Gilt für: Azure Advanced Threat ProtectionApplies to: Azure Advanced Threat Protection

Was ist Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

Bei Azure Advanced Threat Protection (ATP) handelt es sich um einen Clouddienst, mit dem Sie Ihre hybriden Unternehmensumgebungen vor verschiedenen hochentwickelten und gezielten Cyberangriffen und Bedrohungen von innen schützen können.Azure Advanced Threat Protection (ATP) is a cloud service that helps protect your enterprise hybrid environments from multiple types of advanced targeted cyber attacks and insider threats.

Wie funktioniert Azure ATP?How Azure ATP works

Azure ATP nutzt ein proprietäres Netzwerkanalysemodul, um den Netzwerkverkehr verschiedener Protokolle (z.B. Kerberos, DNS, RPC, NTLM und andere) zwecks Authentifizierung, Autorisierung und zum Sammeln von Informationen zu erfassen und zu analysieren.Azure ATP leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. Azure ATP sammelt die Informationen über:This information is collected by Azure ATP via either:

  • die Bereitstellung von Azure ATP-Sensoren direkt über Ihre DomänencontrollerDeploying Azure ATP sensors directly on your domain controllers
  • die Portspiegelung von Domänencontrollern und DNS-Servern bis zum eigenständigen Azure ATP-SensorPort mirroring from Domain Controllers and DNS servers to the Azure ATP standalone sensor

Azure ATP bezieht aus mehreren Datenquellen wie Protokollen und Ereignissen in Ihrem Netzwerk Informationen, um das Verhalten von Benutzern und anderen Personen in der Organisation zu erfassen und anschließend ein Verhaltensprofil zu erstellen.Azure ATP takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization and build a behavioral profile about them. Azure ATP kann Ereignisse und Protokolle aus folgenden Quellen beziehen:Azure ATP can receive events and logs from:

  • SIEM-IntegrationSIEM Integration
  • Windows-Ereignisweiterleitung (Windows Event Forwarding; WEF)Windows Event Forwarding (WEF)
  • Direkt aus der Windows-Ereignissammlung (für den Sensor)Directly from the Windows Event Collector (for the sensor)
  • RADIUS-Kontoführung über VPNRADIUS Accounting from VPNs

Weitere Informationen zur Azure ATP-Architektur finden Sie unter Azure ATP-Architektur.For more information on Azure ATP architecture, see Azure ATP Architecture.

Was bewirkt Azure ATP?What does Azure ATP do?

Die Azure ATP-Technologie erkennt verschiedene verdächtige Aktivitäten und konzentriert sich dabei auf die verschiedenen Phasen der Angriffskette von Cyberangriffen, so z.B.:Azure ATP technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Reconnaissance, während der die Angreifer Informationen zum Aufbau der Umgebung, zu den verschiedenen Assets und zu den vorhandenen Entitäten erfassen.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Sie erstellen ganz allgemein einen Plan für die nächsten Phasen ihres Angriffs.They generally building their plan for the next phases of the attack.
  • Der Zyklus der Seitwärtsbewegung: Die Angreifer investieren Zeit und Mühe in die Verbreiterung ihrer Angriffsfläche in Ihrem Netzwerk.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Domänendominanz (-persistenz): Die Angreifer sammeln die Informationen, mithilfe derer sie ihren Angriff fortsetzen und dabei eine Vielzahl von Einstiegspunkten, Anmeldeinformationen und Techniken anwenden können.Domain dominance (persistence), during which an attacker captures the information allowing them to resume their campaign using various sets of entry points, credentials, and techniques.

Diese Phasen eines Cyberangriffs ähneln sich und sind vorhersagbar, unabhängig davon, welche Art von Unternehmen angegriffen oder auf welche Art von Informationen abgezielt wird.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. Azure ATP sucht nach drei Haupttypen von Angriffen: böswillige Angriffe, ungewöhnliches Verhalten sowie Sicherheitsprobleme und -risiken.Azure ATP searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Böswillige Angriffe werden auf deterministische Weise sowie über Analysen von ungewöhnlichem Verhalten ermittelt.Malicious attacks are detected deterministically as well as via abnormal behavior analytics. Die vollständige Liste der bekannten Angriffstypen umfasst Folgendes:The full list of known attack types includes:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • Forged PAC (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Böswillige ReplikationMalicious replication
  • VerzeichnisdienstenumerationDirectory Service Enumeration
  • SMB-SitzungsenumerationSMB Session Enumeration
  • DNS-ReconnaissanceDNS Reconnaissance
  • Horizontaler Brute-Force-AngriffHorizontal Brute Force
  • Vertikaler Brute-Force-AngriffVertical Brute Force
  • Skeleton KeySkeleton Key
  • Ungewöhnliches ProtokollUnusual Protocol
  • Herunterstufung der VerschlüsselungEncryption Downgrade
  • RemoteausführungRemote execution
  • Erstellen eines schädlichen DienstsMalicious Service Creation

Azure ATP erkennt diese verdächtigen Aktivitäten und zeigt Informationen dazu im Azure ATP-Arbeitsbereichsportal an, einschließlich einer Übersicht darüber, wer den Angriff wann und wie ausgeführt hat und was dabei geschehen ist.Azure ATP detects these suspicious activities and surfaces the information in the Azure ATP workspace portal including a clear view of Who, What, When and How. Durch die Überwachung dieses einfachen und benutzerfreundlichen Dashboards werden Sie also benachrichtigt, wenn Azure ATP vermutet, dass ein Pass-the-Ticket-Angriff auf die Computer Client 1 und Client 2 in Ihrem Netzwerk versucht wurde.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that Azure ATP suspects that a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

Beispielanzeige in Azure ATP: Pass-the-Ticket-Angriff

Azure ATP erkennt darüber hinaus Sicherheitsprobleme und -risiken, einschließlich:Azure ATP also detects security issues and risks, including:

Nach welchen Bedrohungen sucht Azure ATP?What threats does Azure ATP look for?

Azure ATP ermöglicht die Erkennung der folgenden verschiedenen Phasen eines erweiterten Angriffs: Reconnaissance, gefährdete Anmeldeinformationen, Lateral Movement, Berechtigungsausweitung, Domänendominanz etc.Azure ATP provides detection for the following various phases of an advanced attack: reconnaissance, credential compromise, lateral movement, privilege escalation, domain dominance, and others. Damit sollen erweiterte Angriffe und interne Bedrohungen erkannt werden, bevor sie Schaden in Ihrer Organisation anrichten.These detections are aimed at detecting advanced attacks and insider threats before they cause damage to your organization.

Die Erkennung von jeder Phase führt zu mehreren verdächtige Aktivitäten, die für die betreffende Phase relevant sind, wobei jede verdächtige Aktivität mit verschiedenen Varianten möglicher Angriffe korreliert.The detection of each phase results in several suspicious activities relevant for the phase in question, where each suspicious activity correlates to different flavors of possible attacks. Diese Phasen in der Angriffskette, in der Azure ATP derzeit Erkennungen bereitstellt, werden in der folgenden Abbildung hervorgehoben:These phases in the kill-chain where Azure ATP currently provides detections are highlighted in the following image:

Azure ATP: Fokus auf Lateralaktivität in der Kette der Angriffsabwehr

Weitere Informationen finden Sie unter Working with suspicious activities (Arbeiten mit verdächtigen Aktivitäten) und dem Azure ATP-Handbuch zu verdächtigen Aktivitäten.For more information, see Working with suspicious activities and the Azure ATP suspicious activity guide.

Wie geht es weiter?What's next?

Weitere InformationenSee Also