Verstehen und Untersuchen von Lateral Movement Paths (LMPs) mit Microsoft Defender for Identity

Lateral movement is when an angreifer uses non-sensitive accounts to gain access to sensitive accounts in your network. Lateral movement is used by angreifer to identify and gain access to the sensitive accounts and machines in your network that share stored sign-in credentials in accounts, groups and machines. Sobald ein Angreifer erfolgreiche Lateral-Verschiebungen zu Ihren wichtigsten Zielen macht, kann der Angreifer auch nutzen und Zugriff auf Ihre Aufgaben Standard Controller erhalten. Lateral movement attacks are carried out many of the methods described in Microsoft Defender for Identity Security Alerts.

Eine wichtige Komponente der Sicherheitserkenntnisse von Microsoft Defender for Identity sind Lateral Movement Paths oder LMPs. Defender for Identity LMPs sind visuelle Leitfäden, die Ihnen helfen, schnell zu verstehen und zu identifizieren, wie Angreifer sich lateral innerhalb Ihres Netzwerks bewegen können. Der Zweck lateraler Verschiebungen innerhalb der Killchain von Cyberangriffen dienen Angreifern, Ihre vertraulichen Konten mit nicht sensiblen Konten zu gewinnen und zu kompromittieren. Wenn Sie Ihre vertraulichen Konten kompromittieren, wird ihnen ein weiterer Schritt näher an ihrem ultimativen Ziel, do Standard Dominanz. Um zu verhindern, dass diese Angriffe erfolgreich sind, bieten Ihnen Defender for Identity LMPs einfache, direkte visuelle Anleitungen zu Ihren anfälligsten, sensiblen Konten. LMPs helfen Ihnen, diese Risiken in Zukunft zu mindern und zu verhindern und den Zugriff von Angreifern zu schließen, bevor sie die Dominanz erreichen Standard.

Beispiel:

Laterale Verschiebungsangriffe werden in der Regel mit einer Reihe verschiedener Techniken erreicht. Einige der beliebtesten Methoden, die von Angreifern verwendet werden, sind Diebstahl von Anmeldeinformationen und Pass the Ticket. In beiden Methoden werden Ihre nicht vertraulichen Konten von Angreifern für laterale Verschiebungen verwendet, indem nicht vertrauliche Computer ausgenutzt werden, die gespeicherte Anmeldeinformationen in Konten, Gruppen und Computern mit vertraulichen Konten freigeben.

Schauen Sie sich das folgende Video an, um mehr über die Reduzierung von Lateral Movement-Pfaden mit Defender for Identity zu erfahren:

Wo finde ich Defender for Identity LMPs?

Jede identität, die von Defender for Identity als LMP erkannt wurde, enthält informationen zu lateralen Verschiebungspfaden unter der Registerkarte "Beobachtet" in der Organisation . Zum Beispiel:

Der LMP für jede Entität stellt je nach Vertraulichkeit der Entität unterschiedliche Informationen bereit:

• Vertrauliche Benutzer – potenzielle LMP(n), die zu diesem Benutzer führen, werden angezeigt.
• Nicht vertrauliche Benutzer und Computer – potenzielle LMP(en), auf die sich die Entität bezieht, werden angezeigt.

Jedes Mal, wenn die Registerkarte ausgewählt ist, zeigt Defender for Identity den zuletzt ermittelten LMP an. Jeder potenzielle LMP wird 48 Stunden nach der Ermittlung gespeichert. Die LMP-Historie ist verfügbar. Zeigen Sie ältere LMPs an, die in der Vergangenheit entdeckt wurden, indem Sie "Datum auswählen" auswählen. Sie können auch einen anderen Benutzer auswählen, der den LMP initiiert hat, indem Sie "Pfadinitiator" auswählen.

LMP-Entdeckung mithilfe der erweiterten Suche

Um Laterale Verschiebungspfadaktivitäten proaktiv zu erkennen, können Sie eine erweiterte Suchabfrage ausführen.

Hier ist ein Beispiel für eine solche Abfrage:

Anweisungen zum Ausführen erweiterter Suchabfragen finden Sie unter Proaktive Suche nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR.

LMP-bezogene Entitäten

LMP kann jetzt direkt bei Ihrem Untersuchungsprozess helfen. Defender for Identity-Sicherheitswarnungslisten stellen die zugehörigen Entitäten bereit, die an jedem potenziellen Lateral Movement Path beteiligt sind. Die Nachweislisten helfen Ihrem Sicherheitsreaktionsteam, die Bedeutung der Sicherheitswarnung und/oder Untersuchung der zugehörigen Entitäten zu erhöhen oder zu verringern. Wenn beispielsweise eine Pass the Ticket-Warnung ausgegeben wird, sind der Quellcomputer, der kompromittierte Benutzer und der Zielcomputer, von dem das gestohlene Ticket verwendet wurde, Teil des potenziellen Lateral Movement Path, der zu einem sensiblen Benutzer führt. Das Vorhandensein des erkannten LMP macht es möglich, die Warnung zu untersuchen und den verdächtigen Benutzer noch wichtiger zu beobachten, um zu verhindern, dass Ihr Angreifer zusätzliche laterale Verschiebungen vor sich zieht. Nachverfolgbare Nachweise werden in LMPs bereitgestellt, um Es einfacher und schneller zu machen, damit Angreifer in Ihrem Netzwerk nicht weiterkommen.

Sicherheitsbewertung von Lateral Movement-Pfaden

Microsoft Defender for Identity überwacht Ihre Umgebung kontinuierlich, um sensible Konten mit den riskantesten lateralen Verschiebungspfaden zu identifizieren, die ein Sicherheitsrisiko darstellen, und erstellt Berichte über diese Konten, um Sie bei der Verwaltung Ihrer Umgebung zu unterstützen. Pfade werden als riskant betrachtet, wenn sie drei oder mehr nicht vertrauliche Konten haben, die das vertrauliche Konto dem Diebstahl von Anmeldeinformationen durch böswillige Akteure zur Verfügung stellen können. Um zu ermitteln, welche Ihrer vertraulichen Konten riskante Laterale Verschiebungspfade aufweisen, überprüfen Sie die riskantesten Lateral Movement Pfade (LMP) Sicherheitsbewertung. Basierend auf den Empfehlungen können Sie die Entität aus der Gruppe entfernen oder die lokalen Administratorberechtigungen für die Entität vom angegebenen Gerät entfernen.

Weitere Informationen finden Sie unter Sicherheitsbewertung: Riskante laterale Bewegungspfade (lateral movement path, LMP).

Bewährte Methoden zur Prävention

Sicherheitserkenntnisse sind nie zu spät, um den nächsten Angriff zu verhindern und Schäden zu beheben. Aus diesem Grund bietet die Untersuchung eines Angriffs auch während der Do Standard Dominanzphase ein anderes, aber wichtiges Beispiel. In der Regel wird beim Untersuchen einer Sicherheitswarnung wie Remotecodeausführung, wenn die Warnung ein wahr positives Ergebnis ist, möglicherweise bereits der Controller "do Standard" kompromittiert. LmPs informieren jedoch darüber, wo der Angreifer Rechte erlangt hat und welchen Pfad er in Ihrem Netzwerk verwendet hat. Auf diese Weise können LMPs auch wichtige Einblicke in die Behebung bieten.

• Die beste Möglichkeit, die Gefährdung von Lateral Movements innerhalb Ihrer Organisation zu verhindern, besteht darin, sicherzustellen, dass vertrauliche Benutzer nur ihre Administratoranmeldeinformationen verwenden, wenn Sie sich bei gehärteten Computern anmelden. Überprüfen Sie im Beispiel, ob der Administrator im Pfad tatsächlich Zugriff auf den gemeinsam genutzten Computer benötigt. Wenn sie Zugriff benötigen, stellen Sie sicher, dass sie sich bei dem gemeinsam genutzten Computer mit einem anderen Benutzernamen und Kennwort als ihren Administratoranmeldeinformationen anmelden.

• Stellen Sie sicher, dass Ihre Benutzer nicht über unnötige Administratorberechtigungen verfügen. Überprüfen Sie im Beispiel, ob jeder in der freigegebenen Gruppe Administratorrechte auf dem verfügbar gemachten Computer benötigt.

• Stellen Sie sicher, dass Personen nur Zugriff auf erforderliche Ressourcen haben. Im Beispiel verbreitert Ron Harper die Exposition von Nick Cowley erheblich. Muss Ron Harper in die Gruppe aufgenommen werden? Gibt es Untergruppen, die erstellt werden könnten, um die Gefährdung der lateralen Verschiebung zu minimieren?

Tipp

Wenn keine potenzielle Lateral Movement Path-Aktivität für eine Entität in den letzten 48 Stunden erkannt wird, wählen Sie "Datum auswählen" aus, und suchen Sie nach vorherigen potenziellen LateralVerschiebungspfaden.

Wichtig

Anweisungen zum Festlegen Ihrer Clients und Server, damit Defender for Identity die SAM-R-Vorgänge ausführen kann, die für die Erkennung lateraler Verschiebungspfade erforderlich sind, finden Sie unter Configure Microsoft Defender for Identity to make remote calls to SAM.

Verstehen und Untersuchen von Lateral Movement-Pfaden

Es gibt mehrere Möglichkeiten, LMPs zu verwenden und zu untersuchen. Suchen Sie im Microsoft Defender-Portal nach Entität und dann nach Pfad oder Aktivität.

1. Suchen Sie im Portal nach einem Benutzer. Unter " Beobachtet in organisation " (sowohl auf den Registerkarten "Übersicht " als auch "Beobachtet ") können Sie sehen, ob der Benutzer in einem potenziellen LMP entdeckt wird.

2. Wenn der Benutzer erkannt wird, wählen Sie die Registerkarte "Beobachtet" in der Organisation und dann Laterale Verschiebungspfade aus.

3. Das angezeigte Diagramm stellt eine Zuordnung der möglichen Pfade zum vertraulichen Benutzer während des 48-Stunden-Zeitraums bereit. Verwenden Sie die Option "Datum auswählen", um das Diagramm für frühere Laterale Verschiebungspfaderkennungen für die Entität anzuzeigen.

4. Überprüfen Sie das Diagramm, um zu sehen, was Sie über die Gefährdung der Anmeldeinformationen Ihres vertraulichen Benutzers erfahren können. Folgen Sie beispielsweise im Pfad den Pfeilen "Angemeldet nach ", um zu sehen, wo Nick mit ihren privilegierten Anmeldeinformationen angemeldet ist. In diesem Fall wurden die vertraulichen Anmeldeinformationen von Nick auf dem angezeigten Computer gespeichert. Beachten Sie nun, welche anderen Benutzer sich bei welchen Computern angemeldet haben, die die meisten Sicherheitsrisiken und Sicherheitsrisiken erstellt haben. In diesem Beispiel hat Elizabeth King die Möglichkeit, von dieser Ressource aus auf Benutzeranmeldeinformationen zuzugreifen.

Nächste Schritte

• Konfigurieren von Microsoft Defender for Identity für Remoteanrufe an SAM
• Sicherheitsbewertung: Riskante Lateral Movement Paths (LMP)
• Arbeiten mit Sicherheitswarnungen
• Besuchen Sie das Defender for Identity-Forum!