Aracılığıyla paylaş

ATA ile yanal hareket yollarını araştırma

  • Makale

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Hassas kullanıcılarınızı korumak için en iyisini yaptığınızda ve yöneticilerinizin sık sık değiştirdikleri karmaşık parolaları olsa bile, makineleri sağlamlaştırılır ve verileri güvenli bir şekilde depolanır, saldırganlar hassas hesaplara erişmek için yanal hareket yollarını kullanmaya devam edebilir. Yanal hareket saldırılarında saldırgan, hassas kullanıcılar hassas olmayan bir kullanıcının yerel haklara sahip olduğu bir makinede oturum açarken örneklerden yararlanır. Saldırganlar daha sonra daha az hassas olan kullanıcıya erişerek daha sonra hassas kullanıcının kimlik bilgilerini almak üzere bilgisayar genelinde hareket edebilir.

Yanal hareket yolu nedir?

Yanal hareket, bir saldırganın hassas hesaplara erişim elde etmek için hassas olmayan hesaplar kullanmasıdır. Bu, Şüpheli etkinlik kılavuzunda açıklanan yöntemler kullanılarak yapılabilir. Saldırganlar ağınızdaki yöneticileri tanımlamak ve hangi makinelere erişebileceklerini öğrenmek için yanal hareket kullanır. Bu bilgiler ve daha fazla hareketle, saldırgan etki alanı denetleyicilerinizdeki verilerden yararlanabilir.

ATA, saldırganların yanal harekette başarılı olmasını önlemek için ağınızda önleyici eylemler gerçekleştirmenizi sağlar.

Risk altında olan hassas hesaplarınızı bulma

Ağınızdaki hangi hassas hesapların hassas olmayan hesaplara veya kaynaklara bağlantıları nedeniyle savunmasız olduğunu bulmak için, belirli bir zaman diliminde şu adımları izleyin:

  1. ATA konsol menüsünde raporlar simgesini reports icon.seçin.

  2. Hassas hesaplara giden yanal hareket yolları altında, yanal hareket yolu bulunamazsa rapor gri görünür. Yanal hareket yolları varsa, raporun tarihleri ilgili verilerin bulunduğu ilk tarihi otomatik olarak seçer.

    Screenshot showing report date selection.

  3. İndir'i seçin.

  4. Oluşturulan Excel dosyası, risk altında olan hassas hesaplarınız hakkında ayrıntılı bilgi sağlar. Özet sekmesi, risk altındaki kaynaklar için hassas hesapların, bilgisayarların ve ortalamaların ayrıntılarını gösteren grafikler sağlar. Ayrıntılar sekmesi, ilgilenmeniz gereken hassas hesapların listesini sağlar. Yolların daha önce var olan yollar olduğunu ve bugün kullanılamayabileceğini unutmayın.

Araştır

Hangi hassas hesapların risk altında olduğunu öğrendiğinize göre, daha fazla bilgi edinmek ve önleyici önlemler almak için ATA'yı ayrıntılı olarak inceleyebilirsiniz.

  1. ATA konsolunda, varlık bir yanal hareket yolunda lateral icon. veya path iconolduğunda varlık profiline eklenen Yanal hareket rozetini arayın. Bu, son iki gün içinde yanal hareket yolu varsa kullanılabilir.

  2. Açılan kullanıcı profili sayfasında Yanal hareket yolları sekmesini seçin.

  3. Görüntülenen grafik, hassas kullanıcıya yönelik olası yolların bir haritasını sağlar. Grafik, son iki gün içinde yapılan bağlantıları gösterir.

  4. Hassas kullanıcınızın kimlik bilgilerini açığa çıkarma hakkında neler öğrenebileceğinizi görmek için grafiği gözden geçirin. Örneğin, bu haritada, Samira'nın ayrıcalıklı kimlik bilgileriyle nerede oturum açtığını görmek için Gri oklarla oturum açıldı'yı izleyebilirsiniz. Bu durumda Samira'nın hassas kimlik bilgileri REDMOND-WA-DEV bilgisayarına kaydedildi. Ardından, hangi diğer kullanıcıların hangi bilgisayarlarda oturum açtığını ve en çok maruz kalma ve güvenlik açığı oluşturduğunu görün. Kaynakta yönetici ayrıcalıklarına sahip olan kişileri görmek için siyah oklardaki Yönetici istrator'a bakarak bunu görebilirsiniz. Bu örnekte Contoso All grubundaki herkes bu kaynaktan kullanıcı kimlik bilgilerine erişebilir.

    User profile lateral movement paths.

Önleyici en iyi yöntemler

  • Yanal hareketi önlemenin en iyi yolu, hassas kullanıcıların yönetici kimlik bilgilerini yalnızca aynı bilgisayarda yönetici haklarına sahip hassas olmayan kullanıcıların olmadığı sağlamlaştırılmış bilgisayarlarda oturum açtıklarında kullandığından emin olmaktır. Örnekte, Samira'nın REDMOND-WA-DEV erişimine ihtiyacı varsa yönetici kimlik bilgileri dışında bir kullanıcı adı ve parolayla oturum açtıklarından emin olun veya Contoso All grubunu REDMOND-WA-DEV üzerindeki yerel yöneticiler grubundan kaldırın.

  • Ayrıca, kimsenin gereksiz yerel yönetici izinlerine sahip olmadığından da emin olmanız önerilir. Örnekte, Contoso All'daki herkesin REDMOND-WA-DEV üzerinde yönetici haklarına gerçekten ihtiyacı olup olmadığını denetleyin.

  • Kişilerin yalnızca gerekli kaynaklara erişebildiğinden emin olun. Örnekte Oscar Posada, Samira'nın maruz kalmasını önemli ölçüde genişletir. Bunların Contoso All grubuna dahil edilmesi gerekli mi? Pozlamayı en aza indirmek için oluşturabileceğiniz alt gruplar var mı?

Bahşiş

Son iki gün içinde etkinlik algılanmazsa grafik görünmez, ancak son 60 gün içindeki yanal hareket yolları hakkında bilgi sağlamak için yanal hareket yolu raporu hala kullanılabilir.

Bahşiş

Sunucularınızı ATA'nın yanal hareket yolu algılaması için gereken SAM-R işlemlerini gerçekleştirmesine izin verecek şekilde ayarlama yönergeleri için SAM-R'yi yapılandırın.

Ayrıca bkz.