Movimento lateral: Manipulação de contas

A manipulação de contas é uma técnica utilizada por invasores para obter acesso a recursos críticos. Nessa técnica, o invasor se apodera de uma conta de usuário que não tem privilégios suficientes para acessar o recurso ou os dados necessários e eleva seus privilégios.

Após obter acesso a uma conta de usuário para obter privilégios adicionais e executar determinadas ações adversas, os invasores manipulam a conta revisando suas permissões de política de grupo, atualizando as credenciais para aumentar sua vida útil e alterando as configurações de conta e autenticação.

Caso os invasores comprometam uma conta administrativa ou aumentarem os privilégios de uma conta de usuário padrão para executar tarefas administrativas, eles poderão criar novas contas de usuário. Em seguida, eles podem atribuir um conjunto de permissões a essas contas de usuário e utilizá-las como pontos de entrada de backdoor para sua rede no futuro.

Como você pode detectar manipulações de contas na sua rede?

Todas as contas de usuário e de sistema presentes no Active Directory e plataformas de nuvem devem ser monitoradas constantemente para detectar atividades anormais. Certifique-se de verificar as anomalias abaixo na sua rede para detectar manipulação de contas:

  • Monitore as atividades de contas de usuários privilegiados constantemente. Se houver um desvio repentino no comportamento de uma conta de usuário privilegiado, isso pode representar uma ameaça potencial.
  • Verifique as contas de administrador para ver se há algum pico de atividade. Você precisa monitorar seu ambiente cuidadosamente no que tange às atividades de criação de contas, modificação e redefinição de senhas. Aqui estão alguns IDs de eventos que você pode monitorar de perto:
    • ID do eventoDescrição
    4722Gerado para eventos de gerenciamento de contas de usuário. Esse ID de evento é registrado quando uma conta de usuário é ativada ou desativada.
    4724O ID de evento 4724 especifica que a senha de uma conta foi redefinida.
    4738Esse ID de evento especifica se alguma modificação foi realizada nas permissões da conta.
  • Embora esses IDs de eventos possam ser registrados várias vezes em uma rede típica, você deve verificar se eles são gerados em horários incomuns. Você também pode verificar se alguma conta de usuário não utilizada foi ativada repentinamente e se suas permissões foram modificadas. Você também pode buscar tentativas de redefinição de senha em qualquer conta de usuário (ID de evento 4724 gerado várias vezes para a mesma conta) para detectar atividades maliciosas na sua rede.
  • Verifique os logs do Azure AD para garantir que uma segunda senha para os Server Principals não tenha sido definida, pois é possível que um invasor defina uma segunda senha para acessar essa plataforma de maneira persistente.
  • Além disso, monitore os logs da AWS quanto a relações de confiança, pois as contas da AWS podem estabelecer relações de confiança entre si simplesmente identificando outra conta pelo nome.

Como mitigar manipulações de contas?

Correlacione todos os seus logs de rede para obter o conhecimento adequado sobre como um invasor compromete uma conta de usuário, move-se lateralmente na sua rede e utiliza contas de usuário privilegiadas indevidamente em benefício próprio. Identifique contas de usuário e de sistema que tenham comportamento desviante e anômalo analisando todos os logs coletados.

Quando essas contas forem identificadas, redefina as senhas das contas de usuário comprometidas. Fortaleça os mecanismos de autenticação utilizando a autenticação multifator para contas de usuários privilegiados e administrativos como uma melhor prática de segurança. Pode ser difícil detectar anomalias na enorme pilha de logs coletados manualmente. Você pode usar uma solução de gerenciamento de informações e eventos de segurança (SIEM) para ajudá-lo a detectar atividades maliciosas.

O Log360 é uma solução de SIEM que pode coletar logs de todos os dispositivos da sua rede. Ele correlaciona as atividades que ocorrem em todas as partes da sua rede e gera relatórios intuitivos. O Log360 permite-lhe configurar alertas em tempo real para atividades anormais e o notifica por SMS e e-mail em caso de ameaça ou ataque. Usando o Log360, você pode configurar fluxos de trabalho de incidentes como respostas a ameaças para mitigá-las nas etapas iniciais.

Confira agora as capacidades do Log360.

Products mentioned on this page:

Recently added chapters

     
 

Receba os conteúdos mais recentes
entregues diretamente na sua caixa de entrada!

 

Segurança cibernética - Base de conhecimentos

     
     

  Zoho Corporation Pvt. Ltd. All rights reserved.

Eventlog Analyzer

A solução EventLog Analyser tem a confiança de

Los Alamos National BankMichigan State University
PanasonicComcast
Oklahoma State UniversityIBM
AccentureBank of America
Infosys
Ernst Young

Opinião dos clientes

  • Credit Union of Denver vem utilizando o EventLog Analyzer por mais de quatro anos para o monitoramento de atividades de usuários internos. O EventLog Analyzer agrega valor na relação custo-benefício como uma ferramenta forense de rede e para due diligence regulatória. Este produto pode rapidamente ser dimensionado para atender às necessidades dos nossos negócios dinâmicos.
    Benjamin Shumaker
    Vice-presidente de TI/ISO
    Credit Union of Denver
  • O que mais gosto na aplicação é a interface de usuário bem estruturada e os relatórios automatizados. É uma imensa ajuda para os técnicos de rede monitorarem todos os dispositivos em um único painel. Os relatórios pré-configurados são uma obra de arte inteligente.
    Joseph Graziano, MCSE CCA VCP
    Engenheiro de Rede Sênior
    Citadel
  • O EventLog Analyzer é uma boa solução de alerta e geração de relatórios de logs de eventos para as nossas necessidades de tecnologia da informação. Ele reduz o tempo gasto na filtragem de logs de eventos e fornece notificações quase em tempo real de alertas definidos administrativamente.
    Joseph E. Veretto
    Especialista em Revisão de Operações
    Agência de Sistemas de Informação
    Florida Department of Transportation
  • Os logs de eventos do Windows e Syslogs dos dispositivos constituem uma sinopse em tempo real do que está acontecendo em um computador ou rede. O EventLog Analyzer é uma ferramenta econômica, funcional e fácil de usar que me permite saber o que está acontecendo na rede ao enviar alertas e relatórios, tanto em tempo real quanto agendados. É uma aplicação premium com um sistema de detecção de intrusão de software.
    Jim Lloyd
    Gerente de Sistemas da Informação
    First Mountain Bank
DepoimentosEstudos de caso

Prêmios e Reconhecimentos

  •  
  • Info Security's 2014 Global Excellence Awards
  • Info Security’s 2013 Global Excellence Awards - Silver Winner
  •  

Um único painel para gerenciamento abrangente de logs

Gerenciamento de LogsConformidade de TIAnalisador de LogsLinks RápidosProdutos associados