Kurz: Použití laterálních cest pohybu (LMPs)

Poznámka

K prostředí popsanému na této stránce je také možné přistupovat https://security.microsoft.com v rámci Microsoft 365 Defender. Podpůrné dokumenty pro nové prostředí najdete tady. Další informace o Microsoft Defender for Identity a o tom, kdy budou v Microsoft 365 Defender k dispozici další funkce, najdete v tématu Microsoft Defender for Identity Microsoft 365 Defender.

Laterální útoky na pohyb se obvykle provádí pomocí řady různých technik. Některé z nejoblíbenějších metod, které útočníci používají, jsou krádež přihlašovacích údajů a útoky Pass the Ticket . V obou metodách útočníci používají pro laterální přesuny necitlivými účty zneužitím necitlivých počítačů, které sdílejí uložené přihlašovací údaje pro přihlášení v účtech, skupinách a počítačích s citlivými účty.

V tomto kurzu se dozvíte, jak pomocí Microsoft Defender for Identity LMPs prozkoumat potenciální cesty laterálního pohybu a společně s výstrahami zabezpečení služby Defender for Identity získat lepší představu o tom, co se stalo ve vaší síti a jak. Kromě toho se dozvíte, jak pomocí protokolu LMP na sestavu citlivých účtů zjistit všechny citlivé účty s potenciálními laterálními cestami pohybu zjištěnými v síti podle časového období.

  • Prozkoumání LMPs
  • Zjištění rizikových citlivých účtů
  • Přístup k cestám laterálního pohybu k sestavě citlivých účtů

Prověřování

Existují různé způsoby použití a zkoumání LMPs. Na portálu Defender for Identity vyhledejte entitu a pak prozkoumejte cestu nebo aktivitu.

  1. Na portálu vyhledejte uživatele nebo počítač. Všimněte si, jestli byl do profilu entity přidán odznáček laterálního pohybu. Odznáčky se zobrazí jenom v případě, že se entita zjistí v potenciálním LMP během posledních 48 hodin.

    lateral icon. nebo path icon:

  2. Na stránce profilu uživatele, která se otevře, klikněte na kartu Cesty k laterálnímu pohybu .

    Defender for Identity Lateral Movement Path (LMP) tab

  3. Zobrazený graf poskytuje mapu možných cest k citlivému uživateli během 48hodinového časového období. Pokud se během posledních dvou dnů nezjistila žádná aktivita, graf se nezobrazí. Pomocí možnosti Zobrazit jiné datum zobrazte graf pro předchozí detekci cesty laterálního pohybu pro entitu.

    LMP view a different date.

  4. Projděte si graf a zjistěte, co se dozvíte o odhalení přihlašovacích údajů citlivého uživatele. Například v cestě postupujte podle šedých šipek přihlášených pomocí šedých šipek a zjistěte, kam se Nick přihlásil pomocí svých privilegovaných přihlašovacích údajů. V tomto případě byly citlivé přihlašovací údaje Nicka uloženy na počítači SHAREPOINT-SRV. Teď si všimněte, kteří jiní uživatelé se přihlásili k počítačům, které vytvořily největší ohrožení zabezpečení a ohrožení zabezpečení. Můžete to zobrazit tak, že se podíváte na správce na černých šipek a zjistíte, kdo má oprávnění správce k prostředku. V tomto příkladu mají všichni členové skupiny HelpDesk možnost přistupovat k přihlašovacím údajům uživatele z tohoto prostředku.

    Defender for Identity Lateral Movement Path (LMP)

Zjišťování rizikových účtů s citlivými na rizika

Pokud chcete zjistit všechny citlivé účty ve vaší síti, které jsou vystavené kvůli jejich připojení k necitlivým účtům, skupinám a počítačům v laterálních cestách pohybu, postupujte podle těchto kroků.

  1. V nabídce portálu Defender for Identity klikněte na ikonu reports icon.sestav .

  2. Pokud nejsou nalezeny žádné cesty laterálního pohybu k citlivým účtům, sestava se zobrazí šedě. Pokud existují potenciální laterální cesty pohybu, sestava automaticky předem vybere první datum, kdy existují relevantní data. Sestava cesty laterálního pohybu poskytuje data po dobu až 60 dnů.

    Screenshot showing report date selection.

  3. Klikněte na Stáhnout.

  4. Vytvoří se soubor Excel, který vám poskytne podrobnosti o potenciálních cestách laterálního pohybu a expozici citlivých účtů pro vybraná data. Karta Souhrn obsahuje grafy, které podrobně uvádějí počet citlivých účtů, počítačů a průměrů pro přístup k rizikům. Na kartě Podrobnosti najdete seznam citlivých účtů, které byste měli dále prozkoumat.

Naplánovat sestavu

Laterální přesun do sestavy citlivých účtů je také možné naplánovat pomocí funkce nastavených plánovaných sestav.

Všimněte si, že skutečné LMP, které jsou podrobně popsané v sestavě ke stažení, už nemusí být dostupné, protože byly zjištěny v minulosti a mohly být změněny, změněny nebo opraveny od jejich zjištění.

Pokud chcete zkontrolovat historické LMP, vyberte při vytváření sestavy různá dostupná data ve výběru kalendáře.

Další kroky

V tomto kurzu jste se naučili, jak pomocí LMPs prošetřit podezřelé aktivity. Další informace o entitách zapojených do LMP najdete v kurzu zkoumání entit.

Viz také

Další informace