Lateral Movement Paths (LMPs) begrijpen en onderzoeken met Microsoft Defender for Identity

Laterale verplaatsing is wanneer een aanvaller niet-gevoelige accounts gebruikt om toegang te krijgen tot gevoelige accounts in uw netwerk. Laterale verplaatsing wordt door aanvallers gebruikt om de gevoelige accounts en computers in uw netwerk te identificeren en te verkrijgen die opgeslagen aanmeldingsreferenties delen in accounts, groepen en machines. Zodra een aanvaller laterale verplaatsingen naar uw belangrijkste doelen maakt, kan de aanvaller ook profiteren en toegang krijgen tot uw domeincontrollers. Laterale verplaatsingsaanvallen worden uitgevoerd met behulp van veel van de methoden die worden beschreven in Microsoft Defender voor Identiteitsbeveiligingswaarschuwingen.

Een belangrijk onderdeel van de beveiligingsinzichten van Microsoft Defender for Identity zijn laterale verplaatsingspaden of LMP's. Defender for Identity LMPs zijn visuele handleidingen waarmee u snel inzicht krijgt in de manier waarop aanvallers zich lateraal binnen uw netwerk kunnen verplaatsen. Het doel van laterale bewegingen binnen de kill chain voor cyberaanvallen is dat aanvallers uw gevoelige accounts kunnen verkrijgen en in gevaar kunnen komen met behulp van niet-gevoelige accounts. Door uw gevoelige accounts in gevaar te brengen, komen ze nog een stap dichter bij hun uiteindelijke doel, domeindominantie. Om te voorkomen dat deze aanvallen succesvol zijn, bieden Defender for Identity LMPs u eenvoudig te interpreteren, directe visuele richtlijnen voor uw meest kwetsbare, gevoelige accounts. LMP's helpen u deze risico's in de toekomst te beperken en te voorkomen en aanvallers toegang te sluiten voordat ze domeindominantie bereiken.

Voorbeeld:

Laterale verplaatsingsaanvallen worden doorgaans uitgevoerd met behulp van een aantal verschillende technieken. Enkele van de populairste methoden die door aanvallers worden gebruikt, zijn diefstal van referenties en Pass the Ticket. In beide methoden worden uw niet-gevoelige accounts gebruikt door aanvallers voor laterale verplaatsingen door gebruik te maken van niet-gevoelige machines die opgeslagen aanmeldingsreferenties delen in accounts, groepen en computers met gevoelige accounts.

Bekijk de volgende video voor meer informatie over het verminderen van laterale verplaatsingspaden met Defender for Identity:

Waar vind ik Defender for Identity LMPs?

Elke identiteit die wordt gedetecteerd door Defender for Identity in een LMP, heeft informatie over laterale verplaatsingspaden onder het tabblad Geobserveerd in de organisatie . Bijvoorbeeld:

De LMP voor elke entiteit biedt verschillende informatie, afhankelijk van de gevoeligheid van de entiteit:

• Gevoelige gebruikers: potentiële LMP('s) die tot deze gebruiker leiden, worden weergegeven.
• Niet-gevoelige gebruikers en computers: potentiële LMP(s) waaraan de entiteit is gerelateerd, worden weergegeven.

Telkens wanneer het tabblad wordt geselecteerd, wordt in Defender for Identity het laatst gedetecteerde LMP weergegeven. Elke potentiële LMP wordt 48 uur na detectie opgeslagen. LMP-geschiedenis is beschikbaar. Bekijk oudere LMP's die in het verleden zijn gedetecteerd door een datum selecteren te kiezen. U kunt ook een andere gebruiker kiezen die het LMP heeft geïnitieerd door Padinitiator te selecteren.

LMP-detectie met geavanceerde opsporing

Als u proactief laterale verplaatsingspadactiviteiten wilt detecteren, kunt u een geavanceerde opsporingsquery uitvoeren.

Hier volgt een voorbeeld van een dergelijke query:

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor instructies voor het uitvoeren van geavanceerde opsporingsquery's.

LMP-gerelateerde entiteiten

LMP kan nu rechtstreeks helpen met uw onderzoeksproces. Waarschuwingslijsten voor Defender for Identity-beveiligingswaarschuwingen bevatten de gerelateerde entiteiten die betrokken zijn bij elk potentieel lateraal verplaatsingspad. De bewijslijsten helpen uw beveiligingsreactieteam om het belang van de beveiligingswaarschuwing en/of het onderzoek van de gerelateerde entiteiten te vergroten of te verminderen. Wanneer er bijvoorbeeld een Pass the Ticket-waarschuwing wordt uitgegeven, maken de broncomputer, de gecompromitteerde gebruiker en de doelcomputer van waaruit het gestolen ticket is gebruikt, deel uit van het mogelijke zijwaartse verplaatsingspad dat leidt tot een gevoelige gebruiker. Het bestaan van de gedetecteerde LMP maakt het onderzoeken van de waarschuwing en het bekijken van de verdachte gebruiker nog belangrijker om te voorkomen dat uw kwaadwillende gebruiker aanvullende zijwaartse verplaatsingen uitvoert. Traceerbaar bewijs wordt verstrekt in LMP's om het gemakkelijker en sneller te maken voor u om te voorkomen dat aanvallers verdergaan in uw netwerk.

Lateral Movement paden beveiligingsevaluatie

Microsoft Defender for Identity bewaakt uw omgeving continu om gevoelige accounts te identificeren met de risicovolle laterale verplaatsingspaden die een beveiligingsrisico blootstellen en rapporten over deze accounts om u te helpen bij het beheren van uw omgeving. Paden worden als riskant beschouwd als ze drie of meer niet-gevoelige accounts hebben die het gevoelige account kunnen blootstellen aan referentiediefstal door kwaadwillende actoren. Als u wilt ontdekken welke van uw gevoelige accounts riskante laterale verplaatsingspaden hebben, bekijkt u de beveiligingsevaluatie van de meest riskante laterale verplaatsingspaden (LMP). Op basis van de aanbevelingen kunt u de entiteit verwijderen uit de groep of de lokale beheerdersmachtigingen voor de entiteit verwijderen van het opgegeven apparaat.

Zie Beveiligingsevaluatie: Riskantste laterale verplaatsingspaden (LMP) voor meer informatie.

Preventieve best practices

Beveiligingsinzichten zijn nooit te laat om de volgende aanval te voorkomen en schade op te heffen. Daarom biedt het onderzoeken van een aanval zelfs tijdens de fase van domeindominantie een ander, maar belangrijk voorbeeld. Normaal gesproken kan tijdens het onderzoeken van een beveiligingswaarschuwing, zoals uitvoering van externe code, uw domeincontroller al zijn aangetast als de waarschuwing een terecht positief is. Maar LMP's informeren over waar de aanvaller bevoegdheden heeft verkregen en welk pad ze in uw netwerk hebben gebruikt. Op deze manier kunnen LMP's ook belangrijke inzichten bieden in het oplossen van problemen.

• De beste manier om blootstelling aan zijdelingse verplaatsing binnen uw organisatie te voorkomen, is ervoor te zorgen dat gevoelige gebruikers alleen hun beheerdersreferenties gebruiken wanneer ze zich aanmelden bij beveiligde computers. Controleer in het voorbeeld of de beheerder in het pad daadwerkelijk toegang nodig heeft tot de gedeelde computer. Als ze wel toegang nodig hebben, moet u ervoor zorgen dat ze zich aanmelden bij de gedeelde computer met een andere gebruikersnaam en wachtwoord dan hun beheerdersreferenties.

• Controleer of uw gebruikers geen onnodige beheerdersmachtigingen hebben. Controleer in het voorbeeld of voor iedereen in de gedeelde groep beheerdersrechten zijn vereist op de blootgestelde computer.

• Zorg ervoor dat personen alleen toegang hebben tot de benodigde resources. In het voorbeeld verbreedt Ron Harper de blootstelling van Nick Cowley aanzienlijk. Is het noodzakelijk dat Ron Harper in de groep wordt opgenomen? Zijn er subgroepen die kunnen worden gemaakt om de blootstelling aan zijwaartse bewegingen te minimaliseren?

Tip

Wanneer er in de afgelopen 48 uur geen mogelijke activiteit van het laterale verplaatsingspad wordt gedetecteerd voor een entiteit, kiest u Een datum selecteren en controleert u op eerdere mogelijke laterale verplaatsingspaden.

Belangrijk

Zie Microsoft Defender for Identity configureren om externe aanroepen naar SAM uit te voeren voor instructies voor het instellen van uw clients en servers zodat Defender for Identity de SAM-R-bewerkingen uitvoert die nodig zijn voor detectie van laterale verplaatsingspaden.

Laterale verplaatsingspaden onderzoeken

Er zijn meerdere manieren om LMP's te gebruiken en te onderzoeken. Zoek in de Microsoft Defender-portal op entiteit en verken vervolgens op pad of activiteit.

1. Zoek in de portal naar een gebruiker. Onder Waargenomen in de organisatie (in zowel het tabblad Overzicht als Waargenomen ) kunt u zien of de gebruiker wordt gedetecteerd in een potentieel LMP.

2. Als de gebruiker wordt gedetecteerd, selecteert u het tabblad Geobserveerd in de organisatie en kiest u Laterale verplaatsingspaden.

3. De grafiek die wordt weergegeven, bevat een kaart van de mogelijke paden naar de gevoelige gebruiker tijdens de periode van 48 uur. Gebruik de optie Een datum selecteren om de grafiek weer te geven voor eerdere detecties van laterale verplaatsingspaden voor de entiteit.

4. Bekijk de grafiek om te zien wat u kunt leren over de blootstelling van de referenties van uw gevoelige gebruiker. Volg bijvoorbeeld in het pad de aanmeldingspijlen om te zien waar Nick zich heeft aangemeld met hun bevoegde referenties. In dit geval zijn de gevoelige referenties van Nick opgeslagen op de weergegeven computer. U ziet nu welke andere gebruikers zich hebben aangemeld bij welke computers de meest blootstelling en beveiligingsprobleem zijn gemaakt. In dit voorbeeld heeft Elizabeth King de mogelijkheid om toegang te krijgen tot gebruikersreferenties van die resource.

Volgende stappen

• Microsoft Defender for Identity configureren om externe aanroepen naar SAM uit te voeren
• Beveiligingsevaluatie: Riskantste laterale verplaatsingspaden (LMP)
• Werken met beveiligingswaarschuwingen
• Bekijk het Defender for Identity-forum.