Untersuchen von Lateral Movement-Pfaden mit ATA

  • Artikel

Gilt für: Advanced Threat Analytics, Version 1.9

Selbst wenn Sie Ihr Bestes tun, um Ihre vertraulichen Benutzer zu schützen und Ihre Administratoren über komplexe Kennwörter verfügen, die sie häufig ändern, ihre Computer gehärtet sind und ihre Daten sicher gespeichert werden, können Angreifer weiterhin laterale Pfade verwenden, um auf vertrauliche Konten zuzugreifen. Bei Lateral Movement-Angriffen nutzt der Angreifer Instanzen, wenn sich vertrauliche Benutzer auf einem Computer anmelden, auf dem ein nicht vertraulicher Benutzer lokale Rechte hat. Angreifer können sich dann lateral bewegen, auf den weniger vertraulichen Benutzer zugreifen und dann über den Computer navigieren, um Anmeldeinformationen für den vertraulichen Benutzer zu erhalten.

Was ist ein lateraler Bewegungspfad?

Laterale Bewegung heißt, wenn ein Angreifer proaktiv nicht-vertrauliche Konten verwendet, um Zugriff auf vertrauliche Konten zu erlangen. Dies kann mithilfe der im Leitfaden für verdächtige Aktivitäten beschriebenen Methoden erfolgen. Angreifer verwenden laterale Bewegungen, um die Administratoren in Ihrem Netzwerk zu identifizieren und zu erfahren, auf welche Computer sie zugreifen können. Mit diesen Informationen und weiteren Verschiebungen kann der Angreifer die Daten auf Ihren Domänencontrollern nutzen.

ATA ermöglicht es Ihnen, präventive Maßnahmen in Ihrem Netzwerk zu ergreifen, um zu verhindern, dass Angreifer mit lateralen Bewegungen Erfolg haben.

Entdecken Sie Ihre gefährdeten vertraulichen Konten

Führen Sie die folgenden Schritte aus, um zu ermitteln, welche vertraulichen Konten in Ihrem Netzwerk aufgrund ihrer Verbindung mit nicht vertraulichen Konten oder Ressourcen gefährdet sind:

  1. Wählen Sie im ATA-Konsolenmenü das Berichtssymbol aus reports icon..

  2. Wenn bei Lateral Movements-Pfade zu vertraulichen Konten keine Lateral Movement-Pfade gefunden werden, wird der Bericht ausgegraut. Wenn es potenzielle Lateral Movement-Pfade gibt, wählt der Bericht automatisch das erste Datum, wenn bereits relevante Daten vorhanden sind.

    Screenshot showing report date selection.

  3. Wählen Sie Herunterladen.

  4. Die erstellte Excel-Datei enthält Details zu Ihren gefährdeten vertraulichen Konten. Die Registerkarte Zusammenfassung enthält Diagramme, die die Anzahl der vertraulichen Konten, Computer und Mittelwerte für den gefährdete Ressourcen detailliert darstellen. Auf der Registerkarte Details finden Sie eine Liste der vertraulichen Konten, die Sie weiter untersuchen sollten. Beachten Sie, dass es sich bei den Pfaden um Pfade handelt, die zuvor vorhanden waren und aktuell möglicherweise nicht verfügbar sind.

Untersuchen

Nachdem Sie nun wissen, welche vertraulichen Konten gefährdet sind, können Sie tief in ATA eintauchen, um mehr zu erfahren und präventive Maßnahmen zu ergreifen.

  1. Suchen Sie in der ATA-Konsole nach dem Lateral Movement Badge, die dem Entitätsprofil hinzugefügt wird, wenn sich die Entität in einem lateralen Bewegungspfad befindet lateral icon. oder path icon. Dies ist verfügbar, wenn in den letzten zwei Tagen ein lateraler Bewegungspfad vorhanden war.

  2. Klicken Sie auf der daraufhin geöffneten Benutzerprofilseite auf die Registerkarte Lateral Movement-Pfade.

  3. Das angezeigte Diagramm stellt eine Karte der möglichen Pfade zu dem vertraulichen Benutzer während des 48-Stunden-Zeitraums bereit. Das Diagramm zeigt Verbindungen, die in den letzten zwei Tagen hergestellt wurden.

  4. Überprüfen Sie das Diagramm, um zu sehen, was Sie über die Gefährdung der Anmeldeinformationen Ihres vertraulichen Benutzers erfahren können. Folgen Sie z. B. im Pfad den grauen Pfeilen Eingeloggt von, um zu sehen, wo Samira mit vertraulichen Anmeldeinformationen angemeldet ist. In diesem Fall wurden die vertraulichen Anmeldeinformationen von Samira auf dem Computer REDMOND-WA-DEV gespeichert. Beachten Sie nun, welche anderen Benutzer sich bei welchen Computern angemeldet haben, die die meisten Sicherheitsrisiken und Sicherheitsrisiken erstellt haben. Sie können dies sehen, indem Sie sich den Administrator auf schwarzen Pfeilen ansehen, um zu sehen, wer über Administratorberechtigungen für die Ressource verfügt. In diesem Beispiel hat jeder in der Gruppe Contoso All die Möglichkeit, auf Benutzeranmeldeinformationen aus dieser Ressource zuzugreifen.

    User profile lateral movement paths.

Bewährte Methoden zur Prävention

  • Die beste Möglichkeit, laterale Bewegungen zu verhindern, besteht darin, sicherzustellen, dass vertrauliche Benutzer ihre Administratoranmeldeinformationen nur verwenden, wenn sie sich bei gehärteten Computern anmelden, auf denen keine nicht vertraulichen Benutzer mit Administratorrechten auf demselben Computer vorhanden sind. Stellen Sie zum Beispiel sicher, dass sich Samira, wenn Samira Zugriff auf REDMOND-WA-DEV benötigt, mit einem Anderen Benutzernamen und Kennwort als ihren Administratoranmeldeinformationen anmelden oder die Contoso All-Gruppe aus der lokalen Administratorgruppe auf REDMOND-WA-DEV entfernen.

  • Es wird auch empfohlen, sicherzustellen, dass niemand über unnötige lokale Administratorberechtigungen verfügt. Überprüfen Sie im Beispiel, ob jeder in Contoso All Administratorrechte auf REDMOND-WA-DEV benötigt.

  • Stellen Sie sicher, dass Personen nur Zugriff auf erforderliche Ressourcen haben. Im Beispiel erhöht Oscar Posada die Gefährdung von Samira erheblich. Ist es notwendig, dass sie in die Gruppe Contoso All aufgenommen wird? Gibt es Untergruppen, die Sie erstellen könnten, um die Belichtung zu minimieren?

Tipp

Wenn die Aktivität während der letzten zwei Tage nicht erkannt wird, wird das Diagramm nicht angezeigt, aber der Bericht über laterale Bewegungspfade steht weiterhin zur Verfügung, um Informationen zu Lateralbewegungspfaden in den letzten 60 Tagen bereitzustellen.

Tipp

Anweisungen zum Festlegen ihrer Server, damit ATA die SAM-R-Vorgänge ausführen kann, die für die Erkennung lateraler Bewegungspfade erforderlich sind, finden Sie unter Konfigurieren Sie SAM-R.

Siehe auch