Kimlik için Microsoft Defender YanAl Hareket Yolları (LMP' ler)

Not

Bu sayfada açıklanan deneyime Microsoft 365 Defender kapsamında da erişilebilirhttps://security.microsoft.com.

Yanal hareket, saldırganın ağınızdaki hassas hesaplara erişim elde etmek için hassas olmayan hesaplar kullanmasıdır. Yanal hareket, saldırganlar tarafından ağınızdaki hesaplarda, gruplarda ve makinelerde depolanan oturum açma kimlik bilgilerini paylaşan hassas hesapları ve makineleri tanımlamak ve erişim elde etmek için kullanılır. Bir saldırgan, anahtar hedeflerinize doğru başarılı yanal hareketlerde bulunduktan sonra, etki alanı denetleyicilerinizden de yararlanabilir ve erişim elde edebilir. Yanal hareket saldırıları , Şüpheli etkinlik kılavuzunda açıklanan yöntemlerin birçoğu kullanılarak gerçekleştirilir.

Kimlik için Microsoft Defender güvenlik içgörülerinin temel bileşenlerinden biri YanAl Hareket Yolları veya LMP'lerdir. Kimlik için Defender LMP'leri, saldırganların ağınızda nasıl yalniz bir şekilde hareket ettiğini hızlı bir şekilde anlamanıza ve belirlemenize yardımcı olan görsel kılavuzlardır. Siber saldırı sonlandırma zinciri içindeki yanal hareketlerin amacı, saldırganların hassas olmayan hesapları kullanarak hassas hesaplarınızı ele geçirip tehlikeye atmasıdır. Hassas hesaplarınızı tehlikeye atmak, onları nihai hedeflerine, etki alanı hakimiyetine bir adım daha yaklaştırır. Kimlik için Defender LMP'leri, bu saldırıların başarılı olmasını önlemek için en savunmasız ve hassas hesaplarınızda kolayca yorumlanabilir ve doğrudan görsel rehberlik sağlar. LMP'ler gelecekte bu riskleri azaltmanıza ve önlemenize yardımcı olur ve etki alanı hakimiyeti elde etmeden önce saldırgan erişimini kapatır.

Defender for Identity Lateral Movement Path (LMP)

Yanal hareket saldırıları genellikle bir dizi farklı teknik kullanılarak gerçekleştirilir. Saldırganlar tarafından kullanılan en popüler yöntemlerden bazıları kimlik bilgisi hırsızlığı ve Bileti Geçirme yöntemleridir. Her iki yöntemde de, hassas olmayan hesaplarınız saldırganlar tarafından hassas hesaplarda, gruplarda ve makinelerde depolanan oturum açma kimlik bilgilerini paylaşan hassas olmayan makinelerden yararlanarak yanal taşımalar için kullanılır.

Kimlik için Defender LMP'lerini nerede bulabilirim?

Kimlik için Defender tarafından bulunan her bilgisayar veya kullanıcı profilinin LMP'de olması için yanal hareket yolları sekmesi vardır. Sekmesi olmayan bilgisayarlar ve profiller, olası bir LMP içinde hiçbir zaman bulunmamıştır.

Defender for Identity Lateral Movement Path (LMP) tab

Her varlık için LMP, varlığın duyarlılığına bağlı olarak farklı bilgiler sağlar:

  • Hassas kullanıcılar – bu kullanıcıya yol açan olası LMP'ler gösterilir.
  • Hassas olmayan kullanıcılar ve bilgisayarlar – varlığın ilişkili olduğu olası LMP'ler gösterilir.

Sekmeye her tıklandığında Kimlik için Defender en son bulunan LMP'yi görüntüler. Her olası LMP, bulma işleminin ardından 48 saat boyunca kaydedilir. LMP geçmişi kullanılabilir. Farklı bir tarihi görüntüle'ye tıklayarak geçmişte bulunan eski LMP'leri görüntüleyin.

Defender for Identity Lateral Movement Path (LMP) display

Olası LMP'lerin ne zaman tanımlandığını ve hangi ilgili varlıkların potansiyel olarak dahil olduğunu keşfedin.

LMP bulma

Etkinlikler sekmesinde, yeni bir olası LMP tanımlandığında bir gösterge verilir:

  • Hassas kullanıcılar – hassas bir kullanıcıya yeni bir yol tanımlandığında

Defender for Identity Lateral Movement Path (LMP) sensitive identified

  • Hassas olmayan kullanıcılar ve bilgisayarlar – bu varlık, hassas bir kullanıcıya yol açan olası bir LMP'de tanımlandığında.

Defender for Identity Lateral Movement Path (LMP) non-sensitive identified

LMP artık araştırma sürecinize doğrudan yardımcı olabilir. Kimlik için Defender güvenlik uyarısı kanıt listeleri, her olası yanal hareket yolunda yer alan ilgili varlıkları sağlar. Kanıt listeleri doğrudan güvenlik yanıt ekibinizin güvenlik uyarısının önemini artırmanıza veya azaltmanıza ve/veya ilgili varlıkları araştırmanıza yardımcı olur. Örneğin, Anahtar Geçişi uyarısı verildiğinde, çalınan biletin kullanıldığı kaynak bilgisayar, güvenliği aşılmış kullanıcı ve hedef bilgisayar, hassas bir kullanıcıya yol açan olası yanal hareket yolunun bir parçasıdır. Algılanan LMP'nin varlığı, uyarıyı araştırmayı ve şüpheli kullanıcıyı izlemeyi, saldırganınızın ek yanal hareketlerden etkilenmemesi için daha da önemli hale getirir. LMP'lerde, saldırganların ağınızda ilerlemesini önlemenizi kolaylaştırmak ve daha hızlı hale getirmek için izlenebilir kanıtlar sağlanır.

Hassas hesaplara yanal taşıma yolları raporu

LMP verileri, Hassas Hesaplara YanAl Taşıma Yolları raporunda da kullanılabilir. Bu rapor, yanal taşıma yolları aracılığıyla kullanıma sunulan hassas hesapları listeler ve belirli bir zaman aralığı için el ile seçilen veya zamanlanmış raporların zaman aralığına dahil edilen yolları içerir. Takvim seçimini kullanarak dahil edilen tarih aralığını özelleştirin.

Önleyici en iyi yöntemler

Güvenlik içgörüleri bir sonraki saldırıyı önlemek ve hasarı düzeltmek için hiçbir zaman çok geç değildir. Bu nedenle, etki alanı hakimiyeti aşamasında bile bir saldırının araştırılması farklı ama önemli bir örnek sağlar. Genellikle, Uzaktan Kod Yürütme gibi bir güvenlik uyarısını araştırırken, uyarı gerçek bir pozitifse etki alanı denetleyicinizin güvenliği zaten tehlikeye girmiş olabilir. Ancak LMP'ler saldırganın ayrıcalıkları nereden kazandığını ve ağınıza hangi yolu kullandığını bildirir. Bu şekilde kullanıldığında, LMP'ler düzeltme konusunda önemli içgörüler de sunabilir.

  • Kuruluşunuzda yanal hareketin açığa çıkmasını önlemenin en iyi yolu, hassas kullanıcıların sağlamlaştırılmış bilgisayarlarda oturum açarken yalnızca yönetici kimlik bilgilerini kullandığından emin olmaktır. Örnekte, yoldaki yöneticinin gerçekten paylaşılan bilgisayara erişmesi gerekip gerekmediğini denetleyin. Erişime ihtiyaçları varsa, paylaşılan bilgisayarda yönetici kimlik bilgileri dışında bir kullanıcı adı ve parolayla oturum açtıklarından emin olun.

  • Kullanıcılarınızın gereksiz yönetim izinlerine sahip olmadığını doğrulayın. Örnekte, paylaşılan gruptaki herkesin kullanıma sunulan bilgisayarda gerçekten yönetici hakları gerektip gerektirmediğini denetleyin.

  • Kişilerin yalnızca gerekli kaynaklara erişebildiğinden emin olun. Örnekte Ron Harper, Nick Cowley'nin maruz kalmasını önemli ölçüde genişletmektedir. Ron Harper'ın gruba dahil edilmesi gerekli mi? Yanal hareket maruziyetini en aza indirmek için oluşturulabilecek alt gruplar var mı?

İpucu – Son 48 saat içinde bir varlık için olası yanal hareket yolu etkinliği algılanamadıysa, Farklı bir tarihi görüntüle'yi seçin ve önceki olası yanal hareket yollarını denetleyin. LMP'ler bulunduysa , hassas kullanıcılara LMP raporu her zaman kullanılabilir ve hassas kullanıcılara algılanan olası yanal hareket yolları hakkında bilgi sağlar.

İpucu - İstemcilerinizi ve sunucularınızı Kimlik için Defender'ın yanal hareket yolu algılama için gereken SAM-R işlemlerini gerçekleştirmesine izin verecek şekilde ayarlama yönergeleri için bkz. SAM-R'yi yapılandırma.

LMP'leri araştırma

Kimlik yanal hareket yolları için Defender'ı kullanarak belirleme ve araştırma yönergeleri için bkz. YanAl Hareket Yollarını Araştırma.

Ayrıca Bkz.