Microsoft Defender for Identity laterálních cest pohybu (LMPs)

Poznámka

K prostředí popsanému na této stránce můžete přistupovat https://security.microsoft.com také v rámci Microsoft 365 Defender.

Laterální přesun je, když útočník používá necitlivěné účty k získání přístupu k citlivým účtům v celé síti. Laterální přesun používá útočníci k identifikaci a získání přístupu k citlivým účtům a počítačům ve vaší síti, které sdílejí uložené přihlašovací údaje pro přihlášení v účtech, skupinách a počítačích. Jakmile útočník provede úspěšný laterál směrem k vašim klíčovým cílům, může útočník také využít výhodu a získat přístup k řadičům domény. Útoky na laterální pohyb se provádějí pomocí mnoha metod popsaných v průvodci podezřelými aktivitami.

Klíčovou součástí přehledů zabezpečení Microsoft Defender for Identity jsou laterální cesty pohybu nebo LMP. LMPs defender for Identity jsou vizuální příručky, které vám pomůžou rychle pochopit a identifikovat, jak se útočníci můžou v síti pohybovat později. Účelem laterálního pohybu v řetězci útoku kyber-útoku je získat a ohrozit citlivé účty pomocí necitlivých účtů. Ohrožení citlivýchúčtůchm Pokud chcete tyto útoky přestat úspěšně provádět, program Defender for Identity LMPs vám umožňuje snadno interpretovat, přímé vizuální pokyny k nejcitlivějším a citlivým účtům. LMPs pomáhají zmírnit a zabránit těmto rizikům v budoucnu a zavřít přístup útočníka před dosažením dominance domény.

Defender for Identity Lateral Movement Path (LMP)

Laterální útoky na pohyb se obvykle provádějí pomocí řady různých technik. Některé z nejoblíbenějších metod používaných útočníky jsou krádež přihlašovacích údajů a předání lístku. V obou metodách používají necitliví účty útočníci pro laterální přesuny tím, že zneužívají počítače, které sdílejí uložené přihlašovací údaje pro přihlášení v účtech, skupinách a počítačích s citlivými účty.

Kde najdu LMP defenderu pro identity?

Každý počítač nebo profil uživatele zjištěný nástrojem Defender for Identity, který má být v LMP, má kartu Cesty k laterálnímu pohybu . Počítače a profily bez karty nebyly nikdy zjištěny v rámci potenciálního LMP.

Defender for Identity Lateral Movement Path (LMP) tab

LMP pro každou entitu poskytuje různé informace v závislosti na citlivosti entity:

  • Zobrazí se citliví uživatelé – potenciální LMP(s) vedoucí k tomuto uživateli.
  • Zobrazí se necitliví uživatelé a počítače – potenciální LMP(s) entita souvisí.

Při každém kliknutí na kartu se v programu Defender for Identity zobrazí naposledy zjištěný LMP. Každý potenciální LMP se uloží po dobu 48 hodin po zjištění. Historie LMP je k dispozici. Zobrazte starší LMP, které byly zjištěny v minulosti, kliknutím na Zobrazit jiné datum.

Defender for Identity Lateral Movement Path (LMP) display

Zjistěte, kdy byly identifikovány potenciální LMP a které související entity jsou potenciálně zapojeny.

Zjišťování LMP

Na kartě Aktivity se zobrazí indikace, když byl identifikován nový potenciální LMP:

  • Citliví uživatelé – pokud je pro citlivého uživatele identifikována nová cesta

Defender for Identity Lateral Movement Path (LMP) sensitive identified

  • Necitliví uživatelé a počítače – pokud je tato entita identifikována v potenciálním LMP, což vede k citlivému uživateli.

Defender for Identity Lateral Movement Path (LMP) non-sensitive identified

LMP teď může přímo pomoct s procesem vyšetřování. Seznamy důkazů výstrah zabezpečení Defenderu for Identity poskytují související entity, které jsou zapojeny do každé potenciální cesty laterálního přesunu. Seznamy důkazů přímo pomáhají týmu reakce na zabezpečení zvýšit nebo snížit důležitost výstrahy zabezpečení nebo vyšetřování souvisejících entit. Například když se vydá upozornění Pass the Ticket, zdrojový počítač, ohrožený uživatel a cílový počítač, ze kterých byl odcizený lístek použit, jsou všechny součástí potenciální laterální cesty pohybu vedoucí k citlivému uživateli. Existence zjištěného LMP provádí vyšetřování výstrahy a sledování podezřelého uživatele ještě důležitější, aby se zabránilo nežádoucímu uživateli v dalších laterálních přesunech. Sledovatelné důkazy jsou poskytovány v LMP, aby bylo snazší a rychlejší, abyste zabránili útočníkům v pohybu vpřed ve vaší síti.

Laterální cesty přesunu k sestavě citlivých účtů

Data LMP jsou také k dispozici v sestavě Laterální přesun do sestavy citlivých účtů. Tato sestava uvádí citlivé účty, které jsou vystaveny prostřednictvím laterálních cest pohybu, a obsahuje cesty vybrané ručně pro určité časové období nebo zahrnuté do časového období pro naplánované sestavy. Upravte zahrnutý rozsah kalendářních dat pomocí výběru kalendáře.

Osvědčené postupy pro prevenci

Přehledy zabezpečení nejsou nikdy příliš pozdě, aby se zabránilo dalšímu útoku a nápravě škod. Z tohoto důvodu vyšetřování útoku i během fáze dominance domény poskytuje jiný, ale důležitý příklad. Při zkoumání výstrahy zabezpečení, jako je vzdálené spuštění kódu, obvykle platí, že pokud je výstraha pravdivě pozitivní, může dojít k ohrožení zabezpečení řadiče domény. LMP ale informují o tom, kde útočník získal oprávnění a jakou cestu použil ve vaší síti. Tímto způsobem můžou LMP také nabídnout klíčové přehledy o nápravě.

  • Nejlepší způsob, jak zabránit vystavení laterálnímu pohybu v rámci vaší organizace, je zajistit, aby citliví uživatelé používali přihlašovací údaje správce jenom při přihlašování k posíleným počítačům. V tomto příkladu zkontrolujte, jestli správce v cestě skutečně potřebuje přístup ke sdílenému počítači. Pokud potřebují přístup, ujistěte se, že se přihlásí ke sdílenému počítači pomocí uživatelského jména a hesla jiného než přihlašovacích údajů správce.

  • Ověřte, že uživatelé nemají nepotřebná oprávnění správce. V tomto příkladu zkontrolujte, jestli všichni ve sdílené skupině skutečně vyžadují práva správce na vystaveného počítači.

  • Ujistěte se, že uživatelé mají přístup jenom k potřebným prostředkům. V tomto příkladu Ron Harper výrazně rozšiřuje expozici Nick Cowley. Je nutné, aby Ron Harper byl součástí skupiny? Existují podskupiny, které by mohly být vytvořeny, aby se minimalizovala expozice laterálního pohybu?

Tip – Pokud se v entitě za posledních 48 hodin nezjistí žádná aktivita cesty k laterálnímu pohybu, zvolte zobrazit jiné datum a zkontrolovat předchozí potenciální laterální cesty pohybu. Sestava LMP pro citlivé uživatele je vždy dostupná, pokud byly zjištěny ip adresy, a poskytuje vám informace o potenciálních laterálních cestách pohybu zjištěných citlivým uživatelům.

Tip – Pokyny k nastavení klientů a serverů, které umožňují defenderu pro identitu provádět operace SAM-R potřebné pro detekci cest pro laterální přesun, najdete v tématu konfigurace SAM-R.

Zkoumání LMP

Pokyny k identifikaci a zkoumání pomocí programu Defender for Identity Lateral Movement Paths najdete v tématu Zkoumání cest laterálního přesunu.

Viz také