Häufig gestellte Fragen zu Azure ATPAzure ATP frequently asked questions

Dieser Artikel enthält eine Reihe häufig gestellter Fragen und Antworten zu Azure ATP, unterteilt in die folgenden Kategorien:This article provides a list of frequently asked questions and answers about Azure ATP divided into the following catergories:

Was ist Azure ATP?What is Azure ATP?

Was kann Azure ATP erkennen?What can Azure ATP detect?

Azure ATP erkennt bekannte Angriffe und Techniken, Sicherheitsprobleme und Risiken in Ihrem Netzwerk.Azure ATP detects known malicious attacks and techniques, security issues, and risks against your network. Die vollständige Liste der Azure ATP-Erkennungen finden Sie unter What detections does Azure ATP perform? (Welche Erkennungsvorgänge führt Azure ATP durch?).For the full list of Azure ATP detections, see What detections does Azure ATP perform?.

Welche Daten erfasst Azure ATP?What data does Azure ATP collect?

Azure ATP sammelt und speichert Informationen von Ihren konfigurierten Servern (Domänencontroller, Mitgliedsserver usw.) in einer Datenbank, die für den Dienst für Nachverfolgungs- und Berichterstellungszwecke sowie für administrative Zwecke spezifisch sind.Azure ATP collects and stores information from your configured servers (domain controllers, member servers, etc.) in a database specific to the service for administration, tracking, and reporting purposes. Gesammelte Informationen sind unter anderem Netzwerkdatenverkehr von und zu Domänencontrollern (z.B. Kerberos-Authentifizierung, NTLM-Authentifizierung, DNS-Abfragen), Sicherheitsprotokolle (z.B. Windows-Sicherheitsereignisse), Active Directory-Informationen (Struktur, Subnetze, Websites) sowie Entitätsinformationen (z.B. Namen, E-Mail-Adressen und Telefonnummern).Information collected includes network traffic to and from domain controllers (such as Kerberos authentication, NTLM authentication, DNS queries), security logs (such as Windows security events), Active Directory information (structure, subnets, sites), and entity information (such as names, email addresses, and phone numbers).

Microsoft verwendet diese Daten zu folgenden Zwecken:Microsoft uses this data to:

  • Zum proaktiven Identifizieren von Angriffsindikatoren (Indicators of Attack, IOAs) in Ihrer OrganisationProactively identify indicators of attack (IOAs) in your organization
  • Zum Generieren von Warnungen, wenn ein möglicher Angriff erkannt wurdeGenerate alerts if a possible attack was detected
  • Zum Bereitstellen von Sicherheitsvorgängen mit einen Einblick in Entitäten, die mit Bedrohungssignalen aus Ihrem Netzwerk verknüpft sind. So können Sie überprüfen und ermitteln, ob Sicherheitsbedrohungen vorhanden sind.Provide your security operations with a view into entities related to threat signals from your network, enabling you to investigate and explore the presence of security threats on the network.

Microsoft extrahiert Ihre Daten nicht zu Werbezwecken oder anderen Zwecken als die Bereitstellung des Dienstes für Sie.Microsoft does not mine your data for advertising or for any other purpose other than providing you the service.

Nutzt Azure ATP nur Active Directory-Datenverkehr?Does Azure ATP only leverage traffic from Active Directory?

Zusätzlich zur Analyse des Active Directory-Datenverkehrs mit der DPI-Technologie (Deep Packet Inspection) kann Azure ATP auch relevante Windows-Ereignisse aus Ihrem Domänencontroller sammeln und Entitätenprofile auf Grundlage von Informationen aus Active Directory Domain Services erstellen.In addition to analyzing Active Directory traffic using deep packet inspection technology, Azure ATP also collects relevant Windows Events from your domain controller and creates entity profiles based on information from Active Directory Domain Services. Azure ATP unterstützt auch die RADIUS-Kontoführung beim Empfangen von VPN-Protokollen von unterschiedlichen Lieferanten (Microsoft, Cisco, F5 und Checkpoint).Azure ATP also supports receiving RADIUS accounting of VPN logs from various vendors (Microsoft, Cisco, F5, and Checkpoint).

Überwacht Azure ATP nur Geräte, die der Domäne angehören?Does Azure ATP monitor only domain-joined devices?

Nein.No. Azure ATP überwacht alle Geräte im Netzwerk und führt die Authentifizierung sowie Autorisierungsanfragen für Active Directory durch. Dies schließt Nicht-Windows-Geräte und mobile Geräte ein.Azure ATP monitors all devices in the network performing authentication and authorization requests against Active Directory, including non-Windows and mobile devices.

Überwacht Azure ATP sowohl Computerkonten als auch Benutzerkonten?Does Azure ATP monitor computer accounts as well as user accounts?

Ja.Yes. Da Computerkonten (ebenso wie alle anderen Entitäten) zum Durchführen böswilliger Aktivitäten verwendet werden können, überwacht Azure ATP das Verhalten aller Computerkonten und aller weiteren Entitäten in der Umgebung.Since computer accounts (as well as any other entities) can be used to perform malicious activities, Azure ATP monitors all computer accounts behavior and all other entities in the environment.

Lizenzierung und DatenschutzLicensing and privacy

Wo erhalte ich eine Lizenz für Azure Advanced Threat Protection (ATP)?Where can I get a license for Azure Advanced Threat Protection (ATP)?

Azure ATP steht als Teil von Enterprise Mobility + Security 5-Suite (EMS E5) und als eine eigenständige Lizenz zur Verfügung.Azure ATP is available as part of Enterprise Mobility + Security 5 suite (EMS E5), and as a standalone license. Sie können eine Lizenz entweder direkt über das Microsoft 365-Portal oder über das CSP-Lizenzierungsmodell (Cloud Solution Partner) erwerben.You can acquire a license directly from the Microsoft 365 portal or through the Cloud Solution Partner (CSP) licensing model.

Wird das Produkt ein Bestandteil von Azure Active Directory oder von lokalem Active Directory sein?Is this going to be a part of Azure Active Directory or on-premises Active Directory?

Diese Azure ATP-Lösung ist derzeit ein eigenständiges Angebot.The Azure ATP solution is currently a standalone offering. Sie ist kein Bestandteil von Azure Active Directory oder von lokalem Active Directory.It is not a part of Azure Active Directory or on-premises Active Directory.

Sind die Daten von anderen Kundendaten isoliert?Is my data isolated from other customer data?

Ja, Ihre Daten werden durch Zugriffsauthentifizierung und logischer Trennung basierend auf der Kundennummer getrennt.Yes, your data is isolated through access authentication and logical segregation based on customer identifiers. Jeder Kunde kann nur auf Daten zugreifen, die von der eigenen Organisation gesammelt wurden, sowie auf generische Daten, die von Microsoft bereitgestellt werden.Each customer can only access data collected from their own organization and generic data that Microsoft provides.

Kann ich frei wählen, wo ich meine Daten speichern möchte?Do I have the flexibility to select where to store my data?

Nein.No. Wenn Ihre Azure-ATP-Instanz erstellt wird, wird sie automatisch im Länderrechenzentrum gespeichert, das dem geografischen Standort Ihres AAD-Mandanten am nächsten liegt.When your Azure ATP instance is created, it is stored automatically in the country data center closest to the geographical location of your AAD tenant. Azure ATP-Daten können nicht verschoben werden, sobald Ihre Azure ATP-Instanz in einem anderen Rechenzentrum erstellt wurde.Azure ATP data cannot be moved once your Azure ATP instance is created to a different data center.

Wie verhindert Microsoft schädliche Insideraktivitäten und den Missbrauch von privilegierten Rollen?How does Microsoft prevent malicious insider activities and abuse of high privilege roles?

Microsoft-Entwickler und -Administratoren verfügen systembedingt über genügend Privilegien zum Ausführen der Ihnen zugewiesenen Aufgaben, um den Dienst zu betreiben und weiterzuentwickeln.Microsoft developers and administrators have, by design, been given sufficient privileges to carry out their assigned duties to operate and evolve the service. Microsoft stellt zum Schützen vor Aktivitäten von unautorisierten Entwicklern und/oder Administratoren eine Kombination aus vorbeugenden und reaktiven Steuerelementen sowie Erkennungssteuerelemente einschließlich der folgenden Mechanismen bereit:Microsoft deploys combinations of preventive, detective, and reactive controls including the following mechanisms to help protect against unauthorized developer and/or administrative activity:

  • Enge Zugriffssteuerung für vertrauliche DatenTight access control to sensitive data
  • Kombination aus Steuerelementen, die die unabhängige Erkennung von schädlicher Aktivität deutlich verbessernCombinations of controls that greatly enhance independent detection of malicious activity
  • Mehrere Überwachungs-, Protokollierungs- und BerichterstattungsebenenMultiple levels of monitoring, logging, and reporting

Darüber hinaus führt Microsoft Hintergrundüberprüfungen von bestimmten Betriebsmitarbeitern durch und beschränkt den Zugriff auf Anwendungen, Systeme sowie die Netzwerkinfrastruktur im Verhältnis zur Ebene der Hintergrundüberprüfung.In addition, Microsoft conducts background verification checks on certain operations personnel, and limits access to applications, systems, and network infrastructure in proportion to the level of background verification. Betriebsmitarbeiter folgen einem formellen Prozess, wenn sie auf das Konto eines Kunden oder auf verwandte Informationen während der Ausübung ihrer Aufgaben zugreifen müssen.Operations personnel follow a formal process when they are required to access a customer’s account or related information in the performance of their duties.

BereitstellungDeployment

Wie viele Azure ATP-Sensoren benötige ich?How many Azure ATP sensors do I need?

Alle Domänencontroller in der Umgebung sollten von einem ATP-Sensor oder einem eigenständigen Sensor abgedeckt sein.Every domain controller in the environment should be covered by an ATP sensor or standalone sensor. Weitere Informationen finden Sie unter Azure ATP sensor Sizing (Größeneinstellung zum Azure ATP-Sensor).For more information, see Azure ATP sensor sizing.

Funktioniert Azure ATP mit verschlüsseltem Datenverkehr?Does Azure ATP work with encrypted traffic?

Netzwerkprotokolle mit verschlüsseltem Datenverkehr (z.B. AtSvc und WMI) werden nicht verschlüsselt, sondern von den Sensoren analysiert.Network protocols with encrypted traffic (for example, AtSvc and WMI) are not decrypted, but are analyzed by the sensors.

Funktioniert Azure ATP mit Kerberos Armoring?Does Azure ATP work with Kerberos Armoring?

Die Aktivierung von Kerberos Armoring (auch als Flexible Authentication Secure Tunneling, FAST, bezeichnet) wird von Azure ATP unterstützt. Einzige Ausnahme ist die Overpass-The-Hash-Erkennung, die nicht von Kerberos Armoring unterstützt wird.Enabling Kerberos Armoring, also known as Flexible Authentication Secure Tunneling (FAST), is supported by Azure ATP, with the exception of over-pass the hash detection, which does not work with Kerberos Armoring.

Wie kann ich einen virtuellen Domänencontroller mit Azure ATP überwachen?How do I monitor a virtual domain controller using Azure ATP?

Die meisten virtuellen Domänencontroller können vom Azure ATP-Sensor abgedeckt werden. Um festzustellen, ob der Azure ATP-Sensor sich für Ihre Umgebung eignet, lesen Sie die Informationen unter Azure ATP-Kapazitätsplanung.Most virtual domain controllers can be covered by the Azure ATP sensor, to determine whether the Azure ATP sensor is appropriate for your environment, see Azure ATP Capacity Planning.

Wenn ein virtueller Domänencontroller nicht durch den Azure ATP-Sensor abgedeckt werden kann, können Sie einen virtuellen oder physischen eigenständigen Azure ATP-Sensor verwenden, wie unter Konfigurieren der Portspiegelung beschrieben.If a virtual domain controller can't be covered by the Azure ATP sensor, you can have either a virtual or physical Azure ATP standalone sensor as described in Configure port mirroring.
Die einfachste Möglichkeit ist jeweils einen virtuellen eigenständigen Azure ATP-Sensor auf jedem Host, auf dem ein virtueller Domänencontroller vorhanden ist.The easiest way is to have a virtual Azure ATP standalone sensor on every host where a virtual domain controller exists.
Wenn die virtuellen Domänencontroller zwischen Hosts verschoben werden, müssen Sie einen der folgenden Schritte ausführen:If your virtual domain controllers move between hosts, you need to perform one of the following steps:

  • Wenn der virtuelle Domänencontroller auf einen anderen Host verschoben wird, konfigurieren Sie den eigenständigen Azure ATP-Sensor auf diesem Host so vor, dass der Datenverkehr von dem zuvor verschobenen virtuellen Domänencontroller empfangen wird.When the virtual domain controller moves to another host, preconfigure the Azure ATP standalone sensor in that host to receive the traffic from the recently moved virtual domain controller.
  • Stellen Sie sicher, dass Sie den virtuellen eigenständigen Azure ATP-Sensor dem virtuellen Domänencontroller zuordnen, sodass der eigenständige Azure ATP-Sensor ggf. mit dem Controller verschoben wird.Make sure that you affiliate the virtual Azure ATP standalone sensor with the virtual domain controller so that if it is moved, the Azure ATP standalone sensor moves with it.
  • Es gibt einige virtuelle Switches, über die der Datenverkehr zwischen Hosts gesendet werden kann.There are some virtual switches that can send traffic between hosts.

Wie konfiguriere ich Azure ATP-Sensoren so, dass sie mit dem Azure ATP-Clouddienst kommunizieren, wenn ich über einen Proxyserver verfüge?How do I configure the Azure ATP sensors to communicate with Azure ATP cloud service when I have a proxy?

Für die Kommunikation Ihrer Domänencontroller mit dem Clouddienst müssen Sie in Ihrer Firewall und auf Ihrem Proxyserver Port 443 für „*.atp.azure.com“ freigeben.For your domain controllers to communicate with the cloud service, you must open: *.atp.azure.com port 443 in your firewall/proxy. Informationen hierzu finden Sie unter Configure your proxy or firewall to enable communication with Azure ATP sensors (Konfigurieren Ihres Proxyservers oder Ihrer Firewall zum Aktivieren der Kommunikation mit Azure ATP-Sensoren).For instructions on how to do this, see Configure your proxy or firewall to enable communication with Azure ATP sensors.

Kann Azure ATP in Ihrer IaaS-Lösung virtualisierte Domänencontroller überwachen?Can Azure ATP monitored domain controllers be virtualized on your IaaS solution?

Ja, Sie können mit dem Azure ATP-Sensor Domänencontroller in einer beliebigen IaaS-Lösung überwachen.Yes, you can use the Azure ATP sensor to monitor domain controllers that are in any IaaS solution.

Kann Azure ATP mehrere Domänen und mehrere Gesamtstrukturen unterstützen?Can Azure ATP support multi-domain and multi-forest?

Azure Advanced Threat Protection unterstützt Umgebungen und mehrere Gesamtstrukturen.Azure Advanced Threat Protection supports multi-domain environments and multiple forests. Weitere Informationen und Anforderungen in Bezug auf Vertrauensstellungen finden Sie unter Unterstützung für mehrere Gesamtstrukturen.For more information and trust requirements, see Multi-forest support.

Kann die Gesamtintegrität der Bereitstellung angezeigt werden?Can you see the overall health of the deployment?

Ja, Sie können die Gesamtintegrität der Bereitstellung sowie spezifische Probleme im Zusammenhang mit der Konfiguration, Konnektivität usw. anzeigen und werden bei Eintreten eines Problems mit Zustandswarnungen zu Azure ATP benachrichtigt.Yes, you can view the overall health of the deployment as well as specific issues related to configuration, connectivity etc., and you are alerted as they occur with Azure ATP health alerts.

VorgangOperation

Welche Art der Integration weist Azure ATP in SIEMs auf?What kind of integration does Azure ATP have with SIEMs?

Azure ATP kann so konfiguriert werden, dass bei Integritätswarnungen und Feststellung einer Sicherheitswarnung eine Syslog-Warnung an einen SIEM-Server gesendet wird, der das CEF-Format verwendet.Azure ATP can be configured to send a Syslog alert, to any SIEM server using the CEF format, for health alerts and when a security alert is detected. Weitere Informationen finden Sie unter Referenz zum SIEM-Protokoll.See the SIEM log reference for more information .

Warum gelten bestimmte Konten als sensible Konten?Why are certain accounts considered sensitive?

Dies ist der Fall, wenn ein Konto Mitglied bestimmter Gruppen ist, die als sensibel festgelegt sind (z. B. „Domänen-Admins“).This happens when an account is a member of groups that are designated as sensitive (for example: "Domain Admins").

Um nachzuvollziehen, warum ein Konto ein sensibles Konto ist, können Sie seine Gruppenmitgliedschaft überprüfen, um festzustellen, welchen sensiblen Gruppen es angehört (die Gruppe, der das Konto angehört, kann auch wegen einer anderen Gruppe eine sensible Gruppe sein. Daher sollten Sie immer die höchste sensible Gruppe überprüfen).To understand why an account is sensitive you can review its group membership to understand which sensitive groups it belongs to (the group that it belongs to can also be sensitive due to another group, so the same process should be performed until you locate the highest level sensitive group). Sie können auch manuell Konten als vertraulich kennzeichnen.You can also manually tag accounts as sensitive.

Müssen eigene Regeln geschrieben und ein Schwellenwert/eine Basislinie erstellt werden?Do you have to write your own rules and create a threshold/baseline?

Bei Azure Advanced Threat Protection besteht keine Notwendigkeit zum Erstellen von Regeln, Schwellenwerten oder Basislinien und der anschließenden Optimierung.With Azure Advanced Threat Protection, there is no need to create rules, thresholds, or baselines and then fine-tune. Azure ATP analysiert das Verhalten von Benutzern, Geräten und Ressourcen – sowie deren Beziehungen untereinander – und kann verdächtige Aktivitäten sowie bekannte Angriffe schnell erkennen.Azure ATP analyzes the behaviors among users, devices, and resources, as well as their relationship to one another, and can detect suspicious activity and known attacks quickly. Drei Wochen nach der Bereitstellung beginnt Azure ATP, verdächtige Verhaltensaktivitäten zu erkennen.Three weeks after deployment, Azure ATP starts to detect behavioral suspicious activities. Bekannte Angriffe und Sicherheitsprobleme werden hingegen sofort nach der Bereitstellung von Azure ATP erkannt.On the other hand, Azure ATP will start detecting known malicious attacks and security issues immediately after deployment.

Welchen Datenverkehr generiert Azure ATP im Netzwerk von Domänencontrollern und warum?Which traffic does Azure ATP generate in the network from domain controllers, and why?

Azure ATP generiert Datenverkehr von Domänencontrollern zu Computern in der Organisation in einem von drei Szenarien:Azure ATP generates traffic from domain controllers to computers in the organization in one of three scenarios:

  1. NetzwerknamensauflösungNetwork Name resolution
    Azure ATP erfasst Datenverkehr und Ereignisse, wobei es Benutzer und Computeraktivitäten im Netzwerk erlernt und Profile dazu erstellt.Azure ATP captures traffic and events, learning and profiling users and computer activities in the network. Um Aktivitäten zu Computern in der Organisation zu erlernen und die Profile zu erstellen, muss Azure ATP IPs zu Computerkonten auflösen.To learn and profile activities according to computers in the organization, Azure ATP needs to resolve IPs to computer accounts. Um IPs zu Computernamen aufzulösen, fordern ATP-Sensoren die IP-Adresse für den Computernamen hinter der Adresse an.To resolve IPs to computer names Azure ATP sensors request the IP address for the computer name behind the IP address.

    Anforderungen erfolgen mithilfe einer von vier Methoden:Requests are made using one of four methods:

    • NTLM über RPC (TCP-Port 135)NTLM over RPC (TCP Port 135)
    • NetBIOS (UDP-Port 137)NetBIOS (UDP port 137)
    • RDP (TCP-Port 3389)RDP (TCP port 3389)
    • Abfragen des DNS-Servers mittels Reverse-DNS-Lookup der IP-Adresse (UDP 53)Query the DNS server using reverse DNS lookup of the IP address (UDP 53)

    Nach Abruf des Computernamens führen Azure ATP-Sensoren eine Gegenprüfung der Details in Active Directory durch, um zu ermitteln, ob es ein zugehöriges Computerobjekt mit demselben Computernamen gibt.After getting the computer name, Azure ATP sensors cross check the details in Active Directory to see if there is a correlated computer object with the same computer name. Wenn eine Übereinstimmung gefunden wird, erfolgt eine Zuordnung zwischen der IP-Adresse und dem übereinstimmenden Computerobjekt.If a match is found, an association is made between the IP address and the matched computer object.

  2. Lateral-Movement-Pfad (LMP)Lateral Movement Path (LMP)
    Um potenzielle LMPs zu sensiblen Benutzern erstellen zu können, benötigt Azure ATP Informationen zu den lokalen Administratoren auf Computern.To build potential LMPs to sensitive users, Azure ATP requires information about the local administrators on computers. In diesem Szenario verwendet der Azure ATP-Sensor SAM-R (TCP 445) zum Abfragen der im Netzwerkverkehr identifizierten IP-Adresse, um die lokalen Administratoren des Computers zu ermitteln.In this scenario, the Azure ATP sensor uses SAM-R (TCP 445) to query the IP address identified in the network traffic, in order to determine the local administrators of the computer. Weitere Informationen zu Azure ATP und SAM-R finden Sie unter Konfigurieren von für SAM-R erforderliche Berechtigungen.To learn more about Azure ATP and SAM-R, See Configure SAM-R required permissions.

  3. Abfragen von Active Directory über LDAP für EntitätsdatenQuerying Active Directory using LDAP for entity data
    Azure ATP-Sensoren fragen den Domänencontroller aus der Domäne ab, zu der die Entität gehört.Azure ATP sensors query the domain controller from the domain where the entity belongs. Es kann derselbe Sensor oder ein anderer Domänencontroller aus dieser Domäne sein.It can be the same sensor, or another domain controller from that domain.

ProtokollProtocol DienstService PortPort QuelleSource RichtungDirection
LDAPLDAP TCP und UDPTCP and UDP 389389 DomänencontrollerDomain controllers AusgehendOutbound
Sicheres LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 DomänencontrollerDomain controllers AusgehendOutbound
LDAP an globalen KatalogLDAP to Global Catalog TCPTCP 32683268 DomänencontrollerDomain controllers AusgehendOutbound
LDAPs an globalen KatalogLDAPS to Global Catalog TCPTCP 32693269 DomänencontrollerDomain controllers AusgehendOutbound

Warum werden in Aktivitäten nicht immer sowohl der Quellbenutzer als auch der Quellcomputer angezeigt?Why don't activities always show both the source user and computer?

Azure ATP erfasst Aktivitäten über viele verschiedene Protokolle.Azure ATP captures activities over many different protocols. In einigen Fällen empfängt Azure ATP die Daten des Quellbenutzers nicht im Datenverkehr.In some cases, Azure ATP doesn't receive the data of the source user in the traffic. Dann versucht Azure ATP, die Sitzung des Benutzers mit der Aktivität zu korrelieren. Wenn der Versuch erfolgreich ist, wird der Quellbenutzer der Aktivität angezeigt.Azure ATP attempts to correlate the session of the user to the activity, and when the attempt is successful, the source user of the activity is displayed. Schlagen Korrelationsversuche des Benutzers aber fehl, wird nur der Quellcomputer angezeigt.When user correlation attempts fail, only the source computer is displayed.

ProblembehandlungTroubleshooting

Wie soll ich vorgehen, wenn der Azure ATP-Sensor oder der eigenständige Sensor nicht gestartet wird?What should I do if the Azure ATP sensor or standalone sensor doesn't start?

Sehen Sie sich den letzten Fehlereintrag im aktuellen Fehlerprotokoll an (Installationsverzeichnis von Azure ATP unter dem Ordner „Logs“ (Protokolle)).Look at the most recent error in the current error log (Where Azure ATP is installed under the "Logs" folder).

Weitere InformationenSee Also