Comprendre et examiner les chemins de mouvement latéral (LPM) avec Microsoft Defender pour Identity
On parle de mouvement latéral quand un attaquant utilise des comptes non sensibles pour obtenir l’accès à des comptes sensibles dans votre réseau. Le mouvement latéral est utilisé par les attaquants pour identifier les comptes sensibles et les machines de votre réseau qui partagent les informations d’identification de connexion stockées dans des comptes, des groupes et des machines et y accéder. Une fois qu’un attaquant réussit à faire des mouvements latéraux jusqu’à vos cibles clés, il peut également tirer parti de vos contrôleurs de domaine et y accéder. Les attaques de mouvement latéral sont effectuées à l’aide de nombreuses méthodes décrites dans Microsoft Defender pour Identity Alertes de sécurité.
Un composant clé des insights de sécurité de Microsoft Defender pour Identity sont les chemins de mouvement latéral ou LPM. Les LPM Defender pour Identity sont des guides visuels qui vous aident à comprendre et à identifier rapidement comment les attaquants peuvent se déplacer latéralement à l’intérieur de votre réseau. L’objectif des mouvements latéraux au sein de la chaîne de destruction des cyber-attaques est pour les attaquants d’accéder et de compromettre vos comptes sensibles en utilisant des comptes non sensibles. La compromission de vos comptes sensibles leur permet de se rapprocher de leur objectif ultime, le contrôle du domaine. Pour empêcher ces attaques de réussir, les LPM Defender pour Identity vous fournissent des conseils visuels directs et faciles à interpréter sur vos comptes les plus vulnérables et sensibles. Les LPM vous aident à atténuer et à prévenir ces risques à l’avenir, et à fermer l’accès des attaquants avant qu’ils ne parviennent à dominer le domaine.
Par exemple :
Les attaques par mouvements latéraux sont généralement effectuées selon différentes techniques. Certaines des méthodes les plus répandues utilisées par les attaquants sont le vol d’informations d’identification et Pass-the-Ticket. Dans les deux méthodes, vos comptes non sensibles sont utilisés par des attaquants pour les déplacements latéraux en exploitant des machines non sensibles qui partagent les informations d’identification de connexion stockées dans des comptes, des groupes et des machines avec des comptes sensibles.
Où puis-je trouver les chemins de mouvement latéral Defender pour Identity ?
Chaque identité découverte par Defender pour Identity dans un LMP a des informations de chemins d’accès de mouvement latéral sous l’onglet Observé dans organization. Par exemple :
Le chemin de mouvement latéral pour chaque entité fournit des informations différentes selon la sensibilité de l’entité :
- Utilisateurs sensibles : les chemins de mouvement latéral potentiels conduisant à cet utilisateur sont montrés.
- Utilisateurs et ordinateurs non sensibles : les chemins de mouvement latéral potentiels auxquels l’entité est associée sont montrés.
Chaque fois que l’onglet est sélectionné, Defender pour Identity affiche le LMP le plus récemment découvert. Chaque chemin de mouvement latéral potentiel est enregistré pendant les 48 heures suivant la découverte. Un historique des chemins de mouvement latéral est disponible. Affichez les anciens LPM qui ont été découverts dans le passé en choisissant Sélectionner une date. Vous pouvez également choisir un autre utilisateur qui a lancé le LMP en sélectionnant Initiateur de chemin d’accès.
Découverte LMP à l’aide de la chasse avancée
Pour découvrir de manière proactive les activités de chemin de mouvement latéral, vous pouvez exécuter une requête de chasse avancée.
Voici un exemple de requête de ce type :
Pour obtenir des instructions sur l’exécution de requêtes de chasse avancées, consultez Rechercher de manière proactive les menaces avec la chasse avancée dans Microsoft 365 Defender.
Entités associées à un chemin de mouvement latéral
LMP peut désormais vous aider directement dans votre processus d’investigation. Les listes de preuves d’alerte de sécurité Defender pour Identity fournissent les entités associées impliquées dans chaque chemin de mouvement latéral potentiel. Les listes d’indices aident directement votre équipe chargée de répondre aux questions de sécurité à augmenter ou à diminuer l’importance de l’alerte de sécurité et/ou de l’investigation des entités associées. Par exemple, quand une alerte de Pass-the-Ticket est émise, l’ordinateur source, l’utilisateur compromis et l’ordinateur de destination à partir desquels le ticket volé a été utilisé, font tous partie du chemin de mouvement latéral potentiel conduisant à un utilisateur sensible. L’existence du chemin de mouvement latéral détecté rend l’examen de l’alerte et l’observation de l’utilisateur suspecté encore plus importants qu’empêcher votre adversaire d’effectuer d’autres mouvements latéraux. Des indices traçables sont fournis dans les chemins de mouvement latéral pour vous permettre plus facilement et plus rapidement d’empêcher les attaquants de se déplacer dans votre réseau.
Évaluation de la sécurité des chemins de mouvement latéral
Microsoft Defender pour Identity surveille en permanence votre environnement pour identifier les comptes sensibles avec les chemins de mouvement latéral les plus risqués qui exposent un risque de sécurité, et crée des rapports sur ces comptes pour vous aider à gérer votre environnement. Les chemins sont considérés à risque s’ils comptent au moins trois comptes non sensibles susceptibles d’exposer le compte sensible à une subtilisation d’informations d’identification par des acteurs malveillants. Pour découvrir quels comptes sensibles ont des chemins de mouvement latéral à risque, passez en revue l’évaluation de sécurité des chemins de mouvement latéral (LMP) les plus risqués . En fonction des recommandations, vous pouvez supprimer l’entité du groupe ou supprimer les autorisations d’administrateur local pour l’entité de l’appareil spécifié.
Pour plus d’informations, consultez Évaluation de la sécurité : Chemins de mouvement latéral les plus risqués.
Bonnes pratiques de prévention
Les insights de sécurité ne sont jamais trop tardifs pour empêcher l’attaque suivante et pour remédier aux dommages. Pour cette raison, l’examen d’une attaque, même pendant la phase de prise de contrôle du domaine, constitue un exemple différent, mais important. En règle générale, lors de l’examen d’une alerte de sécurité comme une exécution de code à distance, si l’alerte est un vrai positif, votre contrôleur de domaine peut déjà être compromis. Cependant, les chemins de mouvement latéral donnent des informations sur l’endroit où les attaquants ont obtenu des privilèges et sur le chemin qu’ils ont utilisé dans votre réseau. Utilisés de cette façon, les chemins de mouvement latéral peuvent également donner des insights clés sur la façon d’y remédier.
La meilleure façon d’empêcher l’exposition à un mouvement latéral au sein de votre organisation consiste à vérifier que les utilisateurs sensibles utilisent leurs informations d’identification d’administrateur seulement lors de la connexion à des ordinateurs où la sécurité est durcie. Dans l’exemple, vérifiez si l’administrateur qui se trouve dans le chemin a réellement besoin d’accéder à l’ordinateur partagé. S’ils ont besoin d’un accès, assurez-vous qu’ils se connectent à l’ordinateur partagé avec un nom d’utilisateur et un mot de passe autres que leurs informations d’identification d’administrateur.
Vérifiez que vos utilisateurs ne disposent pas d’autorisations administratives inutiles. Dans l’exemple, vérifiez si tous les membres du groupe partagé ont besoin de droits d’administration sur l’ordinateur exposé.
Veillez à ce que les utilisateurs n’aient accès qu’aux ressources nécessaires. Dans l’exemple, Ron Harper étend considérablement l’exposition de Nick Cowley. Est-il nécessaire que Ron Harper soit inclus dans le groupe? Serait-il possible de créer des sous-groupes pour minimiser l’exposition aux mouvements latéraux ?
Conseil
Lorsqu’aucune activité de chemin de mouvement latéral potentiel n’est détectée pour une entité au cours des dernières 48 heures, choisissez Sélectionner une date et case activée pour les chemins de mouvement latéral potentiels précédents.
Important
Pour obtenir des instructions sur la façon de définir vos clients et serveurs pour permettre à Defender pour Identity d’effectuer les opérations SAM-R nécessaires à la détection du chemin de mouvement latéral, consultez Configurer Microsoft Defender pour Identity pour effectuer des appels distants vers SAM.
Examiner les chemins de mouvement latéral
Il existe plusieurs façons d’utiliser et d’investiguer les chemins de mouvement latéral. Dans le portail Microsoft 365 Defender, effectuez une recherche par entité, puis explorez par chemin ou par activité.
Dans le portail, recherchez un utilisateur. Sous Observé dans organization (dans les onglets Vue d’ensemble et Observé), vous pouvez voir si l’utilisateur est découvert dans un LMP potentiel.
Si l’utilisateur est découvert, sélectionnez l’onglet Observé dans organization et choisissez Chemins de mouvement latéral.
Le graphique qui s’affiche fournit une carte des chemins d’accès possibles à l’utilisateur sensible pendant la période de 48 heures. Utilisez l’option Sélectionner une date pour afficher le graphique des détections de chemin de mouvement latéral précédentes pour l’entité.
Examinez le graphe pour voir si vous pouvez en savoir plus sur l’exposition aux risques des informations d’identification de l’utilisateur sensible. Par exemple, dans le chemin d’accès, suivez les flèches L connecté par pour voir où Nick s’est connecté avec ses informations d’identification privilégiées. Dans ce cas, les informations d’identification sensibles de Nick ont été enregistrées sur l’ordinateur affiché. Identifiez maintenant, parmi les autres utilisateurs connectés à des ordinateurs, lesquels ont généré le plus de risques et de vulnérabilité. Dans cet exemple, Elizabeth King a la possibilité d’accéder aux informations d’identification de l’utilisateur à partir de cette ressource.