SpecterOps BloodHound Enterprise

更大限度减少攻击路径,并全方位保护Active Directory和Azure。攻击路径管理是保护Active Directory (AD)和Microsoft 365环境以抵御攻击的重要组件。Microsoft报告称仅2021年就有超过250亿次针对企业帐户的攻击尝试,因此保护攻击路径至关重要。SpecterOps BloodHound Enterprise通过确定攻击路径瓶颈的优先级并进行量化,为您提供确定并消除具有最高泄露风险的路径,从而大幅简化了保护过程。

Contact Sales
传统上,攻击路径管理一直充满挑战。为什么?因为作为安全践行者,您通常习惯于利用列表展开思考 — 检查数以千计的常规配置问题。另一方面,攻击者则利用图形展开思考。这种思考角度使他们更加轻松地找到有效的攻击路径。SpecterOps BloodHound Enterprise可为您提供所有AD和Azure攻击路径的图形映射,使您可以轻松确定优先事务并消除攻击者可以利用的大多数重要途径,从而助您大幅降低攻击风险。

主要优势

持续攻击路径映射

确定瓶颈优先顺序

重要资产保护

实用补救指南

全面的补救分析

AD安全状况衡量

卓越的Azure AD可见性

http://default

功能

重要资产的俯视图

SpecterOps BloodHound Enterprise为攻击路径管理提供巨大的支持,它可显示AD和Azure(Azure AD和Azure Resource Manager)中重要资产的超集 — 这犹如皇冠上的宝石,一旦被网络攻击者控制,就意味着满盘皆输。然后,它会从该视角映射每个攻击路径。作为防御者,保护攻击路径需要了解每一个可能的途径,而SpecterOps BloodHound Enterprise可以确定混合环境中的每个关系,并明确说明攻击者如何滥用任何一组主体来获得对重要资产的访问权限。

确定并量化泄露的瓶颈

但是,映射重要资产和路径只是攻击路径管理的一部分。SpecterOps BloodHound Enterprise通过量化这些瓶颈来更进一步。例如,它可以告诉您92%的Active Directory用户和计算机能够通过应用到此域控制器的ACL来危害域。它非常具体地说明了相关风险,以及补救攻击路径和消除下游错误配置所需的特定权限。

量化对安全状况的影响

由于SpecterOps BloodHound Enterprise会衡量每个风险,您将看到组织在混合AD环境中存在的整体风险。但是在您通过消除瓶颈来提升攻击路径管理时,可以查看这些更改对总体安全状况的影响。例如,通过保护攻击路径,您可以大幅降低遭受攻击的风险。大多数公司最初的风险敞口介于70%和100%之间。目标是将贵组织的风险敞口降至20%以下,而SpecterOps BloodHound Enterprise可助您做到这一点。
攻击路径管理软件实现全面的风险评估和威胁监控

全面的风险评估和威胁防护

将SpecterOps BloodHound Enterprise与On Demand AuditChange Auditor集成,打造全面的风险评估和威胁监控解决方案。同时,您将能够识别所有Tier Zero资产,计算这些资产的所有攻击路径,然后监视这些攻击路径有无可疑活动。您能够及早检测威胁,包括未经授权的域复制、离线提取AD数据库以及GPO链接。您甚至能够阻止对特权组和组策略等敏感对象进行更改,以防范特权升级企图,缓解和避免代价高昂的勒索软件攻击。
通过保护GPO来消除攻击路径

通过保护GPO来消除攻击路径

将SpecterOps BloodHound Enterprise与GPOADmin搭配使用时,您将能够通过保护GPO来提升攻击路径管理。这些解决方案使您可以在部署之前确保更改遵循更改管理最佳实践,这是Active Directory组策略管理中的重要一步。此外,您能够通过自动化认证持续验证GPO — 这是任何第三方组策略管理解决方案的必备功能。不仅如此,您还能够在GPO更改产生意外影响时快速恢复到正常工作的GPO,从而在数秒内让您的环境继续顺畅运行。
风险保护和补救保险

风险保护和补救保险

为实现真正的风险保护和补救保险,可将SpecterOps BloodHound Enterprise与Recovery Manager for Active Directory Disaster Recovery EditionOn Demand Recovery结合使用。此产品组合在备份混合Active Directory和快速从任何错误、损坏或灾难中恢复方面,可为您提供全面的功能。此外,可以通过将AD的在线状态与其备份(或多个备份)进行比较,突出显示自上次备份以来做出的更改。除此之外,您还可以还原AD中的任何对象,包括用户、属性、组织单元(OU)、计算机、子网、站点、配置和组策略对象(GOP)。

教程

持续攻击路径映射
确定瓶颈
重要资产的俯视图
探索复杂的关系
全面的威胁监控
确定补救优先级
实用补救指南
消除GPO攻击路径
风险保护和保险

持续攻击路径映射

直观显示重要AD和Azure资产的每个攻击路径,以及所有复杂关系和连接。

确定瓶颈

查找瓶颈 — 消除后可以大幅提升安全状况的顶级攻击路径。

重要资产的俯视图

定义最有价值(零层)资产,以查找对手可用于获取控制的所有路径。

探索复杂的关系

直观显示AD和Azure中的复杂连接和关系,以了解哪些错误配置导致贵组织的最有价值资产面临风险。

全面的威胁监控

将SpecterOps BloodHound Enterprise与On Demand Audit和Change Auditor集成,打造全面的风险评估和威胁监控解决方案。 

确定补救优先级

确定并量化攻击路径瓶颈,这会消除重要资产的大多数攻击路径。 

实用补救指南

获得实用补救指导以及有关如何消除可供对手利用的攻击路径的明确说明。

消除GPO攻击路径

GPO(SpecterOps BloodHound Enterprise确定的一个最重要的攻击路径)可以通过GPOADmin进行保护和管理。

风险保护和保险

Recovery Manager for AD Disaster Recovery Edition可在攻击路径补救产生意外后果时提供回滚功能,并在对手攻击您的AD时提供保险。

技术规格

SpecterOps BloodHound Enterprise要求安装SharpHound Enterprise内部部署代理,这是部署中的一个重要元素,可以收集有关您环境的数据并将其上传到BloodHound Enterprise实例以进行处理和分析。SharpHound Enterprise通常按域部署在单个加入域的Windows系统上,并以域用户帐户身份运行。

AzureHound Enterprise服务会收集有关您的Azure环境的数据并将其上传到BloodHound Enterprise实例,以进行处理和分析。AzureHound Enterprise通常按Azure租户部署在单个Windows系统上,并且能够以SharpHound Enterprise服务帐户身份在同一系统上运行。

服务器要求

系统:
  • Windows Server 2012+
  • 16 GB RAM
  • 100 GB硬盘空间
  • .NET 4.5.2+
网络:
  • 443/TCP上TLS到租户URL(由客户团队提供)
  • 443/TCP上TLS到Azure租户(如果适用)
权限:

SharpHound(内部部署Active Directory连接)

  • 添加到本地管理员组的服务帐户

AzureHound(Azure收集)

  • Azure AD租户上的目录读取器
  • 所有Azure订阅上的读取器
  • Microsoft图形上的Directory.Read.All

Active Directory枚举会显示BloodHound Enterprise所需的大多数基本信息。此外,SharpHound Enterprise会枚举所有加入域的Microsoft系统上的本地组和会话,以提供出色的可见性。

收集类型

服务帐户权限

服务网络访问权限

Active Directory

有权读取已删除对象的域用户帐户。

389/TCP上LDAP到至少一个域控制器

本地组和用户会话(特权)

工作站和服务器上的本地管理员

445/TCP上SMB到所有加入域的系统

Azure

Azure AD租户上的目录读取器,所有Azure订阅上的读取器,Microsoft图形上的AppRoleAssignment.ReadWrite.All和RoleManagement.Read.All

443/TCP上TLS到租户