Gilt für: Azure Advanced Threat ProtectionApplies to: Azure Advanced Threat Protection

Was ist Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

Azure Advanced Threat Protection (ATP) ist eine cloudbasierte Sicherheitslösung, mit der Sie komplexe Bedrohungen, gefährdete Identitäten und schädliche Insider-Aktionen gegen Ihre Organisation identifizieren und erkennen können und die Sie bei der Untersuchung dieser Bedrohungen unterstützt.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that identifies, detects, and helps you investigate advanced threats, compromised identities, and malicious insider actions directed at your organization. Azure ATP bietet SecOp-Analysten und Sicherheitsexperten, die Probleme beim Erkennen erweiterter Angriffe in Hybridumgebungen haben, folgende Funktionen:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter AnalyseMonitor users, entity behavior, and activities with learning-based analytics
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und AnmeldeinformationenProtect user identities and credentials stored in Active Directory
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill ChainIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen SelektierungProvide clear incident information on a simple timeline for fast triage

Überwachung und Profiling von Benutzerverhalten und -aktivitätenMonitor and profile user behavior and activities

Azure ATP überwacht und analysiert netzwerkübergreifend Benutzeraktivitäten und -informationen, wie z.B. Berechtigungen und Gruppenmitgliedschaften, und erstellt dabei für jeden Benutzer eine verhaltensbasierte Baseline.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Anschließend identifiziert Azure ATP Anomalien bei integrierter adaptiver Intelligenz und gewährt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse. Dabei werden Ihnen komplexe Bedrohungen, gefährdete Benutzer und Insider-Bedrohungen Ihrer Organisation angezeigt.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Mit den Sensoren von Azure ATP werden Domänencontroller der Organisation überwacht. Dadurch wird von jedem Gerät aus ein umfassender Überblick für alle Benutzeraktivitäten geboten.Azure ATP’s proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Schutz von Benutzeridentitäten und Verringern der AngriffsflächeProtect user identities and reduce the attack surface

Azure ATP gewährt Ihnen wertvolle Einblicke in Identitätskonfigurationen und stellt empfohlene Best Practices für die Sicherheit bereit.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Mithilfe von Azure ATP können Sie durch Sicherheitsberichte und die Analyse von Benutzerprofilen die Angriffsfläche Ihrer Organisation deutlich reduzieren, wodurch auch die Gefährdung von Benutzeranmeldeinformationen sowie die Gefährdung durch einen Angriff verringert werden kann.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Mithilfe der visuellen Lateral Movement-Pfade von Azure ATP verstehen Sie schnell, wie genau sich ein Angreifer lateral innerhalb Ihrer Organisation bewegen kann, um sensible Konten zu gefährden. Die Lösung unterstützt Sie dabei, diese Risiken im Vorhinein zu vermeiden.Azure ATP’s visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Zudem können Sie mithilfe der Sicherheitsberichte von Azure ATP Benutzer und Geräte identifizieren, die sich mit Klartextkennwörtern authentifizieren, und weitere Einblicke gewinnen, um den Sicherheitsstatus und die Richtlinien Ihrer Organisation zu verbessern.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Identifizieren verdächtiger Aktivitäten und erweiterter Angriffe über die Kill ChainIdentify suspicious activities and advanced attacks across the attack kill-chain

Angriffe werden in der Regel gegen eine beliebige zugängliche Entität gestartet, wie z.B. einen Benutzer mit geringfügigen Berechtigungen, und verschieben sich anschließend schnell seitwärts, bis der Angreifer Zugriff auf wertvolle Objekte erhält (z.B. sensible Konten, Domänenadministratoren und streng vertrauliche Daten).Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Azure ATP erkennt diese erweiterten Bedrohungen von Grund auf während der gesamten Kill Chain zur Angriffsabwehr:Azure ATP identifies these advanced threats at the source throughout the entire attack kill chain:

ReconnaissanceReconnaissance

Identifizieren nicht autorisierter Benutzer und der Versuche von Angreifern, Informationen zu erhalten.Identify rogue users and attackers’ attempts to gain information. Angreifer suchen nach Informationen zu Benutzernamen, der Gruppenmitgliedschaft von Benutzern, Geräten zugewiesenen IP-Adressen, Ressourcen und mehr, wobei sie eine Vielzahl von Methoden verwenden.Attackers are searching for information bout user names, users’ group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Gefährdete BenutzerCompromised users

Identifizieren von Versuchen zur Gefährdung von Benutzeranmeldeinformationen über Brute-Force-Angriffe, fehlgeschlagene Authentifizierungen, Änderungen der Gruppenmitgliedschaft von Benutzern und weitere Methoden.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Seitliche VerschiebungenLateral movements

Erkennen von Versuchen zur seitlichen Verschiebung innerhalb des Netzwerks, um mithilfe von Methoden wie „Pass-the-Ticket“, „Pass-the-Hash“, „Overpass-the-Hash“ und mehr weitere Kontrolle über sensible Benutzer zu erlangen.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

DomänendominanzDomain dominance

Hervorheben des Angreiferverhaltens bei Erreichen der Domänendominanz über die Ausführung von Remotecode auf dem Domänencontroller und Methoden wie „DC Shadow“, die böswillige Replikation des Domänencontrollers, Golden Ticket-Aktivitäten und mehr.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Untersuchen von Warnungen und BenutzeraktivitätenInvestigate alerts and user activities

Azure ATP soll die Anzahl allgemeiner Warnungen reduzieren, damit nur relevante, wichtige Sicherheitswarnungen in einer übersichtlichen Zeitleiste mit gegen die Organisation gerichteten Angriffen in Echtzeit bereitgestellt werden können.Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Dank der Azure ATP-Ansicht mit der Zeitachse zu Angriffen können Sie sich problemlos aufs Wesentliche konzentrieren und intelligente Analysen wirksam einsetzen.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Sicherheitsexperten, die Azure ATP verwenden, können Bedrohungen ohne großen Aufwand untersuchen und gewinnen organisationsübergreifend Einblicke für Benutzer, Geräte und Netzwerkressourcen.Security professionals using Azure ATP can quickly investigate threats and gain insights across the organization for users, devices, and network recourses. Die nahtlose Integration in Windows Defender ATP bietet durch zusätzliche Erkennung und Schutz vor erweiterten dauerhaften Bedrohungen für das Betriebssystem eine weitere erweiterte Sicherheitsebene.Seamless integration with Windows Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Zusätzliche Ressourcen für Azure ATPAdditional resources for Azure ATP

Kostenlosen Test startenStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Folgen Sie Azure ATP in der Microsoft Tech CommunityFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtectionhttps://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Der Azure ATP Yammer-Community beitretenJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Besuchen Sie die Azure ATP-ProduktseiteVisit the Azure ATP product page

https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/

Weitere Informationen zur Azure ATP-ArchitekturLearn more about Azure ATP architecture

Azure ATP-ArchitekturAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

Bei der Microsoft Ignite 2018 gab es mehrere Sitzungen zum Schwerpunkt Azure Advanced Threat Protection.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. Die Sitzungen wurden aufgezeichnet. Wenn Sie das Ereignis verpasst haben, sollten Sie hier nachsehen:Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117 – SecOp and incident response with Azure ATP (SecOp und Reaktion auf Incidents mit Azure ATP) – sehen Sie sich das Video auf YouTube an.BRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP und Azure AD IP (Active Directory Identity Protection)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 – Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP (Sichern Ihrer Hybrid Cloud-Umgebung mit Azure AD Identity Protection und Azure ATP) – sehen Sie sich das Video auf YouTube an.BRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 – Accelerate deployment and adoption of Microsoft Information Protection solutions (Beschleunigen der Bereitstellung und der Einführung von Microsoft Information Protection-Lösungen) – sehen Sie sich das Video auf YouTube an.BRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Eine Zusammenfassung der Azure ATP-Ankündigungen, die auf der Ignite 2018 erfolgten, finden Sie im Blogbeitrag Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities (Azure Advanced Threat Protection erweitert Integrationen, Erkennungen und forensische Möglichkeiten).For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

Wie geht es weiter?What's next?

Es wird empfohlen, Azure ATP in drei Phasen bereitzustellen:We recommend deploying Azure ATP in three phases:

Phase 1Phase 1

  1. Richten Sie Azure ATP zum Schutz Ihrer primären Umgebungen ein.Set up Azure ATP to protect your primary environments. Mit dem Azure ATP-Modell zur schnellen Bereitstellung können Sie mit dem Schutz Ihrer Organisation noch heute beginnen.Azure ATP's fast deployment model enables you to start protecting your organization today. Install Azure ATP (Installieren von Azure ATP)Install Azure ATP
  2. Legen Sie Sensitive Accounts (sensible Konten) und Honeytoken-Konten fest.Set sensitive accounts and honeytoken accounts.
  3. Überprüfen Sie die Berichte und Lateral Movement-Pfade.Review reports and lateral movement paths.

Phase 2Phase 2

  1. Schützen Sie sämtliche Domänencontroller und Gesamtstrukturen in Ihrer Organisation.Protect all the domain controllers and forests in your organization.
  2. Überwachen Sie alle Warnungen: Untersuchen Sie Warnungen bzgl. Lateral Movement und Domänendominanz.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Nehmen Sie das Leitfaden zu Sicherheitshinweisen zur Hilfe, um Bedrohungen zu verstehen und potenzielle Angriffe selektieren zu können.Work with the Security Alert guide to understand threats and triage potential attacks.

Phase 3Phase 3

  1. Integrieren Sie Azure ATP-Warnungen in Ihre SecOp-Workflows.Integrate Azure ATP alerts into your SecOp workflows.

Weitere InformationenSee Also