Accesorios

Analice el tráfico de AD con la herramienta Analizador de movimiento lateral (Beta)

Los controladores de dominio son el sistema nervioso de su empresa. SilverfortLa herramienta de evaluación de vulnerabilidades le permite descubrir todos los controladores de dominio en su dominio y determinar si tienen vulnerabilidades que los expongan a ataques basados ​​en identidad.
Herramienta de análisis de movimiento lateral – Tarjeta de archivo 842x626px
Descargar Ahora
Descargar Ahora

Comparte este artículo:

Descripción

La función  Herramienta Analizador de movimiento lateral (beta) permite a los equipos de seguridad buscar movimientos laterales activos en sus entornos. La herramienta analiza el tráfico de AD sin conexión y proporciona resultados prácticos sobre las cuentas sospechosas de haber sido comprometidas y las máquinas a las que accedieron estas cuentas. El uso rutinario de esta herramienta puede ayudar significativamente a detectar movimiento lateral en sus primeras etapas y tomando las acciones necesarias para eliminar las entidades maliciosas del entorno.

Detalles

La herramienta incluye dos módulos: Coleccionista, que reúne autenticación registros del entorno y Analyzer, que analiza estos registros para detectar anomalías de autenticación asociadas con patrones de movimiento lateral.

Coleccionista

El módulo Event Log Collector recopila registros de autenticación de la siguiente manera:

  • NTLM Autenticaciones: escaneo de controladores de dominio en busca de evento 8004 de Windows.
  • Kerberos Autenticación: escaneo de máquinas cliente en busca del evento 4648 de Windows.

Requisitos:

  • Privilegios de administrador de dominio.
  • Acceso LDAP/S y RPC al DC y al cliente.
  • Máquina Windows con Python 3.8 o superior.

Salida: archivo CSV con los siguientes campos: host de origen, destino, nombre de usuario, tipo de autenticación, SPN y marcas de tiempo en el formato %Y/%M/%D %H:%M

Analyzer

El Analizador opera con los datos que proporciona el Recolector, buscando patrones de movimiento lateral según los siguientes métodos:

  • Algoritmo Analizador de movimiento lateral (LATMA): mejora del algoritmo Hopper para detectar autenticaciones de usuarios anómalas.
  • IoC de movimiento lateral: con las autenticaciones anómalas que proporciona LATMA, el analizador busca secuencias y patrones de autenticación que indiquen que se está produciendo un movimiento lateral activo.

Requisitos:

  • El analizador se puede ejecutar tanto desde máquinas Windows como Linux.

Salida:

  • Archivo de texto que contiene una lista de archivos comprometidos cuentas de usuario y máquinas, y una descripción línea por línea del presunto ataque.
  • Archivo GIF con visualización completa del flujo de ataque sospechoso.

La función  beta La versión está disponible para descargar a continuación.

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Solicita una demo