Lateral movement detecteren
Zodra een aanvaller een voet aan de grond heeft, begint het interessante deel: bewegen van de eerste host naar datgene waarvoor ze eigenlijk kwamen. Die east-west-beweging laat sporen na als je weet welke events je moet koppelen.
Signalen om te koppelen
Lateral movement is zelden één rokend-pistool-event. Het komt naar boven uit correlatie:
- Netwerk-logon-events (
4624type 3) vanaf ongebruikelijke bronnen - Aanmaken van een service of geplande taak op de bestemming
- Kort daarna een remote procesaanmaak
Correleer over hosts heen, niet alleen binnen één host. Eén
4624is ruis; een reeks ervan die een account door het netwerk volgt, is een verhaal.
Een startquery
Deze KQL groepeert remote logons per bronaccount en host om accounts te tonen die in korte tijd veel machines aanraken:
SecurityEvent
| where EventID == 4624 and LogonType == 3
| summarize hosts = dcount(Computer), machines = make_set(Computer, 10)
by Account, bin(TimeGenerated, 1h)
| where hosts > 5
| sort by hosts desc
Technieken om te dekken
| ATT&CK-ID | Techniek | Belangrijkste signaal |
|---|---|---|
| T1021.002 | SMB / Admin Shares | 5140, 4624 type 3 |
| T1021.006 | WinRM | WinRM operational log |
| T1053.005 | Geplande taak | 4698 taak aangemaakt |
| T1569.002 | Service Execution | 7045 service geïnstalleerd |
Stem de drempels af op je omgeving. Beheerders raken legitiem veel hosts aan, dus bepaal eerst een baseline en alarmeer dan op de afwijking, niet op de ruwe activiteit.