Delen via

Laterale verplaatsingspaden onderzoeken met ATA

  • Artikel

Van toepassing op: Advanced Threat Analytics versie 1.9

Zelfs als u uw best doet om uw gevoelige gebruikers te beschermen en uw beheerders complexe wachtwoorden hebben die ze regelmatig wijzigen, hun computers zijn beveiligd en hun gegevens veilig worden opgeslagen, kunnen aanvallers nog steeds laterale verplaatsingspaden gebruiken om toegang te krijgen tot gevoelige accounts. Bij aanvallen met laterale verplaatsing maakt de aanvaller gebruik van exemplaren wanneer gevoelige gebruikers zich aanmelden bij een computer waarop een niet-gevoelige gebruiker lokale rechten heeft. Aanvallers kunnen zich vervolgens lateraal verplaatsen, toegang krijgen tot de minder gevoelige gebruiker en vervolgens over de computer gaan om referenties voor de gevoelige gebruiker te verkrijgen.

Wat is een lateraal bewegingspad?

Laterale verplaatsing is wanneer een aanvaller niet-gevoelige accounts gebruikt om toegang te krijgen tot gevoelige accounts. Dit kan worden gedaan met behulp van de methoden die worden beschreven in de handleiding verdachte activiteiten. Aanvallers gebruiken zijdelingse bewegingen om de beheerders in uw netwerk te identificeren en te leren tot welke computers ze toegang hebben. Met deze informatie en verdere verplaatsingen kan de aanvaller profiteren van de gegevens op uw domeincontrollers.

Met ATA kunt u preventieve actie ondernemen op uw netwerk om te voorkomen dat aanvallers slagen bij laterale beweging.

Uw risicogevoelige accounts detecteren

Voer de volgende stappen uit om te ontdekken welke gevoelige accounts in uw netwerk kwetsbaar zijn vanwege hun verbinding met niet-gevoelige accounts of resources:

  1. Selecteer in het menu van de ATA-console het rapportpictogram rapportenpictogram.

  2. Als er onder paden voor laterale verplaatsingen naar gevoelige accounts geen laterale verplaatsingspaden zijn gevonden, wordt het rapport grijs weergegeven. Als er laterale verplaatsingspaden zijn, selecteren de datums van het rapport automatisch de eerste datum wanneer er relevante gegevens zijn.

    Schermopname van de selectie van de rapportdatum.

  3. Selecteer Downloaden.

  4. Het Excel-bestand dat wordt gemaakt, bevat details over uw gevoelige accounts die risico lopen. Het tabblad Samenvatting bevat grafieken met het aantal gevoelige accounts, computers en gemiddelden voor resources die risico lopen. Het tabblad Details bevat een lijst met gevoelige accounts waarover u zich zorgen moet maken. Houd er rekening mee dat de paden paden zijn die eerder bestonden en mogelijk vandaag niet beschikbaar zijn.

Onderzoeken

Nu u weet welke gevoelige accounts risico lopen, kunt u dieper ingaan op ATA voor meer informatie en het nemen van preventieve maatregelen.

  1. Zoek in de ATA-console naar de badge Zijwaartse beweging die is toegevoegd aan het entiteitsprofiel wanneer de entiteit zich in een lateraal bewegingspad of padpictogram bevindt. Dit is beschikbaar als er in de afgelopen twee dagen een lateraal verplaatsingspad is geweest.

  2. Selecteer op de pagina met gebruikersprofielen die wordt geopend het tabblad Paden voor laterale beweging .

  3. De grafiek die wordt weergegeven, biedt een kaart van de mogelijke paden voor de gevoelige gebruiker. In de grafiek ziet u de verbindingen die de afgelopen twee dagen zijn gemaakt.

  4. Bekijk de grafiek om te zien wat u kunt leren over de blootstelling van de referenties van uw gevoelige gebruiker. Op deze kaart kunt u bijvoorbeeld de grijze pijlen Aangemeld bij volgen om te zien waar Samira zich heeft aangemeld met hun bevoegde referenties. In dit geval zijn de gevoelige referenties van Samira opgeslagen op de computer REDMOND-WA-DEV. Bekijk vervolgens welke andere gebruikers zich hebben aangemeld bij welke computers die de meeste blootstelling en kwetsbaarheid hebben gecreƫerd. U kunt dit zien door de beheerder op zwarte pijlen te bekijken om te zien wie beheerdersbevoegdheden heeft voor de resource. In dit voorbeeld heeft iedereen in de groep Contoso All toegang tot gebruikersreferenties van die resource.

    Laterale verplaatsingspaden van gebruikersprofielen.

Preventieve best practices

  • De beste manier om laterale verplaatsing te voorkomen, is ervoor te zorgen dat gevoelige gebruikers hun beheerdersreferenties alleen gebruiken wanneer ze zich aanmelden bij beveiligde computers waar geen niet-gevoelige gebruiker is die beheerdersrechten op dezelfde computer heeft. Zorg er in het voorbeeld voor dat als Samira toegang nodig heeft tot REDMOND-WA-DEV, ze zich aanmelden met een andere gebruikersnaam en wachtwoord dan hun beheerdersreferenties, of de groep Contoso All verwijderen uit de lokale beheerdersgroep op REDMOND-WA-DEV.

  • Het is ook raadzaam ervoor te zorgen dat niemand onnodige lokale beheerdersmachtigingen heeft. Controleer in het voorbeeld of iedereen in Contoso All echt beheerdersrechten nodig heeft voor REDMOND-WA-DEV.

  • Zorg ervoor dat personen alleen toegang hebben tot de benodigde resources. In het voorbeeld verbreedt Oscar Posada de blootstelling van Samira aanzienlijk. Moeten ze worden opgenomen in de groep Contoso All? Zijn er subgroepen die u kunt maken om de blootstelling te minimaliseren?

Tip

Als de activiteit tijdens de afgelopen twee dagen niet wordt gedetecteerd, wordt de grafiek niet weergegeven, maar is het rapport over het laterale verplaatsingspad nog steeds beschikbaar om informatie te bieden over laterale verplaatsingspaden in de afgelopen 60 dagen.

Tip

Configureer SAM-R voor instructies over het instellen van uw servers zodat ATA de SAM-R-bewerkingen kan uitvoeren die nodig zijn voor detectie van laterale verplaatsingspaden.

Zie ook