Comprendre et examiner les chemins de mouvement latéral (LPM) avec Microsoft Defender pour Identity
Le mouvement latéral se produit lorsqu’un attaquant utilise des comptes non sensibles pour accéder à des comptes sensibles sur l’ensemble de votre réseau. Le mouvement latéral est utilisé par les attaquants pour identifier les comptes sensibles et les machines de votre réseau qui partagent les informations d’identification de connexion stockées dans des comptes, des groupes et des ordinateurs et y accéder. Une fois qu’un attaquant effectue des mouvements latéraux réussis vers vos cibles clés, il peut également tirer parti et accéder à vos contrôleurs de domaine. Les attaques de mouvement latéral sont effectuées à l’aide de nombreuses méthodes décrites dans Microsoft Defender pour Identity Alertes de sécurité.
Un composant clé des insights de sécurité de Microsoft Defender pour Identity sont les chemins de mouvement latéral ou LPM. Les LPM Defender pour Identity sont des guides visuels qui vous aident à comprendre et à identifier rapidement comment les attaquants peuvent se déplacer latéralement à l’intérieur de votre réseau. L’objectif des mouvements latéraux au sein de la chaîne de destruction des cyberattaques permet aux attaquants d’obtenir et de compromettre vos comptes sensibles à l’aide de comptes non sensibles. La compromission de vos comptes sensibles leur permet de se rapprocher de leur objectif ultime, la domination du domaine. Pour empêcher ces attaques de réussir, les LPM Defender pour Identity vous fournissent des conseils visuels directs et faciles à interpréter sur vos comptes les plus vulnérables et sensibles. Les LPM vous aident à atténuer et à prévenir ces risques à l’avenir, et à fermer l’accès des attaquants avant qu’ils n’atteignent la domination du domaine.
Par exemple :
Les attaques de mouvement latéral sont généralement effectuées à l’aide de plusieurs techniques différentes. Certaines des méthodes les plus populaires utilisées par les attaquants sont le vol d’informations d’identification et Passer le ticket. Dans les deux méthodes, vos comptes non sensibles sont utilisés par les attaquants pour les déplacements latéraux en exploitant des machines non sensibles qui partagent les informations d’identification de connexion stockées dans des comptes, des groupes et des machines avec des comptes sensibles.
Regardez la vidéo suivante pour en savoir plus sur la réduction des chemins de mouvement latéral avec Defender pour Identity :
Où puis-je trouver les LPM Defender pour Identity ?
Chaque identité découverte par Defender pour Identity dans un LMP contient des informations de chemins de mouvement latéral sous l’onglet Observé dans organization. Par exemple:
Le LMP de chaque entité fournit des informations différentes en fonction de la sensibilité de l’entité :
- Utilisateurs sensibles : le ou les LMP potentiels menant à cet utilisateur sont affichés.
- Utilisateurs et ordinateurs non sensibles : les LMP potentiels auxquels l’entité est liée sont affichés.
Chaque fois que l’onglet est sélectionné, Defender pour Identity affiche le dernier LMP découvert. Chaque LMP potentiel est enregistré pendant 48 heures après la découverte. L’historique LMP est disponible. Affichez les anciennes adresses LPM qui ont été découvertes dans le passé en choisissant Sélectionner une date. Vous pouvez également choisir un autre utilisateur qui a lancé le LMP en sélectionnant Initiateur de chemin.
Découverte LMP à l’aide de la chasse avancée
Pour découvrir de manière proactive les activités de chemin de mouvement latéral, vous pouvez exécuter une requête de repérage avancée.
Voici un exemple de requête de ce type :
Pour obtenir des instructions sur l’exécution de requêtes de chasse avancées, consultez La chasse proactive aux menaces avec la chasse avancée dans Microsoft Defender XDR.
Entités associées À LMP
LMP peut désormais vous aider directement dans votre processus d’investigation. Les listes de preuves des alertes de sécurité Defender pour Identity fournissent les entités associées impliquées dans chaque chemin de mouvement latéral potentiel. Les listes de preuves aident directement votre équipe de réponse de sécurité à augmenter ou à réduire l’importance de l’alerte de sécurité et/ou de l’examen des entités associées. Par exemple, lorsqu’une alerte Passer le ticket est émise, l’ordinateur source, l’utilisateur compromis et l’ordinateur de destination à partir duquel le ticket volé a été utilisé font tous partie du chemin de mouvement latéral potentiel menant à un utilisateur sensible. L’existence du LMP détecté rend l’examen de l’alerte et la surveillance de l’utilisateur suspect encore plus important pour empêcher votre adversaire de mouvements latéraux supplémentaires. Des preuves pouvant être suivies sont fournies dans les LPM pour vous permettre d’empêcher les attaquants d’avancer dans votre réseau plus facilement et plus rapidement.
Évaluation de la sécurité des chemins de mouvement latéral
Microsoft Defender pour Identity surveille en permanence votre environnement pour identifier les comptes sensibles avec les chemins de mouvement latéral les plus risqués qui exposent un risque de sécurité, et crée des rapports sur ces comptes pour vous aider à gérer votre environnement. Les chemins d’accès sont considérés comme risqués s’ils ont au moins trois comptes non sensibles qui peuvent exposer le compte sensible au vol d’informations d’identification par des acteurs malveillants. Pour découvrir quels comptes sensibles ont des chemins de mouvement latéral à risque, passez en revue l’évaluation de la sécurité des chemins de mouvement latéral (LMP) les plus risqués . En fonction des recommandations, vous pouvez supprimer l’entité du groupe ou supprimer les autorisations d’administrateur local pour l’entité de l’appareil spécifié.
Pour plus d’informations, consultez Évaluation de la sécurité : chemins de mouvement latéral les plus risqués (LMP).
Bonnes pratiques préventives
Les insights de sécurité ne sont jamais trop tard pour empêcher la prochaine attaque et corriger les dommages. Pour cette raison, l’examen d’une attaque même pendant la phase de dominance du domaine fournit un exemple différent, mais important. En règle générale, lors de l’examen d’une alerte de sécurité telle que l’exécution de code à distance, si l’alerte est un vrai positif, votre contrôleur de domaine peut déjà être compromis. Mais les LPM indiquent où l’attaquant a obtenu des privilèges et le chemin d’accès qu’il a utilisé dans votre réseau. Utilisés de cette façon, les LPM peuvent également offrir des informations clés sur la façon de corriger.
La meilleure façon d’empêcher l’exposition des mouvements latéraux dans votre organization consiste à s’assurer que les utilisateurs sensibles utilisent uniquement leurs informations d’identification d’administrateur lorsqu’ils se connectent à des ordinateurs renforcés. Dans l’exemple, case activée si l’administrateur du chemin d’accès a réellement besoin d’accéder à l’ordinateur partagé. S’ils ont besoin d’un accès, assurez-vous qu’ils se connectent à l’ordinateur partagé avec un nom d’utilisateur et un mot de passe autres que leurs informations d’identification d’administrateur.
Vérifiez que vos utilisateurs ne disposent pas des autorisations administratives inutiles. Dans l’exemple, case activée si tous les membres du groupe partagé ont réellement besoin de droits d’administrateur sur l’ordinateur exposé.
Assurez-vous que les utilisateurs ont uniquement accès aux ressources nécessaires. Dans l’exemple, Ron Harper élargit considérablement l’exposition de Nick Cowley. Est-il nécessaire que Ron Harper soit inclus dans le groupe ? Existe-t-il des sous-groupes qui pourraient être créés pour réduire l’exposition au mouvement latéral ?
Conseil
Lorsqu’aucune activité de chemin de mouvement latéral potentiel n’est détectée pour une entité au cours des dernières 48 heures, choisissez Sélectionner une date et case activée pour les chemins de mouvement latéral potentiels précédents.
Importante
Pour obtenir des instructions sur la façon de configurer vos clients et serveurs pour permettre à Defender pour Identity d’effectuer les opérations SAM-R nécessaires à la détection de chemin de mouvement latéral, consultez Configurer Microsoft Defender pour Identity pour effectuer des appels distants à SAM.
Enquêter sur les chemins de déplacement latéral
Il existe plusieurs façons d’utiliser et d’examiner les LPM. Dans le portail Microsoft Defender, recherchez par entité, puis explorez par chemin ou activité.
Dans le portail, recherchez un utilisateur. Sous Observé dans organization (sous les onglets Vue d’ensemble et Observé), vous pouvez voir si l’utilisateur est découvert dans un LMP potentiel.
Si l’utilisateur est découvert, sélectionnez l’onglet Observé dans organization et choisissez Chemins de mouvement latéral.
Le graphique affiché fournit une carte des chemins d’accès possibles à l’utilisateur sensible pendant la période de 48 heures. Utilisez l’option Sélectionner une date pour afficher le graphique des détections de chemin de mouvement latéral précédentes pour l’entité.
Passez en revue le graphique pour voir ce que vous pouvez apprendre sur l’exposition des informations d’identification de votre utilisateur sensible. Par exemple, dans le chemin d’accès, suivez les flèches connectées pour voir où Nick s’est connecté avec ses informations d’identification privilégiées. Dans ce cas, les informations d’identification sensibles de Nick ont été enregistrées sur l’ordinateur affiché. À présent, notez quels autres utilisateurs se sont connectés aux ordinateurs qui ont créé le plus d’exposition et de vulnérabilité. Dans cet exemple, Elizabeth King a la possibilité d’accéder aux informations d’identification de l’utilisateur à partir de cette ressource.