Compartir a través de

Comprender e investigar las rutas de desplazamiento lateral (LMP) con Microsoft Defender for Identity

  • Artículo

El movimiento lateral es cuando un atacante usa cuentas no confidenciales para obtener acceso a cuentas confidenciales en toda la red. Los atacantes usan el movimiento lateral para identificar y obtener acceso a las cuentas y máquinas confidenciales de la red que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas. Una vez que un atacante realiza movimientos laterales correctos hacia sus objetivos clave, el atacante también puede aprovechar y obtener acceso a los controladores de dominio. Los ataques de movimiento lateral se realizan mediante muchos de los métodos descritos en Microsoft Defender for Identity alertas de seguridad.

Un componente clave de la información de seguridad de Microsoft Defender for Identity son las rutas de desplazamiento lateral o LOS LMP. Los LMP de Defender for Identity son guías visuales que le ayudan a comprender e identificar rápidamente cómo los atacantes pueden moverse lateralmente dentro de la red. El propósito de los movimientos laterales dentro de la cadena de eliminación de ciberataques es que los atacantes obtengan y pongan en peligro sus cuentas confidenciales mediante cuentas no confidenciales. Poner en peligro las cuentas confidenciales les acerca un paso más a su objetivo final, la dominación del dominio. Para evitar que estos ataques se realicen correctamente, los LMP de Defender for Identity proporcionan instrucciones visuales directas y fáciles de interpretar sobre las cuentas más vulnerables y confidenciales. Los LMP le ayudan a mitigar y evitar esos riesgos en el futuro y a cerrar el acceso de los atacantes antes de que alcancen la dominación del dominio.

Por ejemplo:

Captura de pantalla de una ruta de desplazamiento lateral con detalles que se muestran.

Los ataques de movimiento lateral suelen realizarse mediante una serie de técnicas diferentes. Algunos de los métodos más populares que usan los atacantes son el robo de credenciales y el pase del vale. En ambos métodos, los atacantes usan las cuentas no confidenciales para movimientos laterales mediante la explotación de máquinas no confidenciales que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas con cuentas confidenciales.

Vea el siguiente vídeo para obtener más información sobre cómo reducir las rutas de desplazamiento lateral con Defender for Identity:


¿Dónde puedo encontrar los LMP de Defender for Identity?

Cada identidad detectada por Defender for Identity para estar en un LMP tiene información de rutas de desplazamiento lateral en la pestaña Observada en la organización . Por ejemplo:

Recorridos de movimiento lateral.

El LMP de cada entidad proporciona información diferente en función de la confidencialidad de la entidad:

  • Usuarios confidenciales: se muestran los LMP potenciales que conducen a este usuario.
  • Usuarios y equipos no confidenciales: se muestran los LMP potenciales con los que está relacionada la entidad.

Cada vez que se selecciona la pestaña, Defender for Identity muestra el LMP detectado más recientemente. Cada LMP potencial se guarda durante 48 horas después de la detección. El historial de LMP está disponible. Para ver los LMP anteriores que se detectaron en el pasado, elija Seleccionar una fecha. También puede elegir un usuario diferente que inició el LMP seleccionando Iniciador de ruta de acceso.

Detección de LMP mediante la búsqueda avanzada

Para detectar proactivamente actividades de ruta de desplazamiento lateral, puede ejecutar una consulta de búsqueda avanzada.

Este es un ejemplo de una consulta de este tipo:

Consulta de búsqueda avanzada para rutas de desplazamiento lateral.

Para obtener instrucciones sobre cómo ejecutar consultas de búsqueda avanzadas, consulte Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft Defender XDR.

LMP ahora puede ayudar directamente con su proceso de investigación. Las listas de evidencias de alertas de seguridad de Defender for Identity proporcionan las entidades relacionadas que están implicadas en cada posible ruta de desplazamiento lateral. Las listas de evidencias ayudan directamente al equipo de respuesta de seguridad a aumentar o reducir la importancia de la alerta de seguridad o la investigación de las entidades relacionadas. Por ejemplo, cuando se emite una alerta Pass the Ticket, el equipo de origen, el usuario en peligro y el equipo de destino desde el que se usó el vale robado forman parte de la posible ruta de desplazamiento lateral que conduce a un usuario confidencial. La existencia del LMP detectado hace que investigar la alerta y ver al usuario sospechoso sea aún más importante para evitar que el adversario se mueva lateralmente. La evidencia rastreable se proporciona en los LMP para que sea más fácil y rápido evitar que los atacantes avancen en la red.

Evaluación de la seguridad de las rutas de desplazamiento lateral

Microsoft Defender for Identity supervisa continuamente su entorno para identificar cuentas confidenciales con las rutas de desplazamiento lateral más arriesgadas que exponen un riesgo de seguridad, e informes sobre estas cuentas para ayudarle a administrar su entorno. Las rutas de acceso se consideran de riesgo si tienen tres o más cuentas no confidenciales que pueden exponer la cuenta confidencial al robo de credenciales por parte de actores malintencionados. Para descubrir cuáles de sus cuentas confidenciales tienen rutas de desplazamiento lateral de riesgo, revise la evaluación de seguridad de las rutas de desplazamiento lateral más arriesgadas (LMP ). En función de las recomendaciones, puede quitar la entidad del grupo o quitar los permisos de administrador local para la entidad del dispositivo especificado.

Para obtener más información, consulte Evaluación de la seguridad: Rutas de desplazamiento lateral (LMP) más arriesgadas.

Procedimientos recomendados preventivos

La información de seguridad nunca es demasiado tarde para evitar el siguiente ataque y corregir los daños. Por este motivo, investigar un ataque incluso durante la fase de dominación del dominio proporciona un ejemplo diferente, pero importante. Normalmente, al investigar una alerta de seguridad como La ejecución remota de código, si la alerta es un verdadero positivo, es posible que el controlador de dominio ya esté en peligro. Sin embargo, los LMP informan sobre dónde obtuvo privilegios el atacante y qué ruta de acceso usaron en la red. De esta manera, los LMP también pueden ofrecer información clave sobre cómo corregir.

  • La mejor manera de evitar la exposición al movimiento lateral dentro de la organización es asegurarse de que los usuarios confidenciales solo usen sus credenciales de administrador al iniciar sesión en equipos protegidos. En el ejemplo, compruebe si el administrador de la ruta de acceso realmente necesita acceso al equipo compartido. Si necesitan acceso, asegúrese de que inician sesión en el equipo compartido con un nombre de usuario y una contraseña distintos de sus credenciales de administrador.

  • Compruebe que los usuarios no tienen permisos administrativos innecesarios. En el ejemplo, compruebe si todos los usuarios del grupo compartido realmente necesitan derechos de administrador en el equipo expuesto.

  • Asegúrese de que las personas solo tengan acceso a los recursos necesarios. En el ejemplo, Ron Harper amplía significativamente la exposición de Nick Cowley. ¿Es necesario que Ron Harper esté incluido en el grupo? ¿Hay subgrupos que se podrían crear para minimizar la exposición al movimiento lateral?

Sugerencia

Cuando no se detecte ninguna actividad de ruta de desplazamiento lateral potencial para una entidad en las últimas 48 horas, elija Seleccionar una fecha y compruebe si hay rutas de desplazamiento lateral potenciales anteriores.

Importante

Para obtener instrucciones sobre cómo establecer los clientes y servidores para permitir que Defender for Identity realice las operaciones SAM-R necesarias para la detección de rutas de desplazamiento lateral, consulte Configuración de Microsoft Defender for Identity para realizar llamadas remotas a SAM.

Investigar rutas de movimiento lateral

Hay varias maneras de usar e investigar los LMP. En el portal de Microsoft Defender, busque por entidad y explore por ruta de acceso o actividad.

  1. En el portal, busque un usuario. En Observado en la organización (en las pestañas Información general y Observada ), puede ver si el usuario se detecta en un LMP potencial.

  2. Si se detecta al usuario, seleccione la pestaña Observada en la organización y elija Rutas de desplazamiento lateral.

  3. El gráfico que se muestra proporciona un mapa de las posibles rutas de acceso al usuario confidencial durante el período de tiempo de 48 horas. Use la opción Seleccionar una fecha para mostrar el gráfico de detecciones de rutas de desplazamiento lateral anteriores para la entidad.

  4. Revise el gráfico para ver lo que puede obtener información sobre la exposición de las credenciales del usuario confidencial. Por ejemplo, en la ruta de acceso, siga las flechas Iniciado sesión por para ver dónde ha iniciado sesión Nick con sus credenciales con privilegios. En este caso, las credenciales confidenciales de Nick se guardaron en el equipo mostrado. Ahora, observe qué otros usuarios iniciaron sesión en los equipos que crearon la mayor exposición y vulnerabilidad. En este ejemplo, Elizabeth King tiene la capacidad de acceder a las credenciales de usuario desde ese recurso.

Pasos siguientes