Kimlik için Microsoft Defender YanAl Hareket Yolları (LMP' ler)

Yanal hareket, bir saldırganın ağınızdaki hassas hesaplara erişim elde etmek için hassas olmayan hesaplar kullanmasıdır. Yanal hareket, saldırganlar tarafından ağınızdaki hesaplarda, gruplarda ve makinelerde depolanan oturum açma kimlik bilgilerini paylaşan hassas hesapları ve makineleri tanımlamak ve erişim elde etmek için kullanılır. Saldırgan, anahtar hedeflerinize doğru başarılı yanal hareketlerde bulunduktan sonra etki alanı denetleyicilerinizden de yararlanabilir ve erişim elde edebilir. Yanal hareket saldırıları, Kimlik için Microsoft Defender Güvenlik Uyarıları'nda açıklanan yöntemlerin birçoğu kullanılarak gerçekleştirilir.

Kimlik için Microsoft Defender güvenlik içgörülerinin temel bileşenlerinden biri YanAl Hareket Yolları veya LMP'lerdir. Kimlik için Defender LMP'leri, saldırganların ağınız içinde nasıl yalnız olarak hareket ettiğini hızlı bir şekilde anlamanıza ve belirlemenize yardımcı olan görsel kılavuzlardır. Siber saldırı sonlandırma zinciri içindeki yanal hareketlerin amacı, saldırganların hassas olmayan hesapları kullanarak hassas hesaplarınızı ele geçirip tehlikeye atmasıdır. Hassas hesaplarınızın güvenliğini bozmak, onları nihai hedeflerine, etki alanı hakimiyetine bir adım daha yaklaştırır. Bu saldırıların başarılı olmasını önlemek için Kimlik için Defender LMP'leri, en savunmasız ve hassas hesaplarınızda kolayca yorumlanabilir, doğrudan görsel rehberlik sunar. LMP'ler gelecekte bu riskleri azaltmanıza ve önlemenize yardımcı olur ve etki alanı hakimiyeti elde etmeden önce saldırgan erişimini kapatır.

Kimlik YanAl Hareket Yolu (LMP) için Defender

Yanal hareket saldırıları genellikle bir dizi farklı teknik kullanılarak gerçekleştirilir. Saldırganlar tarafından kullanılan en popüler yöntemlerden bazıları kimlik bilgisi hırsızlığı ve Bileti Geçirme yöntemleridir. Her iki yöntemde de hassas olmayan hesaplarınız saldırganlar tarafından hassas hesaplarda, gruplarda ve makinelerde depolanan oturum açma kimlik bilgilerini paylaşan hassas olmayan makinelerden yararlanarak yanal taşımalar için kullanılır.

Kimlik için Defender LMP'lerini nerede bulabilirim?

Kimlik için Defender tarafından bulunan her bilgisayar veya kullanıcı profilinin LMP'de olması için bir Yanal hareket yolları sekmesi vardır . Sekme içermeyen bilgisayarlar ve profiller, olası bir LMP içinde hiçbir zaman bulunmamıştır.

Kimlik yanal hareket yolu (LMP) sekmesi için Defender

Her varlık için LMP, varlığın duyarlılığına bağlı olarak farklı bilgiler sağlar:

  • Hassas kullanıcılar – bu kullanıcıya yol açan olası LMP'ler gösterilir.
  • Hassas olmayan kullanıcılar ve bilgisayarlar – varlığın ilişkili olduğu olası LMP'ler gösterilir.

Sekmeye her tıklandığında, Kimlik için Defender en son bulunan LMP'yi görüntüler. Her olası LMP, bulma sonrasında 48 saat boyunca kaydedilir. LMP geçmişi kullanılabilir. Tarih seçin'i seçerek geçmişte bulunan eski LMP'leri görüntüleyin. Yol başlatıcısı'nı seçerek LMP'yi başlatan farklı bir kullanıcı da seçebilirsiniz.

Gelişmiş avcılık kullanarak LMP bulma

Yanal hareket yolu etkinliklerini proaktif olarak keşfetmek için gelişmiş bir tehdit avcılığı sorgusu çalıştırabilirsiniz.

Aşağıda bu tür bir sorgu örneği verilmişti:

Yanal hareket yolları için gelişmiş tehdit avcılığı sorgusu.

Gelişmiş tehdit avcılığı sorguları çalıştırma yönergeleri için bkz. Microsoft 365 Defender'da gelişmiş tehdit avcılığı ile tehditleri proaktif olarak avlama.

LMP artık doğrudan araştırma sürecinize yardımcı olabilir. Kimlik için Defender güvenlik uyarısı kanıt listeleri, her olası yanal hareket yolunda yer alan ilgili varlıkları sağlar. Kanıt listeleri, güvenlik yanıtı ekibinizin güvenlik uyarısının önemini artırmanıza veya azaltmanıza ve/veya ilgili varlıkları araştırmanıza doğrudan yardımcı olur. Örneğin, Anahtar Geçişi uyarısı verildiğinde, çalınan biletin kullanıldığı kaynak bilgisayar, güvenliği aşılmış kullanıcı ve hedef bilgisayar, hassas bir kullanıcıya yol açan olası yanal hareket yolunun bir parçasıdır. Algılanan LMP'nin varlığı, uyarıyı araştırmayı ve şüpheli kullanıcıyı izlemeyi, saldırganınızın ek yanal hareketlerden etkilenmemesi için daha da önemli hale getirir. Saldırganların ağınızda ilerlemesini engellemenizi kolaylaştırmak ve daha hızlı hale getirmek için LMP'lerde izlenebilir kanıtlar sağlanır.

YanAl Hareket yolları güvenlik değerlendirmesi

Kimlik için Microsoft Defender, güvenlik riskini ortaya çıkaran en riskli yanal hareket yollarına sahip hassas hesapları belirlemek için ortamınızı sürekli izler ve ortamınızı yönetmenize yardımcı olmak için bu hesaplar hakkında raporlar. Hassas hesabı kötü amaçlı aktörler tarafından kimlik bilgisi hırsızlığına maruz bırakabilecek üç veya daha fazla hassas olmayan hesabı varsa yollar riskli kabul edilir. Hangi hassas hesaplarınızın riskli yanal hareket yollarına sahip olduğunu bulmak için En riskli yanal hareket yolları (LMP) güvenlik değerlendirmesini gözden geçirin. Önerilere bağlı olarak, varlığı gruptan kaldırabilir veya varlığın yerel yönetici izinlerini belirtilen cihazdan kaldırabilirsiniz.

Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: En riskli yanal hareket yolları (LMP).

Önleyici en iyi yöntemler

Güvenlik içgörüleri bir sonraki saldırıyı önlemek ve hasarı düzeltmek için hiçbir zaman geç değildir. Bu nedenle, etki alanı hakimiyeti aşamasında bile bir saldırıyı araştırmak farklı ama önemli bir örnek sağlar. Genellikle, Uzaktan Kod Yürütme gibi bir güvenlik uyarısını araştırırken uyarı gerçek pozitifse etki alanı denetleyicinizin güvenliği zaten aşılmış olabilir. Ancak LMP'ler saldırganın ayrıcalıkları nereden kazandığını ve ağınıza hangi yolu kullandığını bildirir. Bu şekilde kullanıldığında, LMP'ler nasıl düzeltilebileceğine ilişkin önemli içgörüler de sunabilir.

  • Kuruluşunuzda yanal hareketin açığa çıkmasını önlemenin en iyi yolu, hassas kullanıcıların sağlamlaştırılmış bilgisayarlarda oturum açarken yalnızca yönetici kimlik bilgilerini kullandığından emin olmaktır. Örnekte, yoldaki yöneticinin gerçekten paylaşılan bilgisayara erişmesi gerekip gerekmediğini denetleyin. Erişime ihtiyaçları varsa, paylaşılan bilgisayarda yönetici kimlik bilgileri dışında bir kullanıcı adı ve parolayla oturum açtıklarından emin olun.

  • Kullanıcılarınızın gereksiz yönetim izinlerine sahip olmadığını doğrulayın. Örnekte, paylaşılan gruptaki herkesin kullanıma sunulan bilgisayarda yönetici haklarına gerçekten ihtiyacı olup olmadığını denetleyin.

  • Kişilerin yalnızca gerekli kaynaklara erişebildiğinden emin olun. Örnekte Ron Harper, Nick Cowley'in maruz kalmasını önemli ölçüde genişletmektedir. Ron Harper'ın gruba dahil edilmesi gerekli mi? Yanal hareketin maruz kalmasını en aza indirmek için oluşturulabilecek alt gruplar var mı?

İpucu

Son 48 saat içinde bir varlık için olası yanal hareket yolu etkinliği algılanmazsa, Tarih seçin'i seçin ve önceki olası yanal hareket yollarını denetleyin.

Önemli

İstemcilerinizi ve sunucularınızı Kimlik için Defender'ın yanal hareket yolu algılaması için gereken SAM-R işlemlerini gerçekleştirmesine izin verecek şekilde ayarlama yönergeleri için bkz. SAM'ye uzaktan çağrı yapmak için Kimlik için Microsoft Defender yapılandırma.

Yanal hareket yollarını araştırma

LMP'leri kullanmanın ve araştırmanın birden çok yolu vardır. Microsoft 365 Defender portalında varlığa göre arama yapın ve ardından yola veya etkinliğe göre keşfedin.

  1. Portaldan bir kullanıcı veya bilgisayar arayın. Varlık profiline yanal hareket rozeti eklenip eklenmediğini fark edin. Rozetler yalnızca son 48 saat içinde bir varlık olası bir LMP'de bulunduğunda görüntülenir.

  2. Açılan kullanıcı profili sayfasında Yanal hareket yolları sekmesini seçin.

  3. Görüntülenen grafik, 48 saatlik süre boyunca hassas kullanıcıya olası yolların bir haritasını sağlar. Varlığın önceki yanal hareket yolu algılamalarının grafiğini görüntülemek için Tarih seçin seçeneğini kullanın.

    LMP farklı bir tarih görüntüler.

  4. Hassas kullanıcınızın kimlik bilgilerini açığa çıkarma hakkında neler öğrenebileceğinizi görmek için grafiği gözden geçirin. Örneğin, yolda, Nick'in ayrıcalıklı kimlik bilgileriyle nerede oturum açtığını görmek için Gri oklarla oturum açıldı'yı izleyin. Bu durumda, Nick'in hassas kimlik bilgileri FinanceSrv53 bilgisayarına kaydedildi. Şimdi, diğer kullanıcıların hangi bilgisayarlarda oturum açtığına ve en çok açığa çıkan ve güvenlik açığı oluşturan bilgisayarlara dikkat edin. Bu örnekte Elizabeth King bu kaynaktan kullanıcı kimlik bilgilerine erişebilir.

Ayrıca Bkz.