Rutas de desplazamiento lateral (LMP) de Microsoft Defender for Identity

El desplazamiento lateral se produce cuando un atacante usa cuentas no confidenciales para obtener acceso a cuentas confidenciales de la red. Los atacantes usan el movimiento lateral para identificar y obtener acceso a las cuentas y máquinas confidenciales de la red que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas. Una vez que un atacante ha efectuado los desplazamientos laterales correctos hacia sus objetivos principales, también puede aprovechar para obtener acceso a los controladores de dominio. Los ataques de movimiento lateral se llevan a cabo mediante muchos de los métodos descritos en Microsoft Defender for Identity Alertas de seguridad.

Un componente clave de la información de seguridad de Microsoft Defender for Identity son rutas de desplazamiento lateral o LMP. Los LMP de Defender for Identity son guías visuales que le ayudan a comprender e identificar exactamente cómo los atacantes pueden moverse lateralmente dentro de la red. Con los desplazamientos laterales dentro de la cadena de interrupción de ataques cibernéticos, lo que pretenden los atacantes es hacerse con las cuentas confidenciales y ponerlas en peligro mediante cuentas no confidenciales. Al poner en peligro las cuentas confidenciales, se acercan todavía más a su objetivo final: la dominación del dominio. Para evitar que estos ataques se realicen correctamente, los LMP de Defender for Identity le proporcionan instrucciones visuales fáciles de interpretar y dirigir sobre sus cuentas más vulnerables y confidenciales. Las LMP ayudan a mitigar e impedir estos riesgos en el futuro y a interrumpir el acceso del atacante antes de que logre dominar el dominio.

Ruta de desplazamiento lateral (LMP) de Defender for Identity

Los ataques de desplazamiento lateral suelen llevarse a cabo mediante diversas técnicas. Algunos de los métodos más populares que usan los atacantes son el robo de credenciales y los ataques pass-the-ticket. En ambos métodos, los atacantes usan las cuentas no confidenciales para los movimientos laterales mediante la explotación de máquinas no confidenciales que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas con cuentas confidenciales.

¿Dónde puedo encontrar las LMP de Defender for Identity?

Cada equipo o perfil de usuario detectado por Defender for Identity para estar en un LMP tiene una pestaña Rutas de desplazamiento lateral . Los equipos y perfiles sin pestaña nunca se han detectado dentro de un LMP potencial.

Pestaña de ruta de desplazamiento lateral (LMP) de Defender for Identity

La LMP de cada entidad proporciona información diferente en función de la confidencialidad de la entidad:

  • Usuarios confidenciales: se muestran las posibles LMP que lleven a este usuario.
  • Usuarios y equipos no confidenciales: se muestran las posibles LMP con las que está relacionada la entidad.

Cada vez que se hace clic en la pestaña, Defender for Identity muestra el LMP detectado más recientemente. Cada posible LMP se guarda durante 48 horas tras la detección. Hay disponible un historial de LMP, Para ver los LMP más antiguos que se detectaron en el pasado, elija Seleccionar una fecha. También puede elegir otro usuario que inició el LMP seleccionando Iniciador de ruta de acceso.

Detección de LMP mediante la búsqueda avanzada

Para detectar proactivamente las actividades de ruta de desplazamiento lateral, puede ejecutar una consulta de búsqueda avanzada.

Este es un ejemplo de esta consulta:

Consulta de búsqueda avanzada para rutas de desplazamiento lateral.

Para obtener instrucciones sobre cómo ejecutar consultas de búsqueda avanzada, consulte Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft 365 Defender.

LMP ahora puede ayudar directamente con el proceso de investigación. Las listas de evidencias de alertas de seguridad de Defender for Identity proporcionan las entidades relacionadas implicadas en cada ruta de desplazamiento lateral potencial. Las listas de evidencias ayudan directamente al equipo de respuesta de seguridad a aumentar o reducir la importancia de la alerta de seguridad o la investigación de las entidades relacionadas. Por ejemplo, cuando se emite una alerta de ataque pass-the-ticket, el equipo de origen, el usuario en peligro y el equipo de destino desde el que se ha usado el vale robado forman parte de la posible ruta de desplazamiento lateral que lleva a un usuario confidencial. La existencia de la LMP detectada hace que investigar la alerta y observar al usuario sospechoso sea todavía más importante para impedir que el adversario realice más desplazamientos laterales. En las LMP se proporcionan evidencias rastreables para que sea más fácil y rápido impedir que los atacantes avancen en la red.

Evaluación de seguridad de rutas de desplazamiento lateral

Microsoft Defender for Identity supervisa continuamente el entorno para identificar cuentas confidenciales con las rutas de desplazamiento lateral más arriesgadas que exponen un riesgo de seguridad e informa sobre estas cuentas para ayudarle a administrar su entorno. Las rutas se consideran de riesgo si cuentan con tres o más cuentas no confidenciales que puedan exponer la cuenta confidencial al robo de credenciales por parte de usuarios malintencionados. Para detectar cuáles de las cuentas confidenciales tienen rutas de desplazamiento lateral de riesgo, revise la evaluación de seguridad de rutas de desplazamiento lateral más arriesgadas (LMP). En función de las recomendaciones, puede quitar la entidad del grupo o quitar los permisos de administrador local para la entidad del dispositivo especificado.

Para obtener más información, vea Evaluación de seguridad: Rutas de desplazamiento lateral de mayor riesgo (LMP).

Procedimientos recomendados de prevención

La información de seguridad nunca llega demasiado tarde para impedir el siguiente ataque y corregir los daños. Por este motivo, el hecho de investigar un ataque incluso durante la fase de dominación de dominio proporciona un ejemplo diferente, aunque también importante. Normalmente, cuando se investiga una alerta de seguridad como la de ejecución remota de código, si se trata de un verdadero positivo, el controlador de dominio podría estar en peligro. Aun así, las LMP informan sobre dónde ha conseguido los privilegios el atacante y qué ruta de acceso ha usado para obtener acceso a la red. Al usarlas de esta manera, las LMP también pueden ofrecer información clave para corregir el problema.

  • La mejor manera de impedir la exposición de desplazamiento lateral dentro de la organización consiste en asegurarse de que los usuarios confidenciales solo usen sus credenciales de administrador al iniciar sesión en equipos protegidos. En el ejemplo, compruebe si el administrador de la ruta de acceso realmente necesita acceso al equipo compartido. Si necesitan acceso, asegúrese de que inician sesión en el equipo compartido con un nombre de usuario y una contraseña distintos de sus credenciales de administrador.

  • Compruebe que los usuarios no tienen permisos administrativos innecesarios. En el ejemplo, compruebe si todos los miembros del grupo compartido realmente necesitan derechos de administrador en el equipo expuesto.

  • Asegúrese de que los usuarios solo tienen acceso a los recursos necesarios. En el ejemplo, Ron Harper aumenta considerablemente la exposición de Nick Cowley. ¿Es necesario que Ron Harper esté incluido en el grupo? ¿Se podrían crear subgrupos para minimizar la exposición de movimiento lateral?

Sugerencia

Cuando no se detecte ninguna actividad de ruta de desplazamiento lateral potencial para una entidad en las últimas 48 horas, elija Seleccionar una fecha y compruebe las posibles rutas de desplazamiento lateral anteriores.

Importante

Para obtener instrucciones sobre cómo establecer los clientes y servidores para permitir que Defender for Identity realice las operaciones de SAM-R necesarias para la detección de rutas de desplazamiento lateral, consulte Configuración de Microsoft Defender for Identity para realizar llamadas remotas a SAM.

Investigación de las rutas de desplazamiento lateral

Hay varias maneras de usar e investigar las LMP. En el portal de Microsoft 365 Defender, busque por entidad y, a continuación, explore por ruta de acceso o actividad.

  1. En el portal, busque un usuario o un equipo. Observe si se ha agregado una notificación de desplazamiento lateral a un perfil de entidad. Solo se mostrarán notificaciones cuando se detecte una entidad en una posible LMP durante las últimas 48 horas.

  2. En la página de perfil de usuario que se abre, seleccione la pestaña Rutas de desplazamiento lateral .

  3. En el gráfico que se muestra se proporciona un mapa de las posibles rutas de acceso a la información confidencial del usuario durante un período de 48 horas. Use la opción Seleccionar una fecha para mostrar el gráfico de detecciones de rutas de desplazamiento lateral anteriores para la entidad.

    Ver otra fecha de LMP.

  4. Revise el gráfico para ver la información que puede obtener sobre la exposición de las credenciales de los usuarios confidenciales. Por ejemplo, en la ruta, siga las flechas de color gris Logged into by (Inicio de sesión por) para ver dónde ha iniciado sesión Nick con sus credenciales con privilegios. En este caso, las credenciales confidenciales de Nick se guardaron en el equipo FinanceSrv53 . Ahora, puede tener en cuenta qué otros usuarios conectados a cada equipo son los que han creado la mayor exposición y vulnerabilidad. En este ejemplo, Elizabeth King tiene la capacidad de acceder a las credenciales de usuario desde ese recurso.

Consulte también