Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Même si vous faites de votre mieux pour protéger vos utilisateurs sensibles et que vos administrateurs ont des mots de passe complexes qu’ils changent fréquemment, leurs machines sont renforcées et leurs données sont stockées en toute sécurité, les attaquants peuvent toujours utiliser des chemins de mouvement latéral pour accéder aux comptes sensibles. Dans les attaques de mouvement latéral, l’attaquant tire parti des instances lorsque les utilisateurs sensibles se connectent à un ordinateur où un utilisateur non sensible a des droits locaux. Les attaquants peuvent ensuite se déplacer latéralement, accéder à l’utilisateur moins sensible, puis se déplacer de là sur l’ordinateur pour obtenir des identifiants de l’utilisateur sensible.
Qu’est-ce qu’un chemin de mouvement latéral ?
Le mouvement latéral est lorsqu’un attaquant utilise des comptes non sensibles pour accéder à des comptes sensibles. Cette opération peut être effectuée à l’aide des méthodes décrites dans le guide d’activité suspecte. Les attaquants utilisent le mouvement latéral pour identifier les administrateurs de votre réseau et découvrir les ordinateurs auxquels ils peuvent accéder. Avec ces informations et d’autres déplacements, l’attaquant peut tirer parti des données sur vos contrôleurs de domaine.
ATA vous permet d’effectuer des actions préemptives sur votre réseau pour empêcher les attaquants de réussir au niveau du mouvement latéral.
Découverte de vos comptes sensibles au risque
Pour découvrir quels comptes sensibles de votre réseau sont vulnérables en raison de leur connexion à des comptes ou ressources non sensibles, dans un délai spécifique, procédez comme suit :
Dans le menu de la console ATA, sélectionnez
.Sous les chemins de mouvement latéral vers des comptes sensibles, s’il n’y a pas de chemins de mouvement latéral trouvés, le rapport est grisé. S’il existe des chemins de mouvement latéral, les dates du rapport sélectionnent automatiquement la première date lorsqu’il existe des données pertinentes.
Sélectionnez Télécharger.
Le fichier Excel créé vous fournit des détails sur vos comptes sensibles à risque. L’onglet Résumé fournit des graphiques qui détaillent le nombre de comptes sensibles, d’ordinateurs et de moyennes pour les ressources à risque. L’onglet Détails fournit une liste des comptes sensibles dont vous devez vous soucier. Notez que les chemins sont des chemins d’accès qui existaient précédemment et peuvent ne pas être disponibles aujourd’hui.
Étudier
Maintenant que vous savez quels comptes sensibles sont à risque, vous pouvez approfondir vos connaissances dans ATA pour en savoir plus et prendre des mesures préventives.
Dans la console ATA, recherchez le badge de mouvement latéral ajouté au profil d’entité lorsque l’entité se trouve dans un chemin de mouvement latéral
ou 
. Ceci est disponible s’il y avait un chemin de mouvement latéral au cours des deux derniers jours.Dans la page de profil utilisateur qui s’ouvre, sélectionnez l’onglet Chemins de mouvement latéral .
Le graphique affiché fournit une carte des chemins d’accès possibles à l’utilisateur sensible. Le graphique montre les connexions qui ont été effectuées au cours des deux derniers jours.
Passez en revue le graphique pour voir ce que vous pouvez apprendre sur l’exposition des informations d’identification de votre utilisateur sensible. Par exemple, dans cette carte, vous pouvez suivre les flèches grises Logged into by pour voir où Samira s’est connectée avec ses informations d’identification privilégiées. Dans ce cas, les informations d’identification sensibles de Samira ont été enregistrées sur l’ordinateur REDMOND-WA-DEV. Ensuite, voyez quels autres utilisateurs se sont connectés aux ordinateurs qui ont créé la plus grande exposition et vulnérabilité. Vous pouvez voir cela en regardant les flèches noires pour identifier qui a des privilèges d’administrateur sur la ressource. Dans cet exemple, tout le monde du groupe Contoso All a la possibilité d’accéder aux informations d’identification de l’utilisateur à partir de cette ressource.
Bonnes pratiques préventives
La meilleure façon d’empêcher le mouvement latéral est de s’assurer que les utilisateurs sensibles utilisent leurs informations d’identification d’administrateur uniquement lorsqu’ils se connectent à des ordinateurs renforcés où il n’y a pas d’utilisateur non sensible disposant de droits d’administrateur sur le même ordinateur. Dans l’exemple, assurez-vous que si Samira a besoin d’accéder à REDMOND-WA-DEV, ils se connectent avec un nom d’utilisateur et un mot de passe autres que leurs informations d’identification d’administrateur, ou suppriment le groupe Contoso All du groupe administrateurs local sur REDMOND-WA-DEV.
Il est également recommandé de s’assurer que personne n’a d’autorisations d’administration locales inutiles. Dans l’exemple, vérifiez si tout le monde dans Contoso All a vraiment besoin des droits d’administrateur sur REDMOND-WA-DEV.
Assurez-vous que les utilisateurs ont uniquement accès aux ressources nécessaires. Dans l’exemple, Oscar Posada élargit considérablement l’exposition de Samira. Est-il nécessaire qu’ils soient inclus dans le groupe Contoso All ? Existe-t-il des sous-groupes que vous pourriez créer pour réduire l’exposition ?
Conseil / Astuce
Si l’activité n’est pas détectée au cours des deux derniers jours, le graphique n’apparaît pas, mais le rapport de chemin de mouvement latéral est toujours disponible pour fournir des informations sur les chemins de mouvement latéral au cours des 60 derniers jours.
Conseil / Astuce
Pour obtenir des instructions sur la définition de vos serveurs pour permettre à ATA d’effectuer les opérations de SAM-R nécessaires à la détection du chemin de mouvement latéral, configurez SAM-R.