Rutas de desplazamiento lateral (LMP) de Microsoft Defender for Identity

Nota

Las características de Microsoft Defender for Identity que se describen en esta página también están disponibles mediante el uso del nuevo portal.

El desplazamiento lateral se produce cuando un atacante usa cuentas no confidenciales para obtener acceso a cuentas confidenciales de la red. Los atacantes usan el desplazamiento lateral para identificar y obtener acceso a las cuentas confidenciales y las máquinas de la red que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas. Una vez que un atacante ha efectuado los desplazamientos laterales correctos hacia sus objetivos principales, también puede aprovechar para obtener acceso a los controladores de dominio. Los ataques de desplazamiento lateral se llevan a cabo mediante muchos de los métodos descritos en la Guía de actividades sospechosas.

Un componente clave de la información de seguridad de Microsoft Defender for Identity son las rutas de desplazamiento lateral, o LMP. Las LMP de Defender for Identity son guías visuales que ayudan a comprender e identificar exactamente con gran rapidez cómo se pueden mover lateralmente los atacantes dentro de la red. Con los desplazamientos laterales dentro de la cadena de interrupción de ataques cibernéticos, lo que pretenden los atacantes es hacerse con las cuentas confidenciales y ponerlas en peligro mediante cuentas no confidenciales. Al poner en peligro las cuentas confidenciales, se acercan todavía más a su objetivo final: la dominación del dominio. Para impedir que estos ataques tengan éxito, las LMP de Defender for Identity ofrecen información visual directa fácil de interpretar sobre las cuentas confidenciales más vulnerables. Las LMP ayudan a mitigar e impedir estos riesgos en el futuro y a interrumpir el acceso del atacante antes de que logre dominar el dominio.

Ruta de desplazamiento lateral (LMP) de Defender for Identity

Los ataques de desplazamiento lateral suelen llevarse a cabo mediante diversas técnicas. Algunos de los métodos más populares que usan los atacantes son el robo de credenciales y los ataques pass-the-ticket. En ambos métodos, los atacantes usan cuentas no confidenciales para los desplazamientos laterales, para lo que explotan máquinas no confidenciales que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas con cuentas confidenciales.

¿Dónde puedo encontrar las LMP de Defender for Identity?

Todos los equipos o perfiles de usuario que Defender for Identity haya detectado en una LMP tienen una pestaña denominada Rutas de desplazamiento lateral. Si un equipo o un perfil no tiene dicha pestaña, significa que no se ha detectado con una posible LMP.

Pestaña Rutas de desplazamiento lateral (LMP) de Defender for Identity

La LMP de cada entidad proporciona información diferente en función de la confidencialidad de la entidad:

  • Usuarios confidenciales: se muestran las posibles LMP que lleven a este usuario.
  • Usuarios y equipos no confidenciales: se muestran las posibles LMP con las que está relacionada la entidad.

Cada vez que se hace clic en la pestaña, Defender for Identity muestra la LMP que se ha detectado más recientemente. Cada posible LMP se guarda durante 48 horas tras la detección. Hay disponible un historial de LMP, en el que se pueden ver las LMP detectadas con anterioridad al hacer clic en View a different date (Ver otra fecha).

Pantalla de ruta de desplazamiento lateral (LMP) de Defender for Identity

Descubra cuándo se han identificado las posibles LMP y qué entidades relacionadas están implicadas potencialmente.

Detección de LMP

En la pestaña Actividades, se indica cuándo se ha identificado una posible LMP nueva:

  • Usuarios confidenciales: se muestra cuándo se ha identificado una nueva ruta de acceso a un usuario confidencial.

Ruta de desplazamiento lateral (LMP) de Defender for Identity confidencial detectada

  • Usuarios y equipos no confidenciales: se indica cuándo se ha identificado esta entidad en una posible LMP que lleva a un usuario confidencial.

Ruta de desplazamiento lateral (LMP) de Defender for Identity no confidencial detectada

LMP ahora puede ayudarle directamente en el proceso de investigación. Las listas de evidencias de alertas de seguridad de Defender for Identity proporcionan las entidades relacionadas que intervienen en cada posible ruta de desplazamiento lateral. Las listas de evidencias ayudan directamente al equipo de respuesta de seguridad a aumentar o reducir la importancia de la alerta de seguridad o la investigación de las entidades relacionadas. Por ejemplo, cuando se emite una alerta de ataque pass-the-ticket, el equipo de origen, el usuario en peligro y el equipo de destino desde el que se ha usado el vale robado forman parte de la posible ruta de desplazamiento lateral que lleva a un usuario confidencial. La existencia de la LMP detectada hace que investigar la alerta y observar al usuario sospechoso sea todavía más importante para impedir que el adversario realice más desplazamientos laterales. En las LMP se proporcionan evidencias rastreables para que sea más fácil y rápido impedir que los atacantes avancen en la red.

Informe de rutas de desplazamiento lateral a cuentas confidenciales

Los datos de LMP también están disponibles en el informe de rutas de desplazamiento lateral a cuentas confidenciales. En este informe se enumeran las cuentas confidenciales que están expuestas a través de rutas de desplazamiento lateral y se indican las rutas de acceso que se han seleccionado manualmente durante un período de tiempo específico, o bien que se han incluido en el período de tiempo de los informes programados. Para personalizar el intervalo de fechas incluido, use la selección del calendario.

Procedimientos recomendados de prevención

La información de seguridad nunca llega demasiado tarde para impedir el siguiente ataque y corregir los daños. Por este motivo, el hecho de investigar un ataque incluso durante la fase de dominación de dominio proporciona un ejemplo diferente, aunque también importante. Normalmente, cuando se investiga una alerta de seguridad como la de ejecución remota de código, si se trata de un verdadero positivo, el controlador de dominio podría estar en peligro. Aun así, las LMP informan sobre dónde ha conseguido los privilegios el atacante y qué ruta de acceso ha usado para obtener acceso a la red. Al usarlas de esta manera, las LMP también pueden ofrecer información clave para corregir el problema.

  • La mejor manera de impedir la exposición de desplazamiento lateral dentro de la organización consiste en asegurarse de que los usuarios confidenciales solo usen sus credenciales de administrador al iniciar sesión en equipos protegidos. En el ejemplo, compruebe si el administrador de la ruta de acceso realmente necesita acceso al equipo compartido. Si de verdad lo necesita, haga que el inicio de sesión en el equipo compartido sea seguro con un nombre de usuario y una contraseña que no sean las credenciales de administrador.

  • Compruebe que los usuarios no tienen permisos administrativos innecesarios. En el ejemplo, compruebe si todos los miembros del grupo compartido realmente necesitan derechos de administrador en el equipo expuesto.

  • Asegúrese de que los usuarios solo tienen acceso a los recursos necesarios. En el ejemplo, Ron Harper aumenta considerablemente la exposición de Nick Cowley. ¿Es necesario que Ron Harper esté incluido en el grupo? ¿Se podrían crear subgrupos para minimizar la exposición de movimiento lateral?

Sugerencia: Si no se ha detectado ninguna actividad de posible ruta de desplazamiento lateral para una entidad durante las últimas 48 horas, seleccione View a different date (Ver otra fecha) y compruebe si hay posibles rutas de desplazamiento lateral anteriores. El informe de LMP a usuarios confidenciales está siempre disponible si se han detectado LMP y proporciona información sobre las posibles rutas de desplazamiento lateral detectadas a usuarios confidenciales.

Sugerencia: Para obtener instrucciones sobre cómo configurar los clientes y servidores para permitir que Defender for Identity realice las operaciones de SAM-R necesarias para la detección de rutas de desplazamiento lateral, consulte Configuración de SAM-R.

Investigación de las LMP

Para instrucciones sobre cómo identificar e investigar el uso de rutas de desplazamiento lateral de Defender for Identity, consulte Investigación de las rutas de desplazamiento lateral.

Consulte también