了解和调查 Microsoft Defender for Identity 的横向移动路径 (LMP)

横向移动是指攻击者使用非敏感帐户通过网络获取对敏感帐户的访问权限。 攻击者使用横向移动来识别和获取对网络中共享帐户、组和计算机中存储的登录凭证的敏感帐户和计算机的访问权限。 一旦攻击者成功地向关键目标进行移动,攻击者还可以利用这一优势获取对域控制器的访问权限。 横向移动攻击使用 Microsoft Defender for Identity 安全警报中所述的许多方法进行。

Microsoft Defender for Identity 安全见解的一个关键组件为横向移动路径或 LMP。 Defender for Identity LMP 是可视化指南,可帮助你快速了解并准确识别攻击者在网络内的横向移动方式。 网络攻击杀伤链中横向移动的目的是让攻击者使用非敏感帐户获取并盗用敏感帐户。 盗用敏感帐户会让攻击者离最终目标(即域控制)又近了一步。 为了阻止这些攻击成功,Defender for Identity LMP 会为你提供关于最易受攻击、最敏感的帐户的易于理解、直接的可视化指导。 LMP 有助于在未来缓解和预防这些风险,并在攻击者占据域控制之前关闭其访问权限。

例如:

Screenshot of a lateral movement path with details showing.

横向移动攻击通常使用多种不同的技术来实现。 攻击者使用最常用的一些方法是凭据盗窃和票证传递。 在这两种方法中,攻击者利用非敏感计算机使用非敏感帐户进行横向移动,这些非敏感计算机与帐户、组和具有敏感帐户的计算机共享存储的登录凭据。

观看以下视频,详细了解如何使用 Defender for Identity 减少横向移动路径:


在哪里可以找到 Defender for Identity LMP?

Defender for Identity 在 LMP 中发现的所有标识在组织中的发现结果选项卡下具有横向移动路径信息。例如:

Lateral movement paths.

每个实体的 LMP 会根据实体的敏感性提供不同的信息:

  • 敏感用户 – 显示导致该用户的潜在 LMP。
  • 非敏感用户和计算机 - 显示实体关联的潜在 LMP。

每次选择该选项卡时,Defender for Identity 都会显示最近发现的 LMP。 每个潜在 LMP 在发现后会存储 48 小时。 LMP 历史记录可用。 通过选择选择日期查看过去发现的较旧 LMP。 还可通过选择路径发起方来选择启动 LMP 的其他用户。

使用高级搜寻的 LMP 发现

要主动发现横向移动路径活动,可以运行高级搜寻查询。

以下是此类查询的示例:

Advanced hunting query for lateral movement paths.

有关如何运行高级搜寻查询的说明,请参阅在 Microsoft Defender XDR 中使用高级搜寻主动搜寻威胁

LMP 现在可以直接协助调查流程。 Defender for Identity 安全警报证据列表提供了每个潜在横向移动路径中涉及的关联实体。 证据列表可直接帮助你的安全响应团队提高或降低对关联实体的安全警报和/或调查的重要性。 例如,当发出“传递票证”警报时,使用被盗票证的源计算机、被盗用用户和目的计算机都是导致敏感用户的潜在横向移动路径的一部分。 检测到的 LMP 的存在使得调查警报和监视可疑用户更加重要,以防止对手进行额外的横向移动。 LMP 中提供了可跟踪的证据,使你更容易、更快地防止攻击者在网络中前进。

横向移动路径安全评估

Microsoft Defender for Identity 将持续监控环境,以识别具有风险最高的横向移动路径且构成安全风险的敏感帐户,并报告这些帐户以帮助你管理环境。 如果路径具有三个或更多的非敏感帐户,而且这些帐户可能导致敏感帐户的凭证被恶意行动者盗窃,这些路径将被视为存在风险。 要发现哪些敏感帐户具有存在风险的横向移动路径,请查看风险最大的横向移动路径 (LMP) 安全评估。 根据建议,可以从组中移除实体,或者从指定设备中移除实体的本地管理员权限。

有关详细信息,请参阅安全评估:风险最大的横向移动路径 (LMP)

预防性最佳做法

为了防止下一次攻击和修正损坏,安全见解无论何时都不会为时过晚。 因此,即使在域控制阶段调查攻击也算是一个不同但重要的例子。 通常,在调查安全警报(如远程代码执行)时,如果是真正的警报,则你的域控制器可能已经被盗用。 但是 LMP 可以告知攻击者在哪里获得特权,以及他们使用什么路径进入网络。 通过这种方式,LMP 还可以提供关于如何修正的关键见解。

  • 防止组织内部横向移动风险的最佳方法是确保敏感用户在登录到强化计算机时仅使用其管理凭据。 在本例中,检查路径中的管理员是否确实需要共享计算机的访问权限。 如果确实需要访问权限,请确保他们使用管理员凭证以外的其他用户名和密码登录共享计算机。

  • 验证用户是否具有不必要的管理权限。 在本例中,检查共享群组中的每个人是否确实需要在暴露的计算机上拥有管理员权限。

  • 确保人员只能访问所需的资源。 在本例中,Ron Harper 显著扩大了 Nick Cowley 的风险。 Ron Harper 有必要包含在这个组中吗? 是否可以创建子组以最小化减少横向移动风险?

提示

如果在过去 48 小时内未检测到实体的潜在横向移动路径活动,请选择选择日期并检查以前的潜在横向移动路径。

重要

有关如何将客户端和服务器设置为允许 Defender for Identity 执行横向移动路径检测所需的 SAM-R 操作的指令,请参阅配置 Microsoft Defender for Identity 以远程调用 SAM

调查横向移动路径

有多种方法可使用和调查 LMP。 在 Microsoft Defender 门户中,按实体搜索,然后按路径或活动进行浏览。

  1. 从门户中搜索用户。 在组织中的发现结果(位于概述发现结果选项卡中)下,可以查看是否在潜在 LMP 中发现用户。

  2. 如果发现了用户,请选择组织中的发现结果选项卡,然后选择横向移动路径

  3. 所示图提供了 48 小时内指向敏感用户的可能路径映射。 使用选择日期选项可显示该实体先前横向移动路径检测图。

  4. 查看该图,了解有关敏感用户凭据暴露的信息。 例如,在路径中,沿着登录者箭头查看 Nick 使用其特权凭据登录的位置。 在这种情况下,Nick 的敏感凭据保存在显示计算机上。 现在,请注意哪些其他用户登录了哪些计算机造成了最大的暴露和漏洞。 在此示例中,Elizabeth King 能够从该资源访问用户凭据。

后续步骤