Öğretici: YanAl Hareket Yollarını (LMPs) Kullanma

Not

Bu Kimlik için Microsoft Defender sayfada açıklanan özelliklere yeni portal kullanılarak da erişilebilir.

Yanal hareket saldırıları genellikle bir dizi farklı teknik kullanılarak yapılır. Saldırganlar tarafından kullanılan en popüler yöntemlerden bazıları kimlik bilgisi hırsızlığı ve Bilet Geçişi saldırılarıdır. Her iki yöntemde de hassas olmayan hesaplar, saldırganlar tarafından hassas hesaplara sahip hesaplarda, gruplarda ve makinelerde depolanan oturum açma kimlik bilgilerini paylaşarak hassas olmayan makinelerde yanal hareketlerde kullanılır.

Bu öğreticide, olası yanal hareket yollarını araştırmak ve güvenlik uyarılarını araştırmak için LMP'leri kullanmayı öğrenecek, ağ üzerinde neler olduğunu ve nasıl olduğunu daha iyi Kimlik için Microsoft Defender Kimlik için Defender anlamayı öğrenirsiniz. Ayrıca, zaman dönemine göre ağ üzerinde bulunan olası yanal hareket yolları olan tüm hassas hesapları bulmak için LMP to sensitive account raporunu nasıl kullanabileceğinizi de öğrenirsiniz.

  • LMP'leri araştırma
  • Risk altında olan hassas hesaplarınızı bulma
  • Hassas hesaplar raporuna yanal hareket yollarına erişme

Araştır

LMP'leri kullanmanın ve araştırmanın birden çok yolu vardır. Portalda Kimlik için Defender varlığa göre arama ve ardından yola veya etkinlike göre araştırma.

  1. Portaldan bir kullanıcı veya bilgisayar için arama. Bir varlık profiline yanal hareket rozeti eklenmiştir. Rozetler yalnızca son 48 saat içinde olası bir LMP'de bir varlık keşfedilen zaman görüntülenir.

    yanal simge. veya yol simgesi.

  2. Açılan kullanıcı profili sayfasında Yanal hareket yolları sekmesine tıklayın.

    [! INCLUDE [Product short.] (includes/product-short.md)] YanAl Hareket Yolu (LMP) sekmesi

  3. Görüntülenen grafik, 48 saatlik süre boyunca hassas kullanıcıya olası yolların bir haritasını sağlar. Son iki gün içinde herhangi bir etkinlik algılanmadı ise grafik görünmez. Varlığın önceki yanal hareket yolu algılamaları için grafiği görüntülemek üzere Farklı bir tarihi görüntüle seçeneğini kullanın.

    LMP farklı bir tarihi görüntüleme.

  4. Hassas kullanıcı kimlik bilgilerinizin açık olması hakkında ne öğrenilenleri görmek için grafı gözden geçirme. Örneğin, yolda, Ayrıcalıklı kimlik bilgileriyle Nerede oturum açtığını görmek için Gri oklarla oturum aç'ı izleyin. Bu durumda, Zaman'ın hassas kimlik bilgileri SHAREPOINT-SRV bilgisayarına kaydedilmiştir. Şimdi, hangi kullanıcıların hangi bilgisayarlarda en çok güvenlik açığı ve güvenlik açığı oluşturduğuna dikkat olun. Kaynak üzerinde yönetici ayrıcalıklarına sahip olanları görmek için siyah oklar üzerinde Yönetici'ye bakarak bunu görebilirsiniz. Bu örnekte, HelpDesk grubunda yer alan herkes bu kaynaktan kullanıcı kimlik bilgilerine erişim olanağına sahip olur.

    [! INCLUDE [Product short.] (includes/product-short.md)] YanAl Hareket Yolu (LMP)

Risk altında olan hassas hesaplarınızı bulma

Yanal hareket yollarında hassas olmayan hesaplara, gruplara ve makinelere olan bağlantıları nedeniyle ağ üzerinde açığa çıkarılan tüm hassas hesapları bulmak için aşağıdaki adımları izleyin.

  1. Portal Kimlik için Defender menüsünde raporlar simgesine raporlar  simgesi tıklayın. .

  2. Hassas hesapların yanal hareket yolları altında, olası yanal hareket yolları bulunamasa rapor gri olur. Olası yanal hareket yolları varsa rapor, ilgili veriler olduğunda ilk tarihi otomatik olarak önceden seçer. Yanal hareket yolu raporu 60 gün boyunca veri sağlar.

    Rapor tarihi seçimini gösteren ekran görüntüsü.

  3. İndir’e tıklayın.

  4. Olası Excel yollarınız ve seçilen tarihler için hassas hesap açıkları hakkında ayrıntılı bilgi sağlayan bir Excel dosyası oluşturulur. Özet sekmesi, risk altında erişim için hassas hesapların, bilgisayarların ve ortalamaların sayısını ayrıntılı bir şekilde ele alan graflar sağlar. Ayrıntılar sekmesi, daha fazla araştırmanız gereken hassas hesapların listesini sağlar.

Raporu zamanlama

Hassas hesap raporuna yanal hareket, zamanlanmış raporlar ayarlama özelliği kullanılarak da zamanlandırabilirsiniz.

İndirilebilir raporda ayrıntılı olarak yer alan gerçek LMP'ler, geçmişte algılandığından ve algılandığından beri değiştirilmiş, değiştirilmiş veya düzeltildiğinden artık kullanılamıyor olabilir.

Geçmiş LMP'leri gözden geçirmek için, rapor oluştururken takvim seçiminde farklı kullanılabilir tarihleri seçin.

Sonraki adımlar

Bu öğreticide, şüpheli etkinlikleri araştırmak için LMP'leri kullanmayı öğrendinsiniz. LMP'lerde yer alan varlıklar hakkında daha fazla bilgi edinmek için varlıkları araştırma öğreticisi ile devam edin.

Ayrıca Bkz.

Daha fazla bilgi edinin