Gilt für: Azure Advanced Threat ProtectionApplies to: Azure Advanced Threat Protection

Was ist Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

Azure Advanced Threat Protection (ATP) ist eine cloudbasierte Sicherheitslösung, mit der Sie komplexe Bedrohungen, gefährdete Identitäten und schädliche Insider-Aktionen gegen Ihre Organisation identifizieren und erkennen können und die Sie bei der Untersuchung dieser Bedrohungen unterstützt.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that identifies, detects, and helps you investigate advanced threats, compromised identities, and malicious insider actions directed at your organization. Azure ATP bietet SecOp-Analysten und Sicherheitsexperten, die Probleme beim Erkennen erweiterter Angriffe in Hybridumgebungen haben, folgende Funktionen:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter AnalyseMonitor users, entity behavior and activities with learning-based analytics
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und AnmeldeinformationenProtect user identities and credentials stored in Active Directory
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill ChainIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen SelektierungProvide clear incident information on a simple timeline for fast triage

Überwachung und Profiling von Benutzerverhalten und -aktivitätenMonitor and profile user behavior and activities

Azure ATP überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, wie z.B. Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Anschließend identifiziert Azure ATP Anomalien bei integrierter adaptiver Intelligenz und gewährt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse. Dabei werden Ihnen komplexe Bedrohungen, gefährdete Benutzer und Insider-Bedrohungen Ihrer Organisation angezeigt.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users and insider threats facing your organization. Mit den Sensoren von Azure ATP werden Domänencontroller der Organisation überwacht. Dadurch wird von jedem Gerät aus ein umfassender Überblick für alle Benutzeraktivitäten geboten.Azure ATP’s proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Schutz von Benutzeridentitäten und Verringern der AngriffsflächeProtect user identities and reduce the attack surface

Azure ATP gewährt Ihnen wertvolle Einblicke in Identitätskonfigurationen und stellt empfohlene Best Practices für die Sicherheit bereit.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Mithilfe von Azure ATP können Sie durch Sicherheitsberichte und die Analyse von Benutzerprofilen die Angriffsfläche Ihrer Organisation deutlich reduzieren, wodurch auch die Gefährdung von Benutzeranmeldeinformationen sowie die Gefährdung durch einen Angriff verringert werden kann.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials and advance an attack. Mithilfe der visuellen Lateral Movement-Pfade von ATP verstehen Sie schnell, wie genau sich ein Angreifer lateral innerhalb Ihrer Organisation bewegen kann, um sensible Konten zu gefährden. Die Lösung unterstützt Sie dabei, diese Risiken im Vorhinein zu vermeiden.ATP’s visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Zudem können Sie mithilfe der Sicherheitsberichte von ATP Benutzer und Geräte identifizieren, die sich mit Klartextkennwörtern authentifizieren, und weitere Einblicke gewinnen, um den Sicherheitsstatus und die Richtlinien Ihrer Organisation zu verbessern.Additional, ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Identifizieren verdächtiger Aktivitäten und erweiterter Angriffe über die Kill ChainIdentify suspicious activities and advanced attacks across the attack kill-chain

Angriffe werden in der Regel gegen eine beliebige zugängliche Entität gestartet, wie z.B. einen Benutzer mit geringfügigen Berechtigungen, und verschieben sich anschließend schnell seitwärts, bis der Angreifer Zugriff auf wertvolle Objekte erhält (z.B. sensible Konten, Domänenadministratoren und streng vertrauliche Daten).Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators and highly sensitive data. Azure ATP erkennt diese erweiterten Bedrohungen von Grund auf während der gesamten Kill Chain zur Angriffsabwehr:Azure ATP identifies these advanced threats at the source throughout the entire attack kill chain:

ReconnaissanceReconnaissance

Identifizieren nicht autorisierter Benutzer und Angreifer, um über eine Vielzahl von Methoden Informationen zu Benutzernamen, der Gruppenmitgliedschaft von Benutzern, Geräten zugewiesenen IP-Adressen, Ressourcen und mehr zu erlangen.Identify rogue users and attackers’ attempts to gain information about user names, users’ group membership, IP addresses assigned to devices, resources and more - using a variety of methods.

Gefährdete BenutzerCompromised users

Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Angriffe durch Schlüsselsuche, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.Identify attempts to compromise user credentials through brute force attacks, failed authentications, user group membership changes, and additional methods.

Seitliche VerschiebungenLateral movements

Erkennen von Versuchen zur seitlichen Verschiebung innerhalb des Netzwerks, um mithilfe von Methoden wie „Pass-the-Ticket“, „Pass-the-Hash“, „Overpass-the-Hash“ und mehr weitere Kontrolle über sensible Benutzer zu erlangen.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

DomänendominanzDomain dominance

Hervorheben des Angreiferverhaltens bei Erreichen der Domänendominanz über die Ausführung von Remotecode auf dem Domänencontroller und Methoden wie „DC Shadow“, die böswillige Replikation des Domänencontrollers, Golden Ticket-Aktivitäten und mehr.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Untersuchen von Warnungen und BenutzeraktivitätenInvestigate alerts and user activities

Azure ATP soll die Anzahl allgemeiner Warnungen reduzieren, damit nur relevante und wichtige Sicherheitswarnungen in einer übersichtlichen Zeitleiste mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können.Azure ATP is designed to reduce general alert noise, providing only relevant and important security alerts in a simple, real-time organizational attack timeline. Dank der Azure ATP-Ansicht mit der Zeitachse zu Angriffen können Sie sich problemlos aufs Wesentliche konzentrieren und intelligente Analysen wirksam einsetzen.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Sicherheitsexperten, die Azure ATP verwenden, können Bedrohungen ohne großen Aufwand untersuchen und gewinnen organisationsübergreifend Einblicke für Benutzer, Geräte und Netzwerkressourcen.Security professionals using Azure ATP can quickly investigate threats and gain insights across the organization for users, devices and network recourses. Die nahtlose Integration in Windows Defender ATP bietet durch zusätzliche Erkennung und Schutz vor erweiterten dauerhaften Bedrohungen für das Betriebssystem eine weitere erweiterte Sicherheitsebene.Seamless integration with Windows Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Zusätzliche Ressourcen für Azure ATPAdditional resources for Azure ATP

Starten Sie eine kostenlose Testversion: https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1Start a free trial: https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Folgen Sie Azure ATP in der Microsoft Tech CommunityFollow Azure ATP on Microsoft Tech Community
https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtectionhttps://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Werden Sie Teil der Azure ATP Yammer-Communityhttps://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893Join the Azure ATP Yammer community https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Besuchen Sie die Azure ATP-ProduktseiteVisit the Azure ATP product page
https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/

Weitere Informationen zur Azure ATP-Architektur finden Sie unter Azure ATP-Architektur.For more information on Azure ATP architecture, see Azure ATP Architecture.

Wie geht es weiter?What's next?

Es wird empfohlen, Azure ATP in 3 Phasen bereitzustellen:We recommend deploying Azure ATP in 3 phases:

Phase 1Phase 1

  1. Richten Sie Azure ATP zum Schutz Ihrer primären Umgebungen ein.Setup Azure ATP to protect your primary environments. Mit dem Azure ATP-Modell zur schnellen Bereitstellung können Sie mit dem Schutz Ihrer Organisation noch heute beginnen.Azure ATP's fast deployment model enables you to start protecting your organization today. Install ATP (Installieren von ATP)Install ATP
  2. Legen Sie Sensitive Accounts (sensible Konten) und Honeytoken-Konten fest.Set sensitive accounts and honeytoken accounts.
  3. Überprüfen Sie die Berichte und Lateral Movement-Pfade.Review reports and lateral movement paths.

Phase 2Phase 2

  1. Schützen Sie sämtliche Domänencontroller und Gesamtstrukturen in Ihrer Organisation.Protect all the domain controllers and forests in your organization.
  2. Überwachen Sie alle Warnungen: Untersuchen Sie Warnungen bzgl. Lateral Movement und Domänendominanz.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Nehmen Sie das Leitfaden zu Sicherheitshinweisen zur Hilfe, um Bedrohungen zu verstehen und potenzielle Angriffe selektieren zu können.Work with the Security Alert guide to understand threats and triage potential attacks.

Phase 3Phase 3

  1. Integrieren Sie Azure ATP-Warnungen in Ihre SecOp-Workflows.Integrate Azure ATP alerts into your SecOp workflows.

Weitere InformationenSee Also