Поделиться через

Изучение путей бокового смещения (LMP) с помощью Microsoft Defender для удостоверений

  • Статья

Боковое перемещение — это когда злоумышленник использует не конфиденциальные учетные записи для получения доступа к конфиденциальным учетным записям по всей сети. Боковое перемещение используется злоумышленниками для идентификации конфиденциальных учетных записей и компьютеров в сети и получения доступа к ним, которые совместно используют сохраненные учетные данные для входа в учетных записях, группах и компьютерах. После успешного бокового перехода к ключевым целевым объектам злоумышленник также может воспользоваться преимуществами и получить доступ к вашим контроллерам домена. Атаки бокового смещения выполняются с помощью многих методов, описанных в Microsoft Defender для удостоверений оповещениях системы безопасности.

Ключевым компонентом аналитики безопасности Microsoft Defender для удостоверений являются пути бокового перемещения или LSP. LMP Defender для удостоверений — это визуальные руководства, которые помогут быстро понять и определить, как злоумышленники могут перемещаться в вашей сети. Целью боковых перемещений в цепочке уничтожения кибератаки является получение и компрометация конфиденциальных учетных записей злоумышленниками с помощью не конфиденциальных учетных записей. Компрометация ваших конфиденциальных учетных записей еще один шаг ближе к их конечной цели, доминированию в области. Чтобы предотвратить успешное выполнение этих атак, поставщики LSP Defender для удостоверений позволяют легко интерпретировать и прямое визуальное руководство по наиболее уязвимым и конфиденциальным учетным записям. LMP помогают снизить и предотвратить эти риски в будущем, а также закрыть доступ злоумышленников, прежде чем они смогут доминировать в домене.

Например:

Снимок экрана: путь бокового смещения с подробными сведениями.

Атаки бокового смещения обычно выполняются с помощью ряда различных методов. Одними из наиболее популярных методов, используемых злоумышленниками, являются кража учетных данных и передача билета. В обоих методах злоумышленники используют не конфиденциальные учетные записи для бокового перемещения, используя не конфиденциальные компьютеры, которые совместно используют сохраненные учетные данные для входа в учетных записях, группах и компьютерах с конфиденциальными учетными записями.

Просмотрите следующее видео, чтобы узнать больше об уменьшении путей бокового смещения с помощью Defender для удостоверений:


Где можно найти LSP Defender для удостоверений?

Каждое удостоверение, обнаруженное Defender для удостоверений в LMP, содержит сведения о путях бокового перемещения на вкладке Наблюдаемо в организации . Например:

Пути бокового смещения.

LMP для каждой сущности предоставляет различные сведения в зависимости от конфиденциальности сущности:

  • Конфиденциальные пользователи — отображаются потенциальные LMP-адреса, ведущие к этому пользователю.
  • Пользователи и компьютеры без конфиденциальности — отображаются потенциальные LMP(ы), с которых связана сущность.

При каждом выборе вкладки Defender для удостоверений отображает последний обнаруженный LMP. Каждый потенциальный LMP сохраняется в течение 48 часов после обнаружения. Журнал LMP доступен. Просмотрите старые веб-адреса, обнаруженные в прошлом, выбрав Выбрать дату. Вы также можете выбрать другого пользователя, который инициировал LMP, выбрав инициатор пути.

Обнаружение LMP с помощью расширенной охоты

Для упреждающего обнаружения действий пути бокового перемещения можно выполнить расширенный запрос охоты.

Ниже приведен пример такого запроса:

Расширенный запрос на поиск путей бокового смещения.

Инструкции по выполнению расширенных запросов охоты см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

Теперь LMP может напрямую помочь в процессе исследования. Списки оповещений системы безопасности Defender для удостоверений предоставляют связанные сущности, участвующие в каждом потенциальном пути бокового смещения. Списки доказательств напрямую помогают вашей группе реагирования на вопросы безопасности повысить или уменьшить важность оповещения системы безопасности и (или) исследования связанных сущностей. Например, когда выдается оповещение "Передать билет", исходный компьютер, скомпрометированный пользователь и конечный компьютер, с которых был использован украденный билет, являются частью потенциального пути бокового перемещения, ведущего к конфиденциальному пользователю. Наличие обнаруженного LMP делает исследование оповещения и наблюдение за подозреваемым пользователем еще более важным, чтобы предотвратить дополнительные боковое перемещение злоумышленника. Отслеживаемые доказательства предоставляются в LMP, чтобы упростить и ускорить предотвращение злоумышленников от продвижения в вашей сети.

Оценка безопасности путей бокового смещения

Microsoft Defender для удостоверений постоянно отслеживает среду для выявления конфиденциальных учетных записей с самыми рискованными путями бокового перемещения, которые подвергаются риску безопасности, и сообщает об этих учетных записях, чтобы помочь вам в управлении средой. Пути считаются рискованными, если у них есть три или более не конфиденциальных учетных записей, которые могут подвергать конфиденциальную учетную запись краже учетных данных злоумышленниками. Чтобы узнать, какие из конфиденциальных учетных записей имеют опасные пути бокового смещения, ознакомьтесь с оценкой безопасности наиболее рискованных путей бокового перемещения (LMP). В соответствии с рекомендациями можно удалить сущность из группы или удалить разрешения локального администратора для сущности с указанного устройства.

Дополнительные сведения см. в разделе Оценка безопасности: наиболее рискованные пути бокового смещения (LMP).

Рекомендации по профилактике

Аналитика безопасности никогда не поздно, чтобы предотвратить следующую атаку и устранить ущерб. По этой причине исследование атаки даже на этапе доминирования в домене представляет собой другой, но важный пример. Как правило, при изучении оповещений системы безопасности, таких как удаленное выполнение кода, если оповещение является истинным положительным, контроллер домена уже может быть скомпрометирован. Но поставщики LMP сообщают о том, где злоумышленник получил привилегии и какой путь он использовал в вашей сети. При использовании этого способа LSP также могут предложить ключевые аналитические сведения о том, как исправить.

  • Лучший способ предотвратить риск бокового смещения в организации — убедиться, что конфиденциальные пользователи используют учетные данные администратора только при входе на защищенные компьютеры. В этом примере проверка, если администратору в пути действительно нужен доступ к общему компьютеру. Если им нужен доступ, убедитесь, что они входят на общий компьютер, используя имя пользователя и пароль, отличные от учетных данных администратора.

  • Убедитесь, что у пользователей нет ненужных административных разрешений. В этом примере проверка, если всем участникам общей группы действительно требуются права администратора на предоставленном компьютере.

  • Убедитесь, что пользователи имеют доступ только к необходимым ресурсам. В этом примере Рон Харпер значительно расширяет воздействие Ника Коули. Нужно ли, чтобы Рон Харпер был включен в группу? Существуют ли подгруппы, которые можно создать для минимизации воздействия бокового движения?

Совет

Если за последние 48 часов для сущности не обнаружено потенциального действия пути бокового смещения, выберите Выбрать дату и проверка для предыдущих возможных путей бокового смещения.

Важно!

Инструкции по настройке клиентов и серверов, чтобы разрешить Defender для удостоверений выполнять операции SAM-R, необходимые для обнаружения пути бокового перемещения, см. в статье Настройка Microsoft Defender для удостоверений для удаленных вызовов SAM.

Исследование путей бокового смещения

Существует несколько способов использования и исследования LMP. На портале Microsoft Defender выполните поиск по сущностям, а затем изучите путь или действие.

  1. На портале найдите пользователя. В разделе Наблюдаемо в организации (на вкладках Обзор и Наблюдаемо ) можно увидеть, обнаружен ли пользователь в потенциальном LMP.

  2. Если пользователь обнаружен, перейдите на вкладку Наблюдаемо в организации и выберите Пути бокового перемещения.

  3. Отображаемый график предоставляет карту возможных путей для конфиденциального пользователя в течение 48-часового периода времени. Используйте параметр Выбрать дату , чтобы отобразить график для предыдущих путей бокового смещения для сущности.

  4. Просмотрите график, чтобы узнать, что можно узнать о раскрытии учетных данных конфиденциального пользователя. Например, в пути следуйте за стрелками Вход в систему, чтобы увидеть, где Ник вошел с привилегированными учетными данными. В этом случае конфиденциальные учетные данные Ника были сохранены на отображаемом компьютере. Теперь обратите внимание, какие другие пользователи вошли в компьютеры, на которых была обнаружена наибольшая уязвимость и уязвимость. В этом примере Элизабет Кинг имеет возможность доступа к учетным данным пользователя из этого ресурса.

Дальнейшие действия