Untersuchen lateraler Bewegungspfade mit ATA

  • Artikel

Gilt für: Advanced Threat Analytics, Version 1.9

Selbst wenn Sie Ihr Bestes tun, um Ihre vertraulichen Benutzer zu schützen, und Ihre Administratoren verfügen über komplexe Kennwörter, die sie häufig ändern, werden ihre Computer gehärtet, und ihre Daten werden sicher gespeichert, Angreifer können weiterhin Lateral Movement Pfade verwenden, um auf vertrauliche Konten zuzugreifen. Bei Lateral Movement-Angriffen nutzt der Angreifer Instanzen, wenn sich vertrauliche Benutzer auf einem Computer anmelden, auf dem ein nicht sensibler Benutzer lokale Rechte hat. Angreifer können sich dann lateral bewegen, auf den weniger sensiblen Benutzer zugreifen und dann über den Computer navigieren, um Anmeldeinformationen für den vertraulichen Benutzer zu erhalten.

Was ist ein lateraler Bewegungspfad?

Lateral movement is when an angreifer uses non-sensitive accounts to gain access to sensitive accounts. Dies kann mithilfe der im Leitfaden für verdächtige Aktivitäten beschriebenen Methoden erfolgen. Angreifer verwenden laterale Bewegungen, um die Administratoren in Ihrem Netzwerk zu identifizieren und zu erfahren, auf welche Computer sie zugreifen können. Mit diesen Informationen und weiteren Verschiebungen kann der Angreifer die Daten auf Ihrer Do Standard-Controller nutzen.

ATA ermöglicht es Ihnen, präventive Maßnahmen in Ihrem Netzwerk zu ergreifen, um Angreifern zu verhindern, dass sie bei lateraler Bewegung erfolgreich sind.

Ermitteln Ihrer gefährdeten vertraulichen Konten

Führen Sie die folgenden Schritte aus, um zu ermitteln, welche vertraulichen Konten in Ihrem Netzwerk aufgrund ihrer Verbindung mit nicht vertraulichen Konten oder Ressourcen gefährdet sind:

  1. Wählen Sie im ATA-Konsolenmenü das Berichtssymbol aus reports icon..

  2. Wenn keine lateralen Bewegungspfade zu sensiblen Konten gefunden werden, wird der Bericht abgeblendigt, wenn keine lateralen Bewegungspfade gefunden werden. Wenn laterale Bewegungspfade vorhanden sind, wählen die Datumsangaben des Berichts automatisch das erste Datum aus, wenn relevante Daten vorhanden sind.

    Screenshot showing report date selection.

  3. Wählen Sie Herunterladen aus.

  4. Die erstellte Excel-Datei enthält Details zu Ihren gefährdeten vertraulichen Konten. Die Registerkarte "Zusammenfassung " enthält Diagramme, die die Anzahl vertraulicher Konten, Computer und Mittelwerte für Risikoressourcen detailliert darstellen. Auf der Registerkarte "Details " finden Sie eine Liste der vertraulichen Konten, die Sie bedenken sollten. Beachten Sie, dass es sich bei den Pfaden um Pfade handelt, die zuvor vorhanden waren und möglicherweise noch nicht verfügbar sind.

Untersuchen

Nachdem Sie nun wissen, welche vertraulichen Konten gefährdet sind, können Sie tief in ATA eintauchen, um mehr zu erfahren und präventive Maßnahmen zu ergreifen.

  1. Suchen Sie in der ATA-Konsole nach dem Lateral Movement Badge, das dem Entitätsprofil hinzugefügt wird, wenn sich die Entität in einem lateralen Bewegungspfad lateral icon. befindet oder path icon. Dies ist verfügbar, wenn in den letzten zwei Tagen ein lateraler Bewegungspfad vorhanden war.

  2. Wählen Sie auf der daraufhin geöffneten Benutzerprofilseite die Registerkarte "Lateral movement paths " aus.

  3. Das angezeigte Diagramm stellt eine Zuordnung der möglichen Pfade zum vertraulichen Benutzer bereit. Das Diagramm zeigt Verbindungen, die in den letzten zwei Tagen hergestellt wurden.

  4. Überprüfen Sie das Diagramm, um zu sehen, was Sie über die Gefährdung der Anmeldeinformationen Ihres vertraulichen Benutzers erfahren können. In dieser Karte können Sie beispielsweise den abgemeldeten Pfeilen folgen, um zu sehen, wo Samira mit ihren privilegierten Anmeldeinformationen angemeldet ist. In diesem Fall wurden die vertraulichen Anmeldeinformationen von Samira auf dem Computer REDMOND-WA-DEV gespeichert. Sehen Sie dann, welche anderen Benutzer sich bei welchen Computern angemeldet haben, die die meisten Sicherheitsrisiken und Sicherheitsrisiken erstellt haben. Sie können dies sehen, indem Sie sich den Administrator auf schwarzen Pfeilen ansehen, um zu sehen, wer über Administratorrechte für die Ressource verfügt. In diesem Beispiel hat jeder in der Gruppe Contoso All die Möglichkeit, auf Benutzeranmeldeinformationen aus dieser Ressource zuzugreifen.

    User profile lateral movement paths.

Bewährte Methoden zur Prävention

  • Die beste Möglichkeit, laterale Bewegungen zu verhindern, besteht darin, sicherzustellen, dass vertrauliche Benutzer ihre Administratoranmeldeinformationen nur verwenden, wenn sie sich bei gehärteten Computern anmelden, auf denen keine nicht vertraulichen Benutzer mit Administratorrechten auf demselben Computer vorhanden sind. Stellen Sie im Beispiel sicher, dass sich Samira, wenn Samira Zugriff auf REDMOND-WA-DEV benötigt, mit einem Anderen Benutzernamen und Kennwort als ihren Administratoranmeldeinformationen anmelden oder die Contoso All-Gruppe aus der lokalen Administratorgruppe auf REDMOND-WA-DEV entfernen.

  • Es wird auch empfohlen, sicherzustellen, dass niemand über unnötige lokale Administratorberechtigungen verfügt. Überprüfen Sie im Beispiel, ob jeder in Contoso All Administratorrechte auf REDMOND-WA-DEV benötigt.

  • Stellen Sie sicher, dass Personen nur Zugriff auf erforderliche Ressourcen haben. Im Beispiel verbreitert Oscar Posada die Belichtung von Samira erheblich. Ist es notwendig, dass sie in die Gruppe "Contoso All" aufgenommen werden? Gibt es Untergruppen, die Sie erstellen könnten, um die Belichtung zu minimieren?

Tipp

Wenn die Aktivität während der letzten zwei Tage nicht erkannt wird, wird das Diagramm nicht angezeigt, aber der Bericht über laterale Bewegungspfade steht weiterhin zur Verfügung, um Informationen zu Lateralbewegungspfaden in den letzten 60 Tagen bereitzustellen.

Tipp

Anweisungen zum Festlegen ihrer Server, damit ATA die SAM-R-Vorgänge ausführen kann, die für die Erkennung lateraler Bewegungspfade erforderlich sind, konfigurieren Sie SAM-R.

Siehe auch