Azure ATP-ArchitekturAzure ATP Architecture

Azure ATP erfasst und analysiert Netzwerkdatenverkehr und nutzt Windows-Ereignisse direkt von Ihren Domänencontrollern, um Ihre Domänencontroller zu überwachen. Diese Daten werden dann auf Angriffe oder Bedrohungen geprüft.Azure ATP monitors your domain controllers by capturing and parsing network traffic and leveraging Windows events directly from your domain controllers, then analyzes the data for attacks and threats. Azure ATP erhält durch Profilerstellung, deterministische Erkennungsmethoden, maschinelles Lernen und Verhaltensalgorithmen Informationen zu Ihrem Netzwerk, erkennt Anomalien und warnt Sie bei verdächtigen Aktivitäten.Utilizing profiling, deterministic detection, machine learning, and behavioral algorithms Azure ATP learns about your network, enables detection of anomalies, and warns you of suspicious activities.

Architektur von Azure Advanced Threat Protection:Azure Advanced Threat Protection architecture:

Topologiediagramm der Azure ATP-Architektur

In diesem Abschnitt wird die Netzwerk- und Ereigniserfassung in Azure ATP erläutert. Des Weiteren wird auf die Funktionsweise der Hauptkomponenten eingegangen: das Azure ATP-Portal, der Azure ATP-Sensor und der Azure ATP-Clouddienst.This section describes how the flow of Azure ATP's network and event capturing works, and drills down to describe the functionality of the main components: the Azure ATP portal, Azure ATP sensor, and Azure ATP cloud service.

Wenn Sie den Azure ATP-Sensor direkt auf Ihrem Domänencontroller installieren, greift er direkt vom Domänencontroller auf die erforderlichen Ereignisprotokolle zu.Installed directly on your domain controllers, the Azure ATP sensor accesses the event logs it requires directly from the domain controller. Nach Analyse dieser Protokolle und des Netzwerkdatenverkehrs durch den Sensor sendet Azure ATP nur diese analysierten Informationen (nicht alle Protokolle) an den Azure ATP-Clouddienst (nur ein Teil der Protokolle wird gesendet).After the logs and network traffic are parsed by the sensor, Azure ATP sends only the parsed information to the Azure ATP cloud service (only a percentage of the logs are sent).

Azure ATP-KomponentenAzure ATP Components

Azure ATP umfasst die folgenden Komponenten:Azure ATP consists of the following components:

  • Azure ATP-PortalAzure ATP portal
    Über das Azure ATP-Portal können Sie Ihre Azure ATP-Instanz erstellen. Im Portal haben Sie zudem Zugriff auf die von Azure ATP-Sensoren erfassten Daten. Damit können Sie Bedrohungen in Ihrer Netzwerkumgebung überwachen, verwalten und untersuchen.The Azure ATP portal allows creation of your Azure ATP instance, displays the data received from Azure ATP sensors, and enables you to monitor, manage, and investigate threats in your network environment.

  • Azure ATP-SensorAzure ATP sensor
    Azure ATP-Sensoren werden direkt auf Ihren Domänencontrollern installiert.Azure ATP sensors are installed directly on your domain controllers. Der Sensor überwacht den Datenverkehr des Domänencontrollers direkt, ohne dass ein dedizierter Server oder die Konfiguration der Portspiegelung erforderlich ist.The sensor directly monitors domain controller traffic, without the need for a dedicated server, or configuration of port mirroring.

  • Azure ATP-ClouddienstAzure ATP cloud service
    Der Azure ATP-Clouddienst wird in der Azure-Infrastruktur ausgeführt und ist aktuell in den USA, Europa und China verfügbar.Azure ATP cloud service runs on Azure infrastructure and is currently deployed in the US, Europe, and Asia. Der Azure ATP-Clouddienst ist mit Microsoft Intelligent Security Graph verbunden.Azure ATP cloud service is connected to Microsoft's intelligent security graph.

Azure ATP-PortalAzure ATP portal

Im Azure ATP-Portal können Sie die folgenden Aktionen durchführen:Use the Azure ATP portal to:

  • Erstellen einer Azure ATP-InstanzCreate your Azure ATP instance
  • Integrieren in andere Microsoft-SicherheitsdiensteIntegrate with other Microsoft security services
  • Verwalten der Konfigurationseinstellungen des Azure ATP-SensorsManage Azure ATP sensor configuration settings
  • Anzeigen der Daten der Azure ATP-SensorenView data received from Azure ATP sensors
  • Überwachen erkannter verdächtiger Aktivitäten und mutmaßlicher Angriffe anhand des Cyber Kill Chain-ModellsMonitor detected suspicious activities and suspected attacks based on the attack kill chain model
  • Optional: Sie können außerdem festlegen, dass Sie E-Mails und Ereignisse erhalten, wenn Sicherheitswarnungen oder Integritätsprobleme erkannt werden.Optional: the portal can also be configured to send emails and events when security alerts or health issues are detected

Hinweis

  • Wenn innerhalb von 60 Tagen kein Sensor in Ihrer Azure ATP-Instanz installiert wird, kann es sein, dass die Instanz gelöscht wird und Sie sie erneut erstellen müssen.If no sensor is installed on your Azure ATP instance within 60 days, the instance may be deleted and you’ll need to recreate it.

Azure ATP-SensorAzure ATP sensor

Dies sind die Hauptfunktionen des Azure ATP-Sensors:The Azure ATP sensor has the following core functionality:

  • Erfassen und Überprüfen des Datenverkehrs von Domänencontrollern (lokaler Datenverkehr)Capture and inspect domain controller network traffic (local traffic of the domain controller)
  • Empfangen von Windows-Ereignissen direkt von DomänencontrollernReceive Windows Events directly from the domain controllers
  • Empfangen von Informationen zur RADIUS-Kontoführung über den VPN-AnbieterReceive RADIUS accounting information from your VPN provider
  • Abrufen von Daten über Benutzer und Computer aus der Active Directory-DomäneRetrieve data about users and computers from the Active Directory domain
  • Auflösen von Netzwerkentitäten (Benutzer, Gruppen und Computer)Perform resolution of network entities (users, groups, and computers)
  • Übertragen von relevanten Daten in den Azure ATP-ClouddienstTransfer relevant data to the Azure ATP cloud service

Features des Azure ATP-SensorsAzure ATP Sensor features

Der Azure ATP-Sensor liest lokal Ereignisse, ohne dass zusätzliche Hardware erworben und verwaltet oder Konfigurationen vorgenommen werden müssen.Azure ATP sensor reads events locally, without the need to purchase and maintain additional hardware or configurations. Der Azure ATP-Sensor unterstützt zudem die Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die die Protokollinformationen für mehrere Erkennungen bereitstellt.The Azure ATP sensor also supports Event Tracing for Windows (ETW) which provides the log information for multiple detections. ETW-basierte Erkennungen beinhalten vermutete DCShadow-Angriffe, die mithilfe von Replikationsanforderungen für Domänencontroller und der Heraufstufung des Domänencontrollers versucht wurden.ETW-based detections include Suspected DCShadow attacks attempted using domain controller replication requests and domain controller promotion.

Kandidat für die DomänensynchronisierungDomain synchronizer candidate

Der Kandidat für den Domänensynchronizer ist für die proaktive Synchronisierung aller Entitäten aus einer bestimmten Active Directory-Domäne verantwortlich (ähnlich dem Mechanismus, der von den Domänencontrollern selbst für die Replikation verwendet wird).The domain synchronizer candidate is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). Aus der Liste der Kandidaten wird nach dem Zufallsprinzip ein Sensor für den Domänensynchronizer ausgewählt.One sensor is chosen randomly, from the list of candidates, to serve as the domain synchronizer.

Wenn das Gateway für die Domänensynchronisierung mehr als 30 Minuten offline ist, wird stattdessen ein anderer Kandidaten ausgewählt.If the synchronizer is offline for more than 30 minutes, another candidate is chosen instead. Wenn für eine bestimmte Domäne kein Domänensynchronizer verfügbar ist, synchronisiert Azure ATP Entitäten und deren Änderungen proaktiv. Azure ATP ruft jedoch neue Entitäten ab, sobald sie im überwachten Datenverkehr erkannt werden.If there's no domain synchronizer available for a specific domain, Azure ATP proactively synchronizes entities and their changes, however Azure ATP retrieves new entities as they're detected in the monitored traffic.

Wenn kein Domänensynchronizer verfügbar ist und Sie nach einer Entität suchen, der kein Datenverkehr zugeordnet ist, werden keine Suchergebnisse angezeigt.If there's no domain synchronizer available, and you search for an entity that didn't have any traffic related to it, no search results are displayed.

Azure ATP-Sensoren werden nicht standardmäßig als mögliche Synchronizer angesehen.By default, Azure ATP sensors aren't synchronizer candidates. Führen Sie die unter Installieren von Azure ATP beschriebenen Schritte durch, um einen Azure ATP-Sensor manuell als Domänensynchronizer einzurichten.To manually set an Azure ATP sensor as a domain synchronizer candidate, follow the steps in the Azure ATP installation workflow.

RessourceneinschränkungenResource limitations

Der Azure ATP-Sensor enthält eine Überwachungskomponente, die die verfügbare Compute- und Arbeitsspeicherkapazität auf dem Domänencontroller auswertet, auf dem er ausgeführt wird.The Azure ATP sensor includes a monitoring component that evaluates the available compute and memory capacity on the domain controller on which it's running. Der Überwachungsprozess wird alle 10 Sekunden ausgeführt, und die CPU- und Arbeitsspeicherauslastung des Azure ATP-Sensorprozesses wird dynamisch angepasst.The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the Azure ATP sensor process. Der Überwachungsprozess stellt sicher, dass der Domänencontroller immer mindestens 15 % der verfügbaren Compute- und Arbeitsspeicherressourcen verwenden kann.The monitoring process makes sure the domain controller always has at least 15% of free compute and memory resources available.

Unabhängig von laufenden Aktionen macht der Überwachungsprozess Ressourcen für den Domänencontroller verfügbar, um sicherzustellen, dass die Hauptfunktionen des Domänencontrollers immer erfüllt werden können.No matter what occurs on the domain controller, the monitoring process continually frees up resources to make sure the domain controller's core functionality is never affected.

Wenn dem Azure ATP-Sensor dadurch nicht mehr genügend Ressourcen zur Verfügung stehen, wird nur ein Teil des Datenverkehrs überwacht, und die Überwachungswarnung „Dropped port mirrored network traffic.“ (Netzwerkdatenverkehr aus Portspiegelung aufgegeben.) wird auf der Seite „Health“ (Integrität) im Azure ATP-Portal angezeigt.If the monitoring process causes the Azure ATP sensor to run out of resources, only partial traffic is monitored and the monitoring alert "Dropped port mirrored network traffic" appears in the Azure ATP portal Health page.

Windows-EreignisseWindows Events

Um die Reichweite der Azure ATP-Erkennung von Identitätsdiebstahl (Pass-the-Hash-Angriffen), verdächtigen Authentifizierungsfehlern, Änderungen an sensiblen Gruppen, der Erstellung von verdächtigen Diensten und Angriffen mit Honeytoken-Aktivitätstypen zu verbessern, muss Azure ATP die Protokolle folgender Windows-Ereignisse analysieren: 4776,4732,4733,4728,4729,4756,4757 und 7045.To enhance Azure ATP detection coverage of suspected identity theft (pass-the-hash), suspicious authentication failures, modifications to sensitive groups, creation of suspicious services, and Honeytoken activity types of attack, Azure ATP needs to analyze the logs of the following Windows events: 4776,4732,4733,4728,4729,4756,4757, and 7045. Diese Ereignisse werden automatisch von Azure ATP-Sensoren mit den entsprechenden erweiterten Überwachungsrichtlinieneinstellungen gelesen.These events are read automatically by Azure ATP sensors with correct advanced audit policy settings.

Nächste SchritteNext steps