Untersuchen von Lateral Movement-Pfaden mit ATAInvestigate lateral movement paths with ATA

Gilt für: Advanced Threat Analytics Version 1.9Applies to: Advanced Threat Analytics version 1.9

Selbst wenn Sie sich sehr darum bemühen, Ihre sensiblen Benutzer zu schützen, Ihre Administratoren über komplexe Kennwörter verfügen, die regelmäßig geändert werden, deren Computer festgeschrieben sind, und ihre Daten sicher gespeichert sind, können Angreifer immer noch Lateral Movement-Pfade nutzen, um auf sensible Konten zuzugreifen.Even when you do your best to protect your sensitive users, and your admins have complex passwords that they change frequently, their machines are hardened, and their data is stored securely, attackers can still use lateral movement paths to access sensitive accounts. Bei lateral Movement-Angriffen nutzt der Angreifer Instanzen, wenn vertrauliche Benutzer sich bei einem Computer anmelden, auf dem ein nicht sensibler Benutzer über lokale Rechte verfügt.In lateral movement attacks, the attacker takes advantage of instances when sensitive users sign in to a machine where a non-sensitive user has local rights. Dann können sich Angreifer lateral bewegen, auf den weniger sensiblen Benutzer zugreifen und sich auf dem Computer bewegen, um die Anmeldeinformationen des sensiblen Benutzers abzugreifen.Attackers can then move laterally, accessing the less sensitive user and then moving across the computer to gain credentials for the sensitive user.

Was ist ein Lateral Movement-Pfad?What is a lateral movement path?

Lateral Movement bedeutet, dass ein Angreifer nicht sensible Konten benutzt, um Zugriff auf sensible Konten zu erhalten.Lateral movement is when an attacker uses non-sensitive accounts to gain access to sensitive accounts. Dies kann mithilfe der im Handbuch zu verdächtigen Aktivitäten beschriebenen Methoden erfolgen.This can be done using the methods described in the Suspicious activity guide. Angreifer verwenden lateral Movement, um die Administratoren in Ihrem Netzwerk zu identifizieren und zu erfahren, auf welche Computer Sie zugreifen können.Attackers use lateral movement to identify the administrators in your network and learn which machines they can access. Mit diesen Informationen und weiteren Verschiebungen kann der Angreifer die Daten auf Ihren Domänen Controllern nutzen.With this information, and further moves, the attacker can take advantage of the data on your domain controllers.

Mit ATA können Sie Lateral Movement-Angriffe in Ihrem Netzwerk verhindern.ATA enables you to take preemptive action on your network to prevent attackers from succeeding at lateral movement.

Ermittlung Ihrer gefährdeten sensiblen KontenDiscovery your at-risk sensitive accounts

Führen Sie die folgenden Schritte aus, um zu ermitteln, welche sensiblen Konten in Ihrem Netzwerk aufgrund der Verbindung mit nicht sensiblen Konten oder Ressourcen in einem bestimmten Zeitraum anfällig sind:To discover which sensitive accounts in your network are vulnerable because of their connection to non-sensitive accounts or resources, in a specific timeframe, follow these steps:

  1. Klicken Sie im Menü der ATA-Konsole auf das Symbol „Berichte“In the ATA console menu, click the reports icon Symbol „Berichte“..

  2. Wenn keine lateral Movement-Pfade gefunden werden, ist der Bericht unter lateral Movement-Pfade zu sensiblen Konten ausgegraut. Wenn lateral Movement-Pfade vorhanden sind, wählen die Datumsangaben des Berichts automatisch das erste Datum aus, wenn relevante Daten vorhanden sind.Under Lateral movements paths to sensitive accounts, if there are no lateral movement paths found, the report is grayed out. If there are lateral movement paths, then the dates of the report automatically select the first date when there is relevant data.

    Screenshot: Auswahl des Berichtsdatums

  3. Klicken Sie auf Herunterladen.Click Download.

  4. Die Excel-Datei, die erstellt wird, enthält Details zu den gefährdeten sensiblen Konten.The Excel file that is created provides you with details about your sensitive accounts at risk. Die Registerkarte Zusammenfassung liefert Graphen mit Informationen über die Anzahl sensibler Konten und Computer, sowie Durchschnittswerte für gefährdete Ressourcen.The Summary tab provides graphs that detail the number of sensitive accounts, computers, and averages for at-risk resources. Die Registerkarte Details enthält eine Liste von sensiblen Konten, um die Sie sich kümmern sollten.The Details tab provides a list of the sensitive accounts that you should be concerned about. Beachten Sie, dass die Pfade in der Vergangenheit verfügbar waren. Es kann also durchaus sein, dass sie heute nicht mehr verfügbar sind.Note that the paths are paths that existed previously, and may not be available today.

UntersuchenInvestigate

Da Sie nun wissen, welche sensiblen Konten gefährdet sind, können Sie sich eingehend mit ATA beschäftigen und mehr darüber erfahren, wie man präventive Maßnahmen ergreift.Now that you know which sensitive accounts are at risk, you can deep dive in ATA to learn more and take preventative measures.

  1. Suchen Sie in der ATA-Konsole nach dem Lateral Movement-Badge, das dem Entitätsprofil hinzugefügt wird, wenn sich die Entität in einem Lateral Movement-Pfad befindet.In the ATA console, search for the Lateral movement badge that's added to the entity profile when the entity is in a lateral movement path Symbol „lateral“ oderor Symbol „Pfad“.. Dieses Badge ist verfügbar, wenn innerhalb der letzten zwei Tage ein Lateral Movement-Pfad aufgetreten ist.This is available if there was a lateral movement path in the last two days.

  2. Klicken Sie auf der sich öffnenden Benutzerprofilseite auf die Registerkarte Lateral Movement-Pfade.In the user profile page that opens, click the Lateral movement paths tab.

  3. Das angezeigte Diagramm bietet eine Übersicht der möglichen Pfade zum sensiblen Benutzer.The graph that is displayed provides a map of the possible paths to the sensitive user. Der Graph zeigt die Verbindungen der letzten zwei Tage an.The graph shows connections that have been made over the last two days.

  4. Überprüfen Sie den Graphen, um weitere Informationen über die Offenlegung der Anmeldeinformationen Ihres sensiblen Benutzers zu erhalten.Review the graph to see what you can learn about exposure of your sensitive user's credentials. In dieser Übersicht können Sie z. b. die Pfeile " protokolliert von grau" befolgen, um zu sehen, wo sich Samira mit ihren privilegierten Anmelde Informationen angemeldet hat.For example, in this map, you can follow the Logged into by gray arrows to see where Samira signed in with their privileged credentials. In diesem Fall wurden Samiras sensible Anmeldeinformationen auf dem Computer „REDMOND-WA-DEV“ gespeichert.In this case, Samira's sensitive credentials were saved on the computer REDMOND-WA-DEV. Sehen Sie sich dann an, welche anderen Benutzer sich bei welchen Computern angemeldet haben.Then, see which other users signed in to which computers that created the most exposure and vulnerability. Über den schwarzen Pfeil Administrator auf können Sie sich anzeigen lassen, wer Administratorrechte für die Ressource hat.You can see this by looking at the Administrator on black arrows to see who has admin privileges on the resource. In diesem Beispiel hat jeder Benutzer in der Gruppe "" mit dem Typ " all " die Möglichkeit, auf die Benutzer Anmelde Informationen von dieser Ressource zuzugreifen.In this example, everyone in the group Contoso All has the ability to access user credentials from that resource.

    Lateral Movement-Pfade für Benutzerprofile

Empfohlene präventive MethodenPreventative best practices

  • Die beste Möglichkeit, lateral Movement zu verhindern, besteht darin sicherzustellen, dass sensible Benutzer Ihre Administrator Anmelde Informationen nur dann verwenden, wenn Sie sich bei festgeschriebenen Computern anmelden, bei denen es keinen nicht sensiblen Benutzer gibt, der auf demselben Computer über Administratorrechte verfügt.The best way to prevent lateral movement is to make sure that sensitive users use their administrator credentials only when they sign in to hardened computers where there is no non-sensitive user who has admin rights on the same computer. Vergewissern Sie sich im Beispiel, dass Samira Zugriff auf Redmond-WA-dev benötigt, indem Sie sich mit einem Benutzernamen und einem Kennwort anmelden, die nicht Ihren Administrator Anmelde Informationen entsprechen, oder entfernen Sie die Gruppe "alle" in der Gruppe "lokale Administratoren" auf Redmond-WA-dev.In the example, make sure that if Samira needs access to REDMOND-WA-DEV, they sign in with a username and password other than their admin credentials, or remove the Contoso All group from the local administrators group on REDMOND-WA-DEV.

  • Außerdem wird empfohlen, sicherzustellen, dass niemand über unnötige lokale administrative Berechtigungen verfügt.It is also recommended that you make sure that no one has unnecessary local administrative permissions. Überprüfen Sie in diesem Beispiel, ob alle Benutzer in "..." für "Redmond-WA-dev" wirklich Administratorrechte benötigen.In the example, check to see if everyone in Contoso All really needs admin rights on REDMOND-WA-DEV.

  • Stellen Sie sicher, dass Personen nur Zugriff auf die Ressourcen haben, die sie benötigen.Make sure people only have access to necessary resources. Im Beispiel erhöht Oscar Posada die Anfälligkeit von Samiras Konto signifikant.In the example, Oscar Posada significantly widens Samira's exposure. Ist es erforderlich, dass Sie in der Gruppe " alle" in der Gruppe "alle" enthalten sind?Is it necessary that they be included in the group Contoso All? Könnten Sie Untergruppen erstellen, um die Offenlegung von Daten zu minimieren?Are there subgroups that you could create to minimize exposure?

Tipp

Wenn die Aktivität während der letzten zwei Tage nicht erkannt wird, wird das Diagramm nicht angezeigt, aber der Bericht "Lateral Movement Path" ist weiterhin verfügbar, um Informationen über lateral Movement-Pfade in den letzten 60 Tagen bereitzustellen.If activity is not detected during the last two days, the graph does not appear, but the lateral movement path report is still available to provide information about lateral movement paths over the last 60 days.

Tipp

Um zu erfahren, wie Sie Ihre Server so einrichten, dass ATA die SAM-r-Vorgänge durchführt, die für die Erkennung von Lateral Movement-Pfaden erforderlich sind, Konfigurieren Sie Sam-r.For instructions about how to set your servers to allow ATA to perform the SAM-R operations needed for lateral movement path detection, configure SAM-R.

Siehe auchSee also