Udostępnij za pośrednictwem

Badanie ścieżek ruchu bocznego za pomocą usługi ATA

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

Nawet jeśli robisz wszystko, co w twojej mocy, aby chronić poufnych użytkowników, a administratorzy mają złożone hasła, które często się zmieniają, ich maszyny są chronione, a ich dane są bezpiecznie przechowywane, osoby atakujące nadal mogą używać bocznych ścieżek przenoszenia w celu uzyskania dostępu do poufnych kont. W przypadku ataków ruchu bocznego osoba atakująca korzysta z wystąpień, gdy wrażliwi użytkownicy logują się do maszyny, na której niewrażliwy użytkownik ma prawa lokalne. Osoby atakujące mogą następnie poruszać się później, uzyskując dostęp do mniej wrażliwego użytkownika, a następnie przechodząc przez komputer w celu uzyskania poświadczeń dla wrażliwego użytkownika.

Co to jest ścieżka ruchu bocznego?

Przenoszenie poprzeczne polega na tym, że osoba atakująca używa niewrażliwych kont w celu uzyskania dostępu do poufnych kont. Można to zrobić przy użyciu metod opisanych w przewodniku po podejrzanych działaniach. Osoby atakujące używają przenoszenia bocznego, aby zidentyfikować administratorów w sieci i dowiedzieć się, do których maszyn mogą uzyskać dostęp. Dzięki tym informacjom i dalszym przenoszeniom osoba atakująca może korzystać z danych na kontrolerach domeny.

Usługa ATA umożliwia podjęcie akcji prewencyjnej w sieci, aby zapobiec pomyślnym przenoszeniu osób atakujących w ruchu poprzecznym.

Odnajdywanie poufnych kont zagrożonych

Aby dowiedzieć się, które poufne konta w sieci są narażone z powodu ich połączenia z niewrażliwymi kontami lub zasobami, w określonym przedziale czasu wykonaj następujące kroki:

  1. W menu konsoli usługi ATA wybierz ikonę raportów ikona raportów.

  2. W obszarze Ścieżki ruchów bocznych do poufnych kont, jeśli nie znaleziono ścieżek ruchu bocznego, raport jest wyszarzona. Jeśli istnieją ścieżki przenoszenia bocznego, daty raportu automatycznie wybierają pierwszą datę, gdy istnieją odpowiednie dane.

    Zrzut ekranu przedstawiający wybór daty raportu.

  3. Wybierz opcję Pobierz.

  4. Utworzony plik programu Excel zawiera szczegółowe informacje o poufnych kontach zagrożonych. Karta Podsumowanie zawiera wykresy , które zawierają szczegółowe informacje o liczbie poufnych kont, komputerów i średnich dla zagrożonych zasobów. Karta Szczegóły zawiera listę poufnych kont, których należy się obawiać. Należy pamiętać, że ścieżki są ścieżkami, które istniały wcześniej i mogą nie być dostępne dzisiaj.

Zbadaj

Teraz, gdy już wiesz, które poufne konta są zagrożone, możesz szczegółowo zapoznać się z usługą ATA, aby dowiedzieć się więcej i podjąć środki zapobiegawcze.

  1. W konsoli usługi ATA wyszukaj znaczek przenoszenia bocznego dodany do profilu jednostki, gdy jednostka znajduje się w bocznej ikonie ścieżki ruchu poprzecznej lub ikonie ścieżki. Jest to dostępne, jeśli w ciągu ostatnich dwóch dni istniała boczna ścieżka ruchu.

  2. Na otwartej stronie profilu użytkownika wybierz kartę Ścieżki przenoszenia bocznego .

  3. Wyświetlony wykres zawiera mapę możliwych ścieżek do poufnego użytkownika. Wykres przedstawia połączenia, które zostały nawiązane w ciągu ostatnich dwóch dni.

  4. Przejrzyj wykres, aby zobaczyć, czego można dowiedzieć się o ujawnianiu poświadczeń poufnego użytkownika. Na przykład na tej mapie możesz wykonać logowanie za pomocą szarych strzałek, aby zobaczyć, gdzie użytkownik Samira zalogował się przy użyciu ich uprzywilejowanych poświadczeń. W takim przypadku poświadczenia poufne samiry zostały zapisane na komputerze REDMOND-WA-DEV. Następnie zobacz, którzy inni użytkownicy zalogowali się do komputerów, które stworzyły największą ekspozycję i luki w zabezpieczeniach. Możesz to zobaczyć, patrząc na administratora na czarnych strzałkach, aby zobaczyć, kto ma uprawnienia administratora w zasobie. W tym przykładzie wszyscy w grupie Contoso All mają możliwość uzyskiwania dostępu do poświadczeń użytkownika z tego zasobu.

    Ścieżki ruchu bocznego profilu użytkownika.

Najlepsze rozwiązania zapobiegawcze

  • Najlepszym sposobem zapobiegania przenoszeniu poprzecznym jest upewnienie się, że poufni użytkownicy używają swoich poświadczeń administratora tylko wtedy, gdy logują się na komputerach ze wzmocnionymi zabezpieczeniami, gdy nie ma niewrażliwego użytkownika, który ma prawa administratora na tym samym komputerze. W tym przykładzie upewnij się, że jeśli samira potrzebuje dostępu do aplikacji REDMOND-WA-DEV, zaloguje się przy użyciu nazwy użytkownika i hasła innego niż poświadczenia administratora lub usunie grupę Contoso All z lokalnej grupy administratorów w usłudze REDMOND-WA-DEV.

  • Zaleca się również upewnienie się, że nikt nie ma niepotrzebnych lokalnych uprawnień administracyjnych. W tym przykładzie sprawdź, czy wszyscy użytkownicy firmy Contoso Wszystkie naprawdę potrzebują praw administratora w usłudze REDMOND-WA-DEV.

  • Upewnij się, że użytkownicy mają dostęp tylko do niezbędnych zasobów. W tym przykładzie Oscar Posada znacznie rozszerza ekspozycję Samiry. Czy konieczne jest, aby zostały one uwzględnione w grupie Contoso All? Czy istnieją podgrupy, które można utworzyć, aby zminimalizować narażenie?

Porada

Jeśli działanie nie zostanie wykryte w ciągu ostatnich dwóch dni, wykres nie zostanie wyświetlony, ale raport ścieżki ruchu bocznego jest nadal dostępny, aby podać informacje o ścieżkach ruchu bocznego w ciągu ostatnich 60 dni.

Porada

Aby uzyskać instrukcje dotyczące ustawiania serwerów w celu umożliwienia usłudze ATA wykonywania operacji SAM-R wymaganych do wykrywania ścieżki ruchu bocznego, skonfiguruj protokół SAM-R.

Zobacz też