รายละเอียด
การขอ เครื่องมือวิเคราะห์การเคลื่อนไหวด้านข้าง (เบต้า) ช่วยให้ทีมรักษาความปลอดภัยสามารถค้นหาการเคลื่อนไหวในแนวข้างในสภาพแวดล้อมของพวกเขาได้ เครื่องมือนี้จะวิเคราะห์ปริมาณการรับส่งข้อมูล AD แบบออฟไลน์ และให้ผลลัพธ์ที่ดำเนินการได้เกี่ยวกับบัญชีที่สงสัยว่าถูกบุกรุก และเครื่องที่บัญชีเหล่านี้เข้าถึง การใช้เครื่องมือนี้เป็นประจำสามารถช่วยตรวจจับได้อย่างมาก การเคลื่อนไหวด้านข้าง ในระยะเริ่มแรกและดำเนินการที่จำเป็นเพื่อกำจัดสิ่งที่เป็นอันตรายออกจากสภาพแวดล้อม
รายละเอียด
เครื่องมือประกอบด้วยสองโมดูล: Collectorซึ่งรวบรวม การรับรอง บันทึกจากสภาพแวดล้อมและ วิเคราะห์ซึ่งจะวิเคราะห์บันทึกเหล่านี้เพื่อตรวจหาความผิดปกติในการตรวจสอบสิทธิ์ที่เกี่ยวข้องกับรูปแบบการเคลื่อนไหวด้านข้าง
Collector
โมดูล Event Log Collector รวบรวมบันทึกการตรวจสอบสิทธิ์ในลักษณะต่อไปนี้:
- NTLM การรับรองความถูกต้อง: การสแกนตัวควบคุมโดเมนสำหรับเหตุการณ์ Windows 8004
- Kerberos การรับรองความถูกต้อง: การสแกนเครื่องไคลเอนต์สำหรับเหตุการณ์ Windows 4648
คุณสมบัติผู้สมัคร:
- สิทธิ์ผู้ดูแลระบบโดเมน
- การเข้าถึง LDAP/S และ RPC ไปยัง DC และไคลเอนต์
- เครื่อง Windows ที่มี Python 3.8 ขึ้นไป
เอาต์พุต: ไฟล์ CSV ที่มีฟิลด์ต่อไปนี้: โฮสต์ต้นทาง ปลายทาง ชื่อผู้ใช้ ประเภทการรับรองความถูกต้อง SPN และการประทับเวลาในรูปแบบ %Y/%M/%D %H:%M
วิเคราะห์
เครื่องวิเคราะห์ดำเนินการกับข้อมูลที่ Collector ให้ไว้ โดยค้นหารูปแบบการเคลื่อนไหวด้านข้างตามวิธีการต่อไปนี้:
- อัลกอริธึม Lateral Movement Analyzer (LATMA): การปรับปรุงอัลกอริทึม Hopper เพื่อตรวจจับการยืนยันตัวตนผู้ใช้ที่ผิดปกติ
- IoCs การเคลื่อนไหวด้านข้าง: ด้วยการตรวจสอบความถูกต้องที่ผิดปกติที่ LATMA จัดเตรียมให้ เครื่องวิเคราะห์จะค้นหาลำดับและรูปแบบการตรวจสอบความถูกต้องที่ระบุว่ามีการเคลื่อนไหวด้านข้างที่ใช้งานอยู่
คุณสมบัติผู้สมัคร:
- สามารถดำเนินการวิเคราะห์ได้จากทั้งเครื่อง Windows และ Linux
Output:
- ไฟล์ข้อความที่มีรายชื่อผู้ถูกบุกรุก บัญชีผู้ใช้ และเครื่องจักร และคำอธิบายรายการต่อบรรทัดของการโจมตีที่ต้องสงสัย
- ไฟล์ GIF พร้อมการแสดงภาพเต็มรูปแบบของโฟลว์การโจมตีที่ต้องสงสัย
การขอ เบต้า รุ่นสามารถดาวน์โหลดได้ด้านล่าง