Ferramentas

Analise o tráfego do AD com a ferramenta Analisador de Movimento Lateral (Beta)

Os controladores de domínio são o sistema nervoso da sua empresa. SilverfortA ferramenta de avaliação de vulnerabilidades do permite descobrir todos os DCs em seu domínio e saber se eles têm vulnerabilidades que os expõem a ataques baseados em identidade.
Ferramenta de análise de movimento lateral – Cartão de arquivo 842x626px
Faça o download
Faça o download

Compartilhe este post:

Descrição

O processo de Ferramenta Analisador de Movimento Lateral (beta) permite que as equipes de segurança busquem movimento lateral ativo em seus ambientes. A ferramenta analisa o tráfego do AD offline e fornece saída acionável sobre as contas suspeitas de terem sido comprometidas e as máquinas que essas contas acessaram. O uso rotineiro desta ferramenta pode auxiliar significativamente na detecção movimento lateral em seus estágios iniciais e tomando as ações necessárias para remover entidades maliciosas do ambiente.

Detalhes

A ferramenta inclui dois módulos: Colecionador, que reúne autenticação registros do ambiente e Analista, que analisa esses logs para detectar anomalias de autenticação associadas a padrões de movimento lateral.

Colecionador

O módulo Event Log Collector reúne logs de autenticação da seguinte maneira:

  • NTLM autenticações: verificando controladores de domínio em busca do evento 8004 do Windows.
  • Kerberos autenticação: verificando máquinas clientes em busca do evento 4648 do Windows.

Requisitos:

  • Privilégios de administrador de domínio.
  • Acesso LDAP/S e RPC ao DC e ao cliente.
  • Máquina Windows com Python 3.8 ou superior.

Saída: arquivo CSV com os seguintes campos: host de origem, destino, nome de usuário, tipo de autenticação, SPN e carimbos de data/hora no formato %Y/%M/%D %H:%M

Analista

O Analisador opera com os dados fornecidos pelo Coletor, procurando padrões de movimento lateral com base nos seguintes métodos:

  • Algoritmo Lateral Movement Analyzer (LATMA): aprimoramento do algoritmo Hopper para detectar autenticações anômalas de usuários.
  • IoCs de movimento lateral: com as autenticações anômalas fornecidas pelo LATMA, o analisador procura sequências e padrões de autenticação que indicam que um movimento lateral ativo está ocorrendo.

Requisitos:

  • O analisador pode ser executado em máquinas Windows e Linux.

Saída:

  • Arquivo de texto contendo uma lista de comprometidos contas de usuário e máquinas, e descrição linha por linha do ataque suspeito.
  • Arquivo GIF com visualização completa do fluxo de ataque suspeito.

O processo de beta versão está disponível para download abaixo.

Ousamos levar a segurança da identidade ainda mais longe.

Descubra o que é possível.

Configure uma demonstração para ver o Silverfort Plataforma de segurança de identidade em ação.

Solicite uma demonstração