Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
Anche quando si fa del meglio per proteggere gli utenti sensibili e gli amministratori hanno password complesse che cambiano di frequente, i computer vengono protetti e i dati vengono archiviati in modo sicuro, gli utenti malintenzionati possono comunque usare percorsi di spostamento laterale per accedere agli account sensibili. Negli attacchi di movimento laterale, l'utente malintenzionato sfrutta le situazioni in cui gli utenti con privilegi elevati accedono a un computer in cui un utente non sensibile ha diritti locali. Gli utenti malintenzionati possono quindi spostarsi lateralmente, accedere all'utente meno protetto e quindi muoversi attraverso il sistema per ottenere le credenziali per l'utente critico.
Che cos'è un percorso di spostamento laterale?
Lo spostamento laterale si verifica quando un attaccante usa account non sensibili per ottenere l'accesso agli account sensibili. Questa operazione può essere eseguita usando i metodi descritti nella Guida alle attività sospette. Gli utenti malintenzionati usano lo spostamento laterale per identificare gli amministratori della rete e scoprire quali computer possono accedere. Con queste informazioni e ulteriori azioni, l'utente malintenzionato può sfruttare i dati nei controller di dominio.
ATA consente di eseguire un'azione preemptive nella rete per impedire agli utenti malintenzionati di completare lo spostamento laterale.
Individuazione degli account sensibili a rischio
Per individuare quali account sensibili nella rete sono vulnerabili a causa della connessione a account o risorse non sensibili, in un intervallo di tempo specifico, seguire questa procedura:
Nel menu della console ATA, selezionare
.In Percorsi di spostamento laterale verso account sensibili, se non sono presenti percorsi di spostamento laterale, il report viene disattivato. Se sono presenti percorsi di spostamento laterale, le date del report selezionano automaticamente la prima data in cui sono presenti dati pertinenti.
Selezionare Download.
Il file Excel creato fornisce informazioni dettagliate sugli account sensibili a rischio. La scheda Riepilogo fornisce grafici che descrivono in dettaglio il numero di account sensibili, computer e medie per le risorse a rischio. La scheda Dettagli fornisce un elenco degli account sensibili a cui è necessario preoccuparsi. Si noti che i percorsi sono percorsi esistenti in precedenza e potrebbero non essere attualmente disponibili.
Indagare
Ora che si conoscono gli account sensibili a rischio, è possibile approfondire ATA per altre informazioni e adottare misure preventive.
Nella console ATA, cercare il badge dello spostamento laterale che viene aggiunto al profilo di entità quando l'entità si trova in un percorso di movimento laterale
o 
. Questa opzione è disponibile se negli ultimi due giorni è presente un percorso di spostamento laterale.Nella pagina del profilo utente visualizzata selezionare la scheda Percorsi di spostamento laterale .
Il grafico visualizzato fornisce una mappa dei possibili percorsi all'utente sensibile. Il grafico mostra le connessioni effettuate negli ultimi due giorni.
Esaminare il grafico per informazioni sull'esposizione delle credenziali dell'utente sensibile. In questa mappa, ad esempio, è possibile seguire le frecce grigie Accesso eseguito da per vedere dove Samira ha eseguito l'accesso con le credenziali privilegiati. In questo caso, le credenziali sensibili di Samira sono state salvate nel computer REDMOND-WA-DEV. Vedere quindi quali altri utenti hanno eseguito l'accesso ai computer che hanno creato la maggior parte dell'esposizione e della vulnerabilità. È possibile vedere questo aspetto esaminando l'amministratore sulle frecce nere per vedere chi ha privilegi di amministratore per la risorsa. In questo esempio, tutti gli utenti del gruppo Contoso All hanno la possibilità di accedere alle credenziali utente da tale risorsa.
Procedure consigliate per la prevenzione
Il modo migliore per prevenire lo spostamento laterale è assicurarsi che gli utenti con accesso privilegiato utilizzino le credenziali di amministratore solo quando accedono a computer protetti, su cui nessun utente non sensibile abbia diritti di amministratore. Nell'esempio, assicurarsi che nel caso in cui Samira debba accedere a REDMOND-WA-DEV, effettui l'accesso con un nome utente e una password diversi dalle credenziali di amministratore, oppure rimuova il gruppo Contoso All dal gruppo amministratori locale su REDMOND-WA-DEV.
È anche consigliabile assicurarsi che nessuno disponga di autorizzazioni amministrative locali non necessarie. Nell'esempio verificare se tutti gli utenti di Contoso All hanno effettivamente bisogno dei diritti di amministratore su REDMOND-WA-DEV.
Assicurarsi che gli utenti abbiano accesso solo alle risorse necessarie. Nell'esempio, Oscar Posada aumenta notevolmente l'esposizione di Samira. È necessario che siano inclusi nel gruppo Contoso All? Esistono sottogruppi che è possibile creare per ridurre al minimo l'esposizione?
Tip
Se l'attività non viene rilevata negli ultimi due giorni, il grafico non viene visualizzato, ma il report del percorso di spostamento laterale è ancora disponibile per fornire informazioni sui percorsi di spostamento laterale negli ultimi 60 giorni.
Tip
Per istruzioni su come impostare i server per consentire ad ATA di eseguire le operazioni di SAM-R necessarie per il rilevamento del percorso di spostamento laterale, configurare SAM-R.