שתף באמצעות

בדוק נתיבי תנועה רוחביים באמצעות ATA

חל על: Advanced Threat Analytics גירסה 1.9

גם כאשר אתה עושה את המיטב כדי להגן על המשתמשים הרגישים שלך, ומנהלי המערכת שלך כוללים סיסמאות מורכבות שהם משנים לעתים קרובות, המחשבים שלהם קשיחים והנתונים שלהם מאוחסנים באופן מאובטח, התוקפים עדיין יכולים להשתמש בנתיבי תנועה רוחביים כדי לגשת אל חשבונות רגישים. בתקפות רוחביות של תנועה, התוקף מנצל את המופעים כאשר משתמשים רגישים מתחברים למחשב שבו למשתמש שטויות יש זכויות מקומיות. תוקפים יכולים לאחר מכן לנוע לרוחב, לגשת למשתמש הרגיש פחות ולאחר מכן לעבור בין המחשב כדי לקבל אישורים עבור המשתמש הרגיש.

מהו נתיב תנועה רוחבי?

תנועה רוחבית היא כאשר תוקף משתמש בחשבונות שטויות כדי לקבל גישה לחשבון רגיש. ניתן לעשות זאת באמצעות השיטות המתוארות במדריך הפעילות החשודה. התוקפים משתמשים בתנועה צדדית כדי לזהות את מנהלי הרשת שלך וללמוד לא לאיזה מחשבים הם יכולים לגשת. באמצעות מידע זה, והעברות נוספות, התוקף יכול לנצל את הנתונים בבקרי התחום שלך.

ATA מאפשר לך לבצע פעולה קדם-מונעת ברשת שלך כדי למנוע מתוקפים להצליח בתנועה רוחבית.

גילוי החשבונות הרגישים שלך בסיכון

כדי לגלות אילו חשבונות רגישים ברשת שלך פגיעים עקב החיבור שלהם לחשבון או למשאבים שטותיים, ב- Timeframe ספציפי, בצע שלבים אלה:

  1. בתפריט מסוף ATA, בחר את סמל דוחות סמל הדוחות..

  2. תחת תנועות רוחביות נתיבים חשבונות רגישים, אם לא נמצאו נתיבי תנועה רוחביים, הדוח מופיע באפור. אם קיימים נתיבי תנועה רוחביים, תאריכי הדוח בוחרים באופן אוטומטי את התאריך הראשון כאשר יש נתונים רלוונטיים.

    צילום מסך המציג בחירת תאריך של דוח.

  3. בחר הורד.

  4. קובץ Excel שנוצר מספק לך פרטים אודות החשבונות הרגישים שלך בסיכון. הכרטיסיה סיכום מספקת גרפים המפרטים את מספר החשבונות הרגישים, המחשבים והמוצעים עבור משאבים בסיכון. הכרטיסיה פרטים מספקת רשימה של החשבונות הרגישים שעליך לדאוג לגבים. שים לב שהנתיבים הם נתיבים שהיו קיימים בעבר, וייתכן שהם לא יהיו זמינים היום.

חקירה

כעת, לאחר שאתה יודע אילו חשבונות רגישים נמצאים בסיכון, תוכל לצלול לעומק ב- ATA כדי לקבל מידע נוסף ולבצע אמצעים מונעים.

  1. במסוף ATA, חפש את תג התנועה הרוחבית שנוסף לפרופיל הישות כאשר הישות נמצאת בסמל רוחבי של נתיב תנועה רוחבי. או בסמל נתיב. אפשרות זו זמינה אם היה נתיב תנועה רוחבי ביומיים האחרונים.

  2. בדף פרופיל המשתמש שנפתח, בחר את הכרטיסיה נתיבי תנועה רוחביים .

  3. הגרף המוצג מספק מפה של הנתיבים האפשריים למשתמש הרגיש. הגרף מציג חיבורים שבוצעו ביומיים האחרונים.

  4. עיין בגרף כדי לראות מה ניתן ללמוד אודות חשיפה של אישורי המשתמש הרגיש שלך. לדוגמה, במפה זו, באפשרותך לעקוב אחר החצים האפורים המחוברים אל כדי לראות היכן סמירה התחברה באמצעות האישורים ההרשאות שלהם. במקרה זה, האישורים הרגישים של סמירה נשמרו במחשב REDMOND-WA-DEV. לאחר מכן, בדוק אילו משתמשים אחרים התחברו לאותם מחשבים יצרו את החשיפה והפגיעות הרבות ביותר. תוכל לראות זאת על-ידי התסתכלות על מנהל המערכת בחצים שחורים כדי לראות למי יש הרשאות מנהל מערכת במשאב. בדוגמה זו, כל האנשים בקבוצה Contoso All יכולים לגשת אישורי משתמש ממשאב זה.

    נתיבי תנועה רוחביים של פרופיל משתמש.

שיטות עבודה מומלצות מונעות

  • הדרך הטובה ביותר למנוע תנועה רוחבית היא לוודא שמשתמשים רגישים ישתמשו באישורי מנהל המערכת שלהם רק כאשר הם ייכנסו למחשבים קשיחים שבהם אין משתמש שטויות שיש לו זכויות מנהל באותו מחשב. בדוגמה, ודא שאם Samira זקוקה לגישה ל- REDMOND-WA-DEV, הם ייכנסו באמצעות שם משתמש וסיסמה שאינם אישורי מנהל המערכת שלהם, או הסר את הקבוצה Contoso All מהקבוצה המנהלים המקומית ב- REDMOND-WA-DEV.

  • מומלץ גם לוודא של אף אחד אין הרשאות ניהול מקומיות מיותרות. בדוגמה, בדוק אם כל האנשים ב- Contoso כולם באמת צריכים זכויות מנהל מערכת ב- REDMOND-WA-DEV.

  • ודא שלנמענים יש גישה למשאבים הנחוצים בלבד. לדוגמה, אוסקר פוסאדה מרחב באופן משמעותי את חשיפתה של סמירה. האם זה הכרחי שהם ייכללו בקבוצה Contoso All? האם יש קבוצות משנה שניתן ליצור כדי למזער את החשיפה?

עצה

אם לא זוהתה פעילות במהלך יומיים האחרונים, הגרף לא יופיע, אך דוח נתיב התנועה הרוחבי עדיין זמין כדי לספק מידע על נתיבי תנועה רוחביים במהלך 60 הימים האחרונים.

עצה

לקבלת הוראות כיצד להגדיר את השרתים שלך כך שתאפשר ל- ATA לבצע את פעולות SAM-R הדרושות לזיהוי נתיב תנועה רוחבי, קבע את תצורת SAM-R.

למידע נוסף