> For the complete documentation index, see [llms.txt](https://wiki.datadike.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://wiki.datadike.com/product-guide/configuracoes/pam/sysadmin/enviroment/mapa-de-rede-e-movimentacao-lateral.md). # Mapa de Rede e Movimentação Lateral O **Mapa de Rede** do DataDike PAM é a visão consolidada de como as credenciais privilegiadas se distribuem e se relacionam pelo ambiente. A partir da descoberta automática de contas em estações e servidores Windows, o módulo correlaciona reutilização de credenciais e hashes entre máquinas, revela **caminhos de movimentação lateral** (incluindo cenários de *pass-the-hash*) e permite priorizar e mitigar os riscos por meio da rotação automática de credenciais. Esta página descreve como o ambiente é descoberto, como as relações de credenciais são identificadas, como navegar pelo mapa gráfico interativo e pelos relatórios equivalentes, e como articular essas informações com o *discovery* e a rotação de credenciais. {% hint style="info" %} **Onde encontrar:** acesse pelo menu **Sysadmin > Environment > Mapa de Rede**. As ações de descoberta e rotação são disparadas a partir desta mesma área e dos painéis de contas associados. {% endhint %} ## Visão geral O Mapa de Rede parte do princípio de que o risco de comprometimento privilegiado não está apenas em uma conta isolada, mas na **rede de confiança implícita** que se forma quando a mesma credencial — ou o mesmo material de autenticação (hash NTLM, segredo de conta de serviço) — é reutilizada em múltiplos hosts. Um atacante que comprometa um único endpoint pode "saltar" para outros sistemas reaproveitando esse material, sem nunca precisar conhecer a senha em texto claro. O DataDike PAM combina três capacidades para tratar esse risco: * **Descoberta (discovery):** inventaria contas locais e de domínio nas máquinas Windows alcançáveis. * **Análise de relações:** correlaciona onde cada credencial/hash aparece e desenha os caminhos de propagação possíveis. * **Mitigação:** aplica rotação automática para quebrar a reutilização e fechar os caminhos identificados. ## Descoberta e alteração de credenciais em ambiente Windows A base do mapa é o inventário de contas. O DataDike PAM realiza a descoberta de credenciais em hosts Windows alcançáveis e classifica cada conta encontrada por tipo, garantindo que **nenhuma categoria de conta privilegiada fique fora do controle**. ### Tipos de conta descobertos * **Contas nomeadas:** contas locais e de domínio criadas explicitamente para usuários ou serviços (por exemplo, `svc_backup`, `adm_joao`). O PAM identifica em quais máquinas cada conta nomeada existe e onde ela possui privilégios administrativos efetivos. * **Administradores built-in:** a conta `Administrator` (RID 500) local de cada máquina, incluindo casos em que ela foi renomeada. Por ser uma conta de altíssimo privilégio e frequentemente compartilhar a mesma senha em várias estações de uma mesma imagem, recebe destaque especial na análise de reutilização. * **Contas de convidado:** a conta `Guest` (RID 501) e equivalentes. O PAM verifica seu estado (habilitada/desabilitada) e sinaliza quando contas de convidado estão ativas, pois representam superfície de ataque adicional. Para cada conta, o módulo registra o host de origem, o domínio (quando aplicável), o tipo, o estado, os grupos privilegiados aos quais pertence e o **identificador de segurança (SID)**, usado posteriormente para correlacionar a mesma identidade entre máquinas. ### Alteração e cofragem das credenciais Uma vez descobertas, as contas podem ser colocadas sob gestão do cofre do DataDike PAM. A partir desse momento, o PAM pode **alterar a credencial** — definindo uma senha aleatória forte e única — e passar a controlar seu ciclo de vida. A alteração inicial é o passo que retira a conta de um estado desconhecido (senha possivelmente compartilhada, antiga ou exposta) e a coloca sob política controlada. {% hint style="warning" %} **Built-in compartilhada:** quando o administrador built-in usa a **mesma senha em várias máquinas**, ele é o vetor clássico de movimentação lateral. A alteração da credencial deve tornar a senha **única por host**, eliminando a reutilização. {% endhint %} A descoberta pode ser executada de forma pontual (sob demanda) ou recorrente, mantendo o inventário e o mapa sempre atualizados conforme novas máquinas e contas surgem no ambiente. ## Detecção de movimentação lateral e pass-the-hash Com o inventário em mãos, o DataDike PAM passa à etapa de **análise de relações de credenciais**. O objetivo é responder à pergunta central de qualquer avaliação de risco privilegiado: *se esta máquina (ou esta conta) for comprometida, até onde o atacante consegue chegar?* ### Como as relações são identificadas O PAM correlaciona os dados de descoberta para detectar **reutilização de material de autenticação** entre hosts: * **Mesma credencial em múltiplas máquinas:** quando uma conta nomeada ou um administrador local aparece com privilégios em vários hosts, cada um desses hosts torna-se um ponto a partir do qual a credencial pode ser obtida e reaproveitada. * **Reutilização de hashes (pass-the-hash):** em ambientes Windows, o material NTLM de uma conta pode ser usado para autenticar sem a senha em claro. O PAM identifica onde o mesmo hash de uma conta é válido, expondo cenários em que um *hash* extraído de um endpoint comprometido permite acesso direto a outros hosts. * **Sessões e logons privilegiados:** o PAM considera onde contas privilegiadas mantêm ou mantiveram sessões, pois credenciais de uma conta de alto privilégio que faça logon em uma estação de menor confiança ficam expostas a roubo naquele host. * **Identidade compartilhada (SID/conta de domínio):** a correlação por SID e por conta de domínio permite ligar a mesma identidade entre máquinas distintas, mesmo quando o nome de exibição difere. ### Caminhos de ataque A partir dessas relações, o PAM constrói **caminhos de ataque (attack paths)**: sequências encadeadas de saltos plausíveis que partem de um host de entrada e terminam em um ativo de alto valor (por exemplo, um controlador de domínio ou um servidor crítico). * Cada caminho descreve a **cadeia de comprometimento**: host inicial → credencial reutilizada → próximo host → e assim por diante. * O PAM calcula o **número de saltos** até alvos sensíveis e quantos ativos críticos ficam alcançáveis a partir de cada ponto de entrada. * Contas e máquinas que aparecem em muitos caminhos — os **pontos de estrangulamento (choke points)** — são as melhores candidatas à mitigação prioritária, pois um único saneamento corta vários caminhos de uma só vez. {% hint style="danger" %} **Sinal crítico:** um caminho curto (poucos saltos) de uma estação comum até um controlador de domínio, sustentado por uma credencial reutilizada, é um dos achados de maior severidade. Trate-o com rotação imediata da credencial envolvida. {% endhint %} ## O mapa de rede gráfico e interativo A representação principal dos achados é um **mapa gráfico interativo** acessível em **Sysadmin > Environment > Mapa de Rede**. Ele exibe o ambiente como um grafo, no qual é possível enxergar de forma imediata os agrupamentos de risco. ### Elementos do grafo * **Nós (vértices):** representam **hosts** (estações e servidores) e **contas** (nomeadas, built-in, convidado). O tamanho e a cor do nó refletem o grau de exposição — por exemplo, quantos caminhos passam por ele e sua criticidade. * **Arestas (conexões):** representam as **relações de credenciais** descobertas — reutilização de senha, validade de hash, logon privilegiado. A orientação da aresta indica o sentido do salto possível. * **Destaques de risco:** caminhos que levam a ativos críticos e pontos de estrangulamento são realçados visualmente para chamar a atenção do operador. ### Como navegar * **Zoom e deslocamento:** aproxime para inspecionar um cluster específico ou afaste para a visão completa do ambiente. * **Seleção de nó:** ao clicar em um host ou conta, o painel lateral exibe os detalhes — tipo de conta, máquinas associadas, caminhos de entrada e de saída e ações disponíveis. * **Realce de caminho:** selecione um alvo crítico para que o mapa destaque todos os caminhos que chegam até ele, facilitando entender quais credenciais sustentam aquela exposição. ### Como filtrar A barra de filtros permite reduzir o grafo ao que importa no momento da análise: * Por **tipo de conta** (nomeada, administrador built-in, convidado). * Por **domínio**, **faixa de IP** ou **grupo de máquinas**. * Por **severidade** ou número máximo de saltos até um ativo crítico. * Por **estado de gestão** (sob cofre/rotação versus ainda não gerenciada). ### Como priorizar riscos A priorização recomendada combina o impacto do caminho com o esforço de mitigação: 1. Comece pelos **pontos de estrangulamento**: contas e hosts que aparecem no maior número de caminhos críticos. 2. Em seguida, trate os **caminhos mais curtos** até ativos de alto valor, pois oferecem ao atacante o menor custo. 3. Priorize a remediação de **credenciais reutilizadas** (built-in compartilhado, contas de serviço difundidas), porque uma única rotação fecha múltiplas arestas. 4. Reavalie o mapa após cada rodada de mitigação para confirmar a redução de caminhos. ### Visualização por relatórios e pela interface de gerenciamento Além do grafo, os mesmos achados estão disponíveis em **formato de relatório** e na **interface de gerenciamento**, atendendo a diferentes públicos: * **Relatórios:** listagens e sumários exportáveis com os caminhos de ataque, as credenciais reutilizadas, os pontos de estrangulamento e as recomendações de mitigação. São adequados para evidência de auditoria, acompanhamento de risco ao longo do tempo e comunicação com áreas que não operam o mapa diretamente. * **Interface de gerenciamento:** as mesmas relações aparecem de forma tabular nos painéis de contas e máquinas, permitindo que o operador parta de um host ou de uma conta específica e siga até as ações de remediação sem precisar do grafo. {% hint style="info" %} O mapa, os relatórios e a interface de gerenciamento compartilham a **mesma base de dados de descoberta e análise**. A escolha entre eles é apenas de formato de consumo — o conteúdo de risco é consistente entre as três visões. {% endhint %} ## Relação com discovery e rotação automática O Mapa de Rede não é uma capacidade isolada: ele se apoia no *discovery* para se alimentar e na rotação automática para entregar mitigação efetiva. ### Discovery: varredura por AD e por faixas de IP O inventário que alimenta o mapa é produzido pelo *discovery*, que opera por dois caminhos complementares: * **Varredura por Active Directory:** consulta o domínio para enumerar máquinas e contas conhecidas, garantindo cobertura dos ativos integrados ao AD. * **Varredura por faixas de IP:** percorre intervalos de endereços para localizar hosts Windows alcançáveis, incluindo máquinas que não estejam adequadamente catalogadas no AD. A combinação das duas estratégias reduz pontos cegos: o AD fornece a estrutura lógica, enquanto a varredura por faixa de IP captura o que existe de fato na rede. As descobertas podem ser **agendadas de forma recorrente**, de modo que o mapa reflita continuamente a realidade do ambiente. ### Rotação automática para mitigar os caminhos Identificado um caminho de movimentação lateral, a forma mais direta de eliminá-lo é **quebrar a reutilização de credenciais** que o sustenta. O DataDike PAM aplica **rotação automática**: * **Senhas únicas por host:** ao rotacionar, cada conta passa a ter uma senha aleatória e exclusiva, eliminando a propagação por senha compartilhada. * **Invalidação de hashes reaproveitados:** a alteração da credencial torna inválido o material de autenticação anterior, fechando o cenário de *pass-the-hash* associado àquela senha. * **Rotação sob política e sob demanda:** a rotação pode ocorrer em intervalos definidos por política, após cada uso (check-in/check-out) ou de forma imediata em resposta a um achado crítico do mapa. {% hint style="success" %} **Ciclo de remediação:** descobrir (discovery) → relacionar (mapa) → priorizar (pontos de estrangulamento e caminhos curtos) → rotacionar (mitigação) → reavaliar (novo mapa). Repetir esse ciclo reduz progressivamente a superfície de movimentação lateral do ambiente. {% endhint %} ## Boas práticas * Execute o *discovery* de forma recorrente para que o mapa não fique defasado em relação a novas máquinas e contas. * Trate prioritariamente o **administrador built-in compartilhado**, padronizando senhas únicas por host via rotação. * Mantenha as contas de **convidado desabilitadas** quando não houver necessidade explícita. * Use os **filtros por severidade** para focar nos caminhos que chegam a controladores de domínio e servidores críticos. * Após cada rodada de rotação, **reavalie o mapa** para validar a redução de caminhos e documentar a melhoria por meio dos relatórios. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.datadike.com/product-guide/configuracoes/pam/sysadmin/enviroment/mapa-de-rede-e-movimentacao-lateral.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.