Azure ATP-Lateral Movement-Pfade (LMPs)Azure ATP Lateral Movement Paths (LMPs)

Lateral Movement bedeutet, dass ein Angreifer nicht sensible Konten benutzt, um über Ihr Netzwerk hinweg Zugriff auf sensible Konten zu erhalten.Lateral movement is when an attacker uses non-sensitive accounts to gain access to sensitive accounts throughout your network. Lateral Movement wird von Angreifern genutzt, um Zugriff auf sensible Konten und Computer in Ihrem Netzwerk zu erhalten, die gespeicherte Anmeldeinformationen für Konten, Gruppen und Computer gemeinsam nutzen.Lateral movement is used by attackers to identify and gain access to the sensitive accounts and machines in your network that share stored log-in credentials in accounts, groups and machines. Sobald ein Angreifer erfolgreich Lateral Moves in Richtung Ihrer wichtigsten Ziele ausführt, kann er das nutzen und sich Zugriff auf Ihre Domänencontroller verschaffen.Once an attacker makes successful lateral moves towards your key targets, the attacker can also take advantage and gain access to your domain controllers. Lateral Movement-Angriffe werden mithilfe vieler unterschiedlicher Methoden durchgeführt, die im Handbuch zu verdächtigen Aktivitäten beschrieben werden.Lateral movement attacks are carried out using many of the methods described in the Suspicious activity guide.

Eine wichtige Komponente der Azure ATP-Sicherheitseinblicke sind Lateral Movement-Pfade oder LMPs.A key component of Azure ATP’s security insights are Lateral Movement Paths or LMPs. Azure ATP-LMPs sind visuelle Hilfsmittel, mit denen Sie genau verstehen und bestimmten können, wie Angreifer sich seitlich in Ihrem Netzwerk bewegen können.Azure ATP LMPs are visual guides that help you quickly understand and identify exactly how attackers can move laterally inside your network. Der Zweck von Lateral Movements innerhalb der Cyber Kill Chain ist es, über nicht sensible Konten Zugriff auf Ihre sensiblen Konten zu erhalten.The purpose of lateral movements within the cyber-attack kill chain are for attackers to gain and compromise your sensitive accounts using non-sensitive accounts. Das Kompromittieren Ihrer sensiblen Konten bringt die Angreifer ihrem Hauptziel, dem Kontrollieren der Domäne, einen Schritt näher.Compromising your sensitive accounts gets them another step closer to their ultimate goal, domain dominance. Um zu verhindern, dass diese Angriffe Erfolg haben, stellen Ihnen Azure ATP-LMPs einfach zu interpretierende, direkte visuelle Hilfsmittel für Ihre sensiblen Konten zur Verfügung.To stop these attacks from being successful, Azure ATP LMPs give you easy to interpret, direct visual guidance on your most vulnerable, sensitive accounts. LMPs helfen Ihnen dabei, diese Risiken für die Zukunft zu verringern und zu verhindern, und blockieren den Zugriff für Angreifer, bevor diese die Domäne einnehmen können.LMPs assist in helping you mitigate and prevent those risks in future, and close attacker access before they achieve domain dominance.

Azure ATP-Lateral Movement-Pfad (LMP)

Lateral Movement-Angriffe können auf unterschiedliche Weise durchgeführt werden.Lateral movement attacks are typically accomplished using a number of different techniques. Einige der von Angreifern am häufigsten verwendeten Methoden sind der Diebstahl von Anmeldeinformationen und Pass-the-Ticket-Angriffe.Some of the most popular methods used by attackers are credential theft and Pass the Ticket. Bei beiden Methoden werden Ihre nicht sensiblen Konten von den Angreifern für Seitenangriffe genutzt, indem sie nicht sensible Computer ausnutzen, die Anmeldeinformationen gemeinsam mit Konten, Endpunktgruppen und Computern mit sensiblen Konten verwenden.In both methods, your non-sensitive accounts are used by attackers for lateral moves by exploiting non-sensitive machines that share stored log-in credentials in accounts, groups and machines with sensitive accounts.

Wo kann ich Azure ATP-LMPs finden?Where can I find Azure ATP LMPs?

Jeder Computer oder jedes Benutzerprofil, das sich laut den Azure ATP-Ermittlungen in einem LMP befindet, besitzt eine Registerkarte Lateral Movement-Pfade. Computer und Profile, die keine Registerkarte vorweisen, wurden noch nie innerhalb einer potenziellen LMP ermittelt.Every computer or user profile discovered by Azure ATP to be in an LMP has a Lateral movement paths tab. Computers and profiles with no tab have never been discovered within a potential LMP.

Registerkarte „Azure ATP Lateral Movement Path (LMP)“ (Azure ATP-Lateral Movement-Pfad (LMP))

Der LMP für jede Entität bietet verschiedene Informationen abhängig von der Vertraulichkeit der Entität:The LMP for each entity provides different information depending on the sensitivity of the entity:

  • Sensible Benutzer: potenzielle LMP(s), die zu diesem Benutzer führen, werden angezeigt.Sensitive users – potential LMP(s) leading to this user are shown.
  • Nicht sensible Benutzer und Computer: mit der Entität verknüpfte potenzielle LMP(s) werden angezeigt.Non-sensitive users and computers – potential LMP(s) the entity is related to are shown.

Wenn Sie auf die Registerkarte klicken, werden immer die neuesten ermittelten LMP angezeigt.Each time the tab is clicked, Azure ATP displays the most recently discovered LMP. Jeder potenzielle LMP wird nach der Ermittlung 48 Stunden lang gespeichert.Each potential LMP is saved for 48 hours following discovery. Der LMP-Verlauf ist verfügbar.LMP history is available. Klicken Sie auf Anzeigen einer anderen Datumsangabe, um ältere LMPs, die in der Vergangenheit ermittelt wurden, anzuzeigen.View older LMPs that were discovered in the past by clicking on View a different date.

Registerkarte „Azure ATP-Lateral Movement-Pfad (LMP)“

Ermitteln Sie, wann potenzielle LMPs identifiziert wurden und welche verwandten Entitäten möglicherweise betroffen sind.Discover when potential LMPs were identified and which related entities are potentially involved.

LMP-ErmittlungLMP discovery

Auf der Registerkarte „Aktivitäten“ werden Warnungen angezeigt, wenn neue potenzieller LMP erkannt wurden:From the Activities tab, an indication is given when a new potential LMP was identified:

  • Sensible Benutzer: Wenn ein neuer Pfad zu einem sensiblen Benutzer identifiziert wirdSensitive users – when a new path is identified to a sensitive user

Azure ATP: Lateral Movement-Pfad (LMP), Als sensibel identifiziert

  • Nicht sensible Benutzer und Computer: Wenn diese Entität in einem potenziellen LMP, der zu einem sensiblen Benutzer führt, identifiziert wird.Non-sensitive users and computers – when this entity is identified in a potential LMP leading to a sensitive user.

Azure ATP: Lateral Movement-Pfad (LMP), Als nicht sensibel identifiziert

LMP können Sie jetzt direkt bei Ihrem Untersuchungsprozess unterstützen.LMP can now directly assists with your investigation process. Azure ATP-Beweislisten für Sicherheitswarnungen geben die verwandten Entitäten an, die an jedem potenziellen Lateral Movement-Pfad beteiligt sind.Azure ATP security alert evidence lists provide the related entities that are involved in each potential lateral movement path. Die Beweislisten können Ihrem Sicherheitsreaktionsteam direkt helfen, die Wichtigkeit der Sicherheitswarnung und/oder der Untersuchung der verwandten Entitäten zu senken oder zu erhöhen.The evidence lists directly help your security response team increase or reduce the importance of the security alert and/or investigation of the related entities. Wenn z.B. eine Pass-the-Ticket-Warnung ausgegeben wird, sind der Quellcomputer, der kompromittierte Benutzer und der Zielcomputer, von dem aus das gestohlene Ticket benutzt wurde, alle Teil des potenziellen Lateral Movement-Pfads, der zu einem sensiblen Benutzer führt.For example, when a Pass the Ticket alert is issued, the source computer, compromised user and destination computer the stolen ticket was used from, are all part of the potential lateral movement path leading to a sensitive user. Das Vorhandensein des identifizierten LMP macht das Untersuchen der Warnung und das Überwachen des verdächtigen Benutzers umso wichtiger, um den Angreifer an weiteren Seitenangriffe zu hindern.The existence of the detected LMP makes investigating the alert and watching the suspected user even more important to prevent your adversary from additional lateral moves. Nachverfolgbare Beweise werden in LMPs zur Verfügung gestellt, um Ihnen ein leichteres und schnelleres Stoppen von Angreifern zu ermöglichen, die sich durch Ihr Netzwerk bewegen.Trackable evidence is provided in LMPs to make it easier and faster for you to prevent attackers from moving forward in your network.

Bericht zu Lateral Movement-Pfaden zu sensiblen KontenLateral Movement paths to sensitive accounts report

LMP-Daten sind auch im Bericht zu Lateral Movement-Pfaden zu sensiblen Konten verfügbar.LMP data is also available in the Lateral Movement Paths to Sensitive Accounts report. In diesem Bericht werden die sensiblen Konten auf,gelistet die über Lateral Movement offen gelegt wurden, und umfasst Pfade, die manuell für einen bestimmten Zeitraum ausgewählt wurden oder im Zeitraum für geplante Berichte enthalten sind.This report lists the sensitive accounts that are exposed via lateral movement paths and includes paths that were selected manually for a specific time period, or included in the time period for scheduled reports. Passen Sie den enthaltenen Datumsbereich über die Kalenderauswahl an.Customize the included date range using the calendar selection.

Empfohlene präventive MethodenPreventative best practices

Mit Sicherheitserkenntnissen ist es nie zu spät, den nächsten Angriff zu verhindern und Schaden zu beheben.Security insights are never too late to prevent the next attack and remediate damage. Aus diesem Grund bietet das Untersuchen eines Angriffs, selbst wenn die Domäne bereits eingenommen wurde, ein anderes, jedoch wichtiges Beispiel.For this reason, investigating an attack even during the domain dominance phase provides a different, but important example. In der Regel ist Ihr Domänencontroller während der Untersuchung einer Sicherheitswarnung möglicherweise bereits gefährdet, wie z.B. der Codeausführungen von Remotestandorten, wenn die Warnung ein richtig positives Ereignis ist.Typically, while investigating a security alert such as Remote Code Execution, if the alert is a true positive, your domain controller may already be compromised. Aber LMPs informieren Sie darüber, wo sich der Angreifer Berechtigungen verschafft und welchen Pfad in Ihrem Netzwerk er benutzt hat.But LMPs inform on where the attacker gained privileges, and what path they used into your network. Auf diese Weise können LMPs auch wichtige Einblicke in mögliche Ansätze zum Abwehren oder Abschwächen derartiger Angriffe geben.Used this way, LMPs can also offer key insights into how to remediate.

  • Sie können Lateral Movement-Angriffe am besten verhindern, indem Sie sicherstellen, dass sensible Benutzer ihre Administratoranmeldeinformationen nur dann verwenden, wenn sie sich an gehärteten Computern anmelden.The best way to prevent lateral movement exposure within your organization is to make sure that sensitive users only use their administrator credentials when logging into hardened computers. Überprüfen Sie in diesem Beispiel, ob der Administrator im Pfad tatsächlich Zugriff auf den gemeinsam genutzten Computer benötigt.In the example, check if admin in the path actually needs access to the shared computer. Wenn sie keinen Zugriff benötigen, stellen Sie sicher, dass Sie sich bei dem gemeinsam genutzten Computer mit einem anderen Benutzernamen und Kennwort und nicht mit den Anmeldeinformationen des Administrators anmelden.If they do need access, make sure log in to the shared computer with a username and password other than their admin credentials.

  • Stellen Sie sicher, dass Ihre Benutzer wirklich Administratorrechte benötigen.Verify that your users do not have unnecessary administrative permissions. Überprüfen Sie im Beispiel, ob alle Benutzer in der geteilten Gruppe tatsächlich Administratorrechte auf dem bereitgestellten Computer erfordern.In the example, check if everyone in the shared group actually requires admin rights on the exposed computer.

  • Stellen Sie sicher, dass Personen nur Zugriff auf die Ressourcen haben, die sie benötigen.Make sure people only have access to necessary resources. Im Beispiel verstärkt Ron Harper erheblich Nick Cowleys Reichweite.In the example, Ron Harper significantly widens Nick Cowley's exposure. Ist es erforderlich, dass Ron Harper Mitglied in der Gruppe ist?Is it necessary that Ron Harper be included in the group? Können Untergruppen erstellt werden, mit denen sich die Anfälligkeit für Lateral Movement minimieren lässt?Are there subgroups that could be created to minimize lateral movement exposure?

Tipp: Wenn Sie keine potenzielle Lateral Movement-Pfadaktivität für eine Entität in den letzten 48 Stunden ermitteln können, klicken Sie auf Ein anderes Datum anzeigen, und suchen Sie nach vorherigen potenziellen Lateral Movement-Pfaden.Tip – When no potential lateral movement path activity is detected for an entity in the past 48 hours, choose to View a different date and check for previous potential lateral movement paths. Der Bericht „LMP zu sensiblen Benutzern“ ist immer verfügbar, wenn LMPs ermittelt wurden und bietet Ihnen Informationen über identifizierte potenzielle Lateral Movement-Pfade zu sensiblen Benutzern.The LMP to sensitive users report is always available is LMPs were discovered and provides you with information about potential lateral movement paths detected to sensitive users.

Tipp: Unter Konfigurieren von SAM-R finden Sie Informationen darüber, wie Sie Ihre Clients und Server so einrichten, dass Azure ATP das Ausführen von den SAM-R-Vorgängen erlaubt wird, die für die Erkennung von Lateral Movement-Pfaden erforderlich sind.Tip - For instructions on how to set your clients and servers to allow Azure ATP to perform the SAM-R operations needed for lateral movement path detection, see configure SAM-R.

Untersuchen von LMPsInvestigating LMPs

Anleitungen zum Identifizieren und Untersuchen mit Azure ATP-Lateral Movement-Pfaden finden Sie unter Untersuchen von Lateral Movement-Pfaden.For instructions on how to identify and investigate using Azure ATP Lateral Movement Paths, see Investigate Lateral Movement Paths.

Weitere InformationenSee Also