Microsoft Defender for Identity 横向移动路径 (LMP)

横向移动是指攻击者使用非敏感帐户访问整个网络中的敏感帐户。 攻击者使用横向移动来识别和获取对网络中敏感帐户和计算机的访问权限,这些帐户和计算机共享帐户、组和计算机中存储的登录凭据。 一旦攻击者成功横向移动到关键目标,还可以利用并访问域控制器。 横向移动攻击是使用Microsoft Defender for Identity安全警报中所述的许多方法进行的。

Microsoft Defender for Identity安全见解的关键组成部分是横向移动路径或 LMP。 Defender for Identity LMP 是视觉指南,可帮助你快速了解和识别攻击者如何在网络中横向移动。 攻击者在网络攻击杀伤链中横向移动的目的是使用非敏感帐户获取和盗用敏感帐户。 盗取敏感帐户后,攻击者可以更加接近他们的终极目标 - 域控制。 为了阻止这些攻击成功,Defender for Identity LMP 可让你轻松解释、直接指导最脆弱的敏感帐户。 LMP 可帮助用户缓解和阻止这些将来的风险,并在攻击者实现域控制前阻止其访问。

Defender for Identity 横向移动路径 (LMP)

横向移动攻击通常通过使用多种技术来实现。 攻击者使用的最常用方法有盗用凭证和传递票证。 在这两种方法中,攻击者使用非敏感帐户进行横向移动,方法是利用共享帐户、组和具有敏感帐户的登录凭据的非敏感计算机。

在哪里可以找到 Defender for Identity LMP?

Defender for Identity 发现的每个计算机或用户配置文件都位于 LMP 中,具有 横向移动路径 选项卡。在潜在的 LMP 中从未发现没有选项卡的计算机和配置文件。

Defender for Identity 横向移动路径 (LMP) 选项卡

每个实体的 LMP 提供不同的信息,具体取决于实体的敏感性:

  • 敏感用户 - 显示指向此用户的潜在 LMP。
  • 非敏感用户和计算机 - 显示与实体相关的潜在 LMP。

每次单击选项卡时,Defender for Identity 都会显示最近发现的 LMP。 每个潜在 LMP 在被发现后将保存 48 小时。 可以获得 LMP 历史记录。 通过选择 “选择日期”查看过去发现的较旧 LMP。 还可以通过选择 路径发起程序来选择发起 LMP 的其他用户。

使用高级搜寻的 LMP 发现

若要主动发现横向移动路径活动,可以运行高级搜寻查询。

下面是此类查询的示例:

用于横向移动路径的高级搜寻查询。

有关如何运行高级搜寻查询的说明,请参阅在Microsoft 365 Defender主动搜寻具有高级搜寻功能的威胁

LMP 现在可以直接协助调查过程。 Defender for Identity 安全警报证据列表提供了每个潜在横向移动路径中涉及的相关实体。 证据列表可以直接帮助安全响应团队提高或降低安全警报和/或相关实体调查的重要性。 例如,当传递票证警报发出时,被盗票证的源计算机、被盗用用户和目标计算机都是指向敏感用户的潜在横向移动路径的一部分。 检测到的 LMP 的存在使得调查警报和监测可疑用户对于防止恶意用户进行其他横向移动非常重要。 LMP 中提供的可跟踪的证据可以让你更轻松快速地阻止攻击者在网络中向前移动。

横向移动路径安全评估

Microsoft Defender for Identity持续监视环境,以识别具有风险最危险的横向移动路径的敏感帐户,并报告这些帐户,以帮助你管理环境。 如果路径具有三个或以上非敏感帐户,而这些帐户可能将敏感帐户暴露于恶意使用者实施的凭据盗窃,则此类路径会被视为有风险。 若要发现哪些敏感帐户具有风险横向移动路径,请查看 最危险的横向移动路径 (LMP) 安全评估。 根据建议,可以从组中删除实体,或者从指定设备中删除实体的本地管理员权限。

有关详细信息,请参阅安全评估:风险最高的横向移动路径 (LMP)

最佳预防做法

使用安全见解阻止下一次攻击并修复损害永远不会太迟。 出于此原因,在域控制阶段调查攻击事件提供了一个不同但很重要的示例。 通常情况下,在调查安全警报(例如远程代码执行)时,如果警报不是误报,域控制器可能已经被侵害。 但是,LMP 会告知你攻击者获得特权的位置及其用于侵入你的网络的路径。 通过这种使用方式,LMP 还可以提供有关修复方式的关键见解。

  • 防范组织中的横向移动公开的最佳方法是确保敏感用户登录到经增强的计算机时仅使用他们的管理员凭据。 在示例中,检查路径中的管理员是否真的需要访问共享计算机。 如果他们确实需要访问权限,请确保他们使用其管理员凭据以外的用户名和密码登录到共享计算机。

  • 验证用户是否没有不必要的管理权限。 在示例中,检查共享组中的每个人是否真的需要公开的计算机上的管理员权限。

  • 确保用户只对必要资源具有访问权限。 在示例中,Ron Harper 显著扩大了 Nick Cowley 的公开性。 Ron Harper 是否有必要包含在组中? 是否可以创建子组来最小化横向移动公开?

提示

如果过去 48 小时内未检测到实体的潜在横向移动路径活动,请选择 “选择日期 ”并检查以前的潜在横向移动路径。

重要

有关如何设置客户端和服务器以允许 Defender for Identity 执行横向移动路径检测所需的 SAM-R 操作的说明,请参阅配置Microsoft Defender for Identity以对 SAM 进行远程调用

调查横向移动路径

有多种方法可以使用和调查 LMPs。 在Microsoft 365 Defender门户中,按实体搜索,然后按路径或活动浏览。

  1. 在门户中搜索用户或计算机。 请注意,横向移动提示标记是否已添加到实体配置文件。 提示标记仅在最近 48 小时内,当在潜在 LMP 中发现实体时显示。

  2. 在打开的用户配置文件页中,选择 横向移动路径 选项卡。

  3. 显示的图中提供了 48 小时内指向敏感用户的潜在路径地图。 使用 “选择日期 ”选项显示实体先前横向移动路径检测的图形。

    LMP 查看其他日期。

  4. 审阅该图,看看可以从敏感用户凭据暴露中了解些什么。 例如,在路径中,跟随“登录者”灰色箭头查看 Nick 使用其特权凭据登录的位置 。 在这种情况下,Nick 的敏感凭据保存在 FinanceSrv53 计算机上。 现在,请注意其他哪些用户登录过的哪些计算机带来了最多的暴露和漏洞。 在此示例中,伊丽莎白·金能够从该资源访问用户凭据。

另请参阅