Name) du KDC est présent sur un compte d'utilisateur standard, ce qui entraîne des falsifications de tickets Kerberos |
Mimikatz (Golden Ticket) |
Élévation de privilèges, persistance |
Dernier changement du mot de passe KDC |
Le mot de passe du compte KDC doit être changé régulièrement |
Mimikatz (Golden Ticket) |
Accès aux informations d'authentification, élévation de privilèges, persistance |
Comptes ayant un attribut d'historique SID dangereux |
Vérifier les comptes d'utilisateur ou d'ordinateur utilisant un SID avec privilèges dans l'attribut d'historique SID |
DeathStar |
Élévation de privilèges, persistance |
Contrôleurs de domaine non autorisés |
Vérifier que seuls les serveurs contrôleurs de domaine légitimes sont enregistrés dans l'infrastructure Active Directory |
Mimikatz (DCShadow) |
Exécution, évasion, élévation de privilèges, persistance |
Contrôle d'accès non autorisés aux clés Bitlocker |
Certaines clés de récupération Bitlocker stockées dans Active Directory sont accessibles à d'autres personnes que les administrateurs et les ordinateurs associés |
ANSSI-ADCP |
Accès aux informations d'authentification, élévation de privilèges, persistance |
Entrées inhabituelles dans le descripteur de sécurité Schema |
Le schéma Active Directory été modifié, ce qui aboutit à de nouveaux objets ou droit d'accès standard qui peuvent compromettre l'infrastructure surveillée |
BloodHound |
Élévation de privilèges, persistance |
Compte DSRM activé |
Le compte de récupération Active Directory a été activé, ce qui l'expose à un vol d'informations d'authentification |
Mimikatz (LSADump) |
Accès aux informations d'authentification, exécution, évasion, élévation de privilèges, persistance |
Hachage d'authentification non renouvelé lors de l'utilisation d'une carte à puce |
Certains comptes d'utilisateur ayant recours à l'authentification par carte à puce ne renouvellent pas assez souvent le hachage de leurs informations d'authentification |
Mimikatz (LSADump) |
Persistance |
Mots de passe réversibles pour les comptes d'utilisateur |
Vérifier qu'aucun paramètre n'a pour effet de stocker les mots de passe dans un format réversible |
Mimikatz (DC Sync) |
Accès aux informations d'authentification |
Utilisation d'un refus d'accès explicite sur des conteneurs |
Certains conteneurs ou unités d'organisation Active Directory définissent un refus d'accès explicite, ce qui peut entraîner un risque de camouflage de porte dérobée |
BloodHound |
Évasion, persistance |
Les mauvaises configurations d'AD sont fréquentes, de sorte que les audits ponctuels deviennent obsolètes quelques minutes seulement après qu'ils ont commencé. De plus, ils se focalisent sur les mauvaises configurations plutôt que d'inclure les signes de la compromission.
Quant à Tenable Identity Exposure, c'est une plateforme de sécurité qui scanne en continu votre AD pour déceler les nouvelles faiblesses et les attaques, afin d'avertir les utilisateurs en temps réel en cas de problème.
La sécurité AD est une composante importante de votre puzzle de sécurité, et Tenable Identity Exposure se fond parfaitement dans votre écosystème de sécurité.
Notre intégration Syslog garantit que tous les SIEM et la plupart des systèmes de tickets peuvent s'intégrer immédiatement à Tenable Identity Exposure. Nous proposons également des applis natives pour QRadar, Splunk et Phantom.
Tenable Identity Exposure est véritablement spectaculaire et nous aide à détecter et réagir en temps réel aux attaques sur Active Directory, mais aussi à identifier et corriger la moindre faille avant qu'elle ne puisse être exploitée.CISO
Ressources connexes
Une rançon de roi : comment empêcher la propagation des ransomwares via AD
- Tenable Identity Exposure