Microsoft Defender for Identity でラテラル ムーブメント パス (LMP) を理解して調査する

  • [アーティクル]

ラテラル ムーブメント パスは、ネットワークを介して機密性の高いアカウントへのアクセス権を得るために攻撃者が機密性の低いアカウントを事前に使用するときに生じます。 攻撃者はラテラル ムーブメントを使用して、アカウント、グループ、マシンに格納されているサインイン資格情報を共有するネットワーク内の機密性の高いアカウントとマシンを特定し、アクセスします。 主要なターゲットへのラテラル ムーブメントに成功すると、攻撃者はこれを利用してドメイン コントローラーへのアクセスも獲得できます。 ラテラル ムーブメント攻撃は、Microsoft Defender for Identity セキュリティ アラートで説明される多くの方法を使用して実行されます。

Microsoft Defender for Identity のセキュリティ分析情報の重要なコンポーネントには、ラテラル ムーブメント パスまたは LMP があります。 Defender for Identity の LMP は、攻撃者がネットワーク内を横移動する方法を正確にすばやく理解し、特定するのに役立つ視覚的なガイドです。 サイバー攻撃キル チェーン内のラテラル ムーブメントの目的は、攻撃者が機密性の低いアカウントを使用して機密性の高いアカウントを取得し、侵害することです。 機密性の高いアカウントを侵害することで、最終的な目標であるドメイン支配にもう一歩近づいたことになります。 これらの攻撃が成功しないようにするために、Defender for Identity LMP では最も脆弱で機密性の高いアカウントに関して簡単に解釈できる視覚的なガイダンスを提供しています。 LMP は、この先これらのリスクを軽減して防止し、攻撃者がドメインの支配を実現する前にそのアクセスを閉じるために便利です。

次に例を示します。

Screenshot of a lateral movement path with details showing.

ラテラル ムーブメント攻撃は、通常、さまざまな手法を使って実行されます。 攻撃者が使用する最もよくある方法としては、資格情報の窃盗とパス・ザ・チケット攻撃が挙げられます。 どちらの方法でも、機密性の低いアカウントはラテラル ムーブメント攻撃の対象となります。機密性の低いコンピューターには、機密性の高いアカウント、グループ、およびそれらを扱うコンピューターへのサインイン情報が保存されることがあるためです。

Defender for Identity を使用してラテラル ムーブメント パスを減らす方法の詳細については、次のビデオをご覧ください。


Defender for Identity LMP はどこに見つかりますか。

Defender for Identity によって LMP 内にあることが検出されたすべての ID には、組織内の観察タブのラテラル ムーブメント パス情報があります。たとえば:

Lateral movement paths.

各エンティティの LMP は、エンティティの機密性に応じて異なる情報を提供します。

  • 機密性の高いユーザー – このユーザーにつながる可能性のある LMP が表示されます。
  • 機密性の低いユーザーとコンピューター - エンティティが関連している可能性のある LMP が表示されます。

タブを選択するたびに、Defender for Identity は最近検出した LMP を表示します。 それぞれの潜在的な LMP は、検出後 48 時間保存されます。 LMP 履歴を利用できます。 [日付の選択] を選択して、過去に検出された古い LMP を表示します。 [パス イニシエーター] を選択して、LMP を開始した別のユーザーを選択することもできます。

高度なハンティングを使用した LMP 検出

ラテラル ムーブメント パスのアクティビティを事前に検出するには、高度なハンティング クエリを実行します。

このようなクエリの例を次に示します。

Advanced hunting query for lateral movement paths.

高度なハンティング クエリを実行する方法については、「Microsoft Defender XDR の高度なハンティングを使用して脅威を事前に検出する」を参照してください。

LMP は調査プロセスを直接アシストできるようになりました。 Defender for Identity セキュリティ アラートの証拠リストは、それぞれの潜在的なラテラル ムーブメント パスに関わる関連エンティティの一覧を提供します。 証拠の一覧は、セキュリティ対応チームが、関連エンティティのセキュリティ アラートや調査の重要性を増減することを直接アシストします。 たとえば、パス ザ チケット アラートが発行されると、盗まれたチケットが使用されたソース コンピューター、侵害されたユーザー、宛先コンピューターはすべて、機密性の高いユーザーにつながる潜在的なラテラル ムーブメント パスの一部になります。 検出された LMP の存在により、敵対者による追加のラテラル ムーブメントを防ぐために、アラートを調査し、疑わしいユーザーを監視することがさらに重要になります。 追跡可能な証拠は、攻撃者がネットワーク内を進むのを防ぐために、より簡単かつ迅速に LMP に提供されます。

ラテラル ムーブメント パスのセキュリティ評価

Microsoft Defender for Identity では、環境を継続的に監視して、セキュリティ リスクをもたらす最もリスクの高いラテラル ムーブメント パスがある機密性の高いアカウントを特定し、これらのアカウントに関するレポートを作成して環境の管理を支援します。 機密性の高いアカウントが 3 つ以上存在し、悪意のあるアクターによる資格情報の盗難に機密性の高いアカウントを公開する可能性がある場合、そのパスは危険と見なされます。 リスクの高いラテラル ムーブメント パスを持つ機密性の高いアカウントを検出するには、リスクの高いラテラル ムーブメント パス (LMP) セキュリティ評価を確認します。 推奨事項に基づいて、グループからエンティティを削除するか、指定したデバイスからエンティティのローカル管理者アクセス許可を削除できます。

詳細については、「セキュリティ評価: 特にリスクが高いラテラル ムーブメント パス (LMP)」を参照してください。

予防のベスト プラクティス

セキュリティの分析情報は、次の攻撃を防ぎ、損害を修復するために遅すぎることはありません。 このため、ドメイン支配フェーズ中でも攻撃を調査ことは、異なるとはいえ、重要な例を提供します。 通常、リモート コード実行などのセキュリティ アラートを調査しているときに、アラートが真陽性である場合、ドメイン コントローラーが既に侵害されている可能性があります。 しかし、LMP は、攻撃者が権限を獲得した場所と、ネットワークに使用されたパスを通知します。 この方法を使用すると、LMP は修復方法に関する重要な分析情報を提供することもできます。

  • 組織内でのラテラル ムーブメントに対する露出を防ぐ最善の方法は、セキュリティが強化されたコンピューターにログインするときに、機密性の高いユーザーは管理者の資格情報のみを使用するようにすることです。 この例では、パスの管理者が実際に共有コンピューターへのアクセスを必要とするかを確認します。 アクセスが必要な場合は、管理者の資格情報以外のユーザー名とパスワードを使用して共有コンピューターにサインインしていることを確認します。

  • ユーザーに不要な管理アクセス許可がないことを確認します。 この例では、共有グループ内のすべてのユーザーが実際に公開されているコンピューターの管理者権限を必要とするかを確認します。

  • ユーザーが必要なリソースにのみアクセスできることを確認します。 この例では、ロン・ハーパーはニック・カウリーの露出を大幅に拡大しています。 ロン・ハーパーをグループに含めることは必要ですか。 ラテラル ムーブメントへの露出を最小限に抑えるために作成できるサブグループはありますか。

ヒント

過去 48 時間以内にエンティティに対して潜在的なラテラル ムーブメント パス アクティビティが検出されない場合は、[日付を選択] を選択して以前の潜在的なラテラル ムーブメント パスを確認します。

重要

Defender for Identity がラテラル ムーブメント パスの検出に必要な SAM-R 操作を実行できるようにクライアントとサーバーを設定する方法については、「Microsoft Defender for Identity を構成して SAM にリモート呼び出しを行う」を参照してください。

ラテラル ムーブメント パスを調査する

LMP の使用とその調査には、複数の方法があります。 Microsoft Defender ポータルで、エンティティによって検索してから、パスまたはアクティビティで探索します。

  1. ポータルからユーザーを検索します。 組織内の観察([概要] タブと [観察] タブの両方)では、潜在的な LMP でユーザーが検出されたかを確認できます。

  2. ユーザーが検出された場合は、組織内の観察タブを選択し、[ラテラル ムーブメント パス] を選択します。

  3. 表示されるグラフは、過去 48 時間内における機密性の高いユーザーへの可能なパスのマップを表します。 [日付の選択] オプションを使用すると、エンティティにおける以前のラテラル ムーブメント パス検出のグラフを表示できます。

  4. グラフを確認して、機密性の高いユーザーの資格情報の露出をめぐる状況を確認します。 たとえばパス内の、ログイン実行者の矢印をたどることで Nick が権限資格情報を使用してログインした場所がわかります。 この場合、Nick の機密性の高い資格情報は表示されたコンピューターに保存されていました。 次に、露出と脆弱性が最も生まれたコンピューターに他のどのユーザーがログインしたかに注目してください。 この例では、Elizabeth King にそのリソースからユーザーの資格情報にアクセスする権限があります。

次のステップ