Compreender e investigar Caminhos de Movimento Lateral (LMPs) com o Microsoft Defender for Identity
Movimento lateral é quando um invasor usa contas não confidenciais para obter acesso a contas confidenciais em toda a rede. O movimento lateral é usado por invasores para identificar e obter acesso a contas e máquinas confidenciais em sua rede que compartilham credenciais de login armazenadas em contas, grupos e máquinas. Quando um invasor faz movimentos laterais bem-sucedidos em direção aos seus principais alvos, o invasor também pode tirar vantagem e obter acesso aos seus controladores de domínio. Os ataques de movimento lateral são realizados usando muitos dos métodos descritos no Microsoft Defender for Identity Security Alerts.
Um componente-chave das informações de segurança do Microsoft Defender for Identity são os Caminhos de Movimento Lateral ou LMPs. Os LMPs do Defender for Identity são guias visuais que ajudam você a entender e identificar rapidamente como os invasores podem se mover lateralmente dentro da sua rede. O objetivo dos movimentos laterais dentro da cadeia de destruição de ataques cibernéticos é que os invasores ganhem e comprometam suas contas confidenciais usando contas não confidenciais. Comprometer suas contas confidenciais faz com que elas se aproximem ainda mais de seu objetivo final, o domínio do domínio. Para impedir que esses ataques sejam bem-sucedidos, os LMPs do Defender for Identity oferecem orientação visual direta e fácil de interpretar em suas contas mais vulneráveis e confidenciais. Os LMPs ajudam a mitigar e prevenir esses riscos no futuro e a fechar o acesso de invasores antes que eles alcancem o domínio do domínio.
Por exemplo:
Os ataques de movimento lateral são normalmente realizados usando várias técnicas diferentes. Alguns dos métodos mais populares usados pelos atacantes são o roubo de credenciais e o Pass the Ticket. Em ambos os métodos, suas contas não confidenciais são usadas por invasores para movimentos laterais explorando máquinas não confidenciais que compartilham credenciais de entrada armazenadas em contas, grupos e máquinas com contas confidenciais.
Assista ao vídeo a seguir para saber mais sobre como reduzir caminhos de movimento lateral com o Defender for Identity:
Onde posso encontrar LMPs do Defender for Identity?
Cada identidade descoberta pelo Defender for Identity para estar em um LMP tem uma informação de caminhos de movimento lateral na guia Observado na organização. Por exemplo:
O LMP para cada entidade fornece informações diferentes dependendo da sensibilidade da entidade:
- Usuários sensíveis – potenciais LMPs que levam a esse usuário são mostrados.
- Usuários e computadores não confidenciais – potenciais LMPs com os quais a entidade está relacionada são mostrados.
Sempre que a guia é selecionada, o Defender for Identity exibe o LMP descoberto mais recentemente. Cada LMP potencial é salvo por 48 horas após a descoberta. O histórico da LMP está disponível. Veja LMPs mais antigos que foram descobertos no passado escolhendo Selecionar uma data. Você também pode escolher um usuário diferente que iniciou o LMP selecionando Iniciador de caminho.
Descoberta de LMP usando caça avançada
Para descobrir proativamente atividades de caminho de movimento lateral, você pode executar uma consulta de caça avançada.
Aqui está um exemplo de tal consulta:
Para obter instruções sobre como executar consultas de caça avançadas, consulte Proativamente procurar ameaças com caça avançada no Microsoft Defender XDR.
Entidades relacionadas com LMP
A LMP agora pode ajudar diretamente no seu processo de investigação. As listas de evidências de alerta de segurança do Defender for Identity fornecem as entidades relacionadas envolvidas em cada caminho de movimento lateral potencial. As listas de evidências ajudam diretamente sua equipe de resposta de segurança a aumentar ou reduzir a importância do alerta de segurança e/ou investigação das entidades relacionadas. Por exemplo, quando um alerta Pass the Ticket é emitido, o computador de origem, o usuário comprometido e o computador de destino do qual o bilhete roubado foi usado fazem parte do caminho de movimento lateral potencial que leva a um usuário sensível. A existência do LMP detetado torna a investigação do alerta e a observação do usuário suspeito ainda mais importante para evitar que seu adversário tenha movimentos laterais adicionais. Evidências rastreáveis são fornecidas em LMPs para tornar mais fácil e rápido para você impedir que invasores avancem em sua rede.
Avaliação de segurança de caminhos de movimento lateral
O Microsoft Defender for Identity monitora continuamente seu ambiente para identificar contas confidenciais com os caminhos de movimento lateral mais arriscados que expõem um risco de segurança e relata essas contas para ajudá-lo a gerenciar seu ambiente. Os caminhos são considerados arriscados se tiverem três ou mais contas não confidenciais que possam expor a conta confidencial ao roubo de credenciais por agentes mal-intencionados. Para descobrir quais de suas contas confidenciais têm caminhos de movimento lateral de risco, consulte a avaliação de segurança Caminhos de movimento lateral (LMP) mais arriscados. Com base nas recomendações, você pode remover a entidade do grupo ou remover as permissões de administrador local para a entidade do dispositivo especificado.
Para obter mais informações, consulte Avaliação de segurança: caminhos de movimento lateral (LMP) mais arriscados.
Melhores práticas preventivas
As informações de segurança nunca são tarde demais para evitar o próximo ataque e remediar danos. Por esta razão, investigar um ataque mesmo durante a fase de dominância do domínio fornece um exemplo diferente, mas importante. Normalmente, ao investigar um alerta de segurança, como a Execução Remota de Código, se o alerta for um verdadeiro positivo, o controlador de domínio já pode estar comprometido. Mas os LMPs informam onde o invasor ganhou privilégios e qual caminho eles usaram em sua rede. Usados dessa forma, os LMPs também podem oferecer insights importantes sobre como remediar.
A melhor maneira de evitar a exposição a movimentos laterais em sua organização é garantir que os usuários confidenciais usem apenas suas credenciais de administrador ao fazer login em computadores protegidos. No exemplo, verifique se admin no caminho realmente precisa de acesso ao computador compartilhado. Se precisarem de acesso, certifique-se de que iniciam sessão no computador partilhado com um nome de utilizador e palavra-passe diferentes das suas credenciais de administrador.
Verifique se os usuários não têm permissões administrativas desnecessárias. No exemplo, verifique se todos no grupo compartilhado realmente precisam de direitos de administrador no computador exposto.
Certifique-se de que as pessoas só têm acesso aos recursos necessários. No exemplo, Ron Harper amplia significativamente a exposição de Nick Cowley. É necessário que Ron Harper seja incluído no grupo? Existem subgrupos que poderiam ser criados para minimizar a exposição ao movimento lateral?
Gorjeta
Quando nenhuma atividade potencial de caminho de movimento lateral for detetada para uma entidade nas últimas 48 horas, escolha Selecionar uma data e verifique possíveis caminhos de movimento lateral anteriores.
Importante
Para obter instruções sobre como configurar seus clientes e servidores para permitir que o Defender for Identity execute as operações SAM-R necessárias para a deteção de caminho de movimento lateral, consulte Configurar o Microsoft Defender for Identity para fazer chamadas remotas para SAM.
Investigar caminhos de movimento lateral
Há várias maneiras de usar e investigar LMPs. No portal do Microsoft Defender, pesquise por entidade e, em seguida, explore por caminho ou atividade.
A partir do portal, procure um utilizador. Em Observado na organização (nas guias Visão geral e Observado ), você pode ver se o usuário é descoberto em um LMP potencial.
Se o usuário for descoberto, selecione a guia Observado na organização e escolha Caminhos de movimento lateral.
O gráfico exibido fornece um mapa dos caminhos possíveis para o usuário sensível durante o período de tempo de 48 horas. Use a opção Selecione uma data para exibir o gráfico para deteções anteriores de caminho de movimento lateral para a entidade.
Revise o gráfico para ver o que você pode aprender sobre a exposição das credenciais de seu usuário confidencial. Por exemplo, no caminho, siga as setas Conectado por para ver onde Nick fez login com suas credenciais privilegiadas. Nesse caso, as credenciais confidenciais de Nick foram salvas no computador exibido. Agora, observe quais outros usuários fizeram login em quais computadores criaram mais exposição e vulnerabilidade. Neste exemplo, Elizabeth King tem a capacidade de acessar as credenciais do usuário a partir desse recurso.