Protégez votre Active Directory avec SENTINELONE

L’Active Directory (AD) est aujourd’hui le système d’annuaire LDAP le plus répandu dans les entreprises. Qu’il soit on-premise ou dans le Cloud (Entra ID, anciennement Azure AD), il constitue une porte d’entrée ultra-sensible sur votre système d’information. Pensé pour faciliter le quotidien des équipes informatiques, l’outil développé par MICROSOFT regroupe en un seul et même endroit les identifiants et les permissions d’accès de l’ensemble de vos collaborateurs. Ce qui fait sa force, constitue paradoxalement une menace car une fois compromis, de lourdes conséquences sont souvent à prévoir pour toute l’organisation.

Comment protéger son AD ?

La surface d’attaque

Vous souhaitez réduire votre surface d’attaque ? Pour comprendre quels sont les points à surveiller, il faut aborder les principales vulnérabilités que l’on peut rencontrer sur un environnement Active Directory.

Les principaux points d’entrées

En amont d’une tentative d’attaque, un ou plusieurs points d’entrées sont ciblés par les pirates. Ils exploitent certaines failles de sécurité très précises pour pénétrer dans le système d’information dans le but de se propager.
Parmi les vulnérabilités les plus répandues on retrouve :

• Des erreurs de configuration des comptes.
• Des OS et applications obsolètes.
• Des mises à jour non effectuées.

Le vol d’identifiants

Les attaques qui ont pour but de voler les identifiants des utilisateurs ou administrateurs permettent aux pirates informatiques d’accéder aux ressources de l’entreprise. Le hacker peut ensuite rester furtif et simplement usurper l’identité de la personne ou bien se propager sur le réseau en effectuant du mouvement latéral.
Les comptes qui sont souvent pris pour cible sont :

• Les comptes à privilèges élevés.
• Les VIP.
• Les contrôleurs de domaines.

Les points à surveiller

Il est possible de limiter la surface d’attaque en adoptant certaines bonnes pratiques.

• Évitez de donner trop de droits à un utilisateur en adoptant un principe de « least privilege ».
• Éxigez l’authentification à multi facteurs pour les utilisateurs et ajoutez une couche de sécurité physique pour les administrateurs.
• Sécurisez l’endroit physique où sont hébergés vos contrôleurs de domaine.

Les solutions SENTINELONE pour surveiller et protéger son Active Directory

Au-delà des bonnes pratiques, des outils existent pour simplifier le déploiement et l’administration de l’Active Directory.
SENTINELONE propose une nouvelle solution qui couvre tout le paysage des menaces observable sur Active Directory. Chaque composant développé par l’éditeur également pionnier dans la protection renforcée des postes de travail, est dédié à un besoin spécifique et est centralisé au sein de la SINGULARITY XDR PLATFORM. Chacun est donc indépendant mais complémentaire.

RANGER AD : Analysez votre exposition et réduisez la surface d’attaque.

SENTINELONE RANGER AD évalue les mauvaises configurations, les vulnérabilités et les menaces qui fragilisent votre Active Directory. Cette solution propose les mêmes fonctionnalités, que l’AD soit déployé on-premise ou dans le Cloud (Entra ID).
Fini l’audit manuel et les investigations longues et laborieuses. RANGER AD analyse automatiquement et en temps-réel les failles qui ciblent spécifiquement chaque point d’entrée (contrôleur de domaine, terminaux, comptes utilisateurs…).
Selon votre configuration et les risques identifiés, l’outil vous propose des mesures de remédiation et des bonnes pratiques à adopter. Si une mauvaise configuration a été mise en place, l’administrateur peut profiter des fonctionnalités de rollback pour en trois clics, restaurer une architecture précédemment déployée.

RANGER AD PROTECT : Protégez votre AD contre les attaques.

RANGER AD PROTECT ajoute une couche de détection supplémentaire et des fonctionnalités de sécurisation plus avancées que RANGER AD.
Pour les environnements Active Directory on-premise, PROTECT détecte les attaques qui émanent de tout endpoint connecté sur le réseau grâce à un agent unique installé sur le contrôleur de domaine.
De plus, SENTINELONE peut déclencher une authentification multi-facteurs si une attaque est avérée afin de bloquer les pirates tout au début de leur phase d’attaque.

Retrouvez le replay de la session du jeudi 8 février

Le 8 février Christian MILAN, SOC Manager SNS SECURITY et Dylan CAZALET, Analyste SOC SNS SECURITY ainsi que Mathieu VIALETAY, Presales Engineer SENTINELONE ont eu le plaisir de vous accueillir pour une nouvelle session en direct sur notre chaîne WEBIKEO. Si vous souhaitez découvrir la démonstration d’attaque réalisée en live ou en savoir plus sur la protection des identités, inscrivez-vous dès maintenant pour regarder la rediffusion.