Examiner les chemins de mouvement latéral avec ATAInvestigate lateral movement paths with ATA

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Même si vous faites de votre mieux pour protéger vos utilisateurs sensibles, que les administrateurs ont des mots de passe complexes qu’ils changent fréquemment, que leurs ordinateurs sont renforcés et que le stockage de leurs données est sécurisé, des attaquants peuvent malgré tout utiliser des chemins de mouvement latéral pour accéder aux comptes sensibles.Even when you do your best to protect your sensitive users, and your admins have complex passwords that they change frequently, their machines are hardened, and their data is stored securely, attackers can still use lateral movement paths to access sensitive accounts. Dans les attaques par mouvement latéral, l’attaquant tire parti des instances lorsque les utilisateurs sensibles se connectent à une machine où un utilisateur non sensibles doté de droits locaux.In lateral movement attacks, the attacker takes advantage of instances when sensitive users sign in to a machine where a non-sensitive user has local rights. Les attaquants peuvent ensuite se déplacer latéralement, accéder à l’utilisateur moins sensible, puis se déplacer au sein de l’ordinateur pour se procurer les informations d’identification de l’utilisateur sensible.Attackers can then move laterally, accessing the less sensitive user and then moving across the computer to gain credentials for the sensitive user.

Qu’est-ce qu’un chemin de mouvement latéral ?What is a lateral movement path?

Il est question de mouvement latéral quand un attaquant utilise des comptes non sensibles pour accéder à des comptes sensibles.Lateral movement is when an attacker uses non-sensitive accounts to gain access to sensitive accounts. Les méthodes utilisées sont décrites dans le Guide des activités suspectes.This can be done using the methods described in the Suspicious activity guide. Les attaquants utilisent mouvement latéral pour identifier les administrateurs dans votre réseau et de savoir quels ordinateurs, ils peuvent accéder.Attackers use lateral movement to identify the administrators in your network and learn which machines they can access. Avec ces informations et les déplacements supplémentaires, l’attaquant peut tirer parti des données sur vos contrôleurs de domaine.With this information, and further moves, the attacker can take advantage of the data on your domain controllers.

ATA vous permet de prendre des mesures préventives sur votre réseau pour empêcher les attaquants de réussir un mouvement latéral.ATA enables you to take preemptive action on your network to prevent attackers from succeeding at lateral movement.

Détection de vos comptes sensibles à risqueDiscovery your at-risk sensitive accounts

Pour découvrir les comptes sensibles de votre réseau sont vulnérables en raison de leur connexion aux comptes non sensibles ou des ressources, dans une période spécifique, procédez comme suit :To discover which sensitive accounts in your network are vulnerable because of their connection to non-sensitive accounts or resources, in a specific timeframe, follow these steps:

  1. Dans le menu de la console ATA, cliquez sur l’icône RapportsIn the ATA console menu, click the reports icon Icône Rapports..

  2. Sous Chemins d’accès de mouvement latéral pour les comptes sensibles, en l’absence de chemins de mouvement latéral, le rapport est grisé. S’il existe des chemins de mouvement latéral, les dates du rapport sélectionnent automatiquement la première date avec des données pertinentes.Under Lateral movements paths to sensitive accounts, if there are no lateral movement paths found, the report is grayed out. If there are lateral movement paths, then the dates of the report automatically select the first date when there is relevant data.

    rapports

  3. Cliquez sur télécharger.Click Download.

  4. Le fichier Excel qui est créé vous fournit des détails sur les comptes sensibles à risque.The Excel file that is created provides you with details about your sensitive accounts at risk. L’onglet Résumé propose des graphes qui décrivent en détail le nombre de comptes sensibles, les ordinateurs et les moyennes pour les ressources à risque.The Summary tab provides graphs that detail the number of sensitive accounts, computers, and averages for at-risk resources. L’onglet Détails présente une liste des comptes sensibles dont vous devez vous soucier.The Details tab provides a list of the sensitive accounts that you should be concerned about. Notez que les chemins sont des chemins qui existaient auparavant et qui peuvent ne pas être disponibles aujourd’hui.Note that the paths are paths that existed previously, and may not be available today.

ÉtudierInvestigate

Maintenant que vous avez identifié les comptes sensibles qui présentent des risques, vous pouvez vous plonger dans ATA pour en savoir plus et prendre des mesures préventives.Now that you know which sensitive accounts are at risk, you can deep dive in ATA to learn more and take preventative measures.

  1. Dans la console ATA, recherchez le badge Mouvement latéral qui est ajouté au profil de l’entité quand celle-ci se trouve sur un chemin de mouvement latéral.In the ATA console, search for the Lateral movement badge that's added to the entity profile when the entity is in a lateral movement path icône de mouvement latéral ouor icône de chemin d’accès.. Cette opération est possible si un chemin de mouvement latéral a existé au cours des deux derniers jours.This is available if there was a lateral movement path in the last two days.

  2. Dans la page de profil utilisateur qui s’ouvre, cliquez sur l’onglet Chemins d’accès de mouvement latéral.In the user profile page that opens, click the Lateral movement paths tab.

  3. Le graphique qui s’affiche établit la carte des chemins possibles vers l’utilisateur sensible.The graph that is displayed provides a map of the possible paths to the sensitive user. Le graphe montre les connexions qui ont été établies au cours des deux derniers jours.The graph shows connections that have been made over the last two days.

  4. Examinez le graphe pour voir si vous pouvez en savoir plus sur l’exposition aux risques des informations d’identification de l’utilisateur sensible.Review the graph to see what you can learn about exposure of your sensitive user's credentials. Par exemple, dans ce mappage, vous pouvez suivre la connecté par gris flèches pour voir où samira s’est connecté avec leurs informations d’identification privilégiées.For example, in this map, you can follow the Logged into by gray arrows to see where Samira signed in with their privileged credentials. Dans ce cas, les informations d’identification sensibles de Samira ont été enregistrées sur l’ordinateur REDMOND-WA-DEV.In this case, Samira's sensitive credentials were saved on the computer REDMOND-WA-DEV. Ensuite, identifiez quels autres utilisateurs connectés à quels ordinateurs ont généré le plus de risques et de vulnérabilité.Then, see which other users signed in to which computers that created the most exposure and vulnerability. Pour ce faire, examinez les flèches noires Administrateur de afin de savoir qui possède des privilèges d’administrateur sur la ressource.You can see this by looking at the Administrator on black arrows to see who has admin privileges on the resource. Dans cet exemple, chaque membre du groupe Contoso All a la possibilité d’accéder aux informations d’identification des utilisateurs à partir de cette ressource.In this example, everyone in the group Contoso All has the ability to access user credentials from that resource.

    Chemins de mouvement latéral du profil utilisateur

Bonnes pratiques de préventionPreventative best practices

  • La meilleure façon d’empêcher un mouvement latéral consiste à s’assurer que les utilisateurs sensibles utilisent leurs informations d’identification d’administrateur uniquement quand ils se connectent à sécurisation renforcée des ordinateurs où il n’existe aucun utilisateur non sensibles qui a des droits d’administrateur sur le même ordinateur.The best way to prevent lateral movement is to make sure that sensitive users use their administrator credentials only when they sign in to hardened computers where there is no non-sensitive user who has admin rights on the same computer. Dans l’exemple, assurez-vous que si Samira doit accéder à REDMOND-WA-DEV, ils se connectent avec un nom d’utilisateur et le mot de passe autres que leurs informations d’identification administrateur, ou supprimez le groupe Contoso All du groupe Administrateurs local sur REDMOND-WA-DEV.In the example, make sure that if Samira needs access to REDMOND-WA-DEV, they sign in with a username and password other than their admin credentials, or remove the Contoso All group from the local administrators group on REDMOND-WA-DEV.

  • Il est également recommandé de vérifier que personne ne dispose d’autorisations d’administration locales inutiles.It is also recommended that you make sure that no one has unnecessary local administrative permissions. Dans l’exemple, vérifiez si tout le monde dans Contoso All a vraiment besoin de droits d’administrateur sur REDMOND-WA-DEV.In the example, check to see if everyone in Contoso All really needs admin rights on REDMOND-WA-DEV.

  • Veillez à ce que les utilisateurs n’aient accès qu’aux ressources nécessaires.Make sure people only have access to necessary resources. Dans l’exemple, Oscar Posada augmente considérablement les risques de Samira.In the example, Oscar Posada significantly widens Samira's exposure. Il est nécessaire qu’ils soit inclus dans le groupe Contoso All?Is it necessary that they be included in the group Contoso All? Avez-vous la possibilité de créer des sous-groupes pour minimiser les risques ?Are there subgroups that you could create to minimize exposure?

Conseil

Si l’activité n’est pas détectée au cours des deux derniers jours, le graphique n’apparaît pas, mais le rapport de chemin d’accès de mouvement latéral est toujours disponible pour fournir des informations sur les chemins de mouvement latéral au cours des 60 derniers jours.If activity is not detected during the last two days, the graph does not appear, but the lateral movement path report is still available to provide information about lateral movement paths over the last 60 days.

Conseil

Pour obtenir des instructions sur la définition de vos serveurs permettre à effectuer les opérations SAM-R nécessaires pour la détection de chemin d’accès de mouvement latéral, ATA configurer SAM-R.For instructions about how to set your servers to allow ATA to perform the SAM-R operations needed for lateral movement path detection, configure SAM-R.

Voir aussiSee also