Examiner les chemins de mouvement latéral avec ATA

S’applique à : Advanced Threat Analytics version 1.9

Même lorsque vous faites de votre mieux pour protéger vos utilisateurs sensibles et que vos administrateurs ont des mots de passe complexes qu’ils changent fréquemment, que leurs machines sont renforcées et que leurs données sont stockées en toute sécurité, les attaquants peuvent toujours utiliser des chemins de mouvement latéral pour accéder aux comptes sensibles. Dans les attaques de mouvement latéral, l’attaquant tire parti des instances où des utilisateurs sensibles se connectent à une machine où un utilisateur non sensible dispose de droits locaux. Les attaquants peuvent ensuite se déplacer latéralement, accéder à l’utilisateur moins sensible, puis se déplacer sur l’ordinateur pour obtenir des informations d’identification pour l’utilisateur sensible.

Qu’est-ce qu’un chemin de mouvement latéral ?

Le mouvement latéral est quand un attaquant utilise des comptes non sensibles pour accéder à des comptes sensibles. Pour ce faire, utilisez les méthodes décrites dans le guide des activités suspectes. Les attaquants utilisent le mouvement latéral pour identifier les administrateurs de votre réseau et découvrir les machines auxquelles ils peuvent accéder. Avec ces informations et d’autres mouvements, l’attaquant peut tirer parti des données de vos contrôleurs de domaine.

ATA vous permet d’effectuer des actions préventives sur votre réseau pour empêcher les attaquants de réussir à se déplacer latéralement.

Découvrir vos comptes sensibles à risque

Pour découvrir quels comptes sensibles de votre réseau sont vulnérables en raison de leur connexion à des comptes ou ressources non sensibles, dans un délai spécifique, procédez comme suit :

1. Dans le menu de la console ATA, sélectionnez

2. Sous Mouvements latéraux chemins vers des comptes sensibles, si aucun chemin de mouvement latéral n’est trouvé, le rapport est grisé. S’il existe des chemins de mouvement latéral, les dates du rapport sélectionnent automatiquement la première date lorsqu’il existe des données pertinentes.

   

3. Sélectionnez Télécharger.

4. Le fichier Excel créé vous fournit des détails sur vos comptes sensibles à risque. L’onglet Résumé fournit des graphiques qui détaillent le nombre de comptes sensibles, d’ordinateurs et de moyennes pour les ressources à risque. L’onglet Détails fournit une liste des comptes sensibles qui doivent vous préoccuper. Notez que les chemins d’accès sont des chemins qui existaient précédemment et qu’ils ne sont peut-être pas disponibles aujourd’hui.

Examiner

Maintenant que vous savez quels comptes sensibles sont à risque, vous pouvez vous plonger dans ATA pour en savoir plus et prendre des mesures préventives.

1. Dans la console ATA, recherchez le badge de mouvement latéral ajouté au profil d’entité lorsque l’entité se trouve dans une de mouvement latéral. Cette option est disponible s’il y a eu un mouvement latéral au cours des deux derniers jours.

2. Dans la page de profil utilisateur qui s’ouvre, sélectionnez l’onglet Chemins de mouvement latéral .

3. Le graphique affiché fournit une carte des chemins d’accès possibles à l’utilisateur sensible. Le graphique montre les connexions qui ont été établies au cours des deux derniers jours.

4. Passez en revue le graphique pour voir ce que vous pouvez apprendre sur l’exposition des informations d’identification de votre utilisateur sensible. Par exemple, dans cette carte, vous pouvez suivre l’élément Connecté par des flèches grises pour voir où Samira s’est connectée avec ses informations d’identification privilégiées. Dans ce cas, les informations d’identification sensibles de Samira ont été enregistrées sur l’ordinateur REDMOND-WA-DEV. Ensuite, vérifiez quels autres utilisateurs se sont connectés aux ordinateurs qui ont créé le plus d’exposition et de vulnérabilité. Vous pouvez le voir en examinant l’administrateur sur les flèches noires pour voir qui dispose de privilèges d’administrateur sur la ressource. Dans cet exemple, tous les membres du groupe Contoso All ont la possibilité d’accéder aux informations d’identification de l’utilisateur à partir de cette ressource.

   

Bonnes pratiques préventives

• La meilleure façon d’empêcher les mouvements latéraux consiste à s’assurer que les utilisateurs sensibles utilisent leurs informations d’identification d’administrateur uniquement lorsqu’ils se connectent à des ordinateurs renforcés où aucun utilisateur non sensible ne dispose de droits d’administrateur sur le même ordinateur. Dans l’exemple, assurez-vous que si Samira a besoin d’accéder à REDMOND-WA-DEV, elle se connecte avec un nom d’utilisateur et un mot de passe autres que ses informations d’identification d’administrateur, ou supprimez le groupe Contoso All du groupe administrateurs local sur REDMOND-WA-DEV.

• Il est également recommandé de vous assurer que personne ne dispose d’autorisations administratives locales inutiles. Dans l’exemple, case activée de voir si tous les utilisateurs de Contoso All ont vraiment besoin de droits d’administrateur sur REDMOND-WA-DEV.

• Assurez-vous que les utilisateurs ont uniquement accès aux ressources nécessaires. Dans l’exemple, Oscar Ensemble élargit considérablement l’exposition de Samira. Est-il nécessaire qu’ils soient inclus dans le groupe Contoso All ? Existe-t-il des sous-groupes que vous pouvez créer pour réduire l’exposition ?

Conseil

Si l’activité n’est pas détectée au cours des deux derniers jours, le graphique n’apparaît pas, mais le rapport de chemin de mouvement latéral est toujours disponible pour fournir des informations sur les chemins de mouvement latéral au cours des 60 derniers jours.

Conseil

Pour obtenir des instructions sur la façon de configurer vos serveurs pour permettre à ATA d’effectuer les opérations SAM-R nécessaires à la détection de chemin de mouvement latéral, configurez SAM-R.

Voir aussi

• Travailler avec des activités suspectes
• Consultez le forum ATA !