Laterale verplaatsingspaden onderzoeken met ATA

  • Artikel

Van toepassing op: Advanced Threat Analytics versie 1.9

Zelfs wanneer u uw gevoelige gebruikers het beste beveiligt en uw beheerders complexe wachtwoorden hebben die ze regelmatig wijzigen, worden hun computers beveiligd en worden hun gegevens veilig opgeslagen, kunnen aanvallers nog steeds laterale verplaatsingspaden gebruiken om toegang te krijgen tot gevoelige accounts. Bij laterale verplaatsingsaanvallen maakt de aanvaller gebruik van exemplaren wanneer gevoelige gebruikers zich aanmelden bij een computer waarop een niet-gevoelige gebruiker lokale rechten heeft. Aanvallers kunnen zich vervolgens lateraal verplaatsen, toegang krijgen tot de minder gevoelige gebruiker en vervolgens over de computer bewegen om referenties voor de gevoelige gebruiker te verkrijgen.

Wat is een lateraal verplaatsingspad?

Laterale verplaatsing is wanneer een aanvaller niet-gevoelige accounts gebruikt om toegang te krijgen tot gevoelige accounts. U kunt dit doen met behulp van de methoden die worden beschreven in de handleiding verdachte activiteiten. Aanvallers gebruiken zijdelingse bewegingen om de beheerders in uw netwerk te identificeren en te leren welke machines ze kunnen openen. Met deze informatie en verdere verplaatsingen kan de aanvaller profiteren van de gegevens op uw domeincontrollers.

MET ATA kunt u preemptieve actie ondernemen op uw netwerk om te voorkomen dat aanvallers slagen bij laterale verplaatsingen.

Uw risicogevoelige accounts detecteren

Volg deze stappen om te ontdekken welke gevoelige accounts in uw netwerk kwetsbaar zijn vanwege hun verbinding met niet-gevoelige accounts of resources:

  1. Selecteer in het menu van de ATA-console het pictogram reports icon.Rapporten.

  2. Als er geen laterale verplaatsingspaden zijn gevonden, wordt het rapport grijs weergegeven als er geen laterale verplaatsingspaden zijn gevonden. Als er laterale verplaatsingspaden zijn, selecteren de datums van het rapport automatisch de eerste datum wanneer er relevante gegevens zijn.

    Screenshot showing report date selection.

  3. Selecteer Downloaden.

  4. Het Excel-bestand dat wordt gemaakt, bevat details over uw gevoelige accounts die risico lopen. Het tabblad Samenvatting bevat grafieken met een gedetailleerde beschrijving van het aantal gevoelige accounts, computers en gemiddelden voor resources die risico lopen. Het tabblad Details bevat een lijst met de gevoelige accounts waarover u zich zorgen moet maken. Houd er rekening mee dat de paden paden zijn die eerder bestonden en mogelijk niet vandaag beschikbaar zijn.

Onderzoeken

Nu u weet welke gevoelige accounts risico lopen, kunt u dieper ingaan op ATA om meer te weten te komen en preventieve maatregelen te nemen.

  1. Zoek in de ATA-console naar de laterale verplaatsingsbadge die wordt toegevoegd aan het entiteitsprofiel wanneer de entiteit zich in een lateraal verplaatsingspad lateral icon. bevindt of path icon. Dit is beschikbaar als er in de afgelopen twee dagen een laterale verplaatsingspad was.

  2. Selecteer op de pagina met gebruikersprofielen die wordt geopend het tabblad Laterale verplaatsingspaden .

  3. De grafiek die wordt weergegeven, bevat een kaart van de mogelijke paden naar de gevoelige gebruiker. In de grafiek ziet u verbindingen die de afgelopen twee dagen zijn gemaakt.

  4. Bekijk de grafiek om te zien wat u kunt leren over de blootstelling van de referenties van uw gevoelige gebruiker. In deze kaart kunt u bijvoorbeeld de met grijze pijlen aangemeld volgen om te zien waar Samira zich heeft aangemeld met hun bevoegde referenties. In dit geval zijn de gevoelige referenties van Samira opgeslagen op de computer REDMOND-WA-DEV. Bekijk vervolgens welke andere gebruikers zich hebben aangemeld bij welke computers de meest blootstelling en beveiligingsprobleem zijn gemaakt. U kunt dit zien door te kijken naar de Beheer istrator op zwarte pijlen om te zien wie beheerdersbevoegdheden heeft voor de resource. In dit voorbeeld heeft iedereen in de groep Contoso All de mogelijkheid om toegang te krijgen tot gebruikersreferenties van die resource.

    User profile lateral movement paths.

Preventieve best practices

  • De beste manier om zijdelingse verplaatsing te voorkomen, is ervoor te zorgen dat gevoelige gebruikers hun beheerdersreferenties alleen gebruiken wanneer ze zich aanmelden bij beveiligde computers zonder niet-gevoelige gebruiker die beheerdersrechten op dezelfde computer heeft. Zorg er in het voorbeeld voor dat als Samira toegang nodig heeft tot REDMOND-WA-DEV, ze zich aanmelden met een andere gebruikersnaam en wachtwoord dan hun beheerdersreferenties, of dat ze de groep Contoso All verwijderen uit de lokale beheerdersgroep op REDMOND-WA-DEV.

  • Het wordt ook aanbevolen om ervoor te zorgen dat niemand onnodige lokale beheerdersmachtigingen heeft. Controleer in het voorbeeld of iedereen in Contoso Echt beheerdersrechten nodig heeft voor REDMOND-WA-DEV.

  • Zorg ervoor dat personen alleen toegang hebben tot de benodigde resources. In het voorbeeld verbreedtOscar Oscar Samira's blootstelling aanzienlijk. Moeten ze worden opgenomen in de groep Contoso All? Zijn er subgroepen die u kunt maken om de blootstelling te minimaliseren?

Fooi

Als er tijdens de afgelopen twee dagen geen activiteit wordt gedetecteerd, wordt de grafiek niet weergegeven, maar is het rapport over het zijwaartse verplaatsingspad nog steeds beschikbaar om informatie te verstrekken over laterale verplaatsingspaden in de afgelopen 60 dagen.

Fooi

Voor instructies over het instellen van uw servers zodat ATA de SAM-R-bewerkingen kan uitvoeren die nodig zijn voor detectie van laterale verplaatsingspaden, configureert u SAM-R.

Zie ook