पर्पल नाइट विरुद्ध पिंगकॅसल तुलना: अ‍ॅक्टिव्ह डायरेक्टरी ऑडिट आणि सुरक्षा

  • पर्पल नाइट IOE/IOC, प्रिस्क्रिप्टिव्ह मार्गदर्शन आणि हायब्रिड कव्हरेज (AD, Entra ID, Okta) ला MITRE/ANSSI शी मॅपिंगसह प्राधान्य देते.
  • पिंगकॅसल अनेक जंगलांसाठी परिपक्वता पद्धत, आरोग्य तपासणी, डोमेन नकाशा आणि एकत्रीकरण प्रदान करते.
  • मोफत एक-वेळ मूल्यांकन; सतत देखरेख आणि शमन यासाठी सेम्पेरिस डीएसपी सारख्या उपायांची आवश्यकता असते.
  • त्यांचा एकत्रित वापर केल्याने AD मध्ये उपायांना प्राधान्य देण्यासाठी अधिक कव्हरेज आणि क्रॉस-व्हॅलिडेशन मिळते.
Pablo

12 मिनिटे

पिंगकॅसल आणि पर्पल नाइट

कॉर्पोरेट ओळखीसाठी धोके सतत विकसित होत आहेत आणि जेव्हा एखादा हल्लेखोर ओळख प्रणालीचा भंग करतो तेव्हा त्याचा परिणाम दीर्घकालीन आणि महाग असतो. या संदर्भात, अ‍ॅक्टिव्ह डायरेक्टरी (एडी) आणि त्याचे क्लाउड समकक्ष, एन्ट्रा आयडी/अ‍ॅझ्युर एडी यांचे ऑडिट करणे आणि त्यांना मजबूत करणे ही आयटी आणि सुरक्षिततेसाठी दैनंदिन गरज बनली आहे. योग्य साधने निवडणे आणि प्रत्येकी काय ऑफर करते ते समजून घेणे कोणीतरी त्यांचे शोषण करण्यापूर्वी ते अंतर कमी करण्याची ही पहिली पायरी आहे.

सर्वात प्रसिद्ध मोफत पर्यायांमध्ये पर्पल नाइट (सेम्पेरिस) आणि पिंगकॅसल (मूळतः व्हिन्सेंट ले टॉक्स यांनी तयार केलेले आणि सध्या नेटव्रिक्स इकोसिस्टमचा भाग आहेत) हे आहेत. दोन्हीही सुरळीत चालतात आणि मौल्यवान निदान प्रदान करतात, परंतु त्यांचा दृष्टिकोन, कार्यपद्धती आणि लक्ष्यित प्रेक्षक वेगळे आहेत. त्यांच्या मर्यादा आणि ताकदींकडे दुर्लक्ष न करता त्यांची जवळून तुलना करा.हे तुम्हाला एक किंवा दुसरा कधी वापरायचा किंवा त्यांचा जास्तीत जास्त फायदा घेण्यासाठी त्यांना एकत्र का करायचे हे ठरवण्याची परवानगी देते.

ओळख सुरक्षा: अ‍ॅक्टिव्ह डायरेक्टरी आणि एन्ट्रा आयडीवर लक्ष केंद्रित का करावे

एडी आणि एन्ट्रा आयडी सामान्यतः खाती, परवानग्या, प्रमाणीकरण आणि विश्वास संबंधांचे नियंत्रण केंद्रित करतात; जर ते अयशस्वी झाले तर एंटरप्राइझ प्रवेशाचे हृदय अयशस्वी होते. या प्रणालींमध्ये घुसखोरी महिने अदृश्य राहू शकते.हे महत्त्वाच्या मालमत्ता उघड करते आणि बाजूकडील हालचाल सुलभ करते. म्हणून, ओळख सुरक्षा मजबूत करण्यासाठी अ‍ॅक्टिव्ह डायरेक्टरी आणि त्याच्या क्लाउड लेयरला प्राधान्य देणे आवश्यक आहे. एक-वेळ मूल्यांकन साधने जोखमीचे स्पष्ट चित्र मिळविण्यात मदत करतात, तर सतत देखरेख साधने विचलनांना तोंड देण्यासाठी वेळेवर हस्तक्षेप करण्यास अनुमती देतात.

संबंधित लेख:
Windows मधील Active Directory बद्दल आपल्याला माहित असणे आवश्यक असलेली प्रत्येक गोष्ट

पिंगकॅसल: एडी वातावरणाचा परिपक्वता-आधारित स्नॅपशॉट

पिंगकॅसलचा जन्म व्हिन्सेंट ले टॉक्स यांनी C# मध्ये विकसित केलेल्या अ‍ॅक्टिव्ह डायरेक्टरी असेसमेंट टूल म्हणून झाला आणि २०१७ पासून मोफत बेसिक आवृत्तीसह बाजारात एकत्रित केला गेला. मॉडेल्स आणि नियमांवर आधारित अ‍ॅक्टिव्ह डायरेक्टरीमधील जोखीम आणि सुरक्षितता परिपक्वता मोजणे हा त्याचा उद्देश आहे.व्यावहारिक निर्णयांवर केंद्रित आरोग्य आणि जोखीम अहवाल तयार करणे.

पिंगकॅसल काय चांगले करते

तांत्रिक डेटाचे संदर्भात्मक माहितीमध्ये रूपांतर करणे ही त्याची एक ताकद आहे: ते इतर गोष्टींबरोबरच अ‍ॅक्टिव्ह डायरेक्टरी सबप्रोसेस, ट्रस्ट रिलेशन्स, विशेषाधिकारित खाती आणि कालबाह्य वस्तूंचे विश्लेषण करते. परिणामी जोखीम स्कोअर आणि एक तपशीलवार अहवाल तयार होतो जो कालांतराने तुलना सुलभ करण्यासाठी इतरांसह एकत्रित केला जाऊ शकतो. याव्यतिरिक्त, पदानुक्रम आणि ट्रस्टची कल्पना करण्यासाठी ते सक्रिय निर्देशिका नकाशा समाविष्ट करते.हे गुंतागुंतीच्या वातावरणाची समज वाढवते आणि विसरलेले क्षेत्र उघड करते.

  • जोखीम आणि आरोग्य मूल्यांकन अंतर्गत मॉडेल्स आणि नियमांवर आधारित, स्कोअरिंग आणि जोखीम अहवालासह.
  • विशेषाधिकारांची दृश्यमानता आणि उच्च-अ‍ॅक्सेस खात्यांवर लक्ष केंद्रित करून, महत्त्वाच्या वस्तूंकडे जाण्याचे संभाव्य मार्ग.
  • डोमेन आणि ट्रस्ट मॅपिंग Azure AD/Entra ID सह विश्वासाच्या विचारांसह संबंधांची कल्पना करण्यासाठी.
  • अहवालांचे एकत्रीकरण बेंचमार्किंग, केपीआय आणि व्यवस्थापन डॅशबोर्डसाठी (उच्च आवृत्त्यांमध्ये).

पिंगकॅसल निर्देशिकेच्या पलीकडे जाऊन असुरक्षित पद्धतींसाठी वर्कस्टेशन स्कॅन देखील करते. शोधतो अतिरेकी स्थानिक प्रशासकअसमाधानकारकपणे संरक्षित सामायिक संसाधने, WannaCry सारख्या भेद्यता आणि अगदी सुरुवातीच्या वेळेतील अनियमितता, ज्यामुळे पार्श्व हालचाली सुलभ करणाऱ्या मागच्या आणि डेलिगेशन कमकुवतपणा उघड करण्यास मदत होते.

ते कसे कार्य करते आणि ते काय देते

पिंगकॅसलचे इंजिन अनप्रिव्हिलेज्ड LDAP क्वेरीज आणि WMI वापरून डेटा गोळा करते आणि ते यासह एकत्रित केले जाऊ शकते पॉवरशेल स्क्रिप्ट्स, आणि श्रेणींनुसार गटबद्ध केलेले जोखीम मॉडेल लागू करते: अप्रचलित वस्तू, विशेषाधिकारित खाती, ट्रस्ट आणि विसंगती. परिणामी अहवालात गंभीर समस्यांवर प्रकाश टाकण्यात आला आहे (उदाहरणार्थ, जुने ट्रस्ट प्रोटोकॉल, नाजूक डेलिगेशन, कमकुवत केर्बेरोस कॉन्फिगरेशन किंवा असुरक्षित नियंत्रण मार्ग) आणि AD हेल्थ स्कोअर नियुक्त करते: जितके कमी तितके चांगले.

हायब्रिड वातावरणात, पिंगकॅसल Azure AD सोबतचा विश्वास संबंध सुरक्षित आहे की नाही याचा अहवाल देऊ शकते. नकाशा दृश्य आणि निकालांचे एकत्रीकरण ते विशेषतः अशा संस्थांसाठी उपयुक्त आहेत ज्यांच्याकडे अनेक डोमेन किंवा अनेक विश्वास संबंध आहेत, जिथे ते सहजपणे चुकतात.

आवृत्त्या, परवाना आणि व्याप्ती

मूळ आवृत्ती तुमच्या स्वतःच्या वातावरणाचे ऑडिट करण्यासाठी मोफत आहे, तर ऑडिटर/स्टँडर्ड आणि प्रोफेशनल आवृत्ती प्रगत क्षमता आणि व्यावसायिक समर्थन जोडतात. ऑडिटर (सुमारे $३,४४९/वर्ष) आणि प्रोफेशनल सारख्या सबस्क्रिप्शनची विक्री केली जाते. (प्रति डोमेन प्रति वर्ष सुमारे $१०,३४७), तसेच एकत्रीकरण वैशिष्ट्यांसह एंटरप्राइझ आवृत्ती आणि मोठ्या कंपन्यांसाठी जागतिक दृष्टीकोन. प्रकल्प त्याच्या बायनरीजवर स्वाक्षरी करतो आणि OSL ३.० (नॉन-प्रॉफिट) परवान्याअंतर्गत कोड जारी करतो, ज्यामध्ये परवाना नसलेल्या व्यावसायिक वापरावर निर्बंध आहेत.

पिंगकॅसलच्या ज्ञात मर्यादा

अनेक डोमेन असलेल्या डिप्लॉयमेंटमध्ये, जर एकत्रीकरण प्रक्रिया आणि दृश्ये स्थापित केली गेली नाहीत तर अहवाल दाट असू शकतात आणि नेव्हिगेट करणे काहीसे कठीण असू शकते. मोफत आवृत्तीमध्ये प्रगत अहवाल किंवा तपशीलवार उपाय मार्गदर्शक समाविष्ट नाहीत.आणि लक्ष केंद्रित केले आहे ते एक्सपोजर आणि जोखीमच्या निर्देशकांवर, आधीच प्रत्यक्षात आलेल्या तडजोडीच्या चिन्हांवर नाही.

पर्पल नाइट: एका बटणाच्या क्लिकवर एक्सपोजर आणि एंगेजमेंट इंडिकेटर

सेम्पेरिसने २०२१ मध्ये अ‍ॅक्टिव्ह डायरेक्टरी आणि हायब्रिड वातावरणासाठी मोफत सुरक्षा मूल्यांकन साधन म्हणून पर्पल नाईट लाँच केले. तेव्हापासून, इंडिकेटर ऑफ एक्सपोजर (IOE) आणि इंडिकेटर ऑफ कॉम्प्रोमाइस (IOC) वर लक्ष केंद्रित केल्यामुळे ते आवडते बनले आहे. धोकादायक कॉन्फिगरेशन आणि घुसखोरीचे पुरावे उघड करणे हे त्याचे ध्येय आहे. AD मध्ये, ID/Azure AD आणि अगदी Okta देखील प्रविष्ट करा.

निर्देशक, श्रेणी आणि संदर्भ चौकट

पर्पल नाईटचे गट पाच मुख्य क्षेत्रांमध्ये होतात: एडी डेलिगेशन, एडी इन्फ्रास्ट्रक्चर सिक्युरिटी, अकाउंट सिक्युरिटी, गट धोरण सुरक्षा (GPO) आणि केर्बेरोस सुरक्षा. अहवालात श्रेणीनुसार रेटिंग आणि एकूण टक्केवारीसह "बुलेटिन" वापरण्यात आले आहे., MITER D3FEND मॉडेलच्या संदर्भांव्यतिरिक्त, MITER ATT&CK आणि ANSSI सारख्या फ्रेमवर्कसाठी प्राधान्यकृत उपाय, तीव्रता (माहितीपूर्ण, चेतावणी किंवा गंभीर) आणि मॅपिंग ऑफर करते.

  • शंभरहून अधिक निर्देशक (आणि अलीकडील आवृत्त्या सहजपणे त्या आकड्यापेक्षा जास्त आहेत) ज्यामध्ये सामान्य हल्ला वेक्टर समाविष्ट आहेत.
  • आयओई आणि आयओसीमधील फरक संभाव्य चुकीच्या कॉन्फिगरेशनला सक्रिय तडजोडीच्या पुराव्यांपासून वेगळे करण्यासाठी.
  • प्रिस्क्रिप्टिव्ह सुधारणा मार्गदर्शक तत्त्वे आणि शोषणाच्या जोखीम आणि संभाव्यतेनुसार प्राधान्य दिले जाते.
  • हायब्रिड कव्हरेज स्थानिक AD सह, ID/Azure AD आणि Okta सपोर्ट एंटर करा.

वापरकर्ता अनुभव आणि अहवाल देणे

हे टूल पोर्टेबल आहे आणि त्यात ग्राफिकल इंटरफेस आहे. तुम्ही एक झिप फाइल डाउनलोड करता, ती एक्सट्रॅक्ट करता आणि बायनरी चालवता; स्टार्टअपवर, ते फॉरेस्ट आणि डोमेन शोधते आणि तुम्हाला कोणते IOE/IOC चालवायचे ते निवडण्याची परवानगी देते—एक ग्रॅन्युलॅरिटी जी निळ्या आणि लाल दोन्ही टीमना आवडते. स्कॅन सहसा काही मिनिटांत पूर्ण होते. आणि एक HTML अहवाल तयार करतो ज्यामध्ये गंभीर IOE ची चेकलिस्ट आणि दस्तऐवजीकरणाच्या लिंक्ससह स्पष्ट स्पष्टीकरणे समाविष्ट असतात.

"रिपोर्ट कार्ड" फॉरमॅट सोयीस्कर आहे: एक अक्षर आणि टक्केवारी, प्रत्येक श्रेणीसाठी वेगवेगळे वजन. वर्णनांमध्ये कारण, परिणाम, सुरक्षा चौकटीत बसणे आणि उपाययोजनांचे टप्पे यांचा समावेश आहे.पर्पल नाइट रीड मोडमध्ये चालते, अ‍ॅक्टिव्ह डायरेक्टरीमध्ये कोणतेही बदल करत नाही आणि "घरी कॉल" करत नाही; उत्पादनास धोका न होता ते वेळोवेळी पुनरावृत्ती करता येते.

नोंदणी, समुदाय आवृत्ती आणि विकास

हे टूल डाउनलोड करण्यासाठी, सेम्पेरिसला नोंदणी आवश्यक आहे आणि ते लिंक प्रदान करते; ते वापरकर्त्यांना नवीन आवृत्त्या आणि सतत सुधारणांबद्दल देखील सूचित करते. कम्युनिटी आवृत्ती वारंवार अपडेट केली जाते. आणि तरुण असूनही, समुदायाच्या अभिप्रायावर आधारित सुधारणांसह, ते एक उल्लेखनीय चमक राखते.

मर्यादा आणि ते कसे पूरक आहे

पर्पल नाइट एक-वेळ मूल्यांकन करते; ते सतत देखरेख उपाय नाही किंवा ते स्वतःहून शमन स्वयंचलित करत नाही. तो थर सेम्पेरिसच्या डायरेक्टरी सर्व्हिसेस प्रोटेक्टर (DSP) द्वारे प्रदान केला जातो.ही एक सशुल्क सेवा आहे आणि ती रिअल-टाइम आयडेंटिटी थ्रेट डिटेक्शन अँड रिस्पॉन्स (ITDR) साठी सज्ज आहे, ज्यामध्ये दुर्भावनापूर्ण बदलांचे अलर्ट आणि उलटेकरण समाविष्ट आहे.

पर्पल नाइट विरुद्ध पिंगकॅसल: त्यांच्यात काय साम्य आहे आणि ते कसे वेगळे आहेत

जरी दोन्ही साधने सक्रिय निर्देशिका सुरक्षिततेचे मूल्यांकन करण्यासाठी आणि एन्ट्रा आयडी/अ‍ॅझ्युर एडी सह हायब्रिड वातावरणास समर्थन देण्यासाठी वापरली जाऊ शकतात, परंतु त्यांचे लक्ष एकसारखे नाही. पिंगकॅसल प्राधान्य देते परिपक्वता पद्धती आणि जोखीम स्कोअरिंगसह "आरोग्य तपासणी" अहवाल; पर्पल नाइट आयओई/आयओसीवर लक्ष केंद्रित करते आणि एक अत्यंत कृतीशील उपचार मार्गदर्शक प्रदान करते. पहिला "मॉडेल" आणि एडी इकोसिस्टमची स्थिती बारकाईने पाहतो., तर दुसरा जलद दुरुस्त करण्यासाठी खूप समृद्ध स्नॅपशॉट देतो.

वापराच्या सुलभतेच्या बाबतीत, पर्पल नाईट त्याच्या इंटरफेस आणि ग्रॅन्युलर टेस्ट सिलेक्शनसाठी वेगळे आहे; पिंगकॅसलमध्ये, डोमेन मॅप आणि रिपोर्ट एकत्रीकरण अनेक वन आणि ट्रस्ट असलेल्या संस्थांमध्ये चमकते. अहवालात, पर्पल नाइट गुण आणि टक्केवारीसह श्रेणीनुसार रेटिंग देते.आणि पिंगकॅसल एकंदर आरोग्य स्कोअर देते जिथे कमी संख्या चांगली असते.

कव्हरेजसाठी, पर्पल नाईटमध्ये AD, Entra ID/Azure AD आणि Okta यांचा समावेश आहे आणि MITRE ATT&CK आणि ANSSI ला निष्कर्षांचे नकाशे तयार केले आहेत, ज्यामध्ये उपायांना प्राधान्य दिले आहे. पिंगकॅसल, त्याच्या बाजूने, डेलिगेशन, जुन्या वस्तू, स्थानिक विशेषाधिकार आणि एंडपॉइंट भेद्यता यांचे विश्लेषण देते.आणि ते Azure AD सह विश्वास सुरक्षिततेचे मूल्यांकन करू शकते. जेव्हा परिमिती अस्पष्ट होते तेव्हा विसरलेले डोमेन शोधण्याची आणि निकाल एकत्रित करण्याची क्षमता एक प्लस आहे.

परवाना देण्याच्या बाबतीत, पर्पल नाइट हे एक मोफत साधन म्हणून (नोंदणीनंतर) दिले जाते; सतत आणि सुधारात्मक क्षमता सेम्पेरिस डीएसपीमध्ये असतात, जे व्यावसायिक आहे. पिंगकॅसल वैयक्तिक वापरासाठी मोफत मूलभूत आवृत्ती देते. आणि सशुल्क आवृत्त्या (ऑडिटर/स्टँडर्ड, प्रोफेशनल, एंटरप्राइझ) ज्यामध्ये विस्तारित कार्यक्षमता, समर्थन आणि स्केलेबिलिटी आहे.

कोणता निवडावा? जर तुम्हाला प्राधान्यक्रमित दुरुस्ती सूचनांसह जलद, स्पष्ट मूल्यांकन हवे असेल, तर पर्पल नाइट तुमच्यासाठी एक परिपूर्ण पर्याय आहे. जर तुम्हाला डोमेन मॅपिंग आणि जोखीम एकत्रीकरणासह परिपक्वता पद्धत हवी असेल तर शेकडो किंवा हजारो विभागांसाठी, पिंगकॅसल हा एक चांगला पर्याय असू शकतो, विशेषतः त्याच्या सशुल्क आवृत्त्यांसह. प्रत्यक्षात, अनेक संस्था दोन्ही वापरतात: हे संयोजन क्रॉस-व्हॅलिडेशन आणि सखोल कव्हरेज देते.

अंमलबजावणी आणि निकालांचे व्यावहारिक तपशील

दोन्ही साधने पोर्टेबल आहेत आणि बहुतेक संदर्भांमध्ये मानक वापरकर्ता क्रेडेन्शियल्ससह चालवता येतात, प्रामुख्याने वाचनाद्वारे डेटा गोळा करतात. यामुळे मर्यादित संसाधने असलेल्या संघांना दत्तक घेणे सोपे होते. आणि उत्पादन प्रणालींशी घर्षण टाळते, कारण त्या बदल करत नाहीत.

पर्पल नाइट त्याचे निकाल HTML मध्ये लॉजिकल स्ट्रक्चर आणि डॉक्युमेंटेशनच्या लिंक्ससह संग्रहित करते, तसेच एक चेकलिस्ट देखील देते जी तातडीच्या गोष्टींवर प्रकाश टाकते. तीव्रतेनुसार विभाजन आणि चौकटींचा संदर्भ हे CISO आणि तांत्रिक संघांना संदर्भ प्रदान करते. पिंगकॅसल, त्याच्या बाजूने, KPIs आणि तिमाही देखरेख सुलभ करण्यासाठी गुण, प्राधान्यक्रमित निष्कर्ष आणि इच्छित असल्यास, एकत्रित दृश्यांसह एक अहवाल सादर करते.

इशारे आणि ऑपरेशनल विचार

पिंगकॅसलमध्ये, बहु-वन वातावरणात किंवा डझनभर डोमेनसह, अहवालांना नेव्हिगेट करण्यासाठी आणि प्राधान्य देण्यासाठी अतिरिक्त कामाची आवश्यकता असू शकते. मूलभूत आवृत्तीमध्ये प्रगत वैशिष्ट्ये आणि विस्तृत प्रूफरीडिंग मार्गदर्शकांचा अभाव आहे.ही वैशिष्ट्ये सशुल्क परवान्यांसह समाविष्ट आहेत. पर्पल नाइट, एक-वेळ मूल्यांकन असल्याने, सतत देखरेख प्रणालीची जागा घेत नाही आणि त्याच्या स्वयंचलित शमन क्षमता मोफत आवृत्तीमध्ये उपलब्ध नाहीत.

त्यापैकी कोणताही AD साठी IDS/IPS असण्याचा हेतू नाही; ते निदानात्मक पूरक आहेत जे उपचार आणि परिपक्वता योजनांमध्ये भर घालतात. रिअल-टाइम अलर्ट आणि प्रतिसाद गरजा असलेल्या परिस्थितीतसेम्पेरिस डीएसपी किंवा सतत ऑडिट ऑफरिंग्ज सारखे आयटीडीआर सोल्यूशन्स प्रत्यक्षात येतात.

परिसंस्थेला पूरक असलेली इतर साधने

जेव्हा सातत्य आणि संदर्भासह प्रत्येक बदल रेकॉर्ड करण्यावर लक्ष केंद्रित केले जाते, तेव्हा नेटवरिक्स ऑडिटर अ‍ॅक्टिव्ह डायरेक्टरी आणि इतर सिस्टममध्ये (एक्सचेंज, एसक्यूएल सर्व्हर, शेअरपॉइंट, मायक्रोसॉफ्ट ३६५, टीम्स, इ.) बदल नियंत्रण प्रदान करतो. संशयास्पद बदलांबद्दल वापरकर्त्यांना सतर्क करण्यावर त्याचे लक्ष केंद्रित आहे. (उदाहरणार्थ, जर एखाद्या वापरकर्त्याला डोमेन प्रशासक गटात जोडले असेल तर) आणि प्रशासनासाठी उपयुक्त दृश्यांसह कॉन्फिगरेशन इतिहास राखा.

हल्ल्याचे मार्ग समजून घेण्यासाठी आणि संबंधांवर नियंत्रण ठेवण्यासाठी, ब्लडहाउंड हे एक क्लासिक ओपन-सोर्स (GPL-3.0) टूल आहे जे शार्पहाउंड आणि अझरहाउंड सारख्या कंपायलर्ससह AD मध्ये ऑब्जेक्ट्स, रिलेशनशिप्स आणि परवानग्यांचे मॉडेलिंग करते. ते लाल संघांसाठी आणि निळ्या संघांसाठीही महत्त्वाचे आहे. ज्यांना महत्त्वाच्या उद्दिष्टांपर्यंत पोहोचण्याचा "सर्वात लहान मार्ग" कल्पित करायचा आहे आणि चढाईचे मार्ग बंद करायचे आहेत.

रिअल-टाइम प्रतिसाद आणि देखरेखीच्या क्षेत्रात, सेम्पेरिसचा डायरेक्टरी सर्व्हिसेस प्रोटेक्टर (DSP) AD आणि Entra ID दोन्हीमध्ये दुर्भावनापूर्ण बदलांना प्रतिसाद म्हणून सतत देखरेख, सूचना आणि अगदी स्वयंचलित रोलबॅक देखील प्रदान करतो. हे पॉइंट असेसमेंटमध्ये गहाळ ITDR लेयर म्हणून काम करते. आणि ओळखीच्या घटना रोखण्याच्या प्रक्रियेला गती देते.

फ्रेंच ANSSI (फ्रेंच डेटा सिक्युरिटी एजन्सी) अ‍ॅक्टिव्ह डायरेक्टरीसाठी ORADAD आणि Azure/Entra साठी ORADAZ सारख्या उपयुक्तता प्रदान करते, ज्या प्रगत ऑडिटमध्ये वापरल्या जातात. डेटा संकलन सार्वजनिक असले तरी, संपूर्ण प्रक्रियेसाठी अप्रकाशित साधनांची आवश्यकता असते. सरकारी मार्गदर्शक तत्त्वांचे पालन करणाऱ्या संघांसाठी हे मौल्यवान संदर्भ आहेत. किंवा मान्यताप्राप्त सर्वोत्तम पद्धतींसह ऑडिट संरेखित करू इच्छिता.

काही बाजार तुलना होस्टिंग आणि विविध तैनाती (विंडोज सेवा, पोर्टेबल, ऑन-प्रिमाइसेस किंवा SaaS), MITRE ATT&CK शी सहसंबंध, CSV मध्ये निर्यात, बहु-भाडेकरू क्षमता आणि दस्तऐवजीकरण पद्धतीने जोखीम स्वीकारण्याचे पर्याय दर्शवितात. प्रत्यक्षात, निवड ही स्पॉट ऑडिटिंग, घटना शोधणे आणि चालू प्रशासन यांच्यात संतुलन साधण्यावर अवलंबून असते.बजेट, परवाना (काही प्रकरणांमध्ये वैयक्तिक वापरासाठी मोफत) आणि भागीदार समर्थन लक्षात घेऊन.

वारंवार विचारले जाणारे प्रश्न: मी वापरकर्त्याला ही साधने चालवण्यापासून रोखू शकतो का?

जेव्हा तुम्हाला असे आढळते की पोर्टेबल टूल्स अ‍ॅडमिनिस्ट्रेटरच्या विशेषाधिकारांशिवाय चालू शकतात तेव्हा हा एक सामान्य प्रश्न पडतो. साधारणपणे, पर्पल नाईट आणि पिंगकॅसल हे वापरकर्त्यांना डायरेक्टरी क्वेरी करण्याची परवानगी देऊन केवळ वाचनीय मोडमध्ये काम करतात. जर तुमचे ध्येय त्याच्या अंमलबजावणीवर मर्यादा घालणे असेल, तर अनुप्रयोग नियंत्रण कार्यात येते.अ‍ॅपलॉकर किंवा विंडोज डिफेंडर अ‍ॅप्लिकेशन कंट्रोल (डब्ल्यूडीएसी) सारख्या धोरणे किंवा सॉफ्टवेअर प्रतिबंध नियम, अनधिकृत बायनरी मर्यादित करण्यास मदत करतात. याव्यतिरिक्त, अ‍ॅक्टिव्ह डायरेक्टरीमध्ये परवानग्या कडक केल्याने मानक वापरकर्त्यांना संवेदनशील डेटाचा संपर्क कमी होतो.

असं असलं तरी, AD सुरक्षा मॉडेल असे गृहीत धरते की काही माहिती प्रमाणित वापरकर्त्यांद्वारे वाचता येते कारण अनेक अनुप्रयोग त्यावर अवलंबून असतात. प्रभावी शमनमध्ये प्रतिनिधीमंडळांना बळकटी देणे, नियंत्रण मार्गांचे ऑडिट करणे आणि विशेषाधिकार कमी करणे समाविष्ट आहे.या साधनांचा वापर करून काय दृश्यमान किंवा सक्षम नसावे हे शोधणे आणि दुरुस्त करणे. प्रतिबंध केवळ एक्झिक्युटेबल्स ब्लॉक करण्यावर अवलंबून नसावा, तर कॉन्फिगरेशन स्तरावर हल्ला पृष्ठभाग काढून टाकण्यावर अवलंबून असावा.

सामान्य वापराची प्रकरणे आणि स्मार्ट संयोजन

एक लहान आयटी टीम ज्यांना जलद निदान आणि स्पष्ट समस्यानिवारण मार्गदर्शकाची आवश्यकता आहे ते पर्पल नाइटची प्रशंसा करतील. तीव्रतेनुसार प्राधान्यक्रम आणि सक्षम फ्रेमवर्कसाठी त्याचे मॅपिंग हे वापरकर्त्यांना प्रवेश चाचण्या तयार करण्यास, प्रगती प्रदर्शित करण्यास आणि व्यवस्थापनाला जोखीम कळविण्यास अनुमती देते. दरम्यान, आवर्ती अंतर्गत ऑडिट आणि अनेक डोमेनची सेवा देणाऱ्या सल्लागार संस्थांना पिंगकॅसलच्या परिपक्वता मॉडेल, डोमेन मॅपिंग आणि एकत्रीकरण क्षमतांचा फायदा होतो.

अनेक संस्था पूरक अंतर्दृष्टी मिळविण्यासाठी दोन्ही साधने वेगवेगळ्या चक्रांमध्ये चालवतात: प्रथम IOE/IOC सोबत "स्नॅपशॉट", त्यानंतर एकत्रित आरोग्य तपासणीसह प्रक्रिया आणि परिपक्वतेचा आढावा. क्रॉस-व्हॅलिडेशनमुळे खोटे निगेटिव्ह कमी होतात आणि उपाय प्राधान्यक्रम सुधारतो.मध्यम कालावधीत गंभीर अंतर कमी करण्याचे काम जलद करणे आणि ओळख स्वच्छता वाढवणे.

यात काहीच यश नाही. चांगल्या निवडीमध्ये गरजा आणि क्षमता यांचा समतोल साधणे समाविष्ट आहे: नियमात्मक मार्गदर्शक तत्त्वांसह एक स्नॅपशॉट किंवा परिपक्वता मॉडेल आणि नकाशे? एकवेळ मूल्यांकन की ITDR सोबत सतत देखरेख? उत्तर सहसा "होय, आणि..." असे असते, "किंवा" असे जोरदार उत्तर देण्याऐवजी.जोखीम आणि बजेटनुसार तयार केलेल्या देखरेख उपायांसह मोफत मूल्यांकनाचे संयोजन.

जर ओळख सुरक्षेत शाश्वत सुधारणा करण्याचे उद्दिष्ट असेल, तर नियमित मूल्यांकनांचे वेळापत्रक तयार करणे, प्रतिनिधीमंडळे आणि ट्रस्टचा आढावा घेणे आणि खाते स्वच्छता राखणे, GPOs (आणि ADMX फायली) आणि केर्बेरोस. पर्पल नाइट आणि पिंगकॅसलचा एकत्रित वापर, तसेच चेंज ऑडिट लेयर आणि/किंवा आयटीडीआरहे लवकर ओळख, प्राधान्यक्रमित सुधारणा आणि AD आणि Entra ID च्या स्थितीचे सतत निरीक्षण यांच्यात योग्य संतुलन प्रदान करते.