Untersuchen von Lateral Movement-Pfaden mit ATAInvestigating lateral movement paths with ATA

Gilt für: Advanced Threat Analytics Version 1.9Applies to: Advanced Threat Analytics version 1.9

Selbst wenn Sie sich sehr darum bemühen, Ihre sensiblen Benutzer zu schützen, Ihre Administratoren über komplexe Kennwörter verfügen, die regelmäßig geändert werden, deren Computer festgeschrieben sind, und ihre Daten sicher gespeichert sind, können Angreifer immer noch Lateral Movement-Pfade nutzen, um auf sensible Konten zuzugreifen.Even when you do your best to protect your sensitive users, and your admins have complex passwords that they change frequently, their machines are hardened, and their data is stored securely, attackers can still use lateral movement paths to access sensitive accounts. Bei Angriffen über Lateral Movement-Pfade nutzen Angreifer Instanzen aus, wenn sich sensible Benutzer auf einem Computer anmelden, auf dem ein nicht sensibler Benutzer über lokale Berechtigungen verfügt.In lateral movement attacks, the attacker takes advantage of instances when sensitive users log into a machine where a non-sensitive user has local rights. Dann können sich Angreifer lateral bewegen, auf den weniger sensiblen Benutzer zugreifen und sich auf dem Computer bewegen, um die Anmeldeinformationen des sensiblen Benutzers abzugreifen.Attackers can then move laterally, accessing the less sensitive user and then moving across the computer to gain credentials for the sensitive user.

Was ist ein Lateral Movement-Pfad?What is a lateral movement path?

Lateral Movement bedeutet, dass ein Angreifer nicht sensible Konten benutzt, um Zugriff auf sensible Konten zu erhalten.Lateral movement is when an attacker uses non-sensitive accounts to gain access to sensitive accounts. Dies kann mithilfe der im Leitfaden zu verdächtigen Aktivitäten beschriebenen Methoden erfolgen.This can be done using the methods described in theSuspicious activity guide. Der Angreifer kann die Daten auf Ihren Domänencontrollern nutzen, um zu erfahren, wer die Administratoren in Ihrem Netzwerk sind und auf welche Computer zugegriffen werden kann.To understand who the administrators are in your network and which machines the attacker can access, the attacker can take advantage of the data on your domain controllers.

Mit ATA können Sie Lateral Movement-Angriffe in Ihrem Netzwerk verhindern.ATA enables you to take preemptive action on your network to prevent attackers from succeeding at lateral movement.

Ermittlung Ihrer gefährdeten sensiblen KontenDiscovery your at-risk sensitive accounts

Befolgen Sie diese Schritte, um zu ermitteln, welche sensiblen Konten in Ihrem Netzwerk aufgrund einer Verbindung mit nicht sensiblen Konten oder Ressourcen innerhalb eines bestimmten Zeitraums anfällig sind.To discover which sensitive accounts in your network were vulnerable because of their connection to non-sensitive accounts or resources, in a specific timeframe, follow these steps.

  1. Klicken Sie im Menü der ATA-Konsole auf das Symbol „Berichte“In the ATA console menu, click the reports icon Symbol „Berichte“..

  2. Wenn keine Lateral Movement-Pfade gefunden wurden, ist der Bericht unter Lateral Movement-Pfade zu sensiblen Konten abgeblendet. Wenn Lateral Movement-Pfade mit relevanten Daten gefunden wurden, wird aus den Daten des Berichts automatisch das frühste Datum ausgewählt.Under Lateral movements paths to sensitive accounts, if there are no lateral movement paths found, the report is grayed out. If there are lateral movement paths, then the dates of the report automatically select the first date when there is relevant data.

    -Berichte

  3. Klicken Sie auf Herunterladen.Click Download.

  4. Die erstellte Excel-Datei gibt Ihnen Informationen über gefährdete sensible Konten.The Excel file that is created provides you with details about your sensitive accounts that are at risk. Die Registerkarte Zusammenfassung liefert Graphen mit Informationen über die Anzahl sensibler Konten und Computer, sowie Durchschnittswerte für gefährdete Ressourcen.The Summary tab provides graphs that detail the number of sensitive accounts, computers, and averages for at-risk resources. Die Registerkarte Details enthält eine Liste von sensiblen Konten, um die Sie sich kümmern sollten.The Details tab provides a list of the sensitive accounts that you should be concerned about. Beachten Sie, dass die Pfade in der Vergangenheit verfügbar waren. Es kann also durchaus sein, dass sie heute nicht mehr verfügbar sind.Note that the paths are paths that existed previously, and may not be available today.

UntersuchenInvestigate

Da Sie nun wissen, welche sensiblen Konten gefährdet sind, können Sie sich eingehend mit ATA beschäftigen und mehr darüber erfahren, wie man präventive Maßnahmen ergreift.Now that you know which sensitive accounts are at risk, you can deep dive in ATA to learn more and take preventative measures.

  1. Suchen Sie in der ATA-Konsole nach dem Lateral Movement-Badge, das dem Entitätsprofil hinzugefügt wird, wenn sich die Entität in einem Lateral Movement-Pfad befindet.In the ATA console, search for the Lateral movement badge that's added to the entity profile when the entity is in a lateral movement path Symbol „lateral“ oderor Symbol „Pfad“.. Dieses Badge ist verfügbar, wenn innerhalb der letzten zwei Tage ein Lateral Movement-Pfad aufgetreten ist.This is available if there was a lateral movement path in the last two days.

  2. Klicken Sie auf der sich öffnenden Benutzerprofilseite auf die Registerkarte Lateral Movement-Pfade.In the user profile page that opens, click the Lateral movement paths tab.

  3. Das angezeigte Diagramm bietet eine Übersicht der möglichen Pfade zum sensiblen Benutzer.The graph that is displayed provides a map of the possible paths to the sensitive user. Der Graph zeigt die Verbindungen der letzten zwei Tage an.The graph shows connections that have been made over the last two days.

  4. Überprüfen Sie den Graphen, um weitere Informationen über die Offenlegung der Anmeldeinformationen Ihres sensiblen Benutzers zu erhalten.Review the graph to see what you can learn about exposure of your sensitive user's credentials. Beispielsweise können Sie in dieser Zuordnung über die grauen Pfeile Angemeldet durch anzeigen lassen, wo sich Samira mit ihren privilegierten Anmeldeinformationen angemeldet hat.For example, in this map, you can follow the Logged into by gray arrows to see where Samira logged in with her privileged credentials. In diesem Fall wurden Samiras sensible Anmeldeinformationen auf dem Computer „REDMOND-WA-DEV“ gespeichert.In this case, Samira's sensitive credentials were saved on the computer REDMOND-WA-DEV. Überprüfen Sie anschließend, welche anderen Benutzer sich an welchen Computern angemeldet haben und die größte Offenlegung von Daten und das höchste Sicherheitsrisiko darstellten.Then, see which other users logged into which computers that created the most exposure and vulnerability. Über den schwarzen Pfeil Administrator auf können Sie sich anzeigen lassen, wer Administratorrechte für die Ressource hat.You can see this by looking at the Administrator on black arrows to see who has admin privileges on the resource. In diesem Beispiel hat jeder in der Gruppe Contoso All Zugriff auf die Benutzeranmeldeinformationen dieser Ressource.In this example, everyone in the group Contoso All has the ability to access user credentials from that resource.

    Lateral Movement-Pfade zum Benutzerprofil

Empfohlene präventive MethodenPreventative best practices

  • Sie können Lateral Movement-Angriffe am besten verhindern, indem Sie sicherstellen, dass sensible Benutzer ihre Administratoranmeldeinformationen nur dann verwenden, wenn sie sich an festgeschriebenen Computern anmelden, auf denen kein nicht sensibler Benutzer über Administratorrechte verfügt.The best way to prevent lateral movement is to make sure that sensitive users use their administrator credentials only when logging into hardened computers where there is no non-sensitive user who has admin rights on the same computer. Stellen Sie in dem Beispiel sicher, dass sich die Benutzerin Samira mit einem Benutzernamen oder Kennwort anmeldet, die von ihren Administratoranmeldeinformationen abweicht, wenn sie auf REDMOND-WA-DEV zugreifen muss. Stattdessen können Sie auch die Gruppe „Contoso All“ aus der Gruppe der lokalen Administratoren unter REDMOND-WA-DEV entfernen.In the example, make sure that if Samira needs access to REDMOND-WA-DEV, she logs in with a username and password other than her admin credentials, or remove the Contoso All group from the local administrators group on REDMOND-WA-DEV.

  • Außerdem wird empfohlen, sicherzustellen, dass niemand über unnötige lokale administrative Berechtigungen verfügt.It is also recommended that you make sure that no one has unnecessary local administrative permissions. Im Beispiel sollten Sie überprüfen, ob jeder in der Gruppe „Contoso All“ wirklich Administratorrechte für „REDMOND-WA-DEV“ benötigt.In the example, you should check to see if everyone in Contoso All really needs admin rights on REDMOND-WA-DEV.

  • Stellen Sie sicher, dass Personen nur Zugriff auf die Ressourcen haben, die sie benötigen.Make sure people only have access to necessary resources. Im Beispiel erhöht Oscar Posada die Anfälligkeit von Samiras Konto signifikant.In the example, Oscar Posada significantly widens Samira's exposure. Ist es erforderlich, dass er Mitglied in der Gruppe Contoso All ist?Is it necessary that he be included in the group Contoso All? Könnten Sie Untergruppen erstellen, um die Offenlegung von Daten zu minimieren?Are there subgroups that you could create to minimize exposure?

Tipp: Wenn während der vergangenen zwei Tage keine Aktivitäten ermittelt wurden, wird zwar der Graph nicht angezeigt, aber Sie können immer noch auf den Bericht zu den Lateral Movement-Pfaden zugreifen, der Informationen zu den Lateral Movement-Pfaden der vergangenen 60 Tage enthält.Tip – If activity is not detected during the last two days, the graph does not appear, but the lateral movement path report will still be available to provide you with information about lateral movement paths over the last 60 days.

Tipp: Unter Konfigurieren von SAM-R finden Sie Informationen darüber, wie Sie auf Ihren Servern ATA das Ausführen des für die Lateral Movement-Pfaderkennung nötigen SAM-R-Vorgangs erlauben.Tip - For instructions on how to set your servers to allow ATA to perform the SAM-R operations needed for lateral movement path detection, configure SAM-R.

Weitere InformationenSee Also