Investigar caminhos de movimento lateral com o ATA

Aplica-se a: Advanced Threat Analytics versão 1.9

Mesmo quando você faz o seu melhor para proteger seus usuários confidenciais, e seus administradores têm senhas complexas que eles alteram com frequência, suas máquinas são protegidas e seus dados são armazenados com segurança, os invasores ainda podem usar caminhos de movimento lateral para acessar contas confidenciais. Em ataques de movimento lateral, o invasor aproveita as instâncias em que usuários confidenciais fazem logon em uma máquina em que um usuário não confidencial tem direitos locais. Os invasores podem então se mover lateralmente, acessando o usuário menos confidencial e, em seguida, movendo-se pelo computador para obter credenciais para o usuário confidencial.

O que é um caminho de movimento lateral?

Movimento lateral é quando um invasor usa contas não confidenciais para obter acesso a contas confidenciais. Isso pode ser feito usando os métodos descritos no Guia de atividades suspeitas. Os invasores usam o movimento lateral para identificar os administradores em sua rede e saber quais máquinas eles podem acessar. Com essas informações e com outros movimentos, o invasor pode tirar proveito dos dados em seus controladores de domínio.

O ATA permite que você tome medidas preventivas em sua rede para impedir que invasores tenham sucesso no movimento lateral.

Descobrir suas contas confidenciais em risco

Para descobrir quais contas confidenciais em sua rede estão vulneráveis devido à conexão com contas ou recursos não confidenciais, em um período específico, siga estas etapas:

1. No menu do ATA Console, selecione o ícone de relatórios .

2. Em Caminhos de movimentos laterais para contas confidenciais, se não forem encontrados caminhos de movimento lateral, o relatório ficará esmaecido. Se houver caminhos de movimento lateral, as datas do relatório selecionam automaticamente a primeira data em que há dados relevantes.

   

3. Selecione Baixar.

4. O arquivo do Excel criado fornece detalhes sobre suas contas confidenciais em risco. A guia Resumo fornece gráficos que detalham o número de contas confidenciais, computadores e médias para recursos em risco. A guia Detalhes fornece uma lista das contas confidenciais com as quais você deve se preocupar. Observe que os caminhos são caminhos que existiam anteriormente e podem não estar disponíveis hoje.

Investigar

Agora que você sabe quais contas confidenciais estão em risco, pode mergulhar fundo no ATA para descobrir mais e tomar medidas preventivas.

1. No ATA Console, procure o selo de Movimento lateral que é adicionado ao perfil da entidade quando a entidade está em um caminho de movimento lateral ou . Isso está disponível se houve um caminho de movimento lateral nos últimos dois dias.

2. Na página de perfil de usuário que aparece, selecione a guia Caminhos de movimento lateral.

3. O gráfico exibido fornece um mapa dos caminhos possíveis para o usuário confidencial. O gráfico mostra as conexões que foram feitas nos últimos dois dias.

4. Revise o gráfico para ver o que você pode descobrir sobre a exposição das credenciais do usuário confidencial. Por exemplo, nesse mapa, você pode seguir as setas de Conectado por na cor cinza para ver onde Samira fez logon com suas credenciais privilegiadas. Nesse caso, as credenciais confidenciais de Samira foram salvas no computador REDMOND-WA-DEV. Em seguida, veja quais outros usuários fizeram logon em quais computadores, criando mais exposição e vulnerabilidade. Você pode ver isso observando as setas pretas de Administrador em para ver quem tem privilégios de administrador sobre o recurso. Neste exemplo, todos no grupo Contoso All têm a capacidade de acessar as credenciais do usuário a partir desse recurso.

   

Práticas preventivas recomendadas

• A melhor maneira de impedir o movimento lateral é garantir que os usuários confidenciais usem suas credenciais de administrador somente quando fizerem logon em computadores protegidos onde não há nenhum usuário não confidencial que tenha direitos de administrador no mesmo computador. No exemplo, certifique-se de que, se Samira precisar de acesso a REDMOND-WA-DEV, eles farão logon com nome de usuário e senha diferentes de suas credenciais de administrador ou removerão o grupo Contoso All do grupo local de administradores em REDMOND-WA-DEV.

• Também é recomendável que você garanta que ninguém tenha permissões administrativas locais desnecessárias. No exemplo, verifique se todos no grupo Contoso All realmente precisam de direitos de administrador em REDMOND-WA-DEV.

• Certifique-se de que as pessoas só tenham acesso aos recursos necessários. No exemplo, Oscar Posada amplia significativamente a exposição de Samira. É necessário que eles estejam incluídos no grupo Contoso All? Existem subgrupos que você poderia criar para minimizar a exposição?

Dica

Se a atividade não for detectada durante os últimos dois dias, o gráfico não será exibido, mas o relatório do caminho de movimento lateral ainda estará disponível para fornecer informações sobre os caminhos de movimento lateral nos últimos 60 dias.

Dica

Para obter instruções sobre como configurar os servidores para permitir que o ATA execute as operações do SAM-R necessárias para a detecção do caminho de movimento lateral, configure o SAM-R.

Confira também

• Trabalhar com atividades suspeitas
• Confira o fórum do ATA!