Microsoft Defender for Identity oldalirányú mozgásvonalak (LMP-k)

Az oldalirányú mozgás az, amikor a támadó nem bizalmas fiókokat használ a bizalmas fiókokhoz való hozzáféréshez a hálózaton keresztül. Az oldalirányú mozgást a támadók arra használják, hogy azonosítsák és elérhessék a hálózaton lévő bizalmas fiókokat és gépeket, amelyek megosztották a tárolt bejelentkezési hitelesítő adatokat a fiókokban, csoportokban és gépeken. Ha egy támadó sikeres oldalirányú lépéseket tesz a kulcscélok felé, a támadó kihasználhatja az előnyöket, és hozzáférhet a tartományvezérlőihez. Az oldalirányú mozgásos támadásokat a biztonsági riasztások Microsoft Defender for Identity számos módszerével hajtják végre.

A Microsoft Defender for Identity biztonsági elemzéseinek kulcsfontosságú összetevője az oldalirányú mozgási útvonalak vagy LMP-k. A Defender for Identity LMP-k vizuális útmutatók, amelyek segítségével gyorsan megértheti és azonosíthatja, hogy a támadók hogyan mozoghatnak oldalirányban a hálózaton belül. A számítógépes támadási láncon belüli oldalirányú mozgások célja, hogy a támadók ne bizalmas fiókok használatával szerezzenek és veszélyeztessenek bizalmas fiókokat. A bizalmas fiókok veszélyeztetése újabb lépéssel közelebb hozza őket végső céljukhoz, a tartományuralomhoz. A támadások sikerességének megállítása érdekében a Defender for Identity LMP-k könnyen értelmezhető, közvetlen vizuális útmutatást nyújtanak a legkiszolgáltatottabb, legérzékenyebb fiókokhoz. Az LMP-k a jövőben segítenek a kockázatok mérséklésében és megelőzésében, valamint a támadók hozzáférésének bezárásában, mielőtt elérik a tartományuralmat.

Defender for Identity lateral Movement Path (LMP)

Az oldalirányú mozgásos támadásokat általában számos különböző technikával hajtják végre. A támadók által leggyakrabban használt módszerek közé tartoznak a hitelesítő adatok ellopása és a jegy átadása. Mindkét módszer esetében a támadók a nem bizalmas fiókokat használják az oldalirányú áthelyezéshez, mivel kihasználják azokat a nem bizalmas gépeket, amelyek megosztották a tárolt bejelentkezési hitelesítő adatokat a fiókokban, csoportokban és bizalmas fiókokkal rendelkező gépeken.

Hol találom a Defender for Identity LMP-ket?

Minden olyan számítógép vagy felhasználói profil, amelyet a Defender for Identity észlelt, hogy egy LMP-ben található, oldalirányú mozgási útvonalak lapfüllel rendelkezik . A lapfül nélküli számítógépek és profilok még soha nem lettek felderítve egy lehetséges LMP-ben.

Defender for Identity lateral Movement Path (LMP) tab

Az egyes entitások LMP-je az entitás érzékenységétől függően különböző információkat nyújt:

  • Bizalmas felhasználók – az ehhez a felhasználóhoz vezető potenciális LMP-k jelennek meg.
  • Nem bizalmas felhasználók és számítógépek – az entitáshoz kapcsolódó potenciális LMP-k megjelennek.

Minden alkalommal, amikor a lapra kattint, a Defender for Identity megjeleníti a legutóbb felfedezett LMP-t. A rendszer a felderítés után 48 órára menti az összes lehetséges LMP-t. Az LMP előzményei elérhetők. A múltban felfedezett régebbi LMP-k megtekintéséhez válassza a Dátum kiválasztása lehetőséget. Másik felhasználót is kiválaszthat, aki kezdeményezte az LMP-t az Elérési út kezdeményezője lehetőség kiválasztásával.

LMP-felderítés speciális kereséssel

Ha proaktívan szeretné felderíteni az oldalirányú mozgás útvonalának tevékenységeit, futtathat egy speciális keresési lekérdezést.

Íme egy példa egy ilyen lekérdezésre:

Speciális keresési lekérdezés oldalirányú mozgási útvonalakhoz.

A speciális keresési lekérdezések futtatásával kapcsolatos utasításokért tekintse meg a Microsoft 365 Defender fejlett vadászattal rendelkező fenyegetések proaktív keresését ismertető cikket.

Az LMP mostantól közvetlenül segíti a vizsgálati folyamatot. A Defender for Identity biztonsági riasztási lista az egyes lehetséges oldalirányú mozgási útvonalakon érintett kapcsolódó entitásokat tartalmazza. A bizonyítékok listája közvetlenül segít a biztonsági válaszcsapatnak növelni vagy csökkenteni a kapcsolódó entitások biztonsági riasztásának és/vagy vizsgálatának fontosságát. Ha például pass the Ticket riasztást ad ki, a forrásszámítógép, a feltört felhasználó és a célszámítógép, amelyről az ellopott jegyet használták, mind a bizalmas felhasználóhoz vezető lehetséges oldalirányú mozgási útvonal részét képezik. Az észlelt LMP megléte még fontosabbá teszi a riasztás kivizsgálását és a gyanús felhasználó figyelését, hogy megakadályozza a támadó további oldalirányú áthelyezését. Az LMP-k nyomon követhető bizonyítékokkal szolgálnak, hogy megkönnyítse és felgyorsítsa a támadók továbblépését a hálózatban.

Oldalirányú mozgási útvonalak biztonsági felmérése

Microsoft Defender for Identity folyamatosan monitorozza a környezetet, és azonosítja a bizalmas fiókokat a biztonsági kockázatot jelentő legkockázatosabb oldalirányú mozgási útvonalakkal, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet kezelésében. Az elérési utak akkor minősülnek kockázatosnak, ha három vagy több nem bizalmas fiókkal rendelkeznek, amelyek a bizalmas fiókot rosszindulatú szereplők hitelesítő adatainak ellopására tehetik közzé. Annak megállapításához, hogy melyik bizalmas fiók rendelkezik kockázatos oldalirányú mozgási útvonalokkal, tekintse át a legkockázatosabb oldalirányú mozgási útvonalak (LMP) biztonsági felmérését. A javaslatok alapján eltávolíthatja az entitást a csoportból, vagy eltávolíthatja az entitás helyi rendszergazdai engedélyeit a megadott eszközről.

További információ: Security assessment: Riskiest lateral movement paths (LMP).

Ajánlott eljárások a megelőzéshez

A biztonsági megállapítások soha nem késnek el a következő támadás megelőzéséhez és a károk elhárításához. Ezért egy támadás vizsgálata még a tartományi dominancia fázisában is más, de fontos példát ad. A biztonsági riasztások, például a távoli kódvégrehajtás vizsgálata során általában, ha a riasztás valódi pozitív, előfordulhat, hogy a tartományvezérlő már sérült. Az LMP-k azonban tájékoztatják, hogy a támadó hol szerzett jogosultságokat, és hogy milyen elérési utat használtak a hálózatba. Az ily módon használt LMP-k kulcsfontosságú elemzéseket is nyújthatnak a szervizelésről.

  • Az oldalirányú mozgások szervezeten belüli kitettségének megelőzésére a legjobb módszer annak biztosítása, hogy a bizalmas felhasználók csak a rendszergazdai hitelesítő adataikat használják a megerősített számítógépekre való bejelentkezéskor. A példában ellenőrizze, hogy az elérési út rendszergazdájának valóban hozzá kell-e férnie a megosztott számítógéphez. Ha hozzáférésre van szükségük, győződjön meg arról, hogy a megosztott számítógépre a rendszergazdai hitelesítő adataiktól eltérő felhasználónévvel és jelszóval jelentkeznek be.

  • Ellenőrizze, hogy a felhasználók nem rendelkeznek-e szükségtelen rendszergazdai engedélyekkel. A példában ellenőrizze, hogy a megosztott csoport összes tagja valóban rendszergazdai jogosultságokat igényel-e a közzétett számítógépen.

  • Győződjön meg arról, hogy a felhasználók csak a szükséges erőforrásokhoz férnek hozzá. A példában Ron Harper jelentősen megnöveli Nick Cowley kitettségét. Szükséges, hogy Ron Harper bekerüljön a csoportba? Létre lehetne hozni alcsoportokat az oldalirányú mozgás expozíciójának minimalizálása érdekében?

Tipp

Ha az elmúlt 48 órában nem észlelhető potenciális oldalirányú mozgásvonal-tevékenység egy entitáshoz, válassza a Dátum kiválasztása lehetőséget, és ellenőrizze a korábbi lehetséges oldalirányú mozgási útvonalakat.

Fontos

Ha azt szeretné, hogy az ügyfelek és a kiszolgálók úgy legyenek beállítva, hogy a Defender for Identity végrehajtsa az oldalirányú mozgásvonalak észleléséhez szükséges SAM-R műveleteket, olvassa el a Microsoft Defender for Identity konfigurálása a SAM felé irányuló távoli hívások indításához.

Oldalirányú mozgási útvonalak vizsgálata

Az LMP-k többféleképpen is használhatók és vizsgálhatóak. A Microsoft 365 Defender portálon keressen entitások szerint, majd vizsgálja meg útvonal vagy tevékenység alapján.

  1. A portálon keressen egy felhasználót vagy számítógépet. Figyelje meg, hogy egy oldalirányú mozgási jelvény lett-e hozzáadva egy entitásprofilhoz. A jelvények csak akkor jelennek meg, ha egy entitást egy lehetséges LMP-ben fedeznek fel az elmúlt 48 órában.

  2. A megnyíló felhasználóiprofil-lapon válassza az Oldalirányú mozgás útvonalai lapot.

  3. A megjelenített gráf a bizalmas felhasználó számára a 48 órás időszak során lehetséges elérési utak térképét jeleníti meg. A Dátum kiválasztása lehetőséggel megjelenítheti az entitás korábbi oldalirányú mozgási útvonalának észlelésére szolgáló grafikont.

    Az LMP egy másik dátumot tekint meg.

  4. Tekintse át a grafikont, és tekintse át, hogy mit tudhat meg a bizalmas felhasználó hitelesítő adatainak kitettségéről. Az elérési úton például kövesse a szürke nyilakkal bejelentkezett naplót , hogy lássa, hol jelentkezett be Nick a kiemelt hitelesítő adataikkal. Ebben az esetben Nick bizalmas hitelesítő adatait a FinanceSrv53 számítógépre mentettük. Most figyelje meg, hogy mely felhasználók jelentkeztek be a legnagyobb expozíciót és biztonsági rést okozó számítógépekre. Ebben a példában Elizabeth King képes hozzáférni a felhasználói hitelesítő adatokhoz az adott erőforrásból.

Lásd még: