Outils

Analyser le trafic AD avec l'outil d'analyse des mouvements latéraux (bêta)

Les contrôleurs de domaine sont le système nerveux de votre entreprise. SilverfortL'outil d'évaluation des vulnérabilités de vous permet de découvrir tous les contrôleurs de domaine de votre domaine et de déterminer s'ils présentent des vulnérabilités qui les exposent à des attaques basées sur l'identité.
Téléchargez
Téléchargez

Partager cet article:

Description

Le Outil d'analyse des mouvements latéraux (bêta) permet aux équipes de sécurité de rechercher les mouvements latéraux actifs dans leurs environnements. L'outil analyse le trafic AD hors ligne et fournit des résultats exploitables sur les comptes suspectés d'avoir été compromis et les machines auxquelles ces comptes ont accédé. L'utilisation régulière de cet outil peut considérablement aider à détecter mouvements latéraux à ses débuts et en prenant les mesures nécessaires pour éliminer les entités malveillantes de l’environnement.

DÉTAILS

L'outil comprend deux modules : Collector, qui rassemble protocoles d'authentification journaux de l'environnement et Analyzer, qui analyse ces journaux pour détecter les anomalies d'authentification associées aux modèles de mouvement latéral.

Collector

Le module Event Log Collector rassemble les journaux d'authentification de la manière suivante :

  • NTLM authentifications : analyse des contrôleurs de domaine pour l'événement Windows 8004.
  • Kerberos authentification : analyse des machines clientes pour l'événement Windows 4648.

Exigences :

  • Privilèges d'administrateur de domaine.
  • Accès LDAP/S et RPC au DC et au client.
  • Machine Windows avec Python 3.8 ou supérieur.

Sortie : fichier CSV avec les champs suivants : hôte source, destination, nom d'utilisateur, type d'authentification, SPN et horodatages au format %Y/%M/%D %H:%M

Analyzer

L'analyseur fonctionne sur les données fournies par le collecteur, recherchant des modèles de mouvement latéral basés sur les méthodes suivantes :

  • Algorithme Lateral Movement Analyzer (LATMA) : amélioration de l'algorithme Hopper pour détecter les authentifications anormales des utilisateurs.
  • IoC de mouvement latéral : avec les authentifications anormales fournies par LATMA, l'analyseur recherche des séquences et des modèles d'authentification qui indiquent qu'un mouvement latéral actif est en cours.

Exigences :

  • L'analyseur peut être exécuté à partir de machines Windows et Linux.

Sortie :

  • Fichier texte contenant une liste de compromis des comptes d'utilisateurs ou administrateurs et les machines, ainsi qu'une description ligne par ligne de l'attaque suspectée.
  • Fichier GIF avec visualisation complète du flux d'attaque suspecté.

Le bêta version est disponible en téléchargement ci-dessous.

Nous avons osé pousser la sécurité des identités plus loin.

Découvrez ce qui est possible.

Configurez une démo pour voir le Silverfort Plateforme de sécurité des identités en action.

Demande de démo