Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Note
È anche possibile accedere all'esperienza descritta in questa pagina all'indirizzo https://security.microsoft.com come parte di Microsoft Defender XDR.
Lo spostamento laterale si verifica quando un utente malintenzionato usa account non sensibili per ottenere l'accesso agli account sensibili in tutta la rete. Lo spostamento laterale viene usato dagli utenti malintenzionati per identificare e ottenere l'accesso agli account e ai computer sensibili nella rete che condividono le credenziali di accesso archiviate in account, gruppi e computer. Una volta che un utente malintenzionato esegue correttamente gli spostamenti laterali verso gli obiettivi chiave, può anche sfruttare la situazione e ottenere l'accesso ai controller di dominio. Gli attacchi di spostamento laterale vengono eseguiti usando molti dei metodi descritti nella guida alle attività sospette.
Un componente chiave delle informazioni dettagliate sulla sicurezza di Microsoft Defender per identità sono percorsi di spostamento laterale o LMP. Defender for Identity LMP sono guide visive che aiutano a comprendere rapidamente e identificare esattamente come gli attaccanti possono muoversi lateralmente all'interno della tua rete. Lo scopo dei movimenti laterali all'interno della kill chain degli attacchi informatici è che gli utenti malintenzionati ottengano e compromettono gli account sensibili usando account non sensibili. Compromettere i tuoi account sensibili li porta a un altro passo più vicino al loro obiettivo finale, il dominio dominante. Per impedire il successo di questi attacchi, i LMP di Defender for Identity forniscono linee guida visive chiare e facili da interpretare sui tuoi account più vulnerabili e sensibili. I LMP consentono di attenuare e prevenire questi rischi in futuro e chiudere l'accesso degli utenti malintenzionati prima di ottenere la dominanza del dominio.
Gli attacchi di spostamento laterale vengono in genere eseguiti usando una serie di tecniche diverse. Alcuni dei metodi più diffusi usati dagli utenti malintenzionati sono il furto di credenziali e il passaggio del ticket. In entrambi i metodi, gli account non sensibili vengono usati dagli utenti malintenzionati per gli spostamenti laterali sfruttando computer non sensibili che condividono le credenziali di accesso archiviate in account, gruppi e computer con account sensibili.
Dove è possibile trovare gli indirizzi LMP di Defender per identità?
Ogni computer o profilo utente individuato da Defender per l'Identità in un LMP ha una scheda Percorsi di movimento laterale. I computer e i profili senza schede non sono mai stati individuati all'interno di un potenziale LMP.
L'LMP per ogni entità fornisce informazioni diverse a seconda della sensibilità dell'entità.
- Utenti sensibili: vengono visualizzati potenziali LMP che portano a questo utente.
- Utenti e computer non sensibili: vengono visualizzati i potenziali LMP a cui è correlata l'entità.
Ogni volta che si fa clic sulla scheda, Defender per Identità visualizza l'LMP scoperto più di recente. Ogni potenziale LMP viene salvato per 48 ore dopo l'individuazione. La cronologia LMP è disponibile. Visualizzare gli LMP meno recenti individuati in passato facendo clic su Visualizza una data diversa.
Individuare quando sono stati identificati potenziali LMP e quali entità correlate sono potenzialmente coinvolte.
Scoperta LMP
Nella scheda Attività viene fornita un'indicazione quando è stato identificato un nuovo LMP potenziale:
- Utenti sensibili: quando viene identificato un nuovo percorso per un utente sensibile
- Utenti e computer non sensibili: quando questa entità viene identificata in un potenziale LMP che porta a un utente sensibile.
Entità correlate a LMP
LMP può ora supportare direttamente il processo di indagine. Gli elenchi di prove degli avvisi di sicurezza di Defender per l'identità forniscono le entità correlate coinvolte in ciascuno dei potenziali percorsi di movimento laterale. Gli elenchi di prove consentono direttamente al team di risposta alla sicurezza di aumentare o ridurre l'importanza dell'avviso di sicurezza e/o dell'indagine delle entità correlate. Ad esempio, quando viene emesso un avviso Pass the Ticket, il computer di origine, l'utente compromesso e il computer di destinazione da cui è stato usato il ticket rubato fanno tutti parte del potenziale percorso di spostamento laterale che porta a un utente sensibile. L'esistenza del LMP rilevato rende ancora più importante analizzare l'avviso e osservare l'utente sospetto per evitare che l'avversario si sposti lateralmente. Le prove rintracciabili vengono fornite in LMP per semplificare e velocizzare la prevenzione dell'avanzamento degli attaccanti nella rete.
Report Percorsi di spostamento laterale per gli account sensibili
I dati LMP sono disponibili anche nel report Percorsi di spostamento laterale per gli account sensibili. Questo report elenca gli account sensibili esposti tramite percorsi di spostamento laterale e include i percorsi selezionati manualmente per un periodo di tempo specifico o inclusi nel periodo di tempo per i report pianificati. Personalizzare l'intervallo di date incluso usando la selezione del calendario.
Procedure consigliate per la prevenzione
Le informazioni dettagliate sulla sicurezza non sono mai troppo tardi per evitare l'attacco successivo e correggere i danni. Per questo motivo, l'analisi di un attacco anche durante la fase di dominanza del dominio fornisce un esempio diverso, ma importante. In genere, durante l'analisi di un avviso di sicurezza come Esecuzione remota del codice, se l'avviso è un vero positivo, il controller di dominio potrebbe essere già compromesso. Ma gli indirizzi LMP informano su dove l'utente malintenzionato ha ottenuto privilegi e sul percorso usato nella rete. In questo modo, gli LMP possono anche offrire informazioni dettagliate chiave su come porre rimedio.
Il modo migliore per evitare l'esposizione allo spostamento laterale all'interno dell'organizzazione consiste nell'assicurarsi che gli utenti sensibili usino le proprie credenziali di amministratore solo durante l'accesso ai computer con protezione avanzata. Nell'esempio verificare se l'amministratore nel percorso deve effettivamente accedere al computer condiviso. Se hanno bisogno dell'accesso, assicurarsi di accedere al computer condiviso con un nome utente e una password diversi dalle credenziali di amministratore.
Verificare che gli utenti non dispongano di autorizzazioni amministrative non necessarie. Nell'esempio verificare se tutti gli utenti del gruppo condiviso richiedono effettivamente diritti di amministratore nel computer esposto.
Assicurarsi che gli utenti abbiano accesso solo alle risorse necessarie. Nell'esempio, Ron Harper amplia notevolmente l'esposizione di Nick Cowley. È necessario che Ron Harper sia incluso nel gruppo? Esistono sottogruppi che possono essere creati per ridurre al minimo l'esposizione al movimento laterale?
Suggerimento : quando non viene rilevata alcuna potenziale attività del percorso di spostamento laterale per un'entità nelle ultime 48 ore, scegliere Visualizza una data diversa e verificare la presenza di percorsi di spostamento laterale potenziali precedenti. Il report LMP per gli utenti sensibili è sempre disponibile se sono stati individuati percorsi di spostamento laterale e fornisce informazioni sui potenziali percorsi di spostamento laterale rilevati agli utenti sensibili.
Tip: per istruzioni su come impostare i client e i server per consentire Defender per l'identità di eseguire le operazioni di SAM-R necessarie per il rilevamento del percorso di spostamento laterale, vedere configurare SAM-R.
Analisi degli LMP
Per istruzioni su come identificare e analizzare l'uso di Defender per i percorsi di spostamento laterale delle identità, vedere Investigate Lateral Movement Paths.