Untersuchen von lateral Movement-Pfaden mit ATAInvestigate lateral movement paths with ATA

Gilt für: Advanced Threat Analytics Version 1.9Applies to: Advanced Threat Analytics version 1.9

Selbst wenn Sie sich sehr darum bemühen, Ihre sensiblen Benutzer zu schützen, Ihre Administratoren über komplexe Kennwörter verfügen, die regelmäßig geändert werden, deren Computer festgeschrieben sind, und ihre Daten sicher gespeichert sind, können Angreifer immer noch Lateral Movement-Pfade nutzen, um auf sensible Konten zuzugreifen.Even when you do your best to protect your sensitive users, and your admins have complex passwords that they change frequently, their machines are hardened, and their data is stored securely, attackers can still use lateral movement paths to access sensitive accounts. Lateral-Movement-Angriffen nutzt der Angreifer Instanzen wenn sensible Benutzer auf einem Computer anmelden, in dem ein nicht sensibler Benutzer lokale Rechte verfügt.In lateral movement attacks, the attacker takes advantage of instances when sensitive users sign in to a machine where a non-sensitive user has local rights. Dann können sich Angreifer lateral bewegen, auf den weniger sensiblen Benutzer zugreifen und sich auf dem Computer bewegen, um die Anmeldeinformationen des sensiblen Benutzers abzugreifen.Attackers can then move laterally, accessing the less sensitive user and then moving across the computer to gain credentials for the sensitive user.

Was ist ein Lateral Movement-Pfad?What is a lateral movement path?

Lateral Movement bedeutet, dass ein Angreifer nicht sensible Konten benutzt, um Zugriff auf sensible Konten zu erhalten.Lateral movement is when an attacker uses non-sensitive accounts to gain access to sensitive accounts. Dies kann mithilfe der im Handbuch zu verdächtigen Aktivitäten beschriebenen Methoden erfolgen.This can be done using the methods described in the Suspicious activity guide. Angreifer verwenden lateral Movement-Angriffe, die Administratoren in Ihrem Netzwerk zu identifizieren, und erfahren, welche Computer, die sie zugreifen können.Attackers use lateral movement to identify the administrators in your network and learn which machines they can access. Mit diesen Informationen und weitere wechselt kann der Angreifer die Daten auf Ihren Domänencontrollern nutzen.With this information, and further moves, the attacker can take advantage of the data on your domain controllers.

Mit ATA können Sie Lateral Movement-Angriffe in Ihrem Netzwerk verhindern.ATA enables you to take preemptive action on your network to prevent attackers from succeeding at lateral movement.

Ermittlung Ihrer gefährdeten sensiblen KontenDiscovery your at-risk sensitive accounts

Gehen Sie folgendermaßen vor, um zu ermitteln, welche sensiblen Konten in Ihrem Netzwerk aufgrund einer Verbindung nicht sensiblen Konten oder Ressourcen, die innerhalb eines bestimmten Zeitraums, anfällig sind:To discover which sensitive accounts in your network are vulnerable because of their connection to non-sensitive accounts or resources, in a specific timeframe, follow these steps:

  1. Klicken Sie im Menü der ATA-Konsole auf das Symbol „Berichte“In the ATA console menu, click the reports icon Symbol „Berichte“..

  2. Wenn keine Lateral Movement-Pfade gefunden wurden, ist der Bericht unter Lateral Movement-Pfade zu sensiblen Konten abgeblendet. Wenn Lateral Movement-Pfade mit relevanten Daten gefunden wurden, wird aus den Daten des Berichts automatisch das frühste Datum ausgewählt.Under Lateral movements paths to sensitive accounts, if there are no lateral movement paths found, the report is grayed out. If there are lateral movement paths, then the dates of the report automatically select the first date when there is relevant data.

    Berichte

  3. Klicken Sie auf herunterladen.Click Download.

  4. Die Excel-Datei, die erstellt wird enthält Details zu Ihrem sensiblen Konten gefährdet.The Excel file that is created provides you with details about your sensitive accounts at risk. Die Registerkarte Zusammenfassung liefert Graphen mit Informationen über die Anzahl sensibler Konten und Computer, sowie Durchschnittswerte für gefährdete Ressourcen.The Summary tab provides graphs that detail the number of sensitive accounts, computers, and averages for at-risk resources. Die Registerkarte Details enthält eine Liste von sensiblen Konten, um die Sie sich kümmern sollten.The Details tab provides a list of the sensitive accounts that you should be concerned about. Beachten Sie, dass die Pfade in der Vergangenheit verfügbar waren. Es kann also durchaus sein, dass sie heute nicht mehr verfügbar sind.Note that the paths are paths that existed previously, and may not be available today.

UntersuchenInvestigate

Da Sie nun wissen, welche sensiblen Konten gefährdet sind, können Sie sich eingehend mit ATA beschäftigen und mehr darüber erfahren, wie man präventive Maßnahmen ergreift.Now that you know which sensitive accounts are at risk, you can deep dive in ATA to learn more and take preventative measures.

  1. Suchen Sie in der ATA-Konsole nach dem Lateral Movement-Badge, das dem Entitätsprofil hinzugefügt wird, wenn sich die Entität in einem Lateral Movement-Pfad befindet.In the ATA console, search for the Lateral movement badge that's added to the entity profile when the entity is in a lateral movement path Symbol „lateral“ oderor Symbol „Pfad“.. Dieses Badge ist verfügbar, wenn innerhalb der letzten zwei Tage ein Lateral Movement-Pfad aufgetreten ist.This is available if there was a lateral movement path in the last two days.

  2. Klicken Sie auf der sich öffnenden Benutzerprofilseite auf die Registerkarte Lateral Movement-Pfade.In the user profile page that opens, click the Lateral movement paths tab.

  3. Das angezeigte Diagramm bietet eine Übersicht der möglichen Pfade zum sensiblen Benutzer.The graph that is displayed provides a map of the possible paths to the sensitive user. Der Graph zeigt die Verbindungen der letzten zwei Tage an.The graph shows connections that have been made over the last two days.

  4. Überprüfen Sie den Graphen, um weitere Informationen über die Offenlegung der Anmeldeinformationen Ihres sensiblen Benutzers zu erhalten.Review the graph to see what you can learn about exposure of your sensitive user's credentials. Z. B. in der Übersicht, Sie können folgen der angemeldet als abgeblendeten, wo sich Samira mit ihren privilegierten Anmeldeinformationen angemeldet.For example, in this map, you can follow the Logged into by gray arrows to see where Samira signed in with their privileged credentials. In diesem Fall wurden Samiras sensible Anmeldeinformationen auf dem Computer „REDMOND-WA-DEV“ gespeichert.In this case, Samira's sensitive credentials were saved on the computer REDMOND-WA-DEV. Beobachten Sie dann die andere Benutzer angemeldet zu welchen Computern, die die meisten anzuzeigen und zu Sicherheitsrisiken erstellt.Then, see which other users signed in to which computers that created the most exposure and vulnerability. Über den schwarzen Pfeil Administrator auf können Sie sich anzeigen lassen, wer Administratorrechte für die Ressource hat.You can see this by looking at the Administrator on black arrows to see who has admin privileges on the resource. In diesem Beispiel hat jeder in der Gruppe Contoso All Zugriff auf die Benutzeranmeldeinformationen dieser Ressource.In this example, everyone in the group Contoso All has the ability to access user credentials from that resource.

    Benutzer Profil lateral Movement-Pfade

Empfohlene präventive MethodenPreventative best practices

  • Die beste Möglichkeit, lateral Movement-Angriffe zu verhindern, dass ist, um sicherzustellen, dass sensible Benutzer ihre Administratoranmeldeinformationen verwenden, nur wenn Anmeldung im Computer festgeschrieben, wenn kein nicht sensibler Benutzer mit Administratorrechten auf demselben Computer vorhanden ist.The best way to prevent lateral movement is to make sure that sensitive users use their administrator credentials only when they sign in to hardened computers where there is no non-sensitive user who has admin rights on the same computer. Stellen Sie in diesem Beispiel sicher, dass wenn Samira Zugriff auf REDMOND-WA-DEV, sie melden Sie sich mit Benutzername und Kennwort als ihren Administratoranmeldeinformationen benötigt, oder Entfernen der Gruppe "Contoso All" aus der lokalen Administratorengruppe auf REDMOND-WA-devIn the example, make sure that if Samira needs access to REDMOND-WA-DEV, they sign in with a username and password other than their admin credentials, or remove the Contoso All group from the local administrators group on REDMOND-WA-DEV.

  • Außerdem wird empfohlen, sicherzustellen, dass niemand über unnötige lokale administrative Berechtigungen verfügt.It is also recommended that you make sure that no one has unnecessary local administrative permissions. Im Beispiel zu überprüfen, um festzustellen, ob alle Benutzer in Contoso alle wirklich Administratorrechte auf REDMOND-WA-dev benötigt.In the example, check to see if everyone in Contoso All really needs admin rights on REDMOND-WA-DEV.

  • Stellen Sie sicher, dass Personen nur Zugriff auf die Ressourcen haben, die sie benötigen.Make sure people only have access to necessary resources. Im Beispiel erhöht Oscar Posada die Anfälligkeit von Samiras Konto signifikant.In the example, Oscar Posada significantly widens Samira's exposure. Ist es erforderlich, dass sie in der Gruppe enthalten sein Contoso alle?Is it necessary that they be included in the group Contoso All? Könnten Sie Untergruppen erstellen, um die Offenlegung von Daten zu minimieren?Are there subgroups that you could create to minimize exposure?

Tipp

Wenn während der letzten zwei Tage keine Aktivitäten ermittelt wird, wird das Diagramm nicht angezeigt, aber der lateral Movement-Pfad-Bericht ist weiterhin verfügbar, um Informationen über lateral Movement-Pfaden der vergangenen 60 Tage bereitzustellen.If activity is not detected during the last two days, the graph does not appear, but the lateral movement path report is still available to provide information about lateral movement paths over the last 60 days.

Tipp

Anweisungen dazu, wie auf Ihren Servern zum Zulassen von ATA zur Durchführung der SAM-R-Vorgänge für lateral Movement-Pfads, benötigt Konfigurieren von SAM-R.For instructions about how to set your servers to allow ATA to perform the SAM-R operations needed for lateral movement path detection, configure SAM-R.

Siehe auchSee also