Entender e investigar Caminhos de Movimentação Lateral (LMPs) com o Microsoft Defender para Identidade

A movimentação lateral ocorre quando um invasor usa contas não confidenciais para obter acesso a contas confidenciais em toda a rede. A movimentação lateral é usada por invasores para identificar e obter acesso às contas e computadores confidenciais na rede que compartilham credenciais de entrada armazenadas em contas, grupos e computadores. Depois que um invasor faz movimentações laterais bem-sucedidas em direção aos principais alvos, ele também pode aproveitar e obter acesso aos seus controladores de domínio. Os ataques de movimentação lateral são realizados usando muitos dos métodos descritos em Alertas de segurança do Microsoft Defender para Identidade.

Um componente-chave dos insights de segurança do Microsoft Defender para Identidade são os Caminhos de Movimentação Lateral, ou LMPs. Os LMPs do Defender para Identidade são guias visuais que ajudam você a entender e identificar rapidamente como os invasores podem se mover lateralmente dentro da sua rede. O objetivo dos invasores com as movimentações laterais na kill chain de ataques cibernéticos é ganhar acesso a contas confidenciais e comprometê-las usando contas não confidenciais. Ao comprometer suas contas confidenciais, eles ficam mais perto do objetivo final: a predominância de domínio. Para impedir que esses ataques sejam bem-sucedidos, os LMPs do Defender para Identidade oferecem uma orientação visual direta e fácil de interpretar para suas contas mais vulneráveis e confidenciais. Os LMPs ajudam a mitigar e prevenir esses riscos no futuro e a fechar o acesso do invasor antes que eles obtenham a predominância do domínio.

Por exemplo:

Screenshot of a lateral movement path with details showing.

Os ataques de movimentação lateral são tipicamente realizados usando uma série de técnicas diferentes. Alguns dos métodos mais populares usados pelos invasores são o roubo de credenciais e os ataques Pass-the-Ticket. Nos dois métodos, as contas não confidenciais são usadas por invasores para movimentações laterais, explorando computadores não confidenciais que compartilham credenciais de logon armazenadas em contas, grupos e computadores com contas confidenciais.

Assista ao seguinte vídeo para saber mais sobre como reduzir os caminhos de movimentação lateral com o Defender para Identidade:


Onde posso encontrar os LMPs no Defender para Identidade?

Cada identidade descoberta pelo Defender para Identidade como parte de um LMP tem a informação Caminhos de movimentação lateral na guia Observado na organização. Por exemplo:

Lateral movement paths.

O LMP de cada entidade fornece informações diferentes, dependendo da confidencialidade da entidade:

  • Usuários confidenciais: os possíveis LMPs que levam a esse usuário são mostrados.
  • Usuários e computadores não confidenciais: os possíveis LMPs aos quais a entidade está relacionada são mostrados.

Sempre que a guia é selecionada, o Defender para Identidade exibe o LMP descoberto mais recentemente. Cada possível LMP é salvo por 48 horas após a descoberta. O histórico de LMPs está disponível. Veja os LMPs mais antigos que foram descobertos escolhendo Selecionar uma data. Você também pode escolher um usuário diferente que iniciou o LMP selecionando Iniciador de caminho.

Descoberta de LMP usando a busca avançada de ameaças

Para descobrir proativamente as atividades do caminho de movimentação lateral, você pode executar uma consulta de busca avançada de ameaças.

Veja abaixo um exemplo dessa consulta:

Advanced hunting query for lateral movement paths.

Para obter instruções sobre como executar consultas de busca avançada de ameaças, consulte Procurar ameaças proativamente com a busca avançada de ameaças no Microsoft Defender XDR.

O LMP agora pode ajudar diretamente no seu processo de investigação. As listas de evidências de alertas de segurança do Defender para Identidade fornecem as entidades relacionadas que estão envolvidas em cada caminho de movimentação lateral em potencial. As listas de evidências ajudam diretamente sua equipe de suporte de segurança a aumentar ou reduzir a importância do alerta de segurança e/ou da investigação de entidades relacionadas. Por exemplo, quando um alerta de Pass-the-Ticket é emitido, o computador de origem, o usuário comprometido e o computador de destino do qual o tíquete roubado foi usado fazem parte do caminho de movimentação lateral em potencial que leva a um usuário confidencial. A existência do LMP detectado torna a investigação do alerta e a observação do usuário suspeito ainda mais importantes para evitar que seu adversário faça outras movimentações laterais. Evidências rastreáveis são fornecidas em LMPs para tornar mais fácil e rápido para você evitar que invasores avancem na rede.

Avaliação de segurança de caminhos de movimentação lateral

O Microsoft Defender para Identidade monitora continuamente seu ambiente para identificar contas confidenciais com os caminhos de movimentação lateral mais arriscados que expõem um risco de segurança e emite relatórios sobre essas contas para ajudar você a gerenciar o ambiente. Os caminhos são considerados arriscados se tiverem três ou mais contas não confidenciais que possam expor a conta confidencial ao roubo de credenciais por agentes mal-intencionados. Para descobrir quais de suas contas confidenciais têm caminhos de movimentação lateral arriscados, revise a avaliação de segurança Caminhos de movimentação lateral (LMP) mais arriscados. Com base nas recomendações, você pode remover a entidade do grupo ou as permissões de administrador local da entidade do dispositivo especificado.

Para obter mais informações, consulte Avaliação de segurança: caminhos de movimentação lateral (LMPs) mais arriscados.

Melhores práticas preventivas

Os insights de segurança nunca são tarde demais para evitar o próximo ataque e remediar danos. Por esse motivo, investigar um ataque mesmo durante a fase de predominância de domínio fornece um exemplo diferente, mas importante. Normalmente, ao investigar um alerta de segurança, como de Execução Remota de Código, se o alerta for um verdadeiro positivo, o controlador de domínio pode já estar comprometido. Mas os LMPs informam onde o invasor obteve os privilégios e qual caminho eles usaram na rede. Dessa forma, os LMPs também podem oferecer insights importantes sobre como corrigir.

  • A melhor maneira de evitar a exposição de movimentações laterais na sua organização é garantir que os usuários confidenciais usem apenas as credenciais de administrador para fazer logon em computadores protegidos. No exemplo, verifique se os administradores no caminho realmente precisa de acesso ao computador compartilhado. Se precisarem de acesso, certifique-se de que eles iniciem sessão no computador compartilhado com um nome de usuário e senha diferentes das credenciais de administrador de cada um.

  • Verifique se os usuários não têm permissões administrativas desnecessárias. No exemplo, verifique se todos no grupo compartilhado realmente precisam de direitos de administrador no computador exposto.

  • Certifique-se de que as pessoas só tenham acesso aos recursos necessários. No exemplo, Ron Harper amplia significativamente a exposição de Nick Cowley. É necessário que Ron Harper seja incluído no grupo? Existem subgrupos que poderiam ser criados para minimizar a exposição à movimentação lateral?

Dica

Quando nenhuma atividade de caminho de movimentação lateral em potencial for detectada para uma entidade nas últimas 48 horas, escolha Selecionar uma data e verifique se há possíveis caminhos de movimentação lateral anteriores.

Importante

Para obter instruções sobre como configurar clientes e servidores para permitir que o Defender para Identidade execute as operações SAM-R necessárias para a detecção de caminhos de movimentação lateral, consulte Configurar o Microsoft Defender para Identidade para fazer chamadas remotas para SAM.

Investigar caminhos de movimentação lateral

Existem várias maneiras de usar e investigar LMPs. No portal do Microsoft Defender, faça a pesquisa por entidade e explore-a por caminho ou atividade.

  1. No portal, procure um usuário. Em Observado na organização (nas guias Visão geral e Observado), você pode ver se o usuário foi descoberto em um LMP em potencial.

  2. Se o usuário for descoberto, selecione a guia Observado na organização e escolha Caminhos de movimentação lateral.

  3. O gráfico exibido fornece um mapa dos caminhos possíveis para o usuário confidencial durante o período de 48 horas. Use a opção Selecionar uma data para exibir o gráfico de detecções de caminho de movimentação lateral anteriores para a entidade.

  4. Revise o gráfico para ver o que você consegue descobrir sobre a exposição das credenciais do usuário confidencial. Por exemplo, no caminho, siga as setas Conectado por para ver onde Nick fez logon com as credenciais privilegiadas. Nesse caso, as credenciais confidenciais de Nick foram salvas no computador exibido. Agora, observe que outros usuários fizeram logon em quais computadores que criaram mais exposição e vulnerabilidade. Neste exemplo, Elizabeth King pode acessar as credenciais do usuário por meio desse recurso.

Próximas etapas