Oldalirányú mozgási útvonalak (LMP-k) megismerése és vizsgálata a Microsoft Defender for Identity használatával

  • Cikk

Az oldalirányú mozgás az, amikor a támadó nem bizalmas fiókokat használ a bizalmas fiókokhoz való hozzáféréshez az egész hálózaton. Az oldalirányú mozgást a támadók a hálózat azon bizalmas fiókjainak és gépeinek azonosítására és elérésére használják, amelyek a fiókokban, csoportokban és gépeken tárolt bejelentkezési hitelesítő adatokat osztják meg. Ha egy támadó sikeres oldalirányú mozgást végez a kulcsfontosságú célok felé, a támadó kihasználhatja az előnyöket, és hozzáférhet a tartományvezérlőkhöz. Az oldalirányú mozgásos támadásokat a Microsoft Defender identitásbiztonsági riasztásaiban ismertetett számos módszerrel hajtják végre.

A Microsoft Defender for Identity biztonsági elemzéseinek egyik fő összetevője az oldalirányú mozgási útvonalak vagy LMP-k. A Defender for Identity LMP-k vizuális útmutatók, amelyek segítségével gyorsan megértheti és azonosíthatja, hogyan mozoghatnak a támadók oldalirányban a hálózaton belül. A számítógépes támadási ölési lánc oldalirányú mozgásának célja, hogy a támadók bizalmas fiókokat szerezzenek és veszélyeztessenek a nem bizalmas fiókok használatával. A bizalmas fiókok veszélyeztetése újabb lépéssel közelebb kerül a végső céljukhoz, a tartomány dominanciájához. A támadások sikerességének megállítása érdekében a Defender for Identity LMP-k könnyen értelmezhető, közvetlen vizuális útmutatást nyújtanak a legkiszolgáltatottabb, legérzékenyebb fiókokhoz. Az LMP-k segítségével a jövőben mérsékelheti és megelőzheti ezeket a kockázatokat, és bezárhatja a támadók hozzáférését a tartományi dominancia elérése előtt.

Például:

Screenshot of a lateral movement path with details showing.

Az oldalirányú mozgásos támadásokat általában számos különböző technikával hajtják végre. A támadók által leggyakrabban használt módszerek közé tartoznak a hitelesítő adatok ellopása és a jegy átadása. Mindkét módszer esetében a támadók a nem bizalmas fiókokat használják az oldalirányú áthelyezéshez, mivel kihasználják a nem bizalmas gépeket, amelyek bizalmas fiókokkal, csoportokkal és számítógépekkel osztják meg a tárolt bejelentkezési hitelesítő adatokat.

Az alábbi videóból többet is megtudhat az oldalirányú mozgásvonalak csökkentéséről a Defender for Identity használatával:


Hol találom a Defender for Identity LMP-ket?

A Defender for Identity által az LMP-ben talált összes identitás oldalirányú mozgási útvonalinformációval rendelkezik a Szervezet lap Figyelve lapján. Például:

Lateral movement paths.

Az egyes entitások LMP-je az entitás érzékenységétől függően különböző információkat biztosít:

  • Bizalmas felhasználók – a felhasználóhoz vezető potenciális LMP-k jelennek meg.
  • Nem bizalmas felhasználók és számítógépek – az entitáshoz kapcsolódó potenciális LMP-k megjelennek.

Minden alkalommal, amikor a lap ki van jelölve, a Defender for Identity megjeleníti a legutóbb felfedezett LMP-t. A rendszer minden lehetséges LMP-t a felderítést követő 48 órára ment. Az LMP előzményei elérhetők. A múltban felfedezett régebbi LMP-k megtekintéséhez válassza a Dátum kiválasztása lehetőséget. Az Elérési út kezdeményezője lehetőséget választva másik felhasználót is választhat, aki kezdeményezte az LMP-t.

LMP-felderítés speciális vadászattal

Az oldalirányú mozgási útvonal tevékenységeinek proaktív felderítéséhez speciális keresési lekérdezést futtathat.

Íme egy példa egy ilyen lekérdezésre:

Advanced hunting query for lateral movement paths.

A speciális keresési lekérdezések futtatásával kapcsolatos utasításokért tekintse meg a Microsoft Defender XDR-ben a speciális vadászattal rendelkező fenyegetések proaktív keresését ismertető cikket.

Az LMP mostantól közvetlenül is segítséget nyújthat a vizsgálati folyamathoz. A Defender for Identity biztonsági riasztási lista az egyes lehetséges oldalirányú mozgási útvonalakban érintett kapcsolódó entitásokat tartalmazza. A bizonyítékok listája közvetlenül segíti a biztonsági válaszcsapatot a biztonsági riasztás és/vagy a kapcsolódó entitások vizsgálatának fontosságának növelésében vagy csökkentésében. Ha például a Jegy átadása riasztást ad ki, a forrásszámítógép, a feltört felhasználó és a célszámítógép, amelyről az ellopott jegyet használták, mind része a bizalmas felhasználóhoz vezető lehetséges oldalirányú mozgási útvonalnak. Az észlelt LMP megléte miatt a riasztás kivizsgálása és a gyanús felhasználó figyelése még fontosabb, hogy megakadályozza a támadó további oldalirányú mozgatását. A nyomon követhető bizonyítékokat az LMP-k biztosítják, hogy könnyebben és gyorsabban tudja megakadályozni, hogy a támadók továbblépjenek a hálózaton.

Oldalirányú mozgási útvonalak biztonsági felmérése

A Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy a bizalmas fiókokat a legkockázatosabb oldalirányú mozgási útvonalakkal azonosítsa, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet kezelésében. Az elérési utak akkor minősülnek kockázatosnak, ha három vagy több nem bizalmas fiókkal rendelkeznek, amelyek a bizalmas fiókot rosszindulatú szereplők hitelesítő adatainak ellopásával tehetik elérhetővé. Ha szeretné felderíteni, hogy melyik bizalmas fiók rendelkezik kockázatos oldalirányú mozgási útvonalokkal, tekintse át a legkockázatosabb oldalirányú mozgási útvonalak (LMP) biztonsági felmérését. A javaslatok alapján eltávolíthatja az entitást a csoportból, vagy eltávolíthatja az entitás helyi rendszergazdai engedélyeit a megadott eszközről.

További információ: Biztonsági értékelés: A legkockázatosabb oldalirányú mozgási útvonalak (LMP).

Megelőző ajánlott eljárások

A biztonsági elemzések soha nem késők a következő támadás megelőzéséhez és a károk elhárításához. Ezért a támadás vizsgálata még a tartomány dominanciájának fázisában is egy másik, de fontos példát kínál. A biztonsági riasztások , például a távoli kódfuttatás vizsgálata során, ha a riasztás valódi pozitív, akkor előfordulhat, hogy a tartományvezérlő már sérült. Az LMP-k azonban tájékoztatják, hogy hol szereztek jogosultságokat a támadók, és hogy milyen elérési utat használtak a hálózathoz. Az Ily módon használt LMP-k kulcsfontosságú elemzéseket is nyújtanak a szervizelés módjáról.

  • A szervezeten belüli oldalirányú mozgások megelőzésének legjobb módja annak biztosítása, hogy a bizalmas felhasználók csak rendszergazdai hitelesítő adataikat használják a megerősített számítógépekre való bejelentkezéskor. A példában ellenőrizze, hogy az elérési út rendszergazdájának valóban hozzá kell-e férnie a megosztott számítógéphez. Ha hozzáférésre van szükségük, győződjön meg arról, hogy rendszergazdai hitelesítő adataiktól eltérő felhasználónévvel és jelszóval jelentkeznek be a megosztott számítógépre.

  • Ellenőrizze, hogy a felhasználók nem rendelkeznek-e szükségtelen rendszergazdai engedélyekkel. A példában ellenőrizze, hogy a megosztott csoportban mindenki igényel-e rendszergazdai jogosultságokat a közzétett számítógépen.

  • Győződjön meg arról, hogy a felhasználók csak a szükséges erőforrásokhoz férnek hozzá. A példában Ron Harper jelentősen kibővíti Nick Cowley kitettségét. Szükséges, hogy Ron Harper bekerüljön a csoportba? Léteznek alcsoportok, amelyek az oldalirányú mozgás expozíciójának minimalizálása érdekében hozhatók létre?

Tipp.

Ha az elmúlt 48 órában nem észlelhető egy entitás lehetséges oldalirányú mozgási útvonalának tevékenysége, válassza a Dátum kiválasztása lehetőséget, és ellenőrizze a korábbi lehetséges oldalirányú mozgási útvonalakat.

Fontos

Ha útmutatást szeretne adni arról, hogyan állíthatja be az ügyfeleket és a kiszolgálókat úgy, hogy a Defender for Identity végrehajtsa az oldalirányú mozgás útvonalának észleléséhez szükséges SAM-R műveleteket, olvassa el a Microsoft Defender for Identity konfigurálása a SAM felé irányuló távoli hívások indításához.

Oldalirányú mozgási útvonalak vizsgálata

Az LMP-k használatának és vizsgálatának több módja is van. A Microsoft Defender portálon keressen entitások szerint, majd vizsgálja meg az elérési utat vagy a tevékenységet.

  1. A portálon keressen egy felhasználót. A Szervezetben megfigyelt területen (az Áttekintés és a Megfigyelt lapon is) láthatja, hogy a felhasználó felderítve van-e egy lehetséges LMP-ben.

  2. Ha a felhasználót észleli, válassza a Szervezet lapon a Megfigyelve elemet, és válassza az Oldalirányú mozgási útvonalak lehetőséget.

  3. A megjelenő gráf térképet biztosít a bizalmas felhasználó lehetséges elérési útjairól a 48 órás időszakban. A Dátum kiválasztása beállítással megjelenítheti az entitás korábbi oldalirányú mozgási útvonalának észlelésére szolgáló gráfot.

  4. Tekintse át a grafikont, és ismerje meg, mit tudhat meg a bizalmas felhasználó hitelesítő adatainak kitettségéről. Az elérési úton például kövesse a Be van jelentkezve nyilakat , hogy lássa, hol jelentkezett be Nick a kiemelt hitelesítő adataival. Ebben az esetben Nick bizalmas hitelesítő adatait a rendszer a megjelenített számítógépre mentette. Most figyelje meg, hogy mely felhasználók jelentkeztek be a legnagyobb expozíciót és biztonsági rést okozó számítógépekre. Ebben a példában Elizabeth King képes hozzáférni az adott erőforrás felhasználói hitelesítő adataihoz.

További lépések