Broadcom Symantec Endpoint Threat Defense for Active Directory 仕様
- タイプ
- 仕様
Active Directory:
域感染的根源所在
全球 90% 的公司均使用 Microsoft Active Directory 这一网络域
服务以管理并控制其内部资源:服务器、端点、应用程序和
用户
1
。Active Directory (AD) 原本就设计为对任何连接到域的
用户开放,这意味着公司网络上的所有身份信息和资源均会
暴露,使得 AD 成为攻击者的头号目标。
攻击者只需感染一个连接到公司域的端点,即可入侵整个
组织:
• 想知道敏感数据的存储位置?
• 想知道管理员的位置?
• 想知道如何侵占目标环境?
只需攻破 Microsoft Active Directory。
一旦成功感染某个连接到域的端点,攻击者就可以对 AD 数据
库进行侦察,全面了解所有组织资源。下一步就是窃取端点
上本地存储的域凭据或远程存储在其他资源上的域凭据。凭
借窃取的凭据,攻击者即可获得完全访问权限,对企业中所
有服务器、应用程序和计算机进行隐蔽的访问,最终窃取或
加密数据。
攻击者会在入侵后使用受信任的应用程序和内置工具。由于
使用的是受信任的应用程序和内置协议,而非恶意二进制文
件,因此检测、取证追踪以及搜索这些隐秘攻击几乎是不可
能完成的任务。
通过强化 Active Directory
遏制 APT
Symantec Endpoint Threat Defense for Active Directory
(Endpoint Threat Defense for AD) 强化了赛门铁克的端点安
全解决方案,可通过有效的 Active Directory 端点防御应对隐
秘攻击或 APT,从而自动进行漏洞防护、事件响应和域安全
评估。
这是唯一一款可在攻击者感染端点后立即遏制攻击的安全解
决方案,能够避免攻击者持续攻击域。这款方案能够阻止攻
击者的侦察活动,同时避免攻击者利用 Active Directory 横向
移动并感染其他资产。Threat Defense for AD 以当今网络中
最易受到攻击的路径为切入点,从攻击源头(即端点)检测
并阻止漏洞,从而大大降低所需时间、工作量和可能出现的
错误。
Threat Defense for AD 应用 AI 驱动的本地语言处理技术、复杂
的代码混淆技术和高级取证方法以迅速发现并阻止泄露。
产品资料
Symantec Endpoint Threat Defense
for Active Directory
1
Active Directory 概述,Philippe Beraud,Microsoft Corporation,2016 年
02
产品资料 | SYMANTEC ENDPOINT THREAT DEFENSE FOR ACTIVE DIRECTORY
利用代码混淆技术保护
Active Directory 抵御攻击
Threat Defense for AD 能够有效阻止攻击者侦察漏洞位置的企
业内部资源,包括所有端点、服务器、用户、应用程序和本
地存储的凭据。赛门铁克解决方案能够自动全面了解企业内
的 Active Directory 结构(服务器、端点、应用程序、用户、
分支、命名规则、配置、属性等),并使用此数据创建真实
且无限制的代码混淆。该解决方案将对端点上的流程、上下
文和 Active Directory 活动进行运行时评估,以确定是否需
要激活代码混淆。代码混淆后,攻击者会看到连接到域的资
产已受感染;当攻击者与资产互动或试图使用域管理员凭据
时,Threat Defense for AD 会立即发现其踪迹。此时会触发高
保真警报并自动阻止攻击。
实时检测漏洞和自动遏制
攻击
检测到攻击的那一刻,系统会从端点触发警报,并利用按需
扫描收集与攻击相关的特定取证信息。只有在检测到攻击
时,自动开展取证流程和扫描以获取确切的信息,保证仅
处理高优先级的正确警报,避免浪费精力处理无关紧要的
警报。
该解决方案使用专为企业 AD 域环境设计的独特事件响应方
法,提供实时取证报告,捕获攻击者开展的实际侦察、凭据
盗窃和横向移动活动。该解决方案会记录攻击链并回溯至其
起点,以确定攻击从何处开始,评估此次攻击是本地事件还
是更大的攻击计划的一部分。自动缓解措施可以阻止端点上
的恶意进程,实时遏制数据泄露,避免其生成另一个进程、
覆盖另一部分内存、运行侦察命令或与网络通信。
应用程序
身份信息
服务器
PC
Threat Defense
for AD
+
Active
Directory
查询
查询
管理
信息
有价值的信息
泄露点
Copyright © 2018 Symantec Corporation. © 2018 年赛门铁克公司版权所有。All rights reserved. 保留所有权利。 Symantec、Symantec 标识和对勾标
识是赛门铁克公司或其附属机构在美国和其他国家/地区的商标或注册商标。“Symantec”及“赛门铁克”是赛门铁克公司在中国的注册商标。 其他
名称可能是其各自所有者的商标。
19C199995_DS_SEP_THREAT_DEFENSE_AD_CN
持续评估 Active Directory
以减少攻击面
随着企业的 Active Directory 实施情况不断演变,可能无法正
确维护配置设置或提高安全性,域和 Active Directory 服务
中也可能开始出现漏洞,攻击者可能会利用这些漏洞进行攻
击。此外,攻击者还会留下后门和持久化钩子,以便随时卷
土重来。Threat Defense for AD 会不断探测域配置错误、漏洞
和持久化钩子,并从攻击者的角度向 Active Directory 管理员
呈现域的状况,以便立即降低风险,减少攻击面。
自动化评估流程会通过攻击模拟收集关于域配置、特权账
户、安全设置、GPO、端点、域控制器和 Kerberos 等的深
度信息。随后,该流程会自动分析域的每个组件和 Active
Directory 结构,查找错误配置和攻击者可能遗留的后门。
务必持续识别这些错误配置和后门,以降低域面临的风险。
一旦找出错误配置或后门,该方案就会向中央控制台发送警
报,并提供有关补救的规范措施建议。
要了解有关 Symantec Endpoint Threat Defense for Active
Directory 的详细信息,请访问 http://www.go.symantec.com/
threat-defense-for-ad
赛门铁克中国地区办事处 | 北京 电话:(010)58746999 | 上海 电话:(021)60377266
广州 电话:(020)28017160 | 安全产品售后技术支持热线: 800 810 3992 | www.symantec.com.cn
关于赛门铁克
赛门铁克公司(纳斯达克:SYMC)是全球领先的网络安全企业,旨在帮助企业、政府机构及个人保护他们的重要数据安全。全球企业都青睐选用赛门铁克的战略性
集成式解决方案,在端点、云和基础架构抵御复杂攻击。同时,全球 5000 多万的个人和家庭也在使用赛门铁克的 Norton 和 LifeLock 产品,保护家庭各类联网设备安
全,畅享无忧数字生活。赛门铁克经营的在全球规模数一数二的威胁情报网络,能够发现和抵御最高级威胁。如欲了解其他信息,请访问 www.symantec.com.cn 或通过
weibo.com/SymantecChina 联系我们。
-
1
-
2
-
3
Broadcom Symantec Endpoint Threat Defense for Active Directory 仕様
- タイプ
- 仕様
その他のドキュメント
-
ESET PROTECT 8.0 Administration Guide
-
-
-
-
-
-
-
-
Dell Endpoint Security Suite Enterprise 取扱説明書