Omówienie i badanie ścieżek ruchu bocznego (LMPs) przy użyciu Microsoft Defender for Identity

Przenoszenie poprzeczne polega na tym, że osoba atakująca używa niewrażliwych kont w celu uzyskania dostępu do poufnych kont w całej sieci. Przenoszenie boczne jest używane przez osoby atakujące do identyfikowania i uzyskiwania dostępu do poufnych kont i maszyn w sieci, które współużytkują przechowywane poświadczenia logowania na kontach, grupach i maszynach. Gdy osoba atakująca pomyślnie przejdzie w kierunku kluczowych celów, osoba atakująca może również skorzystać i uzyskać dostęp do kontrolerów domeny. Ataki ruchu bocznego są przeprowadzane przy użyciu wielu metod opisanych w Microsoft Defender for Identity Alerty zabezpieczeń.

Kluczowym składnikiem szczegółowych informacji o zabezpieczeniach Microsoft Defender for Identity są ścieżki ruchu bocznego lub LMPs. Usługi Defender for Identity LMPs to wizualne przewodniki, które ułatwiają szybkie zrozumienie i określenie, w jaki sposób osoby atakujące mogą poruszać się później wewnątrz sieci. Celem ruchów bocznych w łańcuchu ataków cybernetycznych jest uzyskanie i naruszenie przez osoby atakujące poufnych kont przy użyciu niewrażliwych kont. Naruszenie poufnych kont przybliża je o kolejny krok do celu, jakim jest dominacja domeny. Aby zapobiec pomyślnym atakom, dostawcy LMPs usługi Defender for Identity zapewniają łatwe do interpretacji, bezpośrednie wskazówki wizualne dotyczące najbardziej narażonych, poufnych kont. Dostawcy LMPs pomagają ograniczyć i zapobiec tym zagrożeniom w przyszłości oraz zamknąć dostęp osoby atakującej, zanim osiągną dominację domeny.

Przykład:

Ataki ruchu bocznego są zwykle wykonywane przy użyciu wielu różnych technik. Niektóre z najpopularniejszych metod używanych przez osoby atakujące to kradzież poświadczeń i przekazywanie biletu. W obu tych metodach konta niewrażliwe są używane przez osoby atakujące do przenoszenia bocznego, wykorzystując niewrażliwe maszyny, które współużytkują przechowywane poświadczenia logowania na kontach, grupach i maszynach z kontami poufnymi.

Obejrzyj poniższy film wideo, aby dowiedzieć się więcej na temat zmniejszania ścieżek ruchu bocznego za pomocą usługi Defender for Identity:

Gdzie mogę znaleźć adresy LMPs usługi Defender for Identity?

Każda tożsamość odnaleziona przez usługę Defender for Identity w ramach protokołu LMP zawiera informacje o ścieżkach ruchu poprzecznego na karcie Obserwowane w organizacji . Na przykład:

LMP dla każdej jednostki zawiera różne informacje w zależności od poufności jednostki:

• Poufne użytkowników — są wyświetlane potencjalne LMP(y) prowadzące do tego użytkownika.
• Niewrażliwi użytkownicy i komputery — wyświetlane są potencjalne pakiety LMP, z których jest powiązana jednostka.

Za każdym razem, gdy karta jest zaznaczona, usługa Defender for Identity wyświetla ostatnio odnaleziony plik LMP. Każdy potencjalny LMP jest zapisywany przez 48 godzin po odnalezieniu. Historia protokołu LMP jest dostępna. Wyświetl starsze adresy LMPs, które zostały odnalezione w przeszłości, wybierając pozycję Wybierz datę. Możesz również wybrać innego użytkownika, który zainicjował LMP, wybierając pozycję Inicjator ścieżki.

Odnajdywanie LMP przy użyciu zaawansowanego wyszukiwania zagrożeń

Aby proaktywnie odnajdywać działania ścieżki ruchu bocznego, można uruchomić zaawansowane zapytanie wyszukiwania zagrożeń.

Oto przykład takiego zapytania:

Aby uzyskać instrukcje dotyczące uruchamiania zaawansowanych zapytań dotyczących wyszukiwania zagrożeń, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR.

Jednostki związane z LMP

LMP może teraz bezpośrednio pomóc w procesie badania. Listy dowodów alertów zabezpieczeń usługi Defender for Identity zawierają powiązane jednostki, które są zaangażowane w każdą potencjalną ścieżkę przenoszenia bocznego. Listy dowodów bezpośrednio pomagają zespołowi reagowania na zabezpieczenia zwiększyć lub zmniejszyć znaczenie alertu zabezpieczeń i/lub zbadania powiązanych jednostek. Na przykład po wydaniu alertu Przekaż bilet komputer źródłowy, użytkownik i komputer docelowy, z którego został użyty skradziony bilet, są częścią potencjalnej ścieżki ruchu bocznego prowadzącej do poufnego użytkownika. Istnienie wykrytego protokołu LMP sprawia, że badanie alertu i obserwowanie podejrzanego użytkownika jest jeszcze ważniejsze, aby uniemożliwić przeciwnikowi dodatkowe ruchy boczne. Możliwe do śledzenia dowody są udostępniane w programach LMPs, aby ułatwić i przyspieszyć zapobieganie postępowi ataków w sieci.

Ocena zabezpieczeń ścieżek ruchu bocznego

Microsoft Defender for Identity stale monitoruje środowisko, aby identyfikować poufne konta z najbardziej ryzykowniejszymi ścieżkami przenoszenia poprzecznego, które narażają zagrożenie bezpieczeństwa, i raportuje te konta, aby ułatwić zarządzanie środowiskiem. Ścieżki są uważane za ryzykowne, jeśli mają co najmniej trzy nieufne konta, które mogą uwidoczniać poufne konto na kradzież poświadczeń przez złośliwych aktorów. Aby dowiedzieć się, które z poufnych kont mają ryzykowne ścieżki przenoszenia bocznego, zapoznaj się z oceną zabezpieczeń riskiest lateral movement paths (LMP). Na podstawie zaleceń można usunąć jednostkę z grupy lub usunąć uprawnienia administratora lokalnego dla jednostki z określonego urządzenia.

Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: Najbardziej ryzykowne ścieżki przenoszenia bocznego (LMP).

Najlepsze rozwiązania zapobiegawcze

Szczegółowe informacje o zabezpieczeniach nigdy nie są za późno, aby zapobiec następnemu atakowi i korygować szkody. Z tego powodu badanie ataku nawet w fazie dominacji domeny stanowi inny, ale ważny przykład. Zazwyczaj podczas badania alertu zabezpieczeń, takiego jak zdalne wykonywanie kodu, jeśli alert jest prawdziwie dodatni, kontroler domeny może już zostać naruszony. Jednak dostawcy LMPs informują o tym, gdzie osoba atakująca uzyskała uprawnienia i jaka ścieżka została użyta do sieci. W ten sposób dostawcy LMPs mogą również oferować kluczowe informacje na temat sposobu korygowania.

• Najlepszym sposobem zapobiegania narażeniu na ruch boczny w organizacji jest upewnienie się, że poufni użytkownicy używają poświadczeń administratora tylko podczas logowania się na komputerach ze wzmocnionymi zabezpieczeniami. W tym przykładzie sprawdź, czy administrator w ścieżce rzeczywiście potrzebuje dostępu do udostępnionego komputera. Jeśli potrzebują dostępu, upewnij się, że logują się na komputerze udostępnionym przy użyciu nazwy użytkownika i hasła innego niż poświadczenia administratora.

• Sprawdź, czy użytkownicy nie mają niepotrzebnych uprawnień administracyjnych. W tym przykładzie sprawdź, czy wszyscy w udostępnionej grupie rzeczywiście wymagają praw administratora na uwidocznionego komputera.

• Upewnij się, że użytkownicy mają dostęp tylko do niezbędnych zasobów. W tym przykładzie Ron Harper znacznie rozszerza ekspozycję Nicka Cowleya. Czy konieczne jest, aby Ron Harper został włączony do grupy? Czy istnieją podgrupy, które można utworzyć, aby zminimalizować narażenie na ruch boczny?

Porada

Jeśli w ciągu ostatnich 48 godzin nie zostanie wykryte żadne potencjalne działanie ścieżki ruchu bocznego dla jednostki, wybierz pozycję Wybierz datę i sprawdź poprzednie potencjalne ścieżki ruchu bocznego.

Ważna

Aby uzyskać instrukcje dotyczące ustawiania klientów i serwerów w celu umożliwienia usłudze Defender for Identity wykonywania operacji SAM-R wymaganych do wykrywania ścieżki ruchu bocznego, zobacz Konfigurowanie Microsoft Defender for Identity do wykonywania zdalnych wywołań do sam.

Badanie ścieżek ruchu bocznego

Istnieje wiele sposobów używania i badania LMPs. W portalu Microsoft Defender wyszukaj według jednostki, a następnie eksploruj według ścieżki lub działania.

1. W portalu wyszukaj użytkownika. W obszarze Obserwowane w organizacji (na kartach Przegląd i Obserwowane ) możesz sprawdzić, czy użytkownik został odnaleziony w potencjalnym LMP.

2. Jeśli użytkownik zostanie odnaleziony, wybierz kartę Obserwowane w organizacji i wybierz pozycję Ścieżki przenoszenia poprzecznego.

3. Wyświetlany wykres zawiera mapę możliwych ścieżek do poufnego użytkownika w 48-godzinnym okresie. Użyj opcji Wybierz datę , aby wyświetlić wykres dla poprzednich wykrywania ścieżki ruchu bocznego dla jednostki.

4. Przejrzyj wykres, aby zobaczyć, czego można dowiedzieć się o ujawnianiu poświadczeń poufnego użytkownika. Na przykład w ścieżce postępuj zgodnie ze strzałkami Zalogowany przez , aby zobaczyć, gdzie Nick zalogował się przy użyciu swoich uprzywilejowanych poświadczeń. W takim przypadku poświadczenia poufne Nicka zostały zapisane na wyświetlonym komputerze. Teraz zwróć uwagę, którzy inni użytkownicy zalogowali się na komputerach, które stworzyły największą ekspozycję i lukę w zabezpieczeniach. W tym przykładzie Elizabeth King ma możliwość uzyskiwania dostępu do poświadczeń użytkownika z tego zasobu.

Następne kroki

• Konfigurowanie Microsoft Defender for Identity do nawiązywania zdalnych wywołań do protokołu SAM
• Ocena zabezpieczeń: Najbardziej ryzykowne ścieżki ruchu bocznego (LMP)
• Praca z alertami zabezpieczeń
• Zapoznaj się z forum Usługi Defender for Identity!