فهم مسارات الحركة الجانبية (LMPs) والتحقيق فيها باستخدام Microsoft Defender for Identity

الحركة الجانبية هي عندما يستخدم المهاجم حسابات غير حساسة للوصول إلى الحسابات الحساسة في جميع أنحاء شبكتك. يستخدم المهاجمون الحركة الجانبية لتحديد الحسابات والأجهزة الحساسة في شبكتك التي تشترك في بيانات اعتماد تسجيل الدخول المخزنة في الحسابات والمجموعات والأجهزة والوصول إليها. بمجرد أن يقوم المهاجم بتحركات جانبية ناجحة نحو أهدافك الرئيسية، يمكن للمهاجم أيضا الاستفادة والوصول إلى وحدات التحكم بالمجال. يتم تنفيذ هجمات الحركة الجانبية باستخدام العديد من الطرق الموضحة في تنبيهات الأمان Microsoft Defender for Identity.

أحد المكونات الرئيسية للرؤى الأمنية Microsoft Defender for Identity هو مسارات الحركة الجانبية أو LMPs. Defender for Identity LMPs هي أدلة مرئية تساعدك على فهم وتحديد بالضبط كيف يمكن للمهاجمين التنقل أفقيا داخل شبكتك. الغرض من الحركات الجانبية داخل سلسلة قتل الهجمات الإلكترونية هو أن يكتسب المهاجمون حساباتك الحساسة ويخترقونها باستخدام حسابات غير حساسة. المساس بحساباتك الحساسة يحصل لهم خطوة أخرى أقرب إلى هدفهم النهائي، وهيمنة المجال. لمنع نجاح هذه الهجمات، يمنحك Defender for Identity LMPs إرشادات مرئية سهلة التفسير ومباشرة على حساباتك الأكثر ضعفا وحساسية. تساعدك LMPs على التخفيف من هذه المخاطر ومنعها في المستقبل، وإغلاق وصول المهاجم قبل تحقيق هيمنة المجال.

على سبيل المثال:

عادة ما يتم تنفيذ هجمات الحركة الجانبية باستخدام عدد من التقنيات المختلفة. بعض الطرق الأكثر شيوعا التي يستخدمها المهاجمون هي سرقة بيانات الاعتماد وتمرير البطاقة. في كلتا الطريقتين، يتم استخدام حساباتك غير الحساسة من قبل المهاجمين للتحركات الجانبية عن طريق استغلال الأجهزة غير الحساسة التي تشترك في بيانات اعتماد تسجيل الدخول المخزنة في الحسابات والمجموعات والأجهزة ذات الحسابات الحساسة.

شاهد الفيديو التالي لمعرفة المزيد حول تقليل مسارات الحركة الجانبية باستخدام Defender for Identity:

أين يمكنني العثور على Defender for Identity LMPs؟

تحتوي كل هوية يكتشفها Defender for Identity لتكون في LMP على معلومات مسارات حركة جانبية ضمن علامة التبويب تمت ملاحظتها في المؤسسة . على سبيل المثال:

يوفر LMP لكل كيان معلومات مختلفة اعتمادا على حساسية الكيان:

• المستخدمون الحساسون - يتم عرض LMP (عناوين) LMP المحتملة التي تؤدي إلى هذا المستخدم.
• المستخدمون وأجهزة الكمبيوتر غير الحساسة - يتم عرض LMP (وحدات) LMP المحتملة التي يرتبط بها الكيان.

في كل مرة يتم فيها تحديد علامة التبويب، يعرض Defender for Identity أحدث LMP تم اكتشافه. يتم حفظ كل LMP محتمل لمدة 48 ساعة بعد الاكتشاف. تتوفر محفوظات LMP. عرض LMPs القديمة التي تم اكتشافها في الماضي عن طريق اختيار تحديد تاريخ. يمكنك أيضا اختيار مستخدم مختلف بدأ LMP عن طريق تحديد بادئ المسار.

اكتشاف LMP باستخدام التتبع المتقدم

لاكتشاف أنشطة مسار الحركة الجانبية بشكل استباقي، يمكنك تشغيل استعلام تتبع متقدم.

فيما يلي مثال على مثل هذا الاستعلام:

للحصول على إرشادات حول كيفية تشغيل استعلامات التتبع المتقدمة، راجع البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم في Microsoft Defender XDR.

الكيانات ذات الصلة ب LMP

يمكن ل LMP الآن المساعدة مباشرة في عملية التحقيق الخاصة بك. توفر قوائم أدلة تنبيه أمان Defender for Identity الكيانات ذات الصلة التي تشارك في كل مسار حركة جانبية محتملة. تساعد قوائم الأدلة فريق الاستجابة الأمنية مباشرة على زيادة أو تقليل أهمية التنبيه الأمني و/أو التحقيق في الكيانات ذات الصلة. على سبيل المثال، عند إصدار تنبيه Pass the Ticket، فإن الكمبيوتر المصدر والمستخدم المخترق والكمبيوتر الوجهة الذي تم استخدام البطاقة المسروقة منه، كلها جزء من مسار الحركة الجانبية المحتمل الذي يؤدي إلى مستخدم حساس. وجود LMP المكتشف يجعل التحقيق في التنبيه ومشاهدة المستخدم المشتبه به أكثر أهمية لمنع خصمك من التحركات الجانبية الإضافية. يتم توفير أدلة قابلة للتعقب في LMPs لتسهيل الأمر وأسرع بالنسبة لك لمنع المهاجمين من المضي قدما في شبكتك.

تقييم أمان مسارات الحركة الجانبية

تراقب Microsoft Defender for Identity بيئتك باستمرار لتحديد الحسابات الحساسة ذات مسارات الحركة الجانبية الأكثر خطورة التي تعرض مخاطر الأمان، وتقارير عن هذه الحسابات لمساعدتك في إدارة بيئتك. تعتبر المسارات محفوفة بالمخاطر إذا كان لديها ثلاثة أو أكثر من الحسابات غير الحساسة التي يمكن أن تعرض الحساب الحساس لسرقة بيانات الاعتماد من قبل الجهات الفاعلة الضارة. لاكتشاف أي من حساباتك الحساسة لديها مسارات حركة جانبية محفوفة بالمخاطر، راجع تقييم أمان مسارات الحركة الجانبية الأكثر خطورة (LMP ). استنادا إلى التوصيات، يمكنك إزالة الكيان من المجموعة، أو إزالة أذونات المسؤول المحلي للكيان من الجهاز المحدد.

لمزيد من المعلومات، راجع تقييم الأمان: مسارات الحركة الجانبية الأكثر خطورة (LMP).

أفضل الممارسات الوقائية

رؤى الأمان ليست متأخرة أبدا لمنع الهجوم التالي ومعالجة الضرر. لهذا السبب، يوفر التحقيق في هجوم حتى أثناء مرحلة هيمنة المجال مثالا مختلفا ولكنه مهم. عادة، أثناء التحقيق في تنبيه أمان مثل تنفيذ التعليمات البرمجية البعيدة، إذا كان التنبيه إيجابيا حقيقيا، فقد تكون وحدة تحكم المجال الخاصة بك قد تم اختراقها بالفعل. ولكن LMPs تعلم أين حصل المهاجم على الامتيازات، والمسار الذي استخدمه في شبكتك. باستخدام هذه الطريقة، يمكن ل LMPs أيضا تقديم رؤى رئيسية حول كيفية المعالجة.

• أفضل طريقة لمنع التعرض للحركة الجانبية داخل مؤسستك هي التأكد من أن المستخدمين الحساسين يستخدمون بيانات اعتماد المسؤول الخاصة بهم فقط عند تسجيل الدخول إلى أجهزة الكمبيوتر المتصلبة. في المثال، تحقق مما إذا كان المسؤول في المسار يحتاج بالفعل إلى الوصول إلى الكمبيوتر المشترك. إذا كانوا بحاجة إلى الوصول، فتأكد من تسجيل الدخول إلى الكمبيوتر المشترك باستخدام اسم مستخدم وكلمة مرور بخلاف بيانات اعتماد المسؤول الخاصة بهم.

• تحقق من أن المستخدمين ليس لديهم أذونات إدارية غير ضرورية. في المثال، تحقق مما إذا كان كل شخص في المجموعة المشتركة يتطلب بالفعل حقوق المسؤول على الكمبيوتر المكشوف.

• تأكد من أن الأشخاص لديهم حق الوصول إلى الموارد الضرورية فقط. في المثال، يوسع رون هاربر بشكل كبير تعرض كاولي. هل من الضروري أن يتم تضمين رون هاربر في المجموعة؟ هل هناك مجموعات فرعية يمكن إنشاؤها لتقليل التعرض للحركة الجانبية؟

تلميح

عندما لا يتم الكشف عن نشاط مسار حركة جانبية محتملة لكيان في الساعات ال 48 الماضية، اختر تحديد تاريخ وتحقق من مسارات الحركة الجانبية المحتملة السابقة.

هام

للحصول على إرشادات حول كيفية تعيين عملائك وخوادمك للسماح ل Defender for Identity بإجراء عمليات SAM-R اللازمة للكشف عن مسار الحركة الجانبية، راجع تكوين Microsoft Defender for Identity لإجراء مكالمات عن بعد إلى SAM.

التحقيق في مسارات الحركة الجانبية

هناك طرق متعددة لاستخدام LMPs والتحقيق فيها. في مدخل Microsoft Defender، ابحث حسب الكيان ثم استكشف حسب المسار أو النشاط.

1. من المدخل، ابحث عن مستخدم. ضمن تمت ملاحظته في المؤسسة (في كل من علامات التبويب Overview و Observed )، يمكنك معرفة ما إذا كان المستخدم قد تم اكتشافه في LMP محتمل.

2. إذا تم اكتشاف المستخدم، فحدد علامة التبويب تمت ملاحظته في المؤسسة واختر مسارات الحركة الجانبية.

3. يوفر الرسم البياني الذي يتم عرضه خريطة للمسارات المحتملة للمستخدم الحساس خلال الفترة الزمنية التي تبلغ 48 ساعة. استخدم الخيار تحديد تاريخ لعرض الرسم البياني لاكتشافات مسار الحركة الجانبية السابقة للكيان.

4. راجع الرسم البياني لمعرفة ما يمكنك التعرف عليه حول تعرض بيانات اعتماد المستخدم الحساسة. على سبيل المثال، في المسار، اتبع الأسهم التي تم تسجيل الدخول إليها لمعرفة مكان تسجيل دخول باستخدام بيانات الاعتماد المميزة الخاصة بهم. في هذه الحالة، تم حفظ بيانات اعتماد الحساسة على الكمبيوتر المعروض. الآن، لاحظ المستخدمين الآخرين الذين سجلوا الدخول إلى أجهزة الكمبيوتر التي أنشأت أكبر قدر من التعرض والثغرة الأمنية. في هذا المثال، لدى إليزابيث كينغ القدرة على الوصول إلى بيانات اعتماد المستخدم من هذا المورد.

الخطوات التالية

• تكوين Microsoft Defender for Identity لإجراء مكالمات عن بعد إلى SAM
• تقييم الأمان: مسارات الحركة الجانبية الأكثر خطورة (LMP)
• العمل مع تنبيهات الأمان
• اطلع على منتدى Defender for Identity!