使用 ATA 調查橫向移動路徑

  • 發行項

適用于:進階威脅分析 1.9 版

即使您盡最大努力保護敏感性使用者,而且您的系統管理員有經常變更的複雜密碼、強化其電腦,且其資料會安全地儲存,攻擊者仍然可以使用橫向移動路徑來存取敏感性帳戶。 在橫向移動攻擊中,當敏感性使用者登入非敏感性使用者具有本機許可權的電腦時,攻擊者會利用實例。 攻擊者接著可以橫向移動,存取較不敏感的使用者,然後跨電腦移動以取得敏感性使用者的認證。

什麼是橫向移動路徑?

橫向移動是攻擊者使用非敏感性帳戶來取得敏感性帳戶的存取權時。 這可以使用可疑活動指南 中所述 的方法來完成。 攻擊者會使用橫向移動來識別您網路中系統管理員,並瞭解他們可以存取的機器。 利用這項資訊並進一步移動,攻擊者可以利用網域控制站上的資料。

ATA 可讓您在網路上採取先占式動作,以防止攻擊者在橫向移動中成功。

探索您有風險的敏感性帳戶

若要探索網路中哪些敏感性帳戶因為與非敏感性帳戶或資源的連線而易受攻擊,請在特定時間範圍內遵循下列步驟:

  1. 在 ATA 主控台功能表中,選取報表圖示 reports icon.

  2. 在敏感性帳戶 的橫向移動路徑下 ,如果沒有找到橫向移動路徑,報表會呈現灰色。如果有橫向移動路徑,則報表的日期會在有相關資料時自動選取第一個日期。

    Screenshot showing report date selection.

  3. 選取 [下載]。

  4. 所建立的 Excel 檔案提供您有風險敏感性帳戶的詳細資料。 [摘要 ] 索引 標籤提供圖表,詳細說明高風險資源的敏感性帳戶、電腦和平均值。 [詳細資料 ] 索引 標籤會提供您應該關注的敏感性帳戶清單。 請注意,路徑是先前存在的路徑,目前可能無法使用。

調查

既然您知道哪些敏感性帳戶有風險,您可以深入探討 ATA 以深入瞭解並採取預防措施。

  1. 在 ATA 主控台中,搜尋當實體位於橫向移動路徑 lateral icon.path icon 時,新增至實體設定檔的橫向移動徽章。 如果過去兩天內有橫向移動路徑,可以使用此選項。

  2. 在開啟的使用者設定檔頁面中,選取 [ 橫向移動路徑] 索引卷 標。

  3. 顯示的圖表會提供敏感性使用者可能路徑的對應。 此圖表顯示過去兩天已建立的連接。

  4. 檢閱圖表,以查看您可以瞭解敏感性使用者的認證暴露程度。 例如,在此對應中,您可以依照 灰色箭號登入 ,查看 Samira 使用其特殊許可權認證登入的位置。 在此情況下,Samira 的敏感性認證會儲存在 REDMOND-WA-DEV 電腦上。 然後,查看哪些其他使用者登入哪些電腦建立了最暴露和弱點。 您可以查看 黑色箭號上的 管理員istrator 來查看誰具有資源管理員許可權,以查看此專案。 在此範例中,Contoso All 群組 中的每個人都能夠從該資源存取使用者認證。

    User profile lateral movement paths.

預防最佳做法

  • 防止橫向移動的最佳方式是確保敏感性使用者只有在登入強化的電腦時,才使用其系統管理員認證,而該電腦沒有同一部電腦上沒有系統管理員許可權的非敏感性使用者。 在範例中,請確定 Samira 需要 REDMOND-WA-DEV 的存取權,他們以系統管理員認證以外的使用者名稱和密碼登入,或從 REDMOND-WA-DEV 上的本機系統管理員群組中移除 Contoso All 群組。

  • 也建議您確定沒有人有不必要的本機系統管理許可權。 在此範例中,檢查 Contoso All 中的所有人是否真的需要 REDMOND-WA-DEV 的系統管理員許可權。

  • 請確定人員只能存取必要的資源。 在此範例中,奧斯卡·波薩達大幅擴大了薩米拉的曝光率。 它們是否必須包含在 Contoso All 群組 中? 您是否可以建立子群組來將暴露程度降到最低?

提示

如果過去兩天未偵測到活動,則圖表不會顯示,但橫向移動路徑報告仍可供提供過去 60 天內橫向移動路徑的相關資訊。

提示

如需如何設定伺服器以允許 ATA 執行橫向移動路徑偵測所需的 SAM-R 作業的指示, 請設定 SAM-R

另請參閱