Поделиться через

Изучение путей бокового смещения с помощью ATA

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

Даже если вы делаете все возможное для защиты конфиденциальных пользователей, а администраторы имеют сложные пароли, которые они часто изменяют, их компьютеры защищены, а их данные хранятся безопасно, злоумышленники по-прежнему могут использовать пути бокового перемещения для доступа к конфиденциальным учетным записям. При атаках бокового смещения злоумышленник использует случаи, когда конфиденциальные пользователи входят на компьютер, на котором у нечувствительный пользователь имеет локальные права. Затем злоумышленники могут перемещаться в боковой области, получая доступ к менее конфиденциальному пользователю, а затем перемещаться по компьютеру, чтобы получить учетные данные для конфиденциального пользователя.

Что такое пути бокового смещения?

Боковое смещение — это когда злоумышленник использует не конфиденциальные учетные записи для получения доступа к конфиденциальным учетным записям. Это можно сделать с помощью методов, описанных в руководстве по подозрительным действиям. Злоумышленники используют боковое перемещение, чтобы определить администраторов в вашей сети и узнать, к каким компьютерам они могут получить доступ. С помощью этих сведений и дальнейших действий злоумышленник может воспользоваться данными на контроллерах домена.

ATA позволяет предпринять упреждающее действие в сети, чтобы предотвратить успешное перемещение злоумышленников при боковом смещении.

Обнаружение конфиденциальных учетных записей, подверженных риску

Чтобы узнать, какие конфиденциальные учетные записи в сети уязвимы из-за их подключения к не конфиденциальным учетным записям или ресурсам, в определенный период времени выполните следующие действия.

  1. В меню консоли ATA выберите значок отчетов значок отчетов.

  2. Если пути бокового перемещения к конфиденциальным учетным записям не найдены, отчет неактивен. При наличии путей бокового смещения даты отчета автоматически выбирают первую дату при наличии соответствующих данных.

    Снимок экрана: выбор даты отчета.

  3. Нажмите Скачать.

  4. Созданный файл Excel содержит сведения о конфиденциальных учетных записях, подверженных риску. На вкладке Сводка представлены графики, в которых подробно описывается количество конфиденциальных учетных записей, компьютеров и средние значения для ресурсов, подверженных риску. На вкладке Сведения представлен список конфиденциальных учетных записей, которые должны вас беспокоить. Обратите внимание, что пути — это пути, которые существовали ранее и могут быть недоступны на сегодняшний день.

Исследование

Теперь, когда вы знаете, какие конфиденциальные учетные записи подвержены риску, вы можете подробно ознакомиться с ATA, чтобы узнать больше и принять профилактические меры.

  1. В консоли ATA найдите значок бокового смещения, который добавляется в профиль сущности, когда сущность находится в боковом значке пути бокового смещения. или значок пути. Это доступно, если в последние два дня был путь бокового смещения.

  2. На открывающейся странице профиля пользователя выберите вкладку Пути бокового перемещения .

  3. Отображаемый график предоставляет схему возможных путей для конфиденциального пользователя. На графике показаны подключения, выполненные за последние два дня.

  4. Просмотрите график, чтобы узнать, что можно узнать о раскрытии учетных данных конфиденциального пользователя. Например, на этой карте можно следовать серым стрелкам Войти в систему, чтобы увидеть, где Samira вошел с привилегированными учетными данными. В этом случае конфиденциальные учетные данные Самиры были сохранены на компьютере REDMOND-WA-DEV. Затем просмотрите, какие другие пользователи вошли в систему, на каких компьютерах была создана наибольшая уязвимость и уязвимость. Вы можете увидеть это, взглянув на администратор на черных стрелках, чтобы узнать, кто имеет права администратора в ресурсе. В этом примере все в группе Contoso All могут получить доступ к учетным данным пользователя из этого ресурса.

    Пути бокового смещения профиля пользователя.

Рекомендации по профилактике

  • Лучший способ предотвратить боковое смещение — убедиться, что конфиденциальные пользователи используют свои учетные данные администратора только при входе на защищенные компьютеры, где нет нечувствительный пользователь с правами администратора на том же компьютере. В примере убедитесь, что, если Samira требуется доступ к REDMOND-WA-DEV, она входит с именем пользователя и паролем, отличными от учетных данных администратора, или удаляет группу Contoso All из локальной группы администраторов в REDMOND-WA-DEV.

  • Кроме того, рекомендуется убедиться, что никто не имеет ненужных локальных административных разрешений. В этом примере проверка, чтобы узнать, действительно ли все пользователи Contoso All нуждались в правах администратора в REDMOND-WA-DEV.

  • Убедитесь, что пользователи имеют доступ только к необходимым ресурсам. В этом примере Оскар Посада значительно расширяет экспозицию Самиры. Необходимо ли включить их в группу Contoso All? Существуют ли подгруппы, которые можно создать, чтобы свести к минимуму риски?

Совет

Если действие не обнаружено в течение последних двух дней, диаграмма не отображается, но отчет по пути бокового перемещения по-прежнему доступен для предоставления сведений о путях бокового перемещения за последние 60 дней.

Совет

Чтобы узнать, как настроить серверы, чтобы разрешить ATA выполнять операции SAM-R, необходимые для обнаружения пути бокового перемещения, настройте SAM-R.

См. также