Chemins de mouvement latéral Microsoft Defender pour Identity

On parle de mouvement latéral quand un attaquant utilise des comptes non sensibles pour obtenir l’accès à des comptes sensibles dans votre réseau. Le déplacement latéral est utilisé par les attaquants pour identifier et accéder aux comptes et machines sensibles de votre réseau qui partagent les informations d’identification de connexion stockées dans les comptes, les groupes et les machines. Une fois qu’un attaquant réussit à faire des mouvements latéraux jusqu’à vos cibles clés, il peut également tirer parti de vos contrôleurs de domaine et y accéder. Les attaques de mouvement latéral sont effectuées à l’aide de nombreuses méthodes décrites dans Microsoft Defender pour Identity Alertes de sécurité.

Un composant clé des insights de sécurité de Microsoft Defender pour Identity est des chemins de mouvement latéral ou des adresses LMPS. Defender pour Identity LMPs sont des guides visuels qui vous aident à comprendre et à identifier exactement comment les attaquants peuvent se déplacer ultérieurement à l’intérieur de votre réseau. L’objectif des mouvements latéraux au sein de la chaîne de destruction des cyber-attaques est pour les attaquants d’accéder et de compromettre vos comptes sensibles en utilisant des comptes non sensibles. La compromission de vos comptes sensibles leur permet de se rapprocher de leur objectif ultime, le contrôle du domaine. Pour empêcher ces attaques d’être réussies, Defender pour Identity LMPs vous permet d’interpréter facilement des conseils visuels directs sur vos comptes les plus vulnérables et sensibles. Ils vous aident à atténuer et à prévenir ces risques, ainsi qu’à barrer l’accès aux attaquants avant qu’ils prennent le contrôle total du domaine.

Chemin de mouvement latéral de Defender pour Identity

Les attaques par mouvements latéraux sont généralement effectuées selon différentes techniques. Certaines des méthodes les plus répandues utilisées par les attaquants sont le vol d’informations d’identification et Pass-the-Ticket. Dans les deux méthodes, vos comptes non sensibles sont utilisés par les attaquants pour les déplacements latéral en exploitant des machines non sensibles qui partagent des informations d’identification de connexion stockées dans des comptes, des groupes et des machines avec des comptes sensibles.

Où puis-je trouver les chemins de mouvement latéral Defender pour Identity ?

Chaque ordinateur ou profil utilisateur découvert par Defender pour Identity doit se trouver dans un LMP avec un onglet chemins de déplacement latéral . Les ordinateurs et les profils sans onglet n’ont jamais été découverts dans un LMP potentiel.

Onglet Chemin de mouvement latéral de Defender pour Identity

Le chemin de mouvement latéral pour chaque entité fournit des informations différentes selon la sensibilité de l’entité :

  • Utilisateurs sensibles : les chemins de mouvement latéral potentiels conduisant à cet utilisateur sont montrés.
  • Utilisateurs et ordinateurs non sensibles : les chemins de mouvement latéral potentiels auxquels l’entité est associée sont montrés.

Chaque fois que l’onglet est cliqué, Defender pour Identity affiche le LMP le plus récemment découvert. Chaque chemin de mouvement latéral potentiel est enregistré pendant les 48 heures suivant la découverte. Un historique des chemins de mouvement latéral est disponible. Affichez les anciennes adresses LMPs découvertes dans le passé en choisissant Sélectionner une date. Vous pouvez également choisir un autre utilisateur qui a lancé le LMP en sélectionnant l’initiateur Path.

Découverte LMP à l’aide d’une chasse avancée

Pour découvrir de manière proactive les activités de chemin de mouvement latéral, vous pouvez exécuter une requête de chasse avancée.

Voici un exemple de telle requête :

Requête de chasse avancée pour les chemins de mouvement latéral.

Pour obtenir des instructions sur l’exécution de requêtes de chasse avancées, consultez la recherche proactive des menaces avec la chasse avancée dans Microsoft 365 Defender.

LMP peut désormais aider directement votre processus d’enquête. Les listes de preuves d’alerte de sécurité Defender pour Identity fournissent les entités associées impliquées dans chaque chemin de déplacement latéral potentiel. Les listes d’indices aident directement votre équipe chargée de répondre aux questions de sécurité à augmenter ou à diminuer l’importance de l’alerte de sécurité et/ou de l’investigation des entités associées. Par exemple, quand une alerte de Pass-the-Ticket est émise, l’ordinateur source, l’utilisateur compromis et l’ordinateur de destination à partir desquels le ticket volé a été utilisé, font tous partie du chemin de mouvement latéral potentiel conduisant à un utilisateur sensible. L’existence du chemin de mouvement latéral détecté rend l’examen de l’alerte et l’observation de l’utilisateur suspecté encore plus importants qu’empêcher votre adversaire d’effectuer d’autres mouvements latéraux. Des indices traçables sont fournis dans les chemins de mouvement latéral pour vous permettre plus facilement et plus rapidement d’empêcher les attaquants de se déplacer dans votre réseau.

Évaluation de la sécurité des chemins de déplacement latéral

Microsoft Defender pour Identity surveille en permanence votre environnement pour identifier les comptes sensibles avec les chemins de mouvement latéral les plus risqués qui exposent un risque de sécurité et signale ces comptes pour vous aider à gérer votre environnement. Les chemins sont considérés à risque s’ils comptent au moins trois comptes non sensibles susceptibles d’exposer le compte sensible à une subtilisation d’informations d’identification par des acteurs malveillants. Pour découvrir quels comptes sensibles ont des chemins de mouvement latéral risqués, passez en revue l’évaluation de sécurité des chemins de sécurité latéral les plus risqués (LMP). En fonction des recommandations, vous pouvez supprimer l’entité du groupe ou supprimer les autorisations d’administrateur local pour l’entité de l’appareil spécifié.

Pour plus d’informations, consultez Évaluation de la sécurité : Chemins de mouvement latéral les plus risqués.

Bonnes pratiques de prévention

Les insights de sécurité ne sont jamais trop tardifs pour empêcher l’attaque suivante et pour remédier aux dommages. Pour cette raison, l’examen d’une attaque, même pendant la phase de prise de contrôle du domaine, constitue un exemple différent, mais important. En règle générale, lors de l’examen d’une alerte de sécurité comme une exécution de code à distance, si l’alerte est un vrai positif, votre contrôleur de domaine peut déjà être compromis. Cependant, les chemins de mouvement latéral donnent des informations sur l’endroit où les attaquants ont obtenu des privilèges et sur le chemin qu’ils ont utilisé dans votre réseau. Utilisés de cette façon, les chemins de mouvement latéral peuvent également donner des insights clés sur la façon d’y remédier.

  • La meilleure façon d’empêcher l’exposition à un mouvement latéral au sein de votre organisation consiste à vérifier que les utilisateurs sensibles utilisent leurs informations d’identification d’administrateur seulement lors de la connexion à des ordinateurs où la sécurité est durcie. Dans l’exemple, vérifiez si l’administrateur qui se trouve dans le chemin a réellement besoin d’accéder à l’ordinateur partagé. S’ils ont besoin d’un accès, vérifiez qu’ils se connectent à l’ordinateur partagé avec un nom d’utilisateur et un mot de passe autres que leurs informations d’identification d’administrateur.

  • Vérifiez que vos utilisateurs n’ont pas d’autorisations administratives inutiles. Dans l’exemple, vérifiez si tous les membres du groupe partagé ont besoin de droits d’administration sur l’ordinateur exposé.

  • Veillez à ce que les utilisateurs n’aient accès qu’aux ressources nécessaires. Dans l’exemple, Ron Harper étend considérablement l’exposition de Nick Cowley. Est-il nécessaire que Ron Harper soit inclus dans le groupe ? Serait-il possible de créer des sous-groupes pour minimiser l’exposition aux mouvements latéraux ?

Conseil

Quand aucune activité de chemin de mouvement latéral potentiel n’est détectée pour une entité au cours des 48 dernières heures, choisissez Sélectionner une date et vérifier les chemins de mouvement latéral potentiels précédents.

Important

Pour obtenir des instructions sur la définition de vos clients et serveurs pour permettre à Defender for Identity d’effectuer les opérations SAM-R nécessaires à la détection des chemins de mouvement latéral, consultez Configurer Microsoft Defender pour Identity pour effectuer des appels distants à SAM.

Examiner les chemins de mouvement latéral

Il existe plusieurs façons d’utiliser et d’investiguer les chemins de mouvement latéral. Dans le portail Microsoft 365 Defender, recherchez par entité, puis explorez par chemin ou activité.

  1. Dans le portail, recherchez un utilisateur ou un ordinateur. Regardez si un badge de mouvement latéral a été ajouté à un profil d’entité. Les badges apparaissent seulement quand une entité est détectée dans un chemin de mouvement latéral potentiel au cours des dernières 48 heures.

  2. Dans la page de profil utilisateur qui s’ouvre, sélectionnez l’onglet Chemins de déplacement latéral .

  3. Le graphe qui s’affiche montre une carte des chemins possibles vers l’utilisateur sensible au cours des dernières 48 heures. Utilisez l’option Sélectionner une date pour afficher le graphique pour les détections de chemins de déplacement latéral précédents pour l’entité.

    Chemin de mouvement latéral - Afficher une autre date.

  4. Examinez le graphe pour voir si vous pouvez en savoir plus sur l’exposition aux risques des informations d’identification de l’utilisateur sensible. Par exemple, dans le chemin, suivez les flèches grises Connecté par pour voir où Nick s’est connecté avec ses informations d’identification privilégiées. Dans ce cas, les informations d’identification sensibles de Nick ont été enregistrées sur l’ordinateur FinanceSrv53 . Identifiez maintenant, parmi les autres utilisateurs connectés à des ordinateurs, lesquels ont généré le plus de risques et de vulnérabilité. Dans cet exemple, Elizabeth King a la possibilité d’accéder aux informations d’identification de l’utilisateur à partir de cette ressource.

Voir aussi