Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Note
Unter https://security.microsoft.com kann auf die auf dieser Seite beschriebene Erfahrung auch im Rahmen von Microsoft Defender XDR zugegriffen werden.
Lateral Movement bezeichnet den Vorgang, bei dem ein Angreifer nicht-sensitive Konten verwendet, um Zugriff auf sensitive Konten in Ihrem Netzwerk zu erlangen. Seitliche Bewegungen werden von Angreifern genutzt, um sensible Konten und Computer in Ihrem Netzwerk zu identifizieren und Zugriff darauf zu erlangen, die gespeicherte Anmeldeinformationen in Konten, Gruppen und Maschinen teilen. Sobald ein Angreifer erfolgreiche laterale Bewegungen in Richtung Ihrer wichtigsten Ziele durchführt, kann er auch die Vorteile nutzen und Zugriff auf Ihre Domänencontroller erlangen. Laterale Bewegungsangriffe werden mit vielen der methoden durchgeführt, die im Leitfaden für verdächtige Aktivitäten beschrieben sind.
Eine wichtige Komponente der Sicherheitserkenntnisse von Microsoft Defender for Identity sind Lateral Movement Paths oder LMPs. Defender for Identity LMPs sind visuelle Leitfäden, die Ihnen helfen, schnell zu verstehen und zu identifizieren, wie sich Angreifer seitlich innerhalb Ihres Netzwerks bewegen können. Der Zweck der lateralen Bewegungen innerhalb der Cyberangriff-Kill-Chain besteht darin, dass Angreifer mit nicht-sensiblen Konten Zugriff auf Ihre sensiblen Konten erlangen und diese kompromittieren. Die Kompromittierung Ihrer sensiblen Konten bringt sie ihrem ultimativen Ziel, der Domänendominanz, einen weiteren Schritt näher. Um zu verhindern, dass diese Angriffe erfolgreich sind, bieten Defender for Identity LMPs Ihnen eine einfach zu interpretierende, direkte visuelle Anleitung für Ihre anfälligsten, vertraulichsten Konten. LMPs helfen Ihnen dabei, diese Risiken in Zukunft zu mindern und zu verhindern und den Zugriff von Angreifern zu schließen, bevor sie eine Domänendominanz erreichen.
Lateral Movement-Angriffe werden typischerweise mit einer Vielzahl verschiedener Techniken durchgeführt. Einige der beliebtesten Methoden, die von Angreifern verwendet werden, sind Diebstahl von Anmeldeinformationen und Pass the Ticket. In beiden Methoden werden Ihre nicht vertraulichen Konten von Angreifern für laterale Verschiebungen verwendet, indem nicht vertrauliche Computer ausgenutzt werden, die gespeicherte Anmeldeinformationen in Konten, Gruppen und Computern mit vertraulichen Konten gemeinsam nutzen.
Wo finde ich Defender for Identity LMPs?
Jeder Computer oder jedes Benutzerprofil, das von Defender for Identity als Teil eines LMP entdeckt wurde, verfügt über eine Registerkarte „Laterale Bewegungspfade“. Computer und Profile ohne Registerkarte wurden nie innerhalb eines potenziellen LMP identifiziert.
Der LMP für jede Entität bietet je nach Vertraulichkeit der Entität unterschiedliche Informationen:
- Sensible Benutzer: Potenzielle LMP(s), die zu diesem Benutzer führen, werden angezeigt.
- Nicht sensible Benutzer und Computer – potenzielle LMP-Werte, mit denen die Entität verknüpft ist, werden angezeigt.
Jedes Mal, wenn auf die Registerkarte geklickt wird, zeigt Defender for Identity den zuletzt ermittelten LMP an. Jeder potenzielle LMP wird nach der Ermittlung 48 Stunden lang gespeichert. LMP-Verlauf ist verfügbar. Zeigen Sie ältere LMPs an, die in der Vergangenheit entdeckt wurden, indem Sie auf " Ein anderes Datum anzeigen" klicken.
Ermitteln Sie, wann potenzielle LMPs identifiziert wurden und welche zugehörigen Entitäten potenziell beteiligt sind.
LMP-Ermittlung
Auf der Registerkarte "Aktivitäten" wird ein Hinweis angezeigt, wenn ein neues potenzielles LMP identifiziert wurde:
- Vertrauliche Benutzer – wenn ein neuer Pfad für einen vertraulichen Benutzer identifiziert wird
- Nicht vertrauliche Benutzer und Computer – wenn diese Entität in einem potenziellen LMP identifiziert wird, der zu einem vertraulichen Benutzer führt.
LMP-bezogene Entitäten
LMP kann jetzt direkt bei Ihrem Untersuchungsprozess helfen. Defender for Identity-Sicherheitswarnungslisten enthalten die zugehörigen Entitäten, die an jedem potenziellen Lateral Movement-Pfad beteiligt sind. Die Beweislisten helfen Ihrem Security Response-Team direkt dabei, die Wichtigkeit der Sicherheitswarnung und/oder Untersuchung der zugehörigen Entitäten zu erhöhen oder zu verringern. Wenn beispielsweise eine Pass the Ticket-Warnung ausgegeben wird, sind der Quellcomputer, der kompromittierte Benutzer und der Zielcomputer, von dem das gestohlene Ticket verwendet wurde, Teil des potenziellen lateralen Bewegungspfads, der zu einem sensiblen Benutzer führt. Das Vorhandensein des erkannten LMP macht die Untersuchung des Alarms und das Beobachten des verdächtigen Benutzers noch wichtiger, um den Angreifer an weiteren seitlichen Bewegungen zu hindern. Nachverfolgbare Beweise werden in LMPs bereitgestellt, damit Sie es einfacher und schneller verhindern können, dass Angreifer in Ihrem Netzwerk vorankommen.
Bericht über Lateral Movement-Pfade zu vertraulichen Konten
LMP-Daten sind auch im Bericht „Lateral Movement Paths zu sensiblen Konten“ verfügbar. Dieser Bericht listet die vertraulichen Konten auf, die über laterale Bewegungspfade offengelegt werden, und enthält Pfade, die manuell für einen bestimmten Zeitraum ausgewählt wurden oder in den Zeitraum für geplante Berichte einbezogen wurden. Passen Sie den enthaltenen Datumsbereich mithilfe der Kalenderauswahl an.
Bewährte Methoden für die Prävention
Sicherheitserkenntnisse sind nie zu spät, um den nächsten Angriff zu verhindern und Schäden zu beheben. Aus diesem Grund bietet die Untersuchung eines Angriffs auch während der Domänendominanzphase ein anderes, aber wichtiges Beispiel. Wenn es sich bei der Untersuchung einer Sicherheitswarnung wie der Remotecodeausführung um eine richtig positive Warnung handelt, ist Ihr Domänencontroller in der Regel bereits kompromittiert. LmPs informieren jedoch darüber, wo der Angreifer Berechtigungen erlangt hat und welchen Pfad er in Ihrem Netzwerk verwendet hat. Auf diese Weise können LMPs auch wichtige Einblicke in die Problembehebung bieten.
Die beste Möglichkeit, laterale Verschiebungen in Ihrem organization zu verhindern, besteht darin, sicherzustellen, dass sensible Benutzer nur ihre Administratoranmeldeinformationen verwenden, wenn sie sich bei gehärteten Computern anmelden. Überprüfen Sie im Beispiel, ob der Administrator im Pfad tatsächlich Zugriff auf den gemeinsam genutzten Computer benötigt. Wenn sie Zugriff benötigen, stellen Sie sicher, dass sie sich bei dem gemeinsam genutzten Computer mit einem anderen Benutzernamen und Kennwort als ihren Administratoranmeldeinformationen anmelden.
Stellen Sie sicher, dass Ihre Benutzer nicht über unnötige Administratorberechtigungen verfügen. Überprüfen Sie im Beispiel, ob alle Personen in der freigegebenen Gruppe tatsächlich Administratorrechte auf dem verfügbar gemachten Computer benötigen.
Stellen Sie sicher, dass Personen nur Zugriff auf die erforderlichen Ressourcen haben. In diesem Beispiel erweitert Ron Harper die Exposition von Nick Cowley erheblich. Muss Ron Harper in die Gruppe aufgenommen werden? Gibt es Untergruppen, die erstellt werden könnten, um laterale Bewegungen zu minimieren?
Tipp : Wenn für eine Entität in den letzten 48 Stunden keine potenzielle Lateral Movement Path-Aktivität erkannt wird, wählen Sie " Ein anderes Datum anzeigen " aus, und suchen Sie nach vorherigen potenziellen Lateralbewegungspfaden. Der LMP-Bericht für vertrauliche Benutzer ist immer verfügbar, wenn LMPs entdeckt wurden und Ihnen Informationen zu potenziellen lateralen Bewegungspfaden zur Verfügung stellt, die für vertrauliche Benutzer erkannt wurden.
Tipp – Anweisungen zum Konfigurieren Ihrer Clients und Server, um Defender for Identity die Ausführung von SAM-R-Vorgängen zu ermöglichen, die zur Erkennung von lateralen Bewegungspfaden erforderlich sind, finden Sie unter configure SAM-R.
Untersuchung von LMPs
Anweisungen zum Identifizieren und Untersuchen von Bewegungsbahnen zur seitlichen Bewegung in Defender for Identity finden Sie unter Untersuchen von seitlichen Bewegungsbahnen.