Tutorial: Grundlegendes zu SicherheitswarnungenTutorial: Understanding security alerts

Mit Azure ATP-Sicherheitswarnungen wird in verständlicher Sprache und anhand von Grafiken dargestellt, welche verdächtigen Aktivitäten in Ihrem Netzwerk identifiziert wurden und welche Benutzer und Computer an der Bedrohung beteiligt sind.Azure ATP security alerts explain in clear language and graphics, which suspicious activities were identified on your network and the actors and computers involved in the threats. Warnungen werden nach ihrem Schweregrad eingestuft. Sie sind für ein einfaches visuelles Filtern farbcodiert und werden nach Bedrohungsphasen sortiert.Alerts are graded for severity, color-coded to make them easy to visually filter, and organized by threat phase. Jede Warnung soll Ihnen dabei helfen, einen schnellen Überblick darüber zu erhalten, was genau in Ihrem Netzwerk passiert.Each alert is designed to help you quickly understand exactly what is happening on your network. Damit Sie einfach und direkt weitere Untersuchungen durchführen können, enthalten Beweislisten für Sicherheitswarnungen direkte Links zu den betroffenen Benutzern und Computern.Alert evidence lists contain direct links to the involved users and computers, to help make your investigations easy and direct.

In diesem Tutorial wird erläutert, wie Azure ATP-Sicherheitswarnungen aufgebaut sind und wie sie verwendet werden:In this tutorial, learn the structure of Azure ATP security alerts, and how to use them:

  • Aufbau der SicherheitswarnungenSecurity alert structure
  • Klassifizierungen der SicherheitswarnungenSecurity alert classifications
  • Kategorien der SicherheitswarnungenSecurity alert categories
  • Erweiterte Untersuchung der SicherheitswarnungenAdvanced Security Alert investigation
  • Verwandte EntitätenRelated entities
  • Azure ATP und NNR (Network Name Resolution; Auflösung des Netzwerknamens)Azure ATP and NNR (Network Name Resolution)

Aufbau der SicherheitswarnungenSecurity alert structure

Jede Azure ATP-Sicherheitswarnung enthält folgende Informationen:Each Azure ATP security alert includes:

  • Titel der WarnungAlert title
    Offizielle Azure ATP-Bezeichnung der Warnung.Official Azure ATP name of the alert.
  • BeschreibungDescription
    Kurze Erklärung der Vorfälle.Brief explanation of what happened.
  • BeweiseEvidence
    Weitere relevante Informationen und verwandte Daten zu den Vorgängen, die im weiteren Untersuchungsprozess hilfreich sind.Additional relevant information and related data about what happened to help in the investigation process.
  • Excel-DownloadExcel download
    Ausführlicher Excel-Downloadbericht zur Analyse.Detailed Excel download report for analysis

Aufbau einer Azure ATP-Sicherheitswarnung

Klassifizierungen der SicherheitswarnungenSecurity alert classifications

Nach einer gründlichen Untersuchung können alle Azure ATP-Sicherheitswarnungen als einer der folgenden Aktivitätstypen klassifiziert werden:Following proper investigation, all Azure ATP security alerts can be classified as one of the following activity types:

  • Richtig positiv (True Positive, TP): Eine von Azure ATP erkannte schädliche Aktion.True positive (TP): A malicious action detected by Azure ATP.

  • Unschädlich richtig positiv (Benign True Positive, B-TP) : Eine von Azure ATP erkannte Aktion, die tatsächlich durchgeführt wurde, aber nicht böswillig ist, wie z.B. ein Penetrationstest oder eine bekannte Aktivität, die von einer genehmigten Anwendung generiert wurde.Benign true positive (B-TP): An action detected by Azure ATP that is real, but not malicious, such as a penetration test or known activity generated by an approved application.

  • Falsch positiv (False Positive, FP) : Dies ist ein falscher Alarm, d. h., die Aktivität wurde nicht ausgeführt.False positive (FP): A false alarm, meaning the activity didn't happen.

Unterscheidung der Sicherheitswarnung in TP, B-TP oder FPIs the security alert a TP, B-TP, or FP

Stellen Sie sich bei jeder Sicherheitswarnung die folgenden Fragen, um die Klassifizierung der Warnung zu ermitteln und über weitere Schritte zu entscheiden:For each alert, ask the following questions to determine the alert classification and help decide what to do next:

  1. Wie häufig kommt die entsprechende Sicherheitswarnung in Ihrer Umgebung vor?How common is this specific security alert in your environment?
  2. Wurde die Warnung durch dieselben Computer- oder Benutzertypen ausgelöst?Was the alert triggered by the same types of computers or users? Handelt es sich z.B. um Server mit derselben Rolle oder denselben Benutzern aus derselben Gruppe/Abteilung?For example, servers with the same role or users from the same group/department? Handelte es sich um ähnliche Computer oder Benutzer, können Sie diese eventuell ausschließen, um weitere FP-Warnungen künftig zu vermeiden.If the computers or users were similar, you may decide to exclude it to avoid additional future FP alerts.

Anmerkung: Eine zunehmende Anzahl von Warnungen des exakt selben Typs verringert in der Regel die Verdächtigkeits-/Wichtigkeitsstufe der Warnung.Note: An increase of alerts of the exact same type typically reduces the suspicious/importance level of the alert. Überprüfen Sie bei wiederholten Warnungen die Konfiguration, und verschaffen Sie sich mithilfe der Details und Definitionen der Sicherheitswarnungen einen Überblick über die genaue Ursache des wiederholten Auftretens.For repeated alerts, verify configurations, and use security alert details and definitions to understand exactly what is happening that trigger the repeats.

Kategorien der SicherheitswarnungenSecurity alert categories

Azure ATP-Sicherheitswarnungen werden wie die Phasen in einer typischen „Kill Chain“ eines Cyberangriffs in die folgenden Kategorien oder Phasen unterteilt.Azure ATP security alerts are divided into the following categories or phases, like the phases seen in a typical cyberattack kill chain. Die folgenden Links enthalten weitere Informationen zu den einzelnen Phasen sowie den Warnungen, die die Angriffe erkennen sollen:Learn more about each phase and the alerts designed to detect each attack, using the following links:

Erweiterte Untersuchung der SicherheitswarnungenAdvanced security alert investigation

Laden Sie den ausführlichen Excel-Warnungsbericht herunter, um detaillierte Informationen zu einer Sicherheitswarnung zu erhalten.To get more details on a security alert, download the detailed Excel alert report.

  1. Klicken Sie in der rechten oberen Ecke auf die drei Punkte, die bei jeder Warnung angezeigt werden, und wählen Sie Details herunterladen aus.Click the three dots in the upper right corner of any alert, select Download Details.

Jeder Excel-Download zu Azure ATP-Sicherheitswarnungen enthält die folgenden Informationen:Each Azure ATP alert Excel download provides the following information:

  • Zusammenfassung: Die erste Registerkarte enthält die wichtigsten Punkte der Warnung.Summary – the first tab includes the highlights of the alert
    • TitelTitle
    • BESCHREIBUNGDescription
    • Startzeit (UTC)Start Time (UTC)
    • Endzeit (UTC)End Time (UTC)
    • Schweregrad: niedrig/mittel/hochSeverity – Low/Medium/High
    • Status: offen/geschlossenStatus – Open/Closed
    • Zeitpunkt des Statusupdates (UTC)Status Update Time (UTC)
    • Anzeigen im BrowserView in browser
  • Alle betroffenen Entitäten (Konten, Computer und Ressourcen) werden nach ihrer Rolle getrennt aufgelistet.All involved entities (accounts, computers, and resources) are listed, separated by their role.
    • Quelle, Ziel oder Angriff – je nach WarnungSource, destination, or attacked, depending on the alert.
  • Die meisten Registerkarten enthalten für jede Entität die folgenden Daten:Most of the tabs include the following data per entity:
    • NameName
    • DetailsDetails
    • typeType
    • SAM-NameSamName
    • QuellcomputerSource Computer
    • Quellbenutzer (sofern verfügbar)Source User (if available)
    • DomänencontrollerDomain Controllers
    • Aufgerufene Ressource: Zeitpunkt, Computer, Name, Details, Typ, DienstAccessed Resource: Time, Computer, Name, Details, Type, Service.
    • Zusätzliche Registerkarten für jede Warnung:Additional tabs per alert:
      • Für angegriffene Konten bei vermuteten Brute-Force-Angriffen.On attacked accounts when the suspected attack used Brute Force.
      • Für DNS-Server (Domain Name System), wenn bei dem vermuteten Angriff Reconnaissance über Netzwerkzuordnungen (DNS) verwendet wurde.On Domain Name System (DNS) servers when the suspected attacked involved network mapping reconnaissance (DNS).
    • Verwandte Entitäten: ID, Typ, Name, eindeutige JSON-Entität, eindeutiges JSON-EntitätsprofilRelated entities: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json
  • Alle mit Azure ATP-Sensoren erfassten reinen Aktivitäten, die mit der Warnung verknüpft sind (Netzwerk- oder Ereignisaktivitäten), wie etwa:All raw activities captured by Azure ATP Sensors related to the alert (network or event activities) including:
    • NetzwerkaktivitätenNetwork Activities
    • EreignisaktivitätenEvent Activities

Betroffene Entitäten

Die letzte Registerkarte jeder Warnung enthält die Verwandten Entitäten.In each alert, the last tab provides the Related Entities. Verwandte Entitäten sind alle an einer verdächtigen Aktivität beteiligten Entitäten. Sie werden unabhängig von der Rolle dargestellt, die sie bei der Warnung gespielt haben.Related entities are all entities involved in a suspicious activity, without the separation of the "role" they played in the alert. Jede Entität verfügt über zwei JSON-Dateien: die eindeutige JSON-Entität und die eindeutige JSON-Profilentität.Each entity has two Json files, the Unique Entity Json and Unique Entity Profile Json. Diese beiden JSON-Dateien enthalten weitere Informationen zur Entität und helfen bei der Untersuchung der Warnung.Use these two Json files to learn more about the entity and to help you investigate the alert.

Eindeutige JSON-EntitätUnique Entity Json

Enthält die Daten, die Azure ATP aus Active Directory zu dem Konto erhalten hat.Includes the data Azure ATP learned from Active Directory about the account. Dazu zählen alle Attribute wie Distinguished Name, SID, LockoutTime und *PasswordExpiryTime.This includes all attributes such as Distinguished Name, SID, LockoutTime, and *PasswordExpiryTime. Für Benutzerkonten sind Daten enthalten wie *Department * (Abteilung), Mail (E-Mail) und PhoneNumber (Telefonnummer).For user accounts, includes data such as Department, Mail, and PhoneNumber. Für Computerkonten sind Daten enthalten wie OperatingSystem, IsDomainController und *DnsName.For computer accounts, includes data such as OperatingSystem, IsDomainController, and *DnsName.

Eindeutiges JSON-EntitätsprofilUnique Entity Profile Json

Enthält alle Daten, für die Azure ATP in der Entität ein Profil erstellt hat.Includes all data Azure ATP profiled on the entity. Azure ATP verwendet die Netzwerk- und Ereignisaktivitäten, die für weitere Informationen über die Benutzer und Computer der Umgebung erfasst wurden.Azure ATP uses the network and event activities captured to learn about the environment's users and computers. Azure ATP erstellt ein Profil für relevante Informationen für jede Entität.Azure ATP profiles relevant information per entity. Diese Informationen tragen zum Erkennen von Bedrohungen durch Azure ATP bei.This information contributes Azure ATP's threat identification capabilities.

Verwandte Entitäten

Wie verwende ich Azure ATP-Informationen bei einer Untersuchung?How can I use Azure ATP information in an investigation?

Je nach Bedarf kann eine Untersuchung mehr oder weniger ausführlich durchgeführt werden.Investigations can be as detailed as needed. Sie können die von Azure ATP bereitgestellten Daten etwa für die Beantwortung der folgenden Fragen verwenden:Here are some ideas of ways to investigate using the data provided by Azure ATP.

  • Gehören alle verwandten Benutzer zur gleichen Gruppe oder Abteilung?Check if all related users belong to the same group or department?
  • Verwenden verwandte Benutzer dieselben Ressourcen, Anwendungen oder Computer?Do related users share resources, applications, or computers?
  • Ist ein Konto aktiv, obwohl die PasswordExpiryTime bereits überschritten ist?Is an account active even though its PasswordExpiryTime already passed?

Azure ATP und NNR (Network Name Resolution; Auflösung des Netzwerknamens)Azure ATP and NNR (Network Name Resolution)

Die Azure ATP-Erkennungsfunktionen basieren auf einer aktiven Netzwerknamensauflösung (Network Name Resolution, NNR), bei der IP-Adressen in Computer innerhalb der Organisation aufgelöst werden.Azure ATP detection capabilities rely on active Network Name Resolution (NNR) to resolve IPs to computers in your organization. Durch die Verwendung von NNR ordnet Azure ATP reinen Aktivitäten (mit IP-Adressen) die entsprechenden, an der Aktivität beteiligten Computer zu.Using NNR, Azure ATP is able to correlate between raw activities (containing IP addresses), and the relevant computers involved in each activity. Auf Grundlage der reinen Aktivitäten erstellt Azure ATP ein Profil der Entitäten, wie etwa Computer, und generiert Warnungen.Based on the raw activities, Azure ATP profiles entities, including computers, and generates alerts.

NNR-Daten spielen beim Erkennen der folgenden Warnungen eine entscheidende Rolle:NNR data is crucial for detecting the following alerts:

  • Suspected identity theft (pass-the-ticket) (Verdacht auf Identitätsdiebstahl (Pass-the-Ticket))Suspected identity theft (pass-the-ticket)
  • Suspected DCSync attack (replication of directory services) (Verdacht auf einen DCSync-Angriff (Replikation von Verzeichnisdiensten))Suspected DCSync attack (replication of directory services)
  • Network mapping reconnaissance (DNS) (Reconnaissance über Netzwerkzuordnung (DNS))Network mapping reconnaissance (DNS)

Verwenden Sie die im Downloadbericht der Warnung auf der Registerkarte Netzwerkaktivitäten bereitgestellten NNR-Informationen, um festzustellen, ob es sich bei einer Warnung um eine FP-Aktivität handelt.Use the NNR information provided in the Network Activities tab of the alert download report, to determine if an alert is an FP. Bei FP-Warnungen liegt der NNR-Zuverlässigkeitswert üblicherweise im niedrigen Bereich.In cases of an FP alert, it's common to have the NNR certainty result given with low confidence.

Die Daten des Downloadberichts werden in zwei Spalten angezeigt:Download report data appears in two columns:

  • Quell-/ZielcomputerSource/Destination computer

    • Zuverlässigkeit: Ein niedriger Wert deutet möglicherweise auf eine falsche Namensauflösung hin.Certainty – low-resolution certainty may indicate incorrect name resolution.
  • Quell-/ZielcomputerSource/Destination computer

    • Auflösungsmethode: Zeigt die NNR-Methoden an, die zum Auflösen der IP-Adressen in Computer innerhalb der Organisation verwendet wurden.Resolution method – provides the NNR methods used to resolve the IP to computer in the organization.

Netzwerkaktivitäten

Weitere Informationen zum Arbeiten mit Azure ATP-Sicherheitswarnungen finden Sie unter Arbeiten mit Sicherheitswarnungen.For more information about how to work with Azure ATP security alerts, see Working with security alerts.

Weitere InformationenSee Also