Erweiterte Bedrohungserkennung von AzureAzure advanced threat detection

Azure enthält integrierte Funktionen zur erweiterten Bedrohungserkennung über Dienste wie Azure Active Directory (Azure AD), Azure Monitor-Protokolle und Azure Security Center.Azure offers built in advanced threat detection functionality through services such as Azure Active Directory (Azure AD), Azure Monitor logs, and Azure Security Center. Diese Auflistung von Sicherheitsdiensten und -funktionen bietet eine einfache und schnelle Möglichkeit zu verstehen, was innerhalb Ihrer Azure-Bereitstellungen abläuft.This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

Azure bietet eine Vielzahl von Optionen zum Konfigurieren und Anpassen der Sicherheit, um den Anforderungen Ihrer App-Bereitstellungen zu entsprechen.Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. In diesem Artikel wird beschrieben, wie Sie diese Anforderungen erfüllen.This article discusses how to meet these requirements.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure AD Identity Protection ist ein Feature der Edition Azure Active Directory Premium P2, mit dem Sie eine Übersicht über die Risikoerkennungen und potenziellen Sicherheitsrisiken anzeigen können, die für die Identitäten Ihrer Organisation bestehen.Azure AD Identity Protection is an Azure Active Directory Premium P2 edition feature that provides an overview of the risk detections and potential vulnerabilities that can affect your organization’s identities. Für Identity Protection werden die vorhandenen Azure AD-Funktionen zur Erkennung von Anomalien genutzt, die über die Berichte zu anomalen Aktivitäten von Azure AD verfügbar sind, und es werden neue Risikoerkennungstypen eingeführt, mit denen Echtzeitanomalien erkannt werden können.Identity Protection uses existing Azure AD anomaly-detection capabilities that are available through Azure AD Anomalous Activity Reports, and introduces new risk detection types that can detect real time anomalies.

Diagramm zu Azure AD Identity Protection

Identity Protection nutzt adaptive Machine Learning-Algorithmen und heuristische Verfahren, um Anomalien und Risikoerkennungen zu erkennen, die auf die Kompromittierung einer Identität hindeuten können.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk detections that might indicate that an identity has been compromised. Mit diesen Daten generiert Identity Protection Berichte und Warnungen, damit Sie diese Risikoerkennungen untersuchen und entsprechende Aktionen zur Korrektur oder Lösung durchführen können.Using this data, Identity Protection generates reports and alerts so that you can investigate these risk detections and take appropriate remediation or mitigation action.

Azure Active Directory Identity Protection ist viel mehr als nur ein Tool für die Überwachung und Berichterstellung.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Basierend auf Risikoerkennungen berechnet Identity Protection eine Benutzerrisikostufe für jeden Benutzer, sodass Sie risikobasierte Richtlinien konfigurieren können, um die Identitäten Ihrer Organisation automatisch zu schützen.Based on risk detections, Identity Protection calculates a user risk level for each user, so that you can configure risk-based policies to automatically protect the identities of your organization.

Mit diesen risikobasierten Richtlinien in Verbindung mit anderen Steuerelementen für den bedingten Zugriff von Azure Active Directory und EMS können adaptive Korrekturaktionen blockiert oder bereitgestellt werden. Hierzu gehören Kennwortzurücksetzungen und die Durchsetzung der mehrstufigen Authentifizierung.These risk-based policies, in addition to other Conditional Access controls that are provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Funktionen von Identity ProtectionIdentity Protection capabilities

Azure Active Directory Identity Protection ist viel mehr als nur ein Tool für die Überwachung und Berichterstellung.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Zum Schutz der Identitäten Ihrer Organisation können Sie risikobasierte Richtlinien konfigurieren, die automatisch auf erkannte Probleme reagieren, wenn eine angegebene Risikostufe erreicht wurde.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Mit diesen Richtlinien in Verbindung mit anderen Steuerelementen für den bedingten Zugriff von Azure Active Directory und EMS können adaptive Korrekturaktionen entweder blockiert oder initiiert werden. Hierzu gehören Kennwortzurücksetzungen und die Durchsetzung der mehrstufigen Authentifizierung.These policies, in addition to other Conditional Access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Beispiele zu einigen Methoden, mit denen Azure Identity Protection dabei helfen kann, Ihre Konten und Identitäten zu schützen:Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

Erkennen von Risikoerkennungen und gefährdeten KontenDetecting risk detections and risky accounts

  • Erkennen von sechs Risikoerkennungstypen mittels Machine Learning und mit heuristischen RegelnDetect six risk detection types using machine learning and heuristic rules.
  • Berechnen von BenutzerrisikostufenCalculate user risk levels.
  • Bereitstellen von benutzerdefinierten Empfehlungen zur Verbesserung der allgemeinen Sicherheit, indem Sicherheitsrisiken aufgedeckt werdenProvide custom recommendations to improve overall security posture by highlighting vulnerabilities.

Untersuchen von RisikoerkennungenInvestigating risk detections

  • Senden von Benachrichtigungen für RisikoerkennungenSend notifications for risk detections.
  • Untersuchen von Risikoerkennungen mit relevanten und kontextbezogenen InformationenInvestigate risk detections using relevant and contextual information.
  • Bereitstellen grundlegender Workflows zum Nachverfolgen von UntersuchungenProvide basic workflows to track investigations.
  • Bereitstellen des einfachen Zugriffs auf Korrekturaktionen, z.B. KennwortzurücksetzungProvide easy access to remediation actions such as password reset.

Risikobasierte Richtlinien für bedingten ZugriffRisk-based, conditional-access policies

  • Durchführen von Abwehrmaßnahmen bei risikobehafteten Anmeldungen, indem Anmeldungen blockiert oder die Multi-Factor Authentication erzwungen wirdMitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • Blockieren oder Schützen von risikobehafteten BenutzerkontenBlock or secure risky user accounts.
  • Erzwingen, dass sich Benutzer für die mehrstufige Authentifizierung registrierenRequire users to register for multi-factor authentication.

Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management

Mit Azure Active Directory Privileged Identity Management (PIM) können Sie den Zugriff innerhalb Ihrer Organisation verwalten, steuern und überwachen.With Azure Active Directory Privileged Identity Management (PIM), you can manage, control, and monitor access within your organization. Dieses Feature umfasst den Zugriff auf Ressourcen in Azure AD und anderen Microsoft-Onlinediensten, z.B. Office 365 oder Microsoft Intune.This feature includes access to resources in Azure AD and other Microsoft online services, such as Office 365 or Microsoft Intune.

Diagramm zu Azure AD Privileged Identity Management

PIM ermöglicht Folgendes:PIM helps you:

  • Abrufen von Warnungen und Berichten zu Azure AD-Administratoren und Just-In-Time-Administratorzugriff (JIT) auf Microsoft-Onlinedienste, z.B. Office 365 und IntuneGet alerts and reports about Azure AD administrators and just-in-time (JIT) administrative access to Microsoft online services, such as Office 365 and Intune.

  • Abrufen von Berichten zum Administratorzugriffsverlauf und zu Änderungen bei Administratorzuweisungen.Get reports about administrator access history and changes in administrator assignments.

  • Aktivieren von Benachrichtigungen zum Zugriff auf eine privilegierte Rolle.Get alerts about access to a privileged role.

Azure Monitor-ProtokolleAzure Monitor logs

Azure Monitor ist eine cloudbasierte IT-Verwaltungslösung von Microsoft, die Ihnen die Verwaltung und den Schutz Ihrer lokalen und cloudbasierten Infrastruktur erleichtert.Azure Monitor logs is a Microsoft cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Da Azure Monitor als cloudbasierter Dienst implementiert wird, ist die Lösung mit minimalen Investitionen in Infrastrukturdienste schnell betriebsbereit.Because Azure Monitor logs is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. Neue Sicherheitsfeatures werden automatisch bereitgestellt, sodass Sie Kosten für die laufende Wartung und für Upgrades sparen.New security features are delivered automatically, saving ongoing maintenance and upgrade costs.

Zusätzlich zur Bereitstellung wertvoller Dienste kann Azure Monitor in System Center-Komponenten wie System Center Operations Manager integriert werden, um Ihre bestehenden Investitionen für die Sicherheitsverwaltung auf die Cloud zu erweitern.In addition to providing valuable services on its own, Azure Monitor logs can integrate with System Center components, such as System Center Operations Manager, to extend your existing security management investments into the cloud. Durch die Kombination von System Center und Azure Monitor-Protokollen können Sie vollständig vom Hybrid-Management profitieren.System Center and Azure Monitor logs can work together to provide a full hybrid management experience.

Ganzheitlicher Ansatz für den Sicherheits- und KonformitätsstatusHolistic security and compliance posture

Das Log Analytics-Dashboard für Sicherheit und Überwachung bietet dank integrierter Suchabfragen für relevante Probleme, die Ihre Aufmerksamkeit erfordern, einen umfassenden Einblick in die Lage der IT-Sicherheit Ihres Unternehmens.The Log Analytics Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture, with built-in search queries for notable issues that require your attention. Das Dashboard „Sicherheit und Überwachung“ ist die Startseite für sämtliche Sicherheitsaspekte in Azure Monitor-Protokolle.The Security and Audit dashboard is the home screen for everything related to security in Azure Monitor logs. Hier erhalten Sie einen allgemeinen Überblick über den Sicherheitszustand Ihres Computers.It provides high-level insight into the security state of your computers. Sie können auch alle Ereignisse der letzten 24 Stunden, 7 Tage oder für einen anderen benutzerdefinierten Zeitraum anzeigen.You can also view all events from the past 24 hours, 7 days, or any other custom timeframe.

Azure Monitor-Protokolle helfen Ihnen dabei, den Gesamtsicherheitsstatus einer beliebigen Umgebung schnell und einfach im Kontext von IT-Vorgängen zu erfassen. Hierzu zählen unter anderem die Bewertung von Softwareupdates, Antischadsoftwarebewertungen und Konfigurationsgrundwerte.Azure Monitor logs help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including software update assessment, antimalware assessment, and configuration baselines. Die Sicherheitsprotokolldaten sind leicht zugänglich, um die Überwachungsprozesse für Sicherheit und Konformität zu optimieren.Security log data is readily accessible to streamline the security and compliance audit processes.

Das Log Analytics-Dashboard „Sicherheit und Überwachung“

Das Log Analytics-Dashboard „Sicherheit und Überwachung“ ist in vier Hauptkategorien unterteilt:The Log Analytics Security and Audit dashboard is organized into four major categories:

  • Sicherheitsdomänen: Ermöglichen es Ihnen, die Sicherheitsdatensätze in Abhängigkeit der Zeit näher zu untersuchen. Außerdem können Sie auf Schadsoftwarebewertungen zugreifen, Bewertungen aktualisieren, Informationen zu Netzwerksicherheit, Identität und Zugriff anzeigen, Computer mit Sicherheitsereignissen anzeigen und schnell auf das Azure Security Center-Dashboard zugreifen.Security Domains: Lets you further explore security records over time; access malware assessments; update assessments; view network security, identity, and access information; view computers with security events; and quickly access the Azure Security Center dashboard.

  • Relevante Probleme: Mit dieser Option können Sie schnell die Anzahl von aktiven Problemen und den jeweiligen Schweregrad ermitteln.Notable Issues: Lets you quickly identify the number of active issues and the severity of the issues.

  • Erkennungen (Vorschau): Ermöglicht Ihnen, Angriffsmuster zu identifizieren, indem Sicherheitswarnungen für Ihre Ressourcen beim Auftreten angezeigt werden.Detections (Preview): Lets you identify attack patterns by displaying security alerts as they occur against your resources.

  • Informationen zu Bedrohungen: Ermöglicht Ihnen, Angriffsmuster zu identifizieren, indem die Gesamtanzahl von Servern mit ausgehendem schädlichem IP-Datenverkehr, die Art der Bedrohung und eine Karte mit den Standorten der IP-Adressen angezeigt werden.Threat Intelligence: Lets you identify attack patterns by displaying the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map of the IPs locations.

  • Allgemeine Sicherheitsabfragen: Diese Option liefert eine Liste mit den gängigsten Sicherheitsabfragen, die Sie zum Überwachen der Umgebung verwenden können.Common security queries: Lists the most common security queries that you can use to monitor your environment. Wenn Sie eine Abfrage auswählen, wird der Suchbereich geöffnet, und die Ergebnisse der Abfrage werden angezeigt.When you select any query, the Search pane opens and displays the results for that query.

Insight und AnalyticsInsight and analytics

Im Mittelpunkt von Azure Monitor steht das Repository, das von Azure gehostet wird.At the center of Azure Monitor logs is the repository, which is hosted by Azure.

Diagramm zu Insight und Analytics

Sie sammeln Daten von verbundenen Quellen im Repository, indem Sie Datenquellen konfigurieren und Ihrem Abonnement Lösungen hinzufügen.You collect data into the repository from connected sources by configuring data sources and adding solutions to your subscription.

Das Dashboard von Azure Monitor

Für Datenquellen und Lösungen werden jeweils separate Datensatztypen mit eigenen Eigenschaften erstellt, aber Sie können sie mit Abfragen für das Repository trotzdem zusammen analysieren.Data sources and solutions each create separate record types with their own set of properties, but you can still analyze them together in queries to the repository. Sie können die gleichen Tools und Methoden verwenden, um mit den unterschiedlichsten Daten zu arbeiten, die über verschiedene Quellen erfasst werden.You can use the same tools and methods to work with a variety of data that's collected by various sources.

Der größte Teil der Interaktion mit Azure Monitor-Protokollen erfolgt über das Azure-Portal, das in jedem Browser verwendet werden kann und Ihnen Zugriff auf Konfigurationseinstellungen und verschiedene Tools bietet, mit denen Sie die gesammelten Daten analysieren und entsprechend reagieren können.Most of your interaction with Azure Monitor logs is through the Azure portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. Im Portal können Sie Folgendes nutzen:From the portal, you can use:

  • Protokollsuchen, mit denen Sie Abfragen zum Analysieren von gesammelten Daten erstellen.Log searches where you construct queries to analyze collected data.
  • Dashboards, die Sie mit grafischen Ansichten Ihrer wertvollsten Suchen anpassen können.Dashboards, which you can customize with graphical views of your most valuable searches.
  • Lösungen, mit denen zusätzliche Funktionen und Analysetools bereitgestellt werden.Solutions, which provide additional functionality and analysis tools.

Analysetools

Lösungen fügen Azure Monitor-Protokolle weitere Funktionalität hinzu.Solutions add functionality to Azure Monitor logs. Sie werden primär in der Cloud ausgeführt und ermöglichen die Analyse von Daten, die im Log Analytics-Repository gesammelt wurden.They primarily run in the cloud and provide analysis of data that's collected in the log analytics repository. Lösungen definieren ggf. auch neue Datensatztypen, die gesammelt und mit Protokollsuchvorgängen oder über eine zusätzliche Benutzeroberfläche analysiert werden können, die von der Lösung auf dem Log Analytics-Dashboard bereitgestellt wird.Solutions might also define new record types to be collected that can be analyzed with log searches or by using an additional user interface that the solution provides in the log analytics dashboard.

Das Dashboard „Sicherheit und Überwachung“ ist ein Beispiel für diese Arten von Lösungen.The Security and Audit dashboard is an example of these types of solutions.

Automation & Control: Warnung zu Abweichungen von der SicherheitskonfigurationAutomation and control: Alert on security configuration drifts

Azure Automation automatisiert Verwaltungsprozesse mithilfe von Runbooks, die auf PowerShell basieren und in der Cloud ausgeführt werden.Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the cloud. Runbooks können auch auf einem Server in Ihrem lokalen Rechenzentrum ausgeführt werden, um lokale Ressourcen zu verwalten.Runbooks can also be executed on a server in your local data center to manage local resources. Azure Automation stellt die Konfigurationsverwaltung mit PowerShell Desired State Configuration (DSC) bereit.Azure Automation provides configuration management with PowerShell Desired State Configuration (DSC).

Diagramm zu Azure Automation

Sie können DSC-Ressourcen erstellen und verwalten, die in Azure gehostet werden, und diese auf Cloudsysteme und lokale Systeme anwenden.You can create and manage DSC resources that are hosted in Azure and apply them to cloud and on-premises systems. Auf diese Weise können Sie die entsprechende Konfiguration definieren und automatisch erzwingen oder Berichte zu Abweichungen abrufen, um sicherzustellen, dass Sicherheitskonfigurationen die Richtlinienanforderungen erfüllen.By doing so, you can define and automatically enforce their configuration or get reports on drift to help ensure that security configurations remain within policy.

Azure Security CenterAzure Security Center

Azure Security Center unterstützt Sie beim Schützen Ihrer Azure-Ressourcen.Azure Security Center helps protect your Azure resources. Es bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements.It provides integrated security monitoring and policy management across your Azure subscriptions. Im Dienst können Sie Richtlinien sowohl für Ihre Azure-Abonnements als auch für Ressourcengruppen definieren, um eine bessere Granularität zu erzielen.Within the service, you can define polices against both your Azure subscriptions and resource groups for greater granularity.

Azure Security Center-Diagramm

Microsoft-Sicherheitsexperten suchen ständig nach neuen Bedrohungen.Microsoft security researchers are constantly on the lookout for threats. Sie haben Zugriff auf umfassende Telemetriedaten, die auf der globalen Präsenz von Microsoft in der Cloud und in lokalen Umgebungen basieren.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. Aufgrund dieser weit reichenden und verschiedenartigen Sammlung von Datasets kann Microsoft neue Angriffsmuster und Trends für seine lokalen Privatkunden- und Unternehmensprodukte sowie für seine Onlinedienste erkennen.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

Auf diese Weise können die Erkennungsalgorithmen von Security Center schnell aktualisiert werden, wenn Angreifer neue und immer anspruchsvollere Exploit-Verfahren nutzen.Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. So können Sie mit der rasanten Entwicklung von Bedrohungen Schritt halten.This approach helps you keep pace with a fast-moving threat environment.

Security Center-Bedrohungserkennung

Bei der Bedrohungserkennung von Security Center werden automatisch Sicherheitsinformationen von Ihren Azure-Ressourcen, aus dem Netzwerk und von verbundenen Partnerlösungen gesammelt.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Diese Informationen, bei denen es sich um korrelierende Informationen aus mehreren Quellen handelt, werden analysiert, um Bedrohungen zu identifizieren.It analyzes this information, correlating information from multiple sources, to identify threats.

Sicherheitswarnungen werden in Security Center zusammen mit Empfehlungen zur Lösung der Bedrohung priorisiert.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Für Security Center werden professionelle Sicherheitsanalysen genutzt, die weit über signaturbasierte Ansätze hinausgehen.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Bahnbrechende Neuerungen der Big Data- und Machine Learning-Technologie werden genutzt, um Ereignisse übergreifend für die gesamte Cloud-Fabric auszuwerten.Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric. Mit der erweiterten Analyse können Bedrohungen erkannt werden, die mit manuellen Ansätzen und der Vorhersage zur Entwicklung von Angriffen nicht identifiziert werden können.Advanced analytics can detect threats that would be impossible to identify through manual approaches and predicting the evolution of attacks. Diese Arten von Lösungen für die Sicherheitsanalyse werden in den nächsten Abschnitten beschrieben.These security analytics types are covered in the next sections.

BedrohungsanalyseThreat intelligence

Microsoft verfügt über Zugriff auf eine große Menge von Informationen zu globalen Bedrohungen.Microsoft has access to an immense amount of global threat intelligence.

Die Telemetriedaten stammen aus mehreren Quellen, z. B. Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) und Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

Informationen zu Bedrohungen – Ergebnisse

Sicherheitsexperten erhalten außerdem Informationen zu Bedrohungen, die zwischen großen Cloudanbietern ausgetauscht werden, und haben Threat Intelligence-Feeds von Drittanbietern abonniert.Researchers also receive threat intelligence information that is shared among major cloud service providers, and they subscribe to threat intelligence feeds from third parties. Azure Security Center kann diese Informationen verwenden, um Sie vor Bedrohungen durch bekannte Angreifer zu warnen.Azure Security Center can use this information to alert you to threats from known bad actors. Beispiele hierfür sind:Some examples include:

  • Nutzen des Potenzials von maschinellem Lernen: Azure Security Center hat Zugriff auf eine riesige Menge an Daten zur Cloudnetzwerkaktivität, mit denen Bedrohungen erkannt werden können, die auf Ihre Azure-Bereitstellungen abzielen.Harnessing the power of machine learning: Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments.

  • Brute-Force-Erkennung: Mithilfe von maschinellem Lernen wird ein Verlaufsmuster für Remotezugriffsversuche erstellt, mit dem Brute-Force-Angriffe auf SSH- (Secure Shell), RDP- (Remotedesktopprotokoll) und SQL-Ports erkannt werden können.Brute force detection: Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against Secure Shell (SSH), Remote Desktop Protocol (RDP), and SQL ports.

  • Ausgehende DDoS- und Botnet-Erkennung: Ein häufiges Ziel bei Angriffen auf Cloudressourcen besteht darin, die Verarbeitungsleistung dieser Ressourcen zum Durchführen von anderen Angriffen zu nutzen.Outbound DDoS and botnet detection: A common objective of attacks that target cloud resources is to use the compute power of these resources to execute other attacks.

  • Neue Server und virtuelle Computer für Verhaltensanalysen: Nachdem ein Server oder virtueller Computer kompromittiert wurde, verwenden Angreifer eine Vielzahl von Techniken, um schädlichen Code auf diesem System auszuführen. Hierbei soll die Erkennung vermieden und Persistenz sichergestellt werden, und Sicherheitskontrollen sollen umgangen werden.New behavioral analytics servers and VMs: After a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Bedrohungserkennung von Azure SQL-Datenbank: Bedrohungserkennung für Azure SQL-Datenbank, mit der anomale Datenbankaktivitäten identifiziert werden, indem ungewöhnliche und potenziell schädliche Zugriffsversuche auf Datenbanken (Exploits) angezeigt werden.Azure SQL Database Threat Detection: Threat detection for Azure SQL Database, which identifies anomalous database activities that indicate unusual and potentially harmful attempts to access or exploit databases.

VerhaltensanalyseBehavioral analytics

Die Verhaltensanalyse ist ein Verfahren, bei dem Daten mit einer Sammlung bekannter Muster analysiert und verglichen werden.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. Bei diesen Mustern handelt es sich aber nicht nur um einfache Signaturen.However, these patterns are not simple signatures. Sie werden anhand von komplexen Machine Learning-Algorithmen bestimmt, die auf große Datasets angewendet werden.They are determined through complex machine learning algorithms that are applied to massive datasets.

Verhaltensanalyse – Ergebnisse

Die Muster werden auch anhand einer sorgfältigen Analyse von schädlichem Verhalten bestimmt, die von erfahrenen Analysten durchgeführt wird.The patterns are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center kann die Verhaltensanalyse verwenden, um kompromittierte Ressourcen basierend auf der Analyse der Protokolle von virtuellen Computern, virtuellen Netzwerkgeräten, Fabric-Protokolle, Absturzabbilder und anderen Quellen zu identifizieren.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

Außerdem werden Muster mit anderen Signalen korreliert, damit weitere Beweise für eine größere Aktion ermittelt werden können.In addition, patterns are correlated with other signals to check for supporting evidence of a widespread campaign. So können Ereignisse identifiziert werden, die mit vorhandenen Indikatoren für eine Kompromittierung übereinstimmen.This correlation helps to identify events that are consistent with established indicators of compromise.

Beispiele hierfür sind:Some examples include:

  • Ausführung von verdächtigen Prozessen: Angreifer nutzen verschiedene Verfahren, um unbemerkt Schadsoftware auszuführen.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Beispielsweise können Angreifer Schadsoftware mit dem Namen regulärer Systemdateien versehen, diese dann aber an einem anderen Speicherort ablegen. Alternativ können sie einen Namen verwenden, der dem Namen einer unbedenklichen Datei ähnelt, oder die tatsächliche Dateinamenerweiterung verschleiern.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is similar to that of a benign file, or mask the file’s true extension. Security Center modelliert Prozessverhalten und überwacht die Prozessausführung, um Ausreißer dieser Art zu erkennen.Security Center models process behaviors and monitor process executions to detect outliers such as these.

  • Versteckte Schadsoftware und versuchte Ausnutzung von Schwachstellen: Ausgereifte Schadsoftware kann herkömmliche Antischadsoftware-Produkte umgehen, indem sie entweder nie auf den Datenträger schreibt oder auf dem Datenträger gespeicherte Softwarekomponenten verschlüsselt.Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. Schadsoftware dieser Art kann aber mithilfe der Arbeitsspeicheranalyse erkannt werden, da die Schadsoftware Spuren im Arbeitsspeicher hinterlassen muss, um funktionieren zu können.However, such malware can be detected by using memory analysis, because the malware must leave traces in memory to function. Beim Absturz von Software wird in einem Absturzabbild ein Teil des Arbeitsspeichers zum Zeitpunkt des Absturzes erfasst.When software crashes, a crash dump captures a portion of memory at the time of the crash. Indem die Arbeitsspeicherdaten im Absturzabbild analysiert werden, kann Azure Security Center Verfahren erkennen, die für folgende Zwecke verwendet werden: Ausnutzen von Schwachstellen in Software, Zugreifen auf vertrauliche Daten und Bewegen auf einem kompromittierten Computer ohne Auswirkung auf die Leistung des Computers.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without affecting the performance of your machine.

  • Seitwärtsbewegung und interne Aufklärung: Um wertvolle Daten in einem kompromittierten Netzwerk ausfindig machen und abschöpfen zu können, versuchen Angreifer häufig, vom kompromittierten Computer aus auf andere Computer im selben Netzwerk zuzugreifen.Lateral movement and internal reconnaissance: To persist in a compromised network and locate and harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Security Center überwacht die Verarbeitungs- und Anmeldeaktivitäten, um versuchte Aktionen aufzudecken, mit denen Angreifer ihre Basis im Netzwerk ausbauen möchten, z. B. Ausführung von Remotebefehlen im Netzwerk und Kontoauflistung.Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • Schädliche PowerShell-Skripts: PowerShell wird von Angreifern verwendet, um zu unterschiedlichen Zwecken Schadcode auf virtuellen Zielcomputern auszuführen.Malicious PowerShell scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for various purposes. Security Center untersucht die PowerShell-Aktivitäten auf Beweise für verdächtige Vorgänge.Security Center inspects PowerShell activity for evidence of suspicious activity.

  • Ausgehende Angriffe: Angreifer nehmen häufig Cloudressourcen ins Visier, um diese zur Durchführung weiterer Angriffe zu nutzen.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Kompromittierte virtuelle Computer können beispielsweise verwendet werden, um Brute-Force-Angriffe auf andere virtuelle Computer zu starten, Spam zu senden oder nach offenen Ports und anderen Geräten im Internet zu suchen.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send spam, or scan open ports and other devices on the internet. Indem Machine Learning-Verfahren auf den Netzwerkdatenverkehr angewendet werden, kann Security Center erkennen, wenn ausgehende Netzwerkkommunikation außerhalb der Norm liegt.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. Bei der Erkennung von Spam korreliert Security Center außerdem ungewöhnlichen E-Mail-Datenverkehr mit Informationen aus Office 365, um zu ermitteln, ob die E-Mail vermutlich schädlich oder das Ergebnis einer legitimen E-Mail-Kampagne ist.When spam is detected, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

AnomalieerkennungAnomaly detection

Azure Security Center nutzt auch die Anomalieerkennung, um Bedrohungen zu identifizieren.Azure Security Center also uses anomaly detection to identify threats. Im Gegensatz zur Verhaltensanalyse (basiert auf bekannten Mustern, die aus großen Datasets abgeleitet werden) ist die Anomalieerkennung „personalisierter“ und nutzt Baselines, die speziell für Ihre Bereitstellungen gelten.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. Machine Learning wird angewendet, um die normale Aktivität für Ihre Bereitstellungen zu ermitteln. Anschließend werden Regeln generiert, um Ausreißerbedingungen zu definieren, die ein Sicherheitsereignis darstellen können.Machine learning is applied to determine normal activity for your deployments, and then rules are generated to define outlier conditions that could represent a security event. Hier ist ein Beispiel angegeben:Here’s an example:

  • Eingehende RDP/SSH-Brute-Force-Angriffe: Es kann sein, dass Ihre Bereitstellungen gleichzeitig stark ausgelastete virtuelle Computer mit vielen täglichen Anmeldungen und andere virtuelle Computer mit wenigen oder gar keinen Anmeldungen umfassen.Inbound RDP/SSH brute force attacks: Your deployments might have busy virtual machines with many logins each day and other virtual machines that have few, if any, logins. Azure Security Center kann eine Baseline der Anmeldeaktivität für diese virtuellen Computer ermitteln und anhand von Machine Learning-Verfahren definieren, welche Aktionen normale Anmeldeaktivitäten sind.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. Wenn es Abweichungen bei der Baseline gibt, die für anmeldungsbezogene Eigenschaften definiert ist, wird unter Umständen eine Warnung generiert.If there is any discrepancy with the baseline defined for login related characteristics, an alert might be generated. Auch hier wird wieder per Machine Learning-Verfahren ermittelt, was relevant ist.Again, machine learning determines what is significant.

Fortlaufende Threat Intelligence-ÜberwachungContinuous threat intelligence monitoring

Azure Security Center arbeitet mit Sicherheitsforschungs- und Data Science-Teams auf der ganzen Welt, die ständig Änderungen der Bedrohungslandschaft überwachen.Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. Dies umfasst Folgendes:This includes the following initiatives:

  • Threat Intelligence-Überwachung: Informationen zu Bedrohungen (Threat Intelligence) umfassen Mechanismen, Indikatoren, Auswirkungen und nützliche Hinweise zu vorhandenen oder neuen Bedrohungen.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Diese Informationen werden in der Sicherheitscommunity bereitgestellt, und Microsoft überwacht fortlaufend Threat Intelligence-Feeds von internen und externen Quellen.This information is shared in the security community, and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • Signalaustausch: Die Erkenntnisse der Sicherheitsteams des gesamten umfangreichen Microsoft-Portfolios mit Clouddiensten und lokalen Diensten, Servern und Clientendpunkt-Geräten werden ausgetauscht und analysiert.Signal sharing: Insights from security teams across the broad Microsoft portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Microsoft-Sicherheitsexperten: Ständiger Austausch mit Teams von Microsoft, die sich mit speziellen Sicherheitsfeldern beschäftigen, z.B. Forensik und Erkennung von Webangriffen.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, such as forensics and web attack detection.

  • Erkennungsoptimierung: Algorithmen werden für echte Kundendatasets ausgeführt, und Sicherheitsexperten werten die Ergebnisse zusammen mit den Kunden aus.Detection tuning: Algorithms are run against real customer data sets, and security researchers work with customers to validate the results. Richtige und falsche Positivmeldungen werden verwendet, um Machine Learning-Algorithmen zu verfeinern.True and false positives are used to refine machine learning algorithms.

Diese kombinierten Verfahren führen zu neuen und verbesserten Erkennungsergebnissen, von denen Sie sofort profitieren können.These combined efforts culminate in new and improved detections, which you can benefit from instantly. Sie müssen hierfür nichts unternehmen.There’s no action for you to take.

Features für die erweiterte Bedrohungserkennung: Weitere Azure-DiensteAdvanced threat detection features: Other Azure services

Virtuelle Computer: Microsoft AntimalwareVirtual machines: Microsoft antimalware

Microsoft Antimalware für Azure ist eine Lösung mit einem einzelnen Agent für Anwendungen und Mandantenumgebungen, die im Hintergrund ohne Eingreifen des Benutzers ausgeführt wird.Microsoft antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. Sie können Schutz basierend auf den Anforderungen der Anwendungsworkloads bereitstellen, entweder mit der einfachen Konfiguration, die Schutz durch die Standardeinstellungen bietet, oder mit einer erweiterten benutzerdefinierten Konfiguration, einschließlich Antischadsoftwareüberwachung.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Azure-Antischadsoftware ist eine Sicherheitsoption für virtuelle Azure-Computer, die automatisch auf allen virtuellen Azure-PaaS-Computern installiert wird.Azure antimalware is a security option for Azure virtual machines that's automatically installed on all Azure PaaS virtual machines.

Kernfeatures von Microsoft AntimalwareMicrosoft antimalware core features

Hier sind die Features von Azure zum Bereitstellen und Aktivieren von Microsoft Antimalware für Ihre Anwendungen aufgeführt:Here are the features of Azure that deploy and enable Microsoft antimalware for your applications:

  • Echtzeitschutz: Überwacht die Aktivitäten in Cloud Services und auf virtuellen Computern, um die Ausführung von Schadsoftware zu erkennen und zu blockieren.Real-time protection: Monitors activity in cloud services and on virtual machines to detect and block malware execution.

  • Geplantes Scannen: Führt regelmäßig gezielte Scans aus, um Schadsoftware, einschließlich aktiv ausgeführter Programme, zu erkennen.Scheduled scanning: Periodically performs targeted scanning to detect malware, including actively running programs.

  • Schadsoftwarebehandlung: Führt automatisch Aktionen für erkannte Schadsoftware aus, z.B. Löschen schädlicher Dateien, Unter-Quarantäne-Stellen schädlicher Dateien und Bereinigen schädlicher Registrierungseinträge.Malware remediation: Automatically acts on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • Signaturaktualisierungen: Installiert automatisch mit einer vordefinierten Häufigkeit die neuesten Schutzsignaturen (Virendefinitionen), um sicherzustellen, dass der Schutz auf dem neuesten Stand ist.Signature updates: Automatically installs the latest protection signatures (virus definitions) to ensure that protection is up to date on a pre-determined frequency.

  • Aktualisierungen des Antischadsoftware-Moduls: Führt eine automatische Aktualisierung des Microsoft Antimalware-Moduls durch.Antimalware Engine updates: Automatically updates the Microsoft Antimalware Engine.

  • Aktualisierungen der Antimalware-Plattform: Führt eine automatische Aktualisierung der Microsoft Antimalware-Plattform durch.Antimalware platform updates: Automatically updates the Microsoft antimalware platform.

  • Aktiver Schutz: Übermittelt Telemetriemetadaten über erkannte Bedrohungen und verdächtige Ressourcen an Microsoft Azure, um eine schnelle Reaktion auf die ständig zunehmenden Bedrohungen sicherzustellen. Auf diese Weise wird eine synchrone Echtzeitübermittlung von Signaturen über das aktive Schutzsystem von Microsoft ermöglicht.Active protection: Reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, enabling real-time synchronous signature delivery through the Microsoft active protection system.

  • Übermittlung von Stichproben: Übermittelt Stichproben an den Microsoft Antimalware-Dienst, um den Dienst zu optimieren und eine Problembehandlung zu ermöglichen.Samples reporting: Provides and reports samples to the Microsoft antimalware service to help refine the service and enable troubleshooting.

  • Ausschlüsse: Ermöglicht es Anwendungs- und Dienstadministratoren, aus Gründen der Leistung oder anderen Gründen bestimmte Dateien, Prozesse und Laufwerke vom Schutz und von Scans auszuschließen.Exclusions: Allows application and service administrators to configure certain files, processes, and drives for exclusion from protection and scanning for performance and other reasons.

  • Antischadsoftware-Ereigniserfassung: Zeichnet die Integrität des Antimalware-Diensts, verdächtige Aktivitäten und durchgeführte Wiederherstellungsaktionen im Ereignisprotokoll des Betriebssystems auf und erfasst sie im Azure Storage-Konto des Kunden.Antimalware event collection: Records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure storage account.

Bedrohungserkennung von Azure SQL-DatenbankAzure SQL Database Threat Detection

Bedrohungserkennung von Azure SQL-Datenbank ist ein neues Security Intelligence-Feature, das im Azure SQL-Datenbankdienst integriert ist.Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Die Bedrohungserkennung von Azure SQL-Datenbank arbeitet rund um die Uhr, um Informationen zu anomalen Datenbankaktivitäten zu erhalten, Profile über diese Aktivitäten zu erstellen und sie zu erkennen, um potenzielle Bedrohungen für die Datenbank zu identifizieren.Working around the clock to learn, profile, and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

Sicherheitsbeauftragte oder andere zugewiesene Administratoren können eine sofortige Benachrichtigung über verdächtige Datenbankaktivitäten erhalten, sobald diese auftreten.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Jede Benachrichtigung enthält Details zur verdächtigen Aktivität und empfiehlt die Vorgehensweise zur weiteren Untersuchung und Abwendung der Bedrohung.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

Derzeit erkennt die Bedrohungserkennung von Azure SQL-Datenbank potenzielle Sicherheitsrisiken und Angriffe mit Einschleusung von SQL-Befehlen sowie anomale Datenbankzugriffsmuster.Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

Wenn Benutzer eine E-Mail-Benachrichtigung zu einer Bedrohungserkennung erhalten, können sie über einen Deep-Link in der E-Mail zu den relevanten Überwachungsdatensätzen navigieren und diese anzeigen.Upon receiving a threat-detection email notification, users are able to navigate and view the relevant audit records through a deep link in the mail. Der Deep-Link öffnet eine Überwachungsansicht oder eine vorkonfigurierte Excel-Vorlage für die Überwachung, um die relevanten Überwachungsdatensätze für den Zeitpunkt des verdächtigen Ereignisses basierend auf den folgenden Daten anzuzeigen:The link opens an audit viewer or a preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event, according to the following:

  • Überwachungsspeicher für die Datenbank bzw. den Server mit den anomalen DatenbankaktivitätenAudit storage for the database/server with the anomalous database activities.

  • Relevante Überwachungsspeichertabellen, die zum Zeitpunkt des Ereignisses verwendet wurden, um das Überwachungsprotokoll zu schreibenRelevant audit storage table that was used at the time of the event to write the audit log.

  • Überwachungsdatensätze für die Stunde, die direkt auf das Auftreten des Ereignisses folgtAudit records of the hour immediately following the event occurrence.

  • Überwachungsdatensätze mit einer ähnlichen Ereignis-ID zum Zeitpunkt des Ereignisses (optional für einige Erkennungsmodule)Audit records with a similar event ID at the time of the event (optional for some detectors).

Erkennungsmodule für SQL-Datenbank-Bedrohungen verwenden eine der folgenden Methoden für die Erkennung:SQL Database threat detectors use one of the following detection methodologies:

  • Deterministische Erkennung: Erkennt verdächtige Muster (regelbasiert) in den SQL-Clientabfragen, die bekannten Angriffen entsprechen.Deterministic detection: Detects suspicious patterns (rules based) in the SQL client queries that match known attacks. Diese Methode weist eine hohe Erkennungsrate und wenig falsch positive Ergebnisse auf, aber die Abdeckung ist begrenzt, da sie in die Kategorie „atomare Erkennungen“ fällt.This methodology has high detection and low false positive, but limited coverage because it falls within the category of “atomic detections.”

  • Verhaltensbedingte Erkennung: Erkennt anomale Aktivitäten, also anomales Verhalten in der Datenbank, das während der letzten 30 Tage nicht aufgetreten ist.Behavioral detection: Detects anomalous activity, which is abnormal behavior in the database that was not seen during the most recent 30 days. Beispiele für anomale Aktivitäten eines SQL-Clients können Steigerungen bei den fehlerhaften Anmeldungen oder Abfragen, große Menge extrahierter Daten, ungewöhnliche kanonische Abfragen oder unbekannte IP-Adressen für den Datenbankzugriff sein.Examples of SQL client anomalous activity can be a spike of failed logins or queries, a high volume of data being extracted, unusual canonical queries, or unfamiliar IP addresses used to access the database.

Web Application Firewall für Application GatewayApplication Gateway Web Application Firewall

Web Application Firewall (WAF) ist ein Feature von Azure Application Gateway, das Schutz für Webanwendungen bietet, die ein Anwendungsgateway für ADC-Standardfunktionen (Application Delivery Control, Steuerung der Anwendungsbereitstellung) nutzen.Web Application Firewall (WAF) is a feature of Azure Application Gateway that provides protection to web applications that use an application gateway for standard application delivery control functions. Web Application Firewall schützt vor den zehn häufigsten Websicherheitsrisiken, die im Open Web Application Security Project (OWASP) angegeben sind.Web Application Firewall does this by protecting them against most of the Open Web Application Security Project (OWASP) top 10 common web vulnerabilities.

Web Application Firewall für Application Gateway – Diagramm

Zu den Schutzmaßnahmen gehört Folgendes:Protections include:

  • Schutz vor Einschleusung von SQL-BefehlenSQL injection protection.

  • Schutz vor websiteübergreifenden SkriptsCross site scripting protection.

  • Schutz vor allgemeinen Webangriffen wie Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File InclusionCommon Web Attacks Protection, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack.

  • Schutz vor Verletzungen des HTTP-ProtokollsProtection against HTTP protocol violations.

  • Schutz vor HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des HostsProtection against HTTP protocol anomalies, such as missing host user-agent and accept headers.

  • Verhinderung des Einsatzes von Bots, Crawlern und ScannernPrevention against bots, crawlers, and scanners.

  • Erkennung häufiger Fehler bei der Anwendungskonfiguration (in Bezug auf Apache, IIS usw.)Detection of common application misconfigurations (that is, Apache, IIS, and so on).

Die Konfiguration einer WAF auf Ihrem Anwendungsgateway bietet die folgenden Vorteile:Configuring WAF at your application gateway provides the following benefits:

  • Schützt Ihre Webanwendung vor Sicherheitsrisiken und Angriffen im Web, ohne den Back-End-Code zu verändern.Protects your web application from web vulnerabilities and attacks without modification of the back-end code.

  • Schützt mehrere Webanwendungen gleichzeitig hinter einem Anwendungsgateway.Protects multiple web applications at the same time behind an application gateway. Ein Anwendungsgateway unterstützt das Hosten von bis zu 20 Websites.An application gateway supports hosting up to 20 websites.

  • Überwacht Webanwendungen auf Angriffe mithilfe von Echtzeitberichten, die von WAF-Protokollen des Anwendungsgateways generiert werden.Monitors web applications against attacks by using real-time reports that are generated by application gateway WAF logs.

  • Unterstützt die Einhaltung von Konformitätsanforderungen.Helps meet compliance requirements. Für bestimmte Konformitätssteuerelemente ist es erforderlich, dass alle über das Internet zugänglichen Endpunkte durch eine WAF-Lösung geschützt werden.Certain compliance controls require all internet-facing endpoints to be protected by a WAF solution.

Anomalieerkennungs-API: Mit Azure Machine Learning erstelltAnomaly Detection API: Built with Azure Machine Learning

Die Anomalieerkennungs-API ist eine API, die hilfreich zum Erkennen von vielen verschiedenen anomalen Mustern in Ihren Zeitreihendaten ist.The Anomaly Detection API is an API that's useful for detecting a variety of anomalous patterns in your time series data. Die API weist jedem Datenpunkt in der Zeitreihe einen Anomaliewert zu, der zum Generieren von Warnungen, zum Durchführen der Überwachung per Dashboard oder zum Verbinden mit Ihren Ticketausstellungssystemen verwendet werden kann.The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards, or connecting with your ticketing systems.

Die API zur Anomalieerkennung kann die folgenden Arten von Anomalien in Zeitreihendaten erkennen:The Anomaly Detection API can detect the following types of anomalies on time series data:

  • Spitzen und Abfälle: Beim Überwachen der Anzahl von fehlerhaften Anmeldeversuchen bei einem Dienst oder der Anzahl von Auscheckvorgängen einer E-Commerce-Website können ungewöhnliche Spitzen oder Abfälle auf Sicherheitsangriffe oder Dienstunterbrechungen hinweisen.Spikes and dips: When you're monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • Positive und negative Trends: Beim Überwachen der Computing-Speicherauslastung deutet eine stärkere Verringerung des freien Speichers auf einen potenziellen Arbeitsspeicherverlust hin.Positive and negative trends: When you're monitoring memory usage in computing, shrinking free memory size indicates a potential memory leak. In Bezug auf die Überwachung der Dienstwarteschlangenlänge kann ein beständiger Aufwärtstrend auf ein zugrunde liegendes Softwareproblem hinweisen.For service queue length monitoring, a persistent upward trend might indicate an underlying software issue.

  • Niveauänderungen und Änderungen am dynamischen Bereich von Werten: Niveauänderungen bei den Latenzzeiten eines Diensts nach einem Dienstupgrade oder ein geringerer Grad an Ausnahmen nach dem Upgrade können für die Überwachung interessant sein.Level changes and changes in dynamic range of values: Level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

Die Machine Learning-basierte API ermöglicht Folgendes:The machine learning-based API enables:

  • Flexible und robuste Erkennung: Die Modelle zur Erkennung von Anomalien ermöglichen Benutzern die Konfiguration von Empfindlichkeitseinstellungen und die Erkennung von Anomalien über saisonale und nicht saisonale Datasets.Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. Benutzer können das Modell zur Anomalieerkennung anpassen, um die API für die Erkennung entsprechend ihren Anforderungen mehr oder weniger empfindlich einzustellen.Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. Das würde die Erkennung von mehr oder weniger sichtbaren Anomalien in Daten mit und ohne saisonalen Mustern bedeuten.This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • Skalierbare und rechtzeitige Erkennung: Die traditionelle Methode zur Überwachung mit von Fachexperten festgelegten Schwellenwerten ist teuer und kann nicht für Millionen von sich dynamisch ändernden Datasets skaliert werden.Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. Die Modelle zur Anomalieerkennung in dieser API sind angelernt und werden mithilfe von Verlaufsdaten und Echtzeitdaten automatisch optimiert.The anomaly detection models in this API are learned, and models are tuned automatically from both historical and real-time data.

  • Proaktive und handlungsrelevante Erkennung: Für die frühe Erkennung von Anomalien kann die Erkennung langsamer Trends und von Niveauänderungen angewandt werden.Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. Die früh erkannten anomalen Signale können verwendet werden, um Benutzer anzuweisen, Untersuchungen durchzuführen und auf Problembereiche zu reagieren.The early abnormal signals that are detected can be used to direct humans to investigate and act on the problem areas. Darüber hinaus können zusätzlich zu diesem API-Dienst zur Anomalieerkennung entsprechende Analysemodelle für Hauptursachen und Benachrichtigungstools entwickelt werden.In addition, root cause analysis models and alerting tools can be developed on top of this anomaly-detection API service.

Die API zur Erkennung von Anomalien ist eine effektive und effiziente Lösung für eine Vielzahl von Szenarien, z.B. Dienstintegrität und KPI-Überwachung, IoT, Leistungsüberwachung und Überwachung des Netzwerkdatenverkehrs.The anomaly-detection API is an effective and efficient solution for a wide range of scenarios, such as service health and KPI monitoring, IoT, performance monitoring, and network traffic monitoring. Es folgen einige verbreitete Szenarien, in denen diese API hilfreich sein kann:Here are some popular scenarios where this API can be useful:

  • IT-Abteilungen benötigen Tools zum zeitnahen Überwachen von Ereignissen, Fehlercodes, Nutzungsprotokollen und Leistung (CPU, Arbeitsspeicher usw.).IT departments need tools to track events, error code, usage log, and performance (CPU, memory, and so on) in a timely manner.

  • Online Commerce-Websites möchten Kundenaktivitäten, Seitenaufrufe, Klicks usw. nachverfolgen.Online commerce sites want to track customer activities, page views, clicks, and so on.

  • Versorgungsunternehmen möchten den Verbrauch von Wasser, Gas, Strom und anderen Ressourcen nachverfolgen.Utility companies want to track consumption of water, gas, electricity, and other resources.

  • Für Einrichtungs- und Gebäudemanagementdienste sollen Temperatur, Feuchtigkeit, Datenverkehr usw. überwacht werden.Facility or building management services want to monitor temperature, moisture, traffic, and so on.

  • IoT/Hersteller möchten Sensordaten in Zeitreihen verwenden, um Arbeitsabläufe, Qualität usw. zu überwachen.IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • Dienstanbieter, z.B. Callcenter, müssen Trends in Bezug auf Serviceanforderungen, Ereignisvolumen, Warteschlangenlängen usw. überwachen.Service providers, such as call centers, need to monitor service demand trend, incident volume, wait queue length, and so on.

  • Business Analytics-Gruppen möchten die Möglichkeit haben, anomale Bewegungen bei den Leistungsindikatoren von Unternehmen in Echtzeit zu überwachen (z.B. Umsatzvolumen, Kundenmeinungen oder Preise).Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, or pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security ist eine wichtige Komponente des Microsoft Cloud Security-Stapels.Cloud App Security is a critical component of the Microsoft Cloud Security stack. Es handelt sich um eine umfassende Lösung, die für Ihre Organisation nützlich ist, wenn Sie die Umstellung zur Realisierung der vielen Vorteile von Cloudanwendungen durchführen möchten.It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications. Sie behalten jederzeit die Kontrolle, da für eine bessere Sichtbarkeit der Aktivitäten gesorgt ist.It keeps you in control, through improved visibility into activity. Sie hilft zudem dabei, den Schutz wichtiger Daten in Cloudanwendungen zu erhöhen.It also helps increase the protection of critical data across cloud applications.

Mithilfe von Tools, die Sie dabei unterstützen, Schatten-IT zu enthüllen, Risiken zu bewerten, Richtlinien durchzusetzen, Aktivitäten zu untersuchen und Bedrohungen zu stoppen, kann Ihr Unternehmen sicherer zur Cloud wechseln, während es gleichzeitig die Kontrolle über wichtige Daten behält.With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

EntdeckenDiscover Enthüllen Sie Schatten-IT mit Cloud App Security.Uncover shadow IT with Cloud App Security. Erhalten Sie den Überblick, indem Sie Apps, Aktivitäten, Benutzer, Daten und Dateien in Ihrer Cloudumgebung entdecken.Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. Entdecken Sie Apps von Drittanbietern, die mit Ihrer Cloud verbunden sind.Discover third-party apps that are connected to your cloud.
UntersuchenInvestigate Untersuchen Sie Ihre Cloud-Apps mithilfe von Tools für die Cloudforensik, um ausführliche Informationen zu riskanten Apps, bestimmten Benutzern und Dateien in Ihrem Netzwerk zu erhalten.Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. Suchen Sie in den aus der Cloud erfassten Daten nach Mustern.Find patterns in the data collected from your cloud. Generieren Sie Berichte, um Ihre Cloud zu überwachen.Generate reports to monitor your cloud.
KontrolleControl Verringern Sie das Risiko, indem Sie Richtlinien und Warnungen festlegen, um die volle Kontrolle über den Netzwerkdatenverkehr in der Cloud zu erhalten.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Verwenden Sie Cloud App Security, um Ihre Benutzer in sichere, unterstützte Alternativen für Cloud-Apps zu migrieren.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
SchützenProtect Verwenden Sie Cloud App Security, um Anwendungen zu unterstützen oder zu verbieten, die Verhinderung von Datenverlust zu erzwingen, Berechtigungen und Freigaben zu kontrollieren sowie benutzerdefinierte Berichte und Warnungen zu generieren.Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
KontrolleControl Verringern Sie das Risiko, indem Sie Richtlinien und Warnungen festlegen, um die volle Kontrolle über den Netzwerkdatenverkehr in der Cloud zu erhalten.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Verwenden Sie Cloud App Security, um Ihre Benutzer in sichere, unterstützte Alternativen für Cloud-Apps zu migrieren.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Cloud App Security – Diagramm

Mit Cloud App Security wird die Sichtbarkeit für Ihre Cloud wie folgt integriert:Cloud App Security integrates visibility with your cloud by:

  • Verwenden von Cloud Discovery zum Zuordnen und Identifizieren Ihrer Cloudumgebung und der Cloud-Apps, die von Ihrem Unternehmen verwendet werden.Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • Unterstützen und Verbieten von Apps in Ihrer Cloud.Sanctioning and prohibiting apps in your cloud.

  • Verwenden von einfach bereitzustellenden App-Verbindungen, die Anbieter-APIs für die Sichtbarkeit und Governance von Apps verwenden, mit denen Sie eine Verbindung herstellen.Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • Bereitstellen von Unterstützung, damit Sie ständig die Kontrolle behalten, indem Richtlinien festgelegt und dann fortlaufend optimiert werden.Helping you have continuous control by setting, and then continually fine-tuning, policies.

Beim Erfassen der Daten aus diesen Quellen führt Cloud App Security ausgereifte Analysen dafür durch.On collecting data from these sources, Cloud App Security runs sophisticated analysis on it. Sie werden sofort über ungewöhnliche Aktivitäten informiert und erhalten einen umfassenden Einblick in die Cloudumgebung.It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Sie können eine Richtlinie in Cloud App Security konfigurieren und damit alles in Ihrer Cloudumgebung schützen.You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Drittanbieterfunktionen für die erweiterte Bedrohungserkennung über Azure MarketplaceThird-party Advanced Threat Detection capabilities through the Azure Marketplace

Web Application FirewallWeb Application Firewall

Web Application Firewall untersucht eingehenden Webdatenverkehr und blockiert die Einschleusung von SQL-Befehlen, websiteübergreifendes Scripting, das Hochladen von Schadsoftware sowie DDoS- und andere Angriffe, die gegen Ihre Webanwendungen gerichtet sind.Web Application Firewall inspects inbound web traffic and blocks SQL injections, cross-site scripting, malware uploads, application DDoS attacks, and other attacks targeted at your web applications. WAF überprüft zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) außerdem die Antworten von den Back-End-Webservern.It also inspects the responses from the back-end web servers for data loss prevention (DLP). Die integrierte Engine für die Zugriffssteuerung ermöglicht es Administratoren, präzise Zugriffssteuerungsrichtlinien für die Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization and Accounting, AAA) zu erstellen, um für Unternehmen eine strenge Authentifizierung und Benutzerkontrolle zu ermöglichen.The integrated access control engine enables administrators to create granular access control policies for authentication, authorization, and accounting (AAA), which gives organizations strong authentication and user control.

Web Application Firewall ist mit den folgenden Vorteilen verbunden:Web Application Firewall provides the following benefits:

  • Erkennt und blockiert die Einschleusung von SQL-Befehlen, websiteübergreifendes Scripting, das Hochladen von Schadsoftware, sowie DDoS- und andere Angriffe, die gegen Ihre Anwendung gerichtet sind.Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • Authentifizierung und Zugriffssteuerung.Authentication and access control.

  • Überprüfung des ausgehenden Datenverkehrs, um sensible Daten zu erkennen und ggf. zu maskieren oder zu blockieren, damit die Informationen nicht von unberechtigten Personen eingesehen werden können.Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Beschleunigt die Übermittlung von Webanwendungsinhalten mithilfe von Funktionen wie Zwischenspeicherung, Komprimierung und anderen Optimierungen des Datenverkehrs.Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Beispiele für Web Application Firewalls, die im Azure Marketplace verfügbar sind, finden Sie unter Barracuda WAF, Brocade Virtual Web Application Firewall (vWAF), Imperva SecureSphere und ThreatSTOP IP Firewall.For examples of web application firewalls that are available in the Azure Marketplace, see Barracuda WAF, Brocade virtual web application firewall (vWAF), Imperva SecureSphere, and the ThreatSTOP IP firewall.

Nächste SchritteNext steps