Pertahanan Microsoft untuk Identitas Jalur Gerakan Lateral (LMP)
Gerakan lateral adalah ketika penyerang menggunakan akun yang tidak sensitif untuk mendapatkan akses ke akun sensitif di seluruh jaringan Anda. Gerakan lateral digunakan oleh penyerang untuk mengidentifikasi dan mendapatkan akses ke akun dan komputer sensitif di jaringan Anda yang berbagi kredensial masuk yang disimpan di akun, grup, dan mesin. Setelah penyerang berhasil melakukan gerakan lateral ke target utama Anda, penyerang juga dapat memanfaatkan dan mendapatkan akses ke pengontrol domain Anda. Serangan gerakan lateral dilakukan menggunakan banyak metode yang dijelaskan dalam Pemberitahuan Keamanan Pertahanan Microsoft untuk Identitas.
Komponen utama dari wawasan keamanan Pertahanan Microsoft untuk Identitas adalah Jalur Gerakan Lateral atau LMP. Defender for Identity LMPs adalah panduan visual yang membantu Anda memahami dan mengidentifikasi dengan tepat bagaimana penyerang dapat bergerak secara lateral di dalam jaringan Anda. Tujuan gerakan lateral dalam rantai pembunuhan serangan cyber adalah agar penyerang mendapatkan dan membahayakan akun sensitif Anda menggunakan akun yang tidak sensitif. Mengorbankan akun sensitif Anda membuat mereka selangkah lagi lebih dekat ke tujuan akhir mereka, dominasi domain. Untuk menghentikan keberhasilan serangan ini, LMP Defender for Identity memberi Anda panduan visual langsung yang mudah ditafsirkan pada akun Anda yang paling rentan dan sensitif. LMP membantu membantu Anda mengurangi dan mencegah risiko tersebut di masa depan, dan menutup akses penyerang sebelum mereka mencapai dominasi domain.
Serangan gerakan lateral biasanya dicapai menggunakan sejumlah teknik yang berbeda. Beberapa metode paling populer yang digunakan oleh penyerang adalah pencurian kredensial dan Pass the Ticket. Dalam kedua metode, akun non-sensitif Anda digunakan oleh penyerang untuk gerakan lateral dengan mengeksploitasi komputer yang tidak sensitif yang berbagi kredensial masuk yang disimpan di akun, grup, dan mesin dengan akun sensitif.
Di mana saya dapat menemukan Defender for Identity LMP?
Setiap komputer atau profil pengguna yang ditemukan oleh Defender untuk Identitas berada di LMP memiliki tab jalur gerakan Lateral . Komputer dan profil tanpa tab belum pernah ditemukan dalam LMP potensial.
LMP untuk setiap entitas memberikan informasi yang berbeda tergantung pada sensitivitas entitas:
- Pengguna sensitif – potensi LMP yang mengarah ke pengguna ini ditampilkan.
- Pengguna dan komputer yang tidak sensitif – potensi LMP yang terkait dengan entitas ditampilkan.
Setiap kali tab diklik, Defender for Identity menampilkan LMP yang terakhir ditemukan. Setiap LMP potensial disimpan selama 48 jam setelah penemuan. Riwayat LMP tersedia. Lihat IP lama yang ditemukan di masa lalu dengan memilih Pilih tanggal. Anda juga dapat memilih pengguna lain yang memulai LMP dengan memilih Inisiator jalur.
Penemuan LMP menggunakan perburuan tingkat lanjut
Untuk menemukan aktivitas jalur gerakan lateral secara proaktif, Anda dapat menjalankan kueri perburuan tingkat lanjut.
Berikut adalah contoh kueri seperti itu:
Untuk petunjuk tentang cara menjalankan kueri perburuan tingkat lanjut, lihat Secara proaktif berburu ancaman dengan perburuan tingkat lanjut di Pertahanan Microsoft 365.
Entitas terkait LMP
LMP sekarang dapat langsung membantu proses penyelidikan Anda. Daftar bukti pemberitahuan keamanan Defender for Identity menyediakan entitas terkait yang terlibat dalam setiap jalur pergerakan lateral potensial. Daftar bukti secara langsung membantu tim respons keamanan Anda meningkatkan atau mengurangi pentingnya pemberitahuan keamanan dan/atau penyelidikan entitas terkait. Misalnya, ketika pemberitahuan Pass Ticket dikeluarkan, komputer sumber, pengguna yang disusupi, dan komputer tujuan tempat tiket yang dicuri digunakan, semuanya merupakan bagian dari jalur pergerakan lateral potensial yang mengarah ke pengguna sensitif. Keberadaan LMP yang terdeteksi membuat penyelidikan pemberitahuan dan menonton pengguna yang dicurigai bahkan lebih penting untuk mencegah iklan Anda dari gerakan lateral tambahan. Bukti yang dapat dilacak disediakan di LMP untuk mempermudah dan lebih cepat bagi Anda untuk mencegah penyerang bergerak maju di jaringan Anda.
Penilaian keamanan jalur Gerakan Lateral
Pertahanan Microsoft untuk Identitas terus memantau lingkungan Anda untuk mengidentifikasi akun sensitif dengan jalur gerakan lateral paling berisiko yang mengekspos risiko keamanan, dan melaporkan akun-akun ini untuk membantu Anda dalam mengelola lingkungan Anda. Jalur dianggap berisiko jika mereka memiliki tiga atau lebih akun yang tidak sensitif yang dapat mengekspos akun sensitif terhadap pencurian kredensial oleh pelaku jahat. Untuk menemukan akun sensitif mana yang memiliki jalur pergerakan lateral berisiko, tinjau penilaian keamanan jalur pergerakan lateral (LMP) paling berisiko . Berdasarkan rekomendasi, Anda dapat menghapus entitas dari grup, atau menghapus izin administrator lokal untuk entitas dari perangkat yang ditentukan.
Untuk informasi selengkapnya, lihat Penilaian keamanan: Jalur pergerakan lateral (LMP) paling berisiko.
Praktik terbaik pencegahan
Wawasan keamanan tidak pernah terlambat untuk mencegah serangan berikutnya dan memulihkan kerusakan. Untuk alasan ini, menyelidiki serangan bahkan selama fase dominasi domain memberikan contoh yang berbeda, tetapi penting. Biasanya, saat menyelidiki pemberitahuan keamanan seperti Eksekusi Kode Jarak Jauh, jika pemberitahuan tersebut benar-benar positif, pengendali domain Anda mungkin sudah disusupi. Tetapi IP menginformasikan di mana penyerang mendapatkan hak istimewa, dan jalur apa yang mereka gunakan ke dalam jaringan Anda. Dengan menggunakan cara ini, IP juga dapat menawarkan wawasan utama tentang cara memulihkan.
Cara terbaik untuk mencegah paparan gerakan lateral dalam organisasi Anda adalah dengan memastikan bahwa pengguna sensitif hanya menggunakan kredensial administrator mereka saat masuk ke komputer yang diperkeras. Dalam contoh, periksa apakah admin di jalur benar-benar memerlukan akses ke komputer bersama. Jika mereka memerlukan akses, pastikan mereka masuk ke komputer bersama dengan nama pengguna dan kata sandi selain kredensial admin mereka.
Verifikasi bahwa pengguna Anda tidak memiliki izin administratif yang tidak perlu. Dalam contoh, periksa apakah semua orang di grup bersama benar-benar memerlukan hak admin di komputer yang diekspos.
Pastikan orang hanya memiliki akses ke sumber daya yang diperlukan. Dalam contoh, Ron Harper secara signifikan melebarkan paparan Nick Cowley. Apakah perlu bahwa Ron Harper termasuk dalam kelompok? Apakah ada subgrup yang dapat dibuat untuk meminimalkan paparan gerakan lateral?
Tip
Ketika tidak ada potensi aktivitas jalur gerakan lateral yang terdeteksi untuk entitas dalam 48 jam terakhir, pilih Pilih tanggal dan periksa potensi jalur pergerakan lateral sebelumnya.
Penting
Untuk petunjuk tentang cara mengatur klien dan server Anda untuk memungkinkan Defender for Identity melakukan operasi SAM-R yang diperlukan untuk deteksi jalur pergerakan lateral, lihat Mengonfigurasi Pertahanan Microsoft untuk Identitas untuk melakukan panggilan jarak jauh ke SAM.
Menyelidiki jalur gerakan lateral
Ada beberapa cara untuk menggunakan dan menyelidiki LMP. Di portal Pertahanan Microsoft 365, cari berdasarkan entitas lalu jelajahi berdasarkan jalur atau aktivitas.
Dari portal, cari pengguna atau komputer. Perhatikan apakah lencana gerakan lateral ditambahkan ke profil entitas. Lencana hanya akan ditampilkan ketika entitas ditemukan di LMP potensial dalam 48 jam terakhir.
Di halaman profil pengguna yang terbuka, pilih tab Jalur pergerakan lateral .
Grafik yang ditampilkan menyediakan peta jalur yang mungkin ke pengguna sensitif selama periode waktu 48 jam. Gunakan opsi Pilih tanggal untuk menampilkan grafik untuk deteksi jalur gerakan lateral sebelumnya untuk entitas.
Tinjau grafik untuk melihat apa yang dapat Anda pelajari tentang paparan kredensial pengguna sensitif Anda. Misalnya, di jalur, ikuti Masuk dengan panah abu-abu untuk melihat di mana Nick masuk dengan kredensial istimewa mereka. Dalam hal ini, kredensial sensitif Nick disimpan di komputer FinanceSrv53 . Sekarang, perhatikan pengguna lain mana yang masuk ke komputer mana yang menciptakan eksposur dan kerentanan terbanyak. Dalam contoh ini, Elizabeth King memiliki kemampuan untuk mengakses kredensial pengguna dari sumber daya tersebut.