Microsoft Defender Advanced Threat Protection mit Azure Security CenterMicrosoft Defender Advanced Threat Protection with Azure Security Center

Azure Security Center erweitert das Angebot an Cloudworkloadschutz-Plattformen um die Integration in Microsoft Defender Advanced Threat Protection (ATP).Azure Security Center is extending its Cloud Workload Protection Platforms offering by integrating with Microsoft Defender Advanced Threat Protection (ATP). Diese Änderung bietet umfassende Funktionen für Endpoint Detection and Response (EDR).This change brings comprehensive Endpoint Detection and Response (EDR) capabilities. Durch die ATP-Integration in Microsoft Defender können Sie Anomalien erkennen.With Microsoft Defender ATP integration, you can spot abnormalities. Sie können auch erweiterte Angriffe auf Serverendpunkte erkennen und darauf reagieren, die von Azure Security Center überwacht werden.You can also detect and respond to advanced attacks on server endpoints monitored by Azure Security Center.

Microsoft Defender ATP-Features in Security CenterMicrosoft Defender ATP features in Security Center

Wenn Sie Microsoft Defender ATP verwenden, erhalten Sie Folgendes:When you use Microsoft Defender ATP, you get:

  • Erweiterte Erkennungssensoren für Sicherheitsverletzungen: Microsoft Defender ATP-Sensoren für Windows-Server erfassen eine breite Palette von verhaltensbezogenen Signalen.Advanced post-breach detection sensors: Microsoft Defender ATP sensors for Windows servers collect a vast array of behavioral signals.

  • Auf Analysen basierende, cloudgesteuerte Erkennung von Sicherheitsverletzungen: : Microsoft Defender ATP nimmt eine schnelle Anpassung an sich ändernde Bedrohungen vor.Analytics-based, cloud-powered post breach detection: Microsoft Defender ATP quickly adapts to changing threats. Das Produkt verwendet fortschrittliche Analysen und Big Data.It uses advanced analytics and big data. Microsoft Defender ATP wird durch die Leistungsfähigkeit von Intelligent Security Graph mit Signalen aus Windows, Azure und Office verstärkt, um unbekannte Bedrohungen zu erkennen.Microsoft Defender ATP is amplified by the power of the Intelligent Security Graph with signals across Windows, Azure, and Office to detect unknown threats. Das Produkt stellt aussagekräftige Warnmeldungen zur Verfügung und ermöglicht eine schnelle Reaktion.It provides actionable alerts and enables you to respond quickly.

  • Informationen zu Bedrohungen: Microsoft Defender ATP generiert Warnungen, wenn es Angriffstools, -techniken und -verfahren erkennt.Threat intelligence: Microsoft Defender ATP generates alerts when it identifies attacker tools, techniques, and procedures. Das Produkt verwendet Daten, die von Microsoft-Bedrohungsspezialisten und Sicherheitsteams generiert werden, ergänzt durch Informationen von Partnern.It uses data generated by Microsoft threat hunters and security teams, augmented by intelligence provided by partners.

Die folgenden Funktionen sind ab sofort in Azure Security Center verfügbar:The following capabilities are now available in Azure Security Center:

  • Automatisiertes Onboarding: Der Microsoft Defender ATP-Sensor wird automatisch für Windows-Server aktiviert, die in Azure Security Center integriert sind.Automated onboarding: The Microsoft Defender ATP sensor is automatically enabled for Windows servers that are onboarded to Azure Security Center.

  • Zentralisierte Benutzeroberfläche: Die Azure Security Center-Konsole zeigt Microsoft Defender ATP-Warnungen an.Single pane of glass: The Azure Security Center console displays Microsoft Defender ATP alerts.

  • Detaillierte Untersuchung des Computers: Azure Security Center-Kunden können die Microsoft Defender ATP-Konsole verwenden, um den Umfang einer Sicherheitsverletzung durch eine detaillierte Untersuchung zu erkennen.Detailed machine investigation: Azure Security Center customers can use Microsoft Defender ATP console to conduct a detailed investigation to uncover the scope of a breach.

Azure Security Center zeigt eine Liste der Warnungen und allgemeine Informationen zu jeder Warnung an.

Verwenden Sie Microsoft Defender ATP, um weitere Informationen zu erhalten.To investigate further, use Microsoft Defender ATP. Microsoft Defender ATP zeigt zusätzliche Informationen wie die Warnprozessstruktur und den Ereignisgraph an.Microsoft Defender ATP provides additional information such as the alert process tree and the incident graph. Sie können auch eine detaillierte Computerzeitachse verwenden, die jedes Verhalten über einen historischen Zeitraum von bis zu sechs Monaten anzeigt.You can also see a detailed machine timeline that shows every behavior for a historical period of up to six months.

Microsoft Defender ATP-Seite mit Detailinformationen zu einer Warnung

PlattformunterstützungPlatform support

Microsoft Defender ATP in Security Center unterstützt die Erkennung unter Windows Server 2016, 2012 R2 und 2008 R2 SP1. Für virtuelle Azure-Computer benötigen Sie ein Abonnement im Standard-Tarif. Für Nicht-Azure-VMs benötigen Sie den Standard-Tarife nur auf der Arbeitsbereichsebene.Microsoft Defender ATP in Security Center supports detection on Windows Server 2016, 2012 R2, and 2008 R2 SP1, for Azure VMs you need a Standard tier subscription and for Non-Azure VMs you need Standard tier in the workspace level only.

Hinweis

Wenn Sie Azure Security Center zum Überwachen von Servern verwenden, wird automatisch ein Microsoft Defender ATP-Mandant erstellt, und die Microsoft Defender ATP-Daten werden standardmäßig in Europa gespeichert.When you use Azure Security Center to monitor servers, a Microsoft Defender ATP tenant is automatically created and the Microsoft Defender ATP data is stored in Europe by default. Wenn Sie Ihre Daten an einen anderen Standort verschieben möchten, müssen Sie den Microsoft-Support kontaktieren, um den Mandanten zurückzusetzen.Wenn Sie Ihre Daten an einen anderen Ort verschieben müssen, müssen Sie den Microsoft-Support kontaktieren, um den Mieter zurückzusetzen.If you need to move your data to another location, you need to contact Microsoft Support to reset the tenant. Die Serverendpunktüberwachung, die diese Integration verwendet, wurde für Office 365-GCC-Kunden deaktiviert.Server endpoint monitoring utilizing this integration has been disabled for Office 365 GCC customers.

Integrieren von Servern in Azure Security CenterOnboarding servers to Security Center

Klicken Sie unter der Integration von Servern in Microsoft Defender ATP auf Go to Azure Security Center to onboard servers (Zum Azure Security Center wechseln, um Server zu integrieren), um Server in Security Center zu integrieren.To onboard servers to Security Center, click Go to Azure Security Center to onboard servers from the Microsoft Defender ATP server onboarding.

  1. Wählen Sie im Bereich Onboarding einen Arbeitsbereich aus (oder erstellen Sie einen Arbeitsbereich), in dem die Daten gespeichert werden sollen.In the Onboarding area, select or create a workspace in which to store the data.

  2. Wenn nicht alle Arbeitsbereiche angezeigt werden, kann dies auf fehlende Berechtigungen zurückzuführen sein. Stellen Sie daher sicher, dass Ihr Arbeitsbereich auf den Tarif „Standard“ von Azure Security Center eingestellt ist.If you can’t see all your workspaces, it may be due to a lack of permissions, make sure your workspace is set to Azure Security Standard tier. Weitere Informationen finden Sie unter Upgrade auf den Standard-Tarif von Azure Security Center für erhöhte Sicherheit.For more information, see Upgrade to Security Center's Standard tier for enhanced security.

  3. Wählen Sie Server hinzufügen aus, um Anweisungen zum Installieren von Microsoft Monitoring Agent anzuzeigen.Select Add servers to view instructions on how to install the Microsoft Monitoring Agent.

  4. Nach der Integration können Sie die Computer unter Compute und Apps überwachen.After onboarding, you can monitor the machines under Compute and apps.

    Integrieren von Computern

Aktivieren der Microsoft Defender ATP-IntegrationEnable Microsoft Defender ATP integration

Wählen Sie Security Center > Preise & Einstellungen aus, und klicken Sie auf Ihr Abonnement, um anzuzeigen, ob die ATP-Integration von Microsoft Defender aktiviert ist.To view if Microsoft Defender ATP integration is enabled, select Security center > Pricing & settings > click on your subscription. Hier können Sie die Integrationen anzeigen, die zurzeit aktiviert sind.Here you can see the integrations currently enabled.

Einstellungsseite von Azure Security Center Threat Detection mit aktivierter Microsoft Defender ATP-Integration

  • Wenn Sie die Server bereits in die Standardebene von Azure Security Center integriert haben, müssen Sie keine weiteren Maßnahmen ergreifen.If you've already onboarded the servers to Azure Security Center standard tier, you need take no further action. Azure Security Center integriert die Server automatisch in Microsoft Defender ATP.Azure Security Center will automatically onboard the servers to Microsoft Defender ATP. Das Onboarding kann bis zu 24 Stunden dauern.Onboarding might take up to 24 hours.

  • Wenn Sie die Server noch nie in die Standardebene von Azure Security Center integriert haben, integrieren Sie sie wie gewohnt in Azure Security Center.If you've never onboarded the servers to Azure Security Center standard tier, onboard them to Azure Security Center as usual.

  • Gehen Sie folgendermaßen vor, wenn Sie die Server über Microsoft Defender ATP integriert haben:If you've onboarded the servers through Microsoft Defender ATP:

Zugreifen auf das Microsoft Defender ATP-PortalAccess to the Microsoft Defender ATP portal

Befolgen Sie die Anweisungen unter Zuweisen von Benutzerzugriff auf das Portal.Follow the instructions in Assign user access to the portal.

Festlegen der FirewallkonfigurationSet the firewall configuration

Wenn Sie einen Proxy oder eine Firewall verwenden, der bzw. die anonymen Datenverkehr blockiert, stellen Sie sicher, dass anonymer Datenverkehr zulässig ist, da ein Microsoft Defender ATP-Sensor aus dem Systemkontext eine Verbindung herstellt.If you have a proxy or firewall that is blocking anonymous traffic, as a Microsoft Defender ATP sensor is connecting from the system context, make sure that anonymous traffic is permitted. Befolgen Sie die Anweisungen unter Aktivieren des Zugriffs auf Windows Defender ATP-Dienst-URLs im Proxyserver.Follow the instructions in Enable access to Microsoft Defender ATP service URLs in the proxy server.

Testen des FeaturesTest the feature

So generieren Sie eine unbedenkliche Microsoft Defender ATP-Testwarnung:To generate a benign Microsoft Defender ATP test alert:

  1. Verwenden Sie Remotedesktop, um auf eine Windows Server 2012 R2-VM oder eine Windows Server 2016-VM zuzugreifen.Use Remote Desktop to access either a Windows Server 2012 R2 VM or a Windows Server 2016 VM. Öffnen Sie ein Eingabeaufforderungsfenster.Open a Command Prompt window.

  2. Kopieren Sie an der Eingabeaufforderung den folgenden Befehl, und führen Sie ihn aus.At the prompt, copy and run the following command. Das Eingabeaufforderungsfenster wird automatisch geschlossen.The Command Prompt window will close automatically.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe'); Start-Process 'C:\\test-WDATP-test\\invoice.exe'
    

    Ein Eingabeaufforderungsfenster mit dem oben gezeigten Befehl

  3. Wenn der Befehl erfolgreich ist, wird Ihnen eine neue Warnung im Azure Security Center-Dashboard und im Microsoft Defender ATP-Portal angezeigt.If the command is successful, you'll see a new alert on the Azure Security Center dashboard and the Microsoft Defender ATP portal. Die Anzeige dieser Warnung kann einige Minuten dauern.This alert might take a few minutes to appear.

  4. Um die Warnung in Security Center zu überprüfen, navigieren Sie zu Sicherheitswarnungen > Verdächtige PowerShell-Befehlszeile.To review the alert in Security Center, go to Security Alerts > Suspicious Powershell CommandLine.

  5. Wählen Sie im Untersuchungsfenster den Link aus, um zum Microsoft Defender ATP-Portal zu navigieren.From the investigation window, select the link to go to the Microsoft Defender ATP portal.

Nächste SchritteNext steps