percorsi di spostamento laterale Microsoft Defender per identità (LMP)

Lo spostamento laterale è l'uso da parte di un utente malintenzionato di account non riservati per ottenere l'accesso agli account sensibili presenti in rete. Lo spostamento laterale viene usato dagli utenti malintenzionati per identificare e ottenere l'accesso agli account e ai computer sensibili nella rete che condividono le credenziali di accesso archiviate negli account, nei gruppi e nei computer. Dopo aver eseguito spostamenti laterali verso le destinazioni chiave, l'utente malintenzionato può anche usare e accedere ai controller di dominio. Gli attacchi di spostamento laterale vengono eseguiti usando molti dei metodi descritti in Microsoft Defender per identità Avvisi di sicurezza.

Un componente chiave delle informazioni dettagliate sulla sicurezza di Microsoft Defender per identità sono percorsi di spostamento laterale o LMP. Defender per identità LMP sono guide visive che consentono di comprendere rapidamente e identificare esattamente come gli utenti malintenzionati possono spostarsi in un secondo momento all'interno della rete. Lo scopo degli spostamenti laterali nella Kill Chain degli attacchi informatici è quello di consentire agli utenti malintenzionati di raggiungere e compromettere gli account sensibili usando account non sensibili. La compromissione degli account sensibili rappresenta un passo avanti verso l'obiettivo finale degli utenti malintenzionati, ovvero il controllo del dominio. Per impedire l'esito positivo di questi attacchi, Defender for Identity LMPs consente di interpretare facilmente le indicazioni visive dirette sugli account più vulnerabili e sensibili. I percorsi di spostamento laterale consentono di ridurre ed evitare questo tipo di rischi e interrompono l'accesso degli utenti malintenzionati prima che raggiungano il controllo del dominio.

Gli attacchi con spostamento laterale vengono in genere effettuati usando tecniche diverse. I metodi più comuni usati dagli utenti malintenzionati includono il furto delle credenziali e gli attacchi Pass-the-Ticket. In entrambi i metodi, gli account non sensibili vengono usati dagli utenti malintenzionati per gli spostamenti laterali sfruttando computer non sensibili che condividono le credenziali di accesso archiviate in account, gruppi e computer con account sensibili.

Dove è possibile trovare Defender for Identity LMPs?

Ogni computer o profilo utente individuato da Defender for Identity in un LMP ha una scheda Percorsi di spostamento laterale . I computer e i profili senza schede non sono mai stati individuati all'interno di un potenziale LMP.

Il percorso di spostamento laterale di ogni entità offre diverse informazioni, a seconda della sensibilità dell'entità:

• Utenti sensibili: sono visualizzati i percorsi di spostamento laterale potenziali che portano all'utente.
• Utenti e computer non sensibili: sono visualizzati i percorsi di spostamento laterale potenziali a cui è correlata l'entità.

Ogni volta che la scheda viene selezionata, Defender for Identity visualizza l'LMP scoperto più di recente. Ogni percorso di spostamento laterale individuato rimane salvato per le 48 ore successive all'individuazione. La cronologia dei percorsi di spostamento laterale è disponibile. Visualizzare gli LMP meno recenti individuati in passato scegliendo Seleziona una data. È anche possibile scegliere un utente diverso che ha avviato l'LMP selezionando Path initiator.

Individuazione LMP con ricerca avanzata

Per individuare in modo proattivo le attività del percorso di spostamento laterale, è possibile eseguire una query di ricerca avanzata.

Ecco un esempio di una query di questo tipo:

Per istruzioni su come eseguire query di ricerca avanzate, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft 365 Defender.

Entità correlate al percorso di spostamento laterale

LMP può ora assistere direttamente con il processo di indagine. Gli elenchi di evidenza degli avvisi di sicurezza di Defender per identità forniscono le entità correlate coinvolte in ogni percorso di spostamento laterale potenziale. Gli elenchi delle evidenze sono utili per il team delle risposte di sicurezza per aumentare o ridurre l'importanza dell'avviso di sicurezza e/o dell'analisi delle entità correlate. Ad esempio, quando viene visualizzato un avviso di Pass-the-Ticket, il computer di origine, l'utente compromesso e il computer di destinazione da cui è stato usato il ticket rubato sono tutti inclusi nel percorso di spostamento laterale potenziale che porta a un utente sensibile. La presenza del percorso di spostamento laterale potenziale individuato rende l'analisi dell'avviso e il controllo dell'utente sospetto ancora più importanti per impedire all'utente malintenzionato di effettuare ulteriori spostamenti laterali. L'evidenza tracciabile è inclusa nei percorsi di spostamento laterale per impedire in modo più semplice e rapido agli utenti malintenzionati di avanzare nella rete.

Valutazione della sicurezza dei percorsi di spostamento laterale

Microsoft Defender per identità monitora continuamente l'ambiente per identificare gli account sensibili con i percorsi di spostamento laterali più rischiosi che espongono un rischio di sicurezza e segnala su questi account per facilitare la gestione dell'ambiente. I percorsi sono considerati rischiosi se sono presenti tre o più account non sensibili che possono esporre l'account sensibile al furto delle credenziali da parte di attori malintenzionati. Per individuare quali account sensibili hanno percorsi di spostamento laterale rischiosi, esaminare la valutazione dei percorsi di spostamento laterale più rischiosi (LMP). In base alle raccomandazioni, è possibile rimuovere l'entità dal gruppo o rimuovere le autorizzazioni di amministratore locale per l'entità dal dispositivo specificato.

Per altre informazioni, vedere Valutazione della sicurezza: Percorsi di spostamento laterale più rischiosi.

Procedure preventive consigliate

Le informazioni sulla sicurezza non sono mai in ritardo per prevenire l'attacco successivo e correggere il danno. Per questa ragione, l'analisi di un attacco anche durante la fase di controllo del dominio offre un esempio diverso ma importante. In genere, durante l'analisi di un avviso di sicurezza, ad esempio relativo all'esecuzione di codice remoto, se l'avviso è un vero positivo, il controller di dominio potrebbe già essere compromesso. I percorsi di spostamento laterale, tuttavia, offrono informazioni sulla posizione in cui l'utente malintenzionato ha ottenuto i privilegi e sul percorso usato nella rete. Per questa ragione, le informazioni offerte dai percorsi di spostamento laterale sono fondamentali anche per la correzione del danno.

• Il modo migliore per evitare l'esposizione allo spostamento laterale all'interno dell'organizzazione consiste nell'assicurarsi che gli utenti sensibili usino le proprie credenziali di amministratore solo quando accedono a computer dotati di una protezione avanzata. Nell'esempio, verificare se l'amministratore nel percorso ha realmente necessità di accedere al computer condiviso. Se hanno bisogno di accesso, assicurarsi di accedere al computer condiviso con un nome utente e una password diversi dalle credenziali di amministratore.

• Verificare che gli utenti non dispongano di autorizzazioni amministrative non necessarie. Nell'esempio, verificare se tutti i membri del gruppo condiviso necessitano realmente dei diritti di amministratore per il computer esposto.

• Verificare che le persone abbiano accesso solo alle risorse necessarie. Nell'esempio, Ron Harper estende in modo significativo l'esposizione di Nick Cowley. È necessario che Ron Harper sia incluso nel gruppo? È possibile creare sottogruppi per ridurre al minimo l'esposizione allo spostamento laterale?

Suggerimento

Quando non viene rilevata alcuna potenziale attività del percorso di spostamento laterale per un'entità negli ultimi 48 ore, scegliere Selezionare una data e verificare la presenza di percorsi di spostamento laterale precedenti.

Importante

Per istruzioni su come impostare i client e i server per consentire a Defender for Identity di eseguire le operazioni SAM-R necessarie per il rilevamento dei percorsi di spostamento laterale, vedere Configurare Microsoft Defender per identità per eseguire chiamate remote a SAM.

Analizzare i percorsi di spostamento laterale

I percorsi di spostamento laterale possono essere usati e analizzati in modi diversi. Nel portale di Microsoft 365 Defender cercare per entità e quindi esplorare in base al percorso o all'attività.

1. Dal portale, cercare un utente o computer. Osservare se è stata aggiunta una notifica di spostamento laterale al profilo di un'entità. Le notifiche vengono visualizzate solo quando un'entità è stata individuata in un percorso di spostamento laterale potenziale nelle ultime 48 ore.

2. Nella pagina profilo utente visualizzata selezionare la scheda Percorsi di spostamento laterale .

3. Il grafico visualizzato offre una mappa dei possibili percorsi verso l'utente sensibile nell'intervallo di tempo di 48 ore. Usare l'opzione Seleziona una data per visualizzare il grafico per i rilevamenti del percorso di spostamento laterale precedenti per l'entità.

   

4. Esaminare il grafico per ottenere informazioni sull'esposizione delle credenziali dell'utente sensibile. Ad esempio, nel percorso seguire le frecce grigie Logged into by (L'accesso è stato eseguito da) per visualizzare dove Nick ha eseguito l'accesso con le credenziali con privilegi. In questo caso, le credenziali sensibili di Nick sono state salvate nel computer FinanceSrv53 . Si noti ora quali altri utenti si sono connessi a quali computer creando la maggiore esposizione e vulnerabilità. In questo esempio Elizabeth King ha la possibilità di accedere alle credenziali utente da tale risorsa.

Video correlati

• Riduzione dei percorsi di spostamento laterale

Vedere anche

• Configurare Microsoft Defender per identità per effettuare chiamate remote a SAM
• Valutazione della sicurezza: Percorsi di spostamento laterale più rischiosi
• Uso degli avvisi di sicurezza
• Vedere il forum Defender for Identity!