Zelf studie: paden voor later gebruik gebruiken (LMPs)Tutorial: Use Lateral Movement Paths (LMPs)

Notitie

De Micro soft Defender voor identiteitMicrosoft Defender for Identity functies die op deze pagina worden beschreven, zijn ook toegankelijk via de nieuwe Portal.The Micro soft Defender voor identiteitMicrosoft Defender for Identity features explained on this page are also accessible using the new portal.

Aanvallen met een zijdelingse verplaatsing worden doorgaans uitgevoerd met een aantal verschillende technieken.Lateral movement attacks are typically accomplished using a number of different techniques. Enkele van de populairste methoden die door aanvallers worden gebruikt, zijn referentie diefstal en geven de ticket aanvallen door .Some of the most popular methods used by attackers are credential theft and Pass the Ticket attacks. In beide methoden worden niet-gevoelige accounts gebruikt door aanvallers die gebruikmaken van niet-gevoelige computers die opgeslagen aanmeldings referenties delen in accounts, groepen en computers met gevoelige accounts.In both methods, non-sensitive accounts are used by attackers for lateral moves by exploiting non-sensitive machines that share stored log-in credentials in accounts, groups and machines with sensitive accounts.

In deze zelf studie leert u hoe u LMPs kunt gebruiken Micro soft Defender voor identiteitMicrosoft Defender for Identity om mogelijke paden voor een zijdelingse verplaatsing te onderzoeken , evenals Defender voor identiteitDefender for Identity beveiligings waarschuwingen, een beter inzicht krijgen in wat er in uw netwerk is gebeurd en hoe.In this tutorial, you'll learn how to use Micro soft Defender voor identiteitMicrosoft Defender for Identity LMPs to investigate potential lateral movement paths, and along with Defender voor identiteitDefender for Identity security alerts, gain a better understanding of what happened in your network and how. Daarnaast leert u hoe u het LMP-naar- gevoelige-account rapport kunt gebruiken om alle gevoelige accounts te detecteren met mogelijke paden voor zijdelingse verplaatsing die in uw netwerk worden gedetecteerd per tijds periode.In addition, you'll learn how to use the LMP to sensitive account report to discover all of the sensitive accounts with potential lateral movement paths discovered in your network by time period.

  • LMPs onderzoekenInvestigate LMPs
  • Uw gevoelige accounts tegen Risico's ontdekkenDiscover your sensitive accounts at risk
  • Toegang tot de paden voor zijdelingse verplaatsing naar rapport gevoelige accountsAccess the Lateral movement paths to sensitive accounts report

OnderzoekenInvestigate

Er zijn meerdere manieren om LMPs te gebruiken en te onderzoeken.There are multiple ways to use and investigate LMPs. Zoek in de Defender voor identiteitDefender for Identity Portal op entiteit en verken vervolgens door het pad of de activiteit.In the Defender voor identiteitDefender for Identity portal, search by entity and then explore by path or activity.

  1. Zoek in de portal naar een gebruiker of computer.From the portal, search for a user or computer. Als er een badge met een zijdelingse verplaatsing is toegevoegd aan een entiteits profiel.Notice if a lateral movement badge was added to an entity profile. Badges worden alleen weer gegeven wanneer een entiteit wordt gedetecteerd in een mogelijke LMP in de afgelopen 48 uur.Badges will only display when an entity is discovered in a potential LMP within the last 48 hours.

    pictogram naar lateren ofor pictogram pad..

  2. Klik op de pagina gebruikers profiel dat wordt geopend op het tabblad paden voor zijdelingse verplaatsing .In the user profile page that opens, click the Lateral movement paths tab.

    [! INCLUSIEF [product short] (inclusief/product-short. MD)] tabblad pad naar horizontale verplaatsing (LMP)

  3. In de weer gegeven grafiek vindt u een overzicht van de mogelijke paden voor de gevoelige gebruiker tijdens de periode van 48 uur.The graph that is displayed provides a map of the possible paths to the sensitive user during the 48 hour time period. Als er in de afgelopen twee dagen geen activiteit is gedetecteerd, wordt de grafiek niet weer gegeven.If no activity was detected in the last two days, the graph will not appear. Gebruik de optie een andere datum weer geven om de grafiek weer te geven voor eerdere detecties trajecten voor het pad naar de andere locatie voor de entiteit.Use the View a different date option to display the graph for previous lateral movement path detections for the entity.

    LMP weer geven een andere datum

  4. Bekijk de grafiek om te zien wat u kunt leren over de bloot stelling van de referenties van uw gevoelige gebruiker.Review the graph to see what you can learn about exposure of your sensitive user's credentials. In het pad volgt u bijvoorbeeld de Logboeken die zijn aangemeld met een grijze pijl om te zien waar Nick is aangemeld met de referenties van de bevoegde gebruiker.For example, in the path, follow the Logged into by gray arrows to see where Nick logged in with their privileged credentials. In dit geval zijn de gevoelige referenties van Nick opgeslagen op de share point-SRV-computer.In this case, Nick's sensitive credentials were saved on the SHAREPOINT-SRV computer. U kunt nu zien welke andere gebruikers zich hebben aangemeld op welke computers de meeste belichtings-en beveiligings problemen hebben gemaakt.Now, notice which other users logged into which computers that created the most exposure and vulnerability. U kunt dit zien door de beheerder op zwarte pijlen te bekijken om te zien wie beheerders bevoegdheden heeft voor de resource.You can see this by looking at the Administrator on black arrows to see who has admin privileges on the resource. In dit voor beeld heeft iedereen in de Help Desk van de groep de mogelijkheid om toegang te krijgen tot gebruikers referenties van die resource.In this example, everyone in the group HelpDesk has the ability to access user credentials from that resource.

    [! INCLUSIEF [product short] (inclusief/product-short. MD)] pad naar horizontale verplaatsing (LMP)

De gevoelige accounts voor het risico detecterenDiscover your at-risk sensitive accounts

Ga als volgt te werk om alle gevoelige accounts in uw netwerk te detecteren die beschikbaar zijn vanwege hun verbinding met niet-gevoelige accounts, groepen en machines in paden voor zijdelingse verplaatsing.To discover all the sensitive accounts in your network that are exposed because of their connection to non-sensitive accounts, groups and machines in lateral movement paths, follow these steps.

  1. Defender voor identiteitDefender for IdentityKlik op het pictogram rapporten pictogram rapporten in het menu van de portal  .In the Defender voor identiteitDefender for Identity portal menu, click the reports icon reports icon.

  2. Als er geen mogelijke paden voor een zijdelingse verplaatsing zijn gevonden, wordt het rapport grijs weer gegeven onder paden voor later verplaatsen naar gevoelige accounts. Als er mogelijke paden voor een zijdelingse verplaatsing zijn, selecteert het rapport automatisch de eerste datum wanneer er relevante gegevens zijn.Under Lateral movements paths to sensitive accounts, if there are no potential lateral movement paths found, the report is grayed out. If there are potential lateral movement paths, the report automatically pre-selects the first date when there is relevant data. Het rapport pad naar de zijdelingse verplaatsing biedt gegevens tot 60 dagen.The lateral movement path report provides data for up to 60 days.

    Scherm opname van de rapport datum selectie

  3. Klik op Downloaden.Click Download.

  4. Er wordt een Excel-bestand gemaakt met informatie over de mogelijke paden voor de zijdelingse verplaatsing en de bloot stelling van gevoelige accounts voor de geselecteerde datums.An Excel file is created that provides you with details about your potential lateral movement paths and sensitive account exposure for the dates selected. Het tabblad samen vatting bevat grafieken met een gedetailleerd aantal gevoelige accounts, computers en gemiddelden voor toegang tot een risico.The Summary tab provides graphs that detail the number of sensitive accounts, computers, and averages for at-risk access. Op het tabblad Details vindt u een lijst met de gevoelige accounts die u verder moet onderzoeken.The Details tab provides a list of the sensitive accounts that you should investigate further.

Rapport plannenSchedule report

Het rapport van de zijdelingse verplaatsing naar het gevoelige account kan ook worden gepland met behulp van de functie geplande rapporten instellen.The Lateral movement to sensitive account report can also be scheduled using the set scheduled reports feature.

De werkelijke LMPs die in het Download bare rapport worden beschreven, zijn mogelijk niet meer beschikbaar omdat ze in het verleden zijn gedetecteerd en mogelijk zijn gewijzigd, gewijzigd of hersteld sinds ze zijn gedetecteerd.Note that the actual LMPs detailed in the downloadable report may no longer be available because they were detected in the past and may have been changed, modified or fixed since they were detected.

Als u historische LMPs wilt bekijken, selecteert u verschillende beschik bare datums in de kalender selectie bij het maken van een rapport.To review historical LMPs, select different available dates in the calendar selection when creating a report.

Volgende stappenNext steps

In deze zelf studie hebt u geleerd hoe u LMPs kunt gebruiken om verdachte activiteiten te onderzoeken.In this tutorial, you've learned how to use LMPs to investigate suspicious activities. Ga verder met de zelf studie voor het onderzoeken van entiteiten voor meer informatie over de entiteiten die zijn betrokken bij LMPs.To learn more about entities involved in LMPs, continue to the investigate entities tutorial.

Zie ookSee Also