Comprendere ed esaminare i percorsi di spostamento laterale (LMP) con Microsoft Defender per identità

Lo spostamento laterale è quando un utente malintenzionato usa account non sensibili per ottenere l'accesso agli account sensibili in tutta la rete. Lo spostamento laterale viene usato dagli utenti malintenzionati per identificare e ottenere l'accesso agli account e ai computer sensibili nella rete che condividono le credenziali di accesso archiviate in account, gruppi e computer. Una volta che un utente malintenzionato si sposta lateralmente verso le destinazioni chiave, l'utente malintenzionato può anche sfruttare e ottenere l'accesso ai controller di dominio. Gli attacchi di spostamento laterale vengono eseguiti usando molti dei metodi descritti in Microsoft Defender per identità Avvisi di sicurezza.

Un componente chiave delle informazioni dettagliate sulla sicurezza di Microsoft Defender per identità sono percorsi di spostamento laterale o LMP. Defender per identità LMP sono guide visive che consentono di comprendere rapidamente e identificare esattamente il modo in cui gli utenti malintenzionati possono spostarsi in un secondo momento all'interno della rete. Lo scopo dei movimenti laterali all'interno della kill chain di attacchi informatici è consentire agli utenti malintenzionati di ottenere e compromettere gli account sensibili usando account non sensibili. Compromettere i tuoi account sensibili li avvicina al loro obiettivo finale, dominanza del dominio. Per impedire il successo di questi attacchi, Defender per identità LMP consente di interpretare facilmente le linee guida visive dirette sugli account sensibili più vulnerabili. I LMP consentono di attenuare e prevenire questi rischi in futuro e chiudere l'accesso degli utenti malintenzionati prima di ottenere la dominanza del dominio.

Ad esempio:

Gli attacchi di spostamento laterale vengono in genere eseguiti usando diverse tecniche. Alcuni dei metodi più diffusi usati dagli utenti malintenzionati sono furto di credenziali e Pass the Ticket. In entrambi i metodi, gli account non sensibili vengono usati dagli utenti malintenzionati per gli spostamenti laterali sfruttando computer non sensibili che condividono le credenziali di accesso archiviate in account, gruppi e computer con account sensibili.

Guardare il video seguente per altre informazioni sulla riduzione dei percorsi di spostamento laterale con Defender per identità:

Dove è possibile trovare LMP di Defender per identità?

Ogni identità individuata da Defender per identità in un LMP include informazioni sui percorsi di spostamento laterale nella scheda Osservato nell'organizzazione. Per esempio:

Il modello LMP per ogni entità fornisce informazioni diverse a seconda della sensibilità dell'entità:

• Utenti sensibili: vengono visualizzati potenziali LMP che portano a questo utente.
• Utenti e computer non sensibili: vengono visualizzati potenziali LMP(s) a cui è correlata l'entità.

Ogni volta che la scheda è selezionata, Defender per identità visualizza l'LMP individuato più di recente. Ogni potenziale LMP viene salvato per 48 ore dopo l'individuazione. La cronologia LMP è disponibile. Visualizzare gli LMP meno recenti individuati in passato scegliendo Seleziona una data. È anche possibile scegliere un utente diverso che ha avviato l'LMP selezionando Iniziatore percorso.

Individuazione LMP con ricerca avanzata

Per individuare in modo proattivo le attività del percorso di spostamento laterale, è possibile eseguire una query di ricerca avanzata.

Di seguito è riportato un esempio di query di questo tipo:

Per istruzioni su come eseguire query di ricerca avanzate, vedere Ricerca proattiva di minacce con ricerca avanzata in Microsoft Defender XDR.

Entità correlate a LMP

LMP può ora supportare direttamente il processo di indagine. Gli elenchi di evidenza degli avvisi di sicurezza di Defender per identità forniscono le entità correlate coinvolte in ogni potenziale percorso di spostamento laterale. Gli elenchi di prove aiutano direttamente il team di risposta alla sicurezza ad aumentare o ridurre l'importanza dell'avviso di sicurezza e/o dell'analisi delle entità correlate. Ad esempio, quando viene generato un avviso Pass the Ticket, il computer di origine, l'utente compromesso e il computer di destinazione da cui è stato usato il ticket rubato, fanno parte del potenziale percorso di spostamento laterale che porta a un utente sensibile. L'esistenza del LMP rilevato fa analizzare l'avviso e osservare l'utente sospettato ancora più importante per impedire agli avversari di ulteriori spostamenti laterali.The existence of the detected LMP makes investigating the alert and watching the suspected user even more important to prevent your avversariry from additional lateral move. Le prove rilevabili vengono fornite in LMP per semplificare e velocizzare l'avanzamento della rete da parte degli utenti malintenzionati.

Valutazione della sicurezza dei percorsi di spostamento laterale

Microsoft Defender per identità monitora continuamente l'ambiente per identificare gli account sensibili con i percorsi di spostamento laterale più rischiosi che espongono un rischio di sicurezza e segnala questi account per facilitare la gestione dell'ambiente. I percorsi vengono considerati rischiosi se hanno tre o più account non sensibili che possono esporre l'account sensibile al furto di credenziali da parte di attori malintenzionati. Per individuare quali degli account sensibili hanno percorsi di spostamento laterale rischiosi, esaminare la valutazione della sicurezza dei percorsi di spostamento laterale più rischiosi .To discover which of your sensitive accounts have risky lateral movement paths, review the Riskiest lateral movement paths (LMP) security assessment. In base alle raccomandazioni, è possibile rimuovere l'entità dal gruppo o rimuovere le autorizzazioni di amministratore locale per l'entità dal dispositivo specificato.

Per altre informazioni, vedere Valutazione della sicurezza: Percorsi di spostamento laterale più rischiosi (LMP).

Procedure consigliate preventive

Le informazioni dettagliate sulla sicurezza non sono mai troppo tardi per prevenire l'attacco successivo e correggere i danni. Per questo motivo, l'analisi di un attacco anche durante la fase di dominanza del dominio offre un esempio diverso, ma importante. In genere, durante l'analisi di un avviso di sicurezza, ad esempio l'esecuzione di codice remoto, se l'avviso è un vero positivo, il controller di dominio potrebbe essere già compromesso. Ma gli LMP comunicano dove l'utente malintenzionato ha ottenuto privilegi e quale percorso hanno usato nella rete. Usato in questo modo, i provider di servizi di risoluzione dei problemi possono anche offrire informazioni chiave su come correggere.

• Il modo migliore per evitare l'esposizione di spostamento laterale all'interno dell'organizzazione consiste nel assicurarsi che gli utenti sensibili usino le credenziali di amministratore solo quando accedono a computer con protezione avanzata. Nell'esempio verificare se l'amministratore nel percorso deve effettivamente accedere al computer condiviso. Se hanno bisogno dell'accesso, assicurarsi di accedere al computer condiviso con un nome utente e una password diversi dalle credenziali di amministratore.

• Verificare che gli utenti non abbiano autorizzazioni amministrative non necessarie. Nell'esempio verificare se tutti gli utenti del gruppo condiviso richiedono effettivamente diritti di amministratore nel computer esposto.

• Assicurarsi che gli utenti abbiano accesso solo alle risorse necessarie. Nell'esempio Ron Harper amplia notevolmente l'esposizione di Nick Cowley. È necessario che Ron Harper sia incluso nel gruppo? Esistono sottogruppi che possono essere creati per ridurre al minimo l'esposizione al movimento laterale?

Suggerimento

Quando non viene rilevata alcuna potenziale attività del percorso di spostamento laterale per un'entità nelle ultime 48 ore, scegliere Selezionare una data e verificare la presenza di percorsi di spostamento laterale potenziali precedenti.

Importante

Per istruzioni su come impostare i client e i server per consentire a Defender per identità di eseguire le operazioni SAM-R necessarie per il rilevamento del percorso di spostamento laterale, vedere Configurare Microsoft Defender per identità per effettuare chiamate remote a SAM.

Analizzare i percorsi di spostamento laterale

Esistono diversi modi per usare e analizzare gli LMP. Nel portale di Microsoft Defender cercare in base all'entità e quindi esplorare in base al percorso o all'attività.

1. Nel portale cercare un utente. In Osservato nell'organizzazione (nelle schede Panoramica e Osservata ) è possibile verificare se l'utente viene individuato in un potenziale LMP.

2. Se l'utente viene individuato, selezionare la scheda Osservato nell'organizzazione e scegliere Percorsi di spostamento laterale.

3. Il grafico visualizzato fornisce una mappa dei possibili percorsi all'utente sensibile durante il periodo di tempo di 48 ore. Usare l'opzione Seleziona una data per visualizzare il grafico per i rilevamenti dei percorsi di spostamento laterale precedenti per l'entità.

4. Esaminare il grafico per visualizzare le informazioni sull'esposizione delle credenziali dell'utente sensibile. Ad esempio, nel percorso seguire le frecce Connesso in per vedere dove Nick ha eseguito l'accesso con le credenziali con privilegi. In questo caso, le credenziali sensibili di Nick sono state salvate nel computer visualizzato. Si noti ora quali altri utenti hanno eseguito l'accesso ai computer che hanno creato la maggior parte dell'esposizione e della vulnerabilità. In questo esempio Elizabeth King ha la possibilità di accedere alle credenziali utente da tale risorsa.

Passaggi successivi

• Configurare Microsoft Defender per identità per effettuare chiamate remote a SAM
• Valutazione della sicurezza: percorsi di spostamento laterale più rischiosi (LMP)
• Uso degli avvisi di sicurezza
• Consultare il forum di Defender per identità.