瞭解及調查使用 適用於身分識別的 Microsoft Defender的橫向動作路徑 (LMP)
橫向行動是攻擊者使用非敏感性帳戶來存取整個網路中的敏感性帳戶時。 攻擊者會使用橫向行動來識別並存取您網路中共用帳戶、群組和機器中已儲存登入認證的敏感性帳戶和電腦。 一旦攻擊者成功橫向移至您的主要目標,攻擊者也可以利用並取得域控制器的存取權。 橫向移動攻擊是使用 適用於身分識別的 Microsoft Defender 安全性警示中所述的許多方法來執行。
適用於身分識別的 Microsoft Defender 安全性見解的主要元件是橫向動作路徑或 LMP。 適用於身分識別 LMP 的 Defender 是可視化指南,可協助您快速瞭解並確切識別攻擊者如何在網路內橫向移動。 網路攻擊終止鏈內橫向移動的目的,是讓攻擊者使用非敏感性帳戶來取得和入侵您的敏感性帳戶。 危害您的敏感性帳戶,可讓他們更接近其最終目標網域支配的另一步。 為了防止這些攻擊成功,適用於身分識別的 Defender LMP 可讓您輕鬆地解譯最易受攻擊且敏感性帳戶的直接視覺指引。 LMP 可協助您在未來降低並防止這些風險,並在攻擊者達到網域支配之前關閉其存取權。
例如:
橫向行動攻擊通常會使用一些不同的技術來完成。 攻擊者使用的一些最常用方法是認證竊取和傳遞票證。 在這兩種方法中,攻擊者會利用在帳戶、群組和具有敏感性帳戶的計算機中共用預存登入認證的非敏感性計算機,來使用您的非敏感性帳戶進行橫向移動。
觀看下列影片,以深入瞭解如何使用適用於身分識別的Defender減少橫向動作路徑:
哪裡可以找到適用於身分識別的Defender LMP?
適用於身分識別的 Defender 所探索到的每個身分識別都位於 LMP 中,且在 [組織中觀察到] 索引卷標底下都有橫向動作路徑資訊。例如:
每個實體的 LMP 會根據實體的敏感度提供不同的資訊:
- 敏感性使用者 – 顯示潛在 LMP () 導致此使用者。
- 非敏感性使用者和計算機 – 顯示實體相關) 可能的 LMP (。
每次選取索引標籤時,適用於身分識別的 Defender 會顯示最近探索到的 LMP。 每個可能的 LMP 會在探索之後儲存 48 小時。 LMP 歷程記錄可供使用。 選擇 [ 選取日期],以檢視過去探索到的舊版 LMP。 您也可以選取 [路徑啟動器],選擇起始 LMP 的不同使用者。
使用進階搜捕的 LMP 探索
若要主動探索橫向動作路徑活動,您可以執行進階搜捕查詢。
以下是這類查詢的範例:
如需如何執行進階搜捕查詢的指示,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
LMP 相關實體
LMP 現在可以直接協助您的調查程式。 適用於身分識別的 Defender 安全性警示辨識項清單會提供涉及每個潛在橫向動作路徑的相關實體。 辨識項清單可直接協助您的安全性回應小組增加或減少安全性警示的重要性,以及/或調查相關實體。 例如,發出傳遞票證警示時,來源計算機、遭入侵的使用者和使用遭竊票證的目的地計算機,都是潛在橫向動作路徑的一部分,而這些路徑會導致敏感性使用者。 偵測到的 LMP 存在,使得調查警示和監看可疑的用戶更為重要,以防止您的敵人進行額外的橫向移動。 LMP 中提供可追蹤的辨識項,可讓您更輕鬆且更快速地防止攻擊者在您的網路中繼續進行。
橫向動作路徑安全性評估
適用於身分識別的 Microsoft Defender 持續監視您的環境,以找出具有風險最危險橫向動作路徑且會公開安全性風險的敏感性帳戶,並報告這些帳戶以協助您管理環境。 如果路徑有三個或多個非敏感性帳戶,而這些帳戶可能會將敏感性帳戶公開給惡意執行者的認證竊取,則路徑會被視為有風險。 若要探索哪些敏感性帳戶有風險的橫向動作路徑,請檢閱最 危險的橫向動作路徑 (LMP) 安全性評估。 根據建議,您可以從群組中移除實體,或從指定的裝置移除實體的本機系統管理員許可權。
如需詳細資訊,請參閱 安全性評估: (LMP) 最有風險的橫向動作路徑 。
預防性最佳做法
安全性深入解析永遠不會太晚,無法防止下一次攻擊並補救損害。 因此,即使在網域支配階段調查攻擊,也會提供不同但重要的範例。 一般而言,在調查遠端程式代碼執行等安全性警示時,如果警示為確判,您的域控制器可能已經遭到入侵。 但 LMP 會通知攻擊者取得許可權的位置,以及他們在您的網路中使用的路徑。 如此一來,LMP 也可以提供如何補救的重要見解。
防止在組織內橫向移動暴露的最佳方式是確保敏感性使用者只在登入強化的計算機時,才使用其系統管理員認證。 在範例中,檢查路徑中的系統管理員是否真的需要存取共享計算機。 如果他們需要存取權,請確定他們使用使用者名稱和密碼登入共享計算機,而不是他們的系統管理員認證。
確認您的用戶沒有不必要的系統管理許可權。 在此範例中,檢查共用群組中的每個人是否真的需要公開計算機上的系統管理員許可權。
請確定人員只能存取必要的資源。 在此範例中,Ron 此範例大幅擴大了NickLeyley 的曝光率。 Ron 此群組是否需要包含在內? 是否有可以建立子群組來將橫向移動暴露程度降到最低?
提示
在過去 48 小時內未偵測到實體可能的橫向動作路徑活動時,請選擇 [選取日期 ],並檢查是否有先前可能的橫向動作路徑。
重要事項
如需如何設定用戶端和伺服器以允許適用於身分識別的 Defender 執行橫向動作路徑偵測所需的 SAM-R 作業的指示,請參閱設定 適用於身分識別的 Microsoft Defender 以對 SAM 進行遠端呼叫。
調查水平擴散路徑
有多種方式可以使用和調查 LMP。 在 Microsoft Defender 入口網站中,依實體搜尋,然後依路徑或活動進行探索。
從入口網站中,搜尋使用者。 在 [組織中觀察到] 底下, ([概觀] 和 [觀察到] 索引卷標) 您可以查看是否在可能的 LMP 中探索到使用者。
如果探索到使用者,請選取 [ 在組織中觀察到] 索引卷標,然後選擇 [ 橫向動作路徑]。
顯示的圖表會提供 48 小時期間內敏感性使用者可能路徑的對應。 使用 [ 選取日期] 選項可顯示實體先前橫向動作路徑偵測的圖表。
檢閱圖表,以瞭解如何瞭解敏感性用戶認證的曝光。 例如,在路徑中,遵循 [登 入者 ] 箭號,以查看Nick 使用其特殊許可權認證登入的位置。 在此情況下,Nick 的敏感性認證會儲存在顯示的計算機上。 現在,請注意哪些其他使用者登入了哪些計算機建立了最大的曝光和弱點。 在此範例中,King King 能夠從該資源存取用戶認證。