Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
Selbst wenn Sie Ihr Bestes tun, um Ihre vertraulichen Benutzer zu schützen, und Ihre Administratoren verfügen über komplexe Kennwörter, die sie häufig ändern, werden ihre Computer gehärtet, und ihre Daten werden sicher gespeichert, Angreifer können weiterhin Lateral Movement Pfade verwenden, um auf vertrauliche Konten zuzugreifen. Bei Lateral-Movement-Angriffen nutzt der Angreifer Gelegenheiten aus, wenn sich Benutzer mit sensiblen Berechtigungen bei einem Computer anmelden, auf dem ein Benutzer ohne sensible Berechtigungen lokale Rechte hat. Angreifer können sich dann lateral bewegen, auf den weniger sensiblen Benutzer zugreifen und dann über den Computer navigieren, um Anmeldeinformationen für den vertraulichen Benutzer zu erhalten.
Was ist ein lateraler Bewegungspfad?
Seitliche Bewegung liegt vor, wenn ein Angreifer nicht-sensitive Konten nutzt, um Zugang zu sensitiven Konten zu erhalten. Dies kann mithilfe der im Leitfaden für verdächtige Aktivitäten beschriebenen Methoden erfolgen. Angreifer verwenden laterale Bewegungen, um die Administratoren in Ihrem Netzwerk zu identifizieren und zu erfahren, auf welche Computer sie zugreifen können. Mit diesen Informationen und weiteren Verschiebungen kann der Angreifer die Daten auf Ihren Domänencontrollern nutzen.
ATA ermöglicht es Ihnen, präventive Maßnahmen in Ihrem Netzwerk zu ergreifen, um Angreifern zu verhindern, dass sie bei lateraler Bewegung erfolgreich sind.
Ermitteln Ihrer gefährdeten vertraulichen Konten
Führen Sie die folgenden Schritte aus, um zu ermitteln, welche vertraulichen Konten in Ihrem Netzwerk aufgrund ihrer Verbindung zu nicht sensiblen Konten oder Ressourcen in einem bestimmten Zeitrahmen anfällig sind:
Wählen Sie im ATA-Konsolenmenü das
Unter lateralen Bewegungspfaden zu sensiblen Konten wird der Bericht abgeblendet, wenn keine lateralen Bewegungspfade gefunden werden. Wenn laterale Bewegungspfade vorhanden sind, wählen die Datumsangaben des Berichts automatisch das erste Datum aus, an dem relevante Daten vorhanden sind.
Wählen Sie Herunterladen aus.
Die Excel Datei, die erstellt wird, enthält Details zu Ihren gefährdeten vertraulichen Konten. Die Registerkarte " Zusammenfassung " enthält Diagramme, die die Anzahl vertraulicher Konten, Computer und Mittelwerte für Risikoressourcen detailliert darstellen. Auf der Registerkarte "Details " finden Sie eine Liste der vertraulichen Konten, die Sie bedenken sollten. Beachten Sie, dass es sich bei den Pfaden um Pfade handelt, die zuvor vorhanden waren und möglicherweise noch nicht verfügbar sind.
Untersuchen
Nachdem Sie nun wissen, welche vertraulichen Konten gefährdet sind, können Sie tief in ATA eintauchen, um mehr zu erfahren und präventive Maßnahmen zu ergreifen.
Suchen Sie in der ATA-Konsole nach der Lateral Movement-Kennzeichnung, die dem Profil hinzugefügt wird, wenn sich die Entität in einem lateralen Bewegungspfad befindet
oder 
. Dies ist verfügbar, wenn in den letzten zwei Tagen ein lateraler Bewegungspfad vorhanden war.Wählen Sie auf der daraufhin geöffneten Benutzerprofilseite die Registerkarte " Lateral movement paths " aus.
Das angezeigte Diagramm stellt eine Zuordnung der möglichen Pfade zum vertraulichen Benutzer bereit. Das Diagramm zeigt Verbindungen, die in den letzten zwei Tagen hergestellt wurden.
Überprüfen Sie das Diagramm, um zu sehen, was Sie über die Offenlegung der Anmeldeinformationen Ihrer sensiblen Benutzer erfahren können. In dieser Karte können Sie beispielsweise den angemeldeten grauen Pfeilen folgen, um zu sehen, wo Samira mit ihren privilegierten Anmeldeinformationen angemeldet ist. In diesem Fall wurden die vertraulichen Anmeldeinformationen von Samira auf dem Computer REDMOND-WA-DEV gespeichert. Sehen Sie dann, welche anderen Benutzer sich bei welchen Computern angemeldet haben, die die meiste Gefährdung und die größten Schwachstellen verursacht haben. Sie können dies sehen, indem Sie sich den Administrator auf schwarzen Pfeilen ansehen, um zu sehen, wer über Administratorrechte für die Ressource verfügt. In diesem Beispiel hat jeder in der Gruppe Contoso All die Möglichkeit, auf Benutzeranmeldeinformationen aus dieser Ressource zuzugreifen.
Bewährte Methoden für die Prävention
Die beste Möglichkeit, laterale Bewegungen zu verhindern, besteht darin, sicherzustellen, dass vertrauliche Benutzer ihre Administratoranmeldeinformationen nur verwenden, wenn sie sich bei gehärteten Computern anmelden, auf denen kein nicht sensibler Benutzer mit Administratorrechten auf demselben Computer vorhanden ist. Stellen Sie im Beispiel sicher, dass sich Samira, wenn sie Zugriff auf REDMOND-WA-DEV benötigt, mit einem anderen Benutzernamen und Kennwort als mit ihren Administratoranmeldeinformationen anmeldet oder die Contoso All-Gruppe aus der lokalen Administratorgruppe auf REDMOND-WA-DEV entfernt.
Es wird auch empfohlen, sicherzustellen, dass niemand über unnötige lokale Administratorberechtigungen verfügt. Überprüfen Sie im Beispiel, ob jeder in Contoso All Administratorrechte auf REDMOND-WA-DEV benötigt.
Stellen Sie sicher, dass Personen nur Zugriff auf die erforderlichen Ressourcen haben. Im Beispiel erhöht Oscar Posada die Bekanntheit von Samira erheblich. Ist es notwendig, dass sie in die Gruppe "Contoso All" aufgenommen werden? Gibt es Untergruppen, die Sie erstellen könnten, um die Belichtung zu minimieren?
Tip
Wenn die Aktivität während der letzten zwei Tage nicht erkannt wird, wird das Diagramm nicht angezeigt, aber der Bericht über laterale Bewegungspfade ist weiterhin verfügbar, um Informationen zu Lateralbewegungspfaden in den letzten 60 Tagen bereitzustellen.
Tip
Anweisungen zum Konfigurieren Ihrer Server, damit ATA die SAM-R-Vorgänge ausführen kann, die zur Erkennung von lateralen Bewegungspfaden erforderlich sind, konfigurieren Sie SAM-R.