Mi az az Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

Az Azure komplex veszélyforrások elleni védelem (ATP) egy felhőalapú biztonsági megoldás, amely lehetővé teszi a helyszíni Active Directoryi jelek azonosítását, észlelését és kivizsgálását, valamint a szervezete által irányított, rosszindulatú belső műveleteket.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

Az Azure ATP lehetővé teszi a SecOp-elemzők és a biztonsági szakemberek számára, hogy a hibrid környezetekben rejlő speciális támadások észlelésével a következőket tegye:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • A felhasználók, az entitások viselkedése és a tevékenységek monitorozása a tanuláson alapuló elemzésselMonitor users, entity behavior, and activities with learning-based analytics
  • A Active Directory tárolt felhasználói identitások és hitelesítő adatok elleni védelemProtect user identities and credentials stored in Active Directory
  • Azonosítsa és vizsgálja meg a gyanús felhasználói tevékenységeket és a speciális támadásokat a kill láncon belülIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • A gyors osztályozás egyszerű idővonalán egyértelmű incidens-információk megadásaProvide clear incident information on a simple timeline for fast triage

Felhasználói viselkedés és tevékenységek figyelése és profiljaMonitor and profile user behavior and activities

Az Azure ATP figyeli és elemzi a felhasználók tevékenységeit és információit a hálózaton, például az engedélyeket és a csoporttagság, valamint az egyes felhasználók viselkedési alaptervének létrehozását.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Az Azure ATP ezután az adaptív beépített intelligenciával azonosítja a rendellenességeket, és betekintést nyújt a gyanús tevékenységekre és eseményekre, feltárva a fejlett fenyegetéseket, a feltört felhasználókat és a szervezete felé irányuló bennfentes fenyegetéseket.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Az Azure ATP szabadalmaztatott érzékelők figyelik a szervezeti tartományvezérlőket, és átfogó képet adnak minden felhasználói tevékenységről minden eszközről.Azure ATP's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Felhasználói identitások elleni védelem és a támadási felület csökkentéseProtect user identities and reduce the attack surface

Az Azure ATP értékes információkkal szolgál az identitás-konfigurációkról, és javasolta a biztonsági szempontból ajánlott eljárásokat.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. A biztonsági jelentések és a felhasználói profilok elemzése révén az Azure ATP jelentősen csökkenti a szervezeti támadási felületet, így nehezebbé téve a felhasználói hitelesítő adatok sérülését és a támadás meghaladását.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Az Azure ATP vizuális oldalirányú mozgási útjai segítségével gyorsan megismerheti, hogy a támadók hogyan helyezhetik át később a szervezeten belül a bizalmas fiókokat, és segítséget nyújthatnak a kockázatok előzetes megelőzésében.Azure ATP's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Az Azure ATP biztonsági jelentései segítségével azonosíthatja azokat a felhasználókat és eszközöket, amelyek hitelesítése tiszta szöveges jelszavakkal történik, és további megállapításokat biztosít a szervezeti biztonsági helyzet és a házirendek javítására.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Azonosítsa a gyanús tevékenységeket és a speciális támadásokat a Cyber-Attack kill láncbanIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

A támadások általában bármely elérhető entitással, például alacsony jogosultsági szintű felhasználóval indíthatók el, és később gyorsan áthelyezhetők, amíg a támadó nem fér hozzá az értékes eszközökhöz – például a bizalmas fiókokhoz, a tartományi rendszergazdákhoz és a rendkívül bizalmas adatokhoz.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Az Azure ATP ezeket a fejlett fenyegetéseket a teljes Cyber-Attack kill láncban azonosítja a forráson:Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

FelderítésReconnaissance

Azonosítsa a rosszindulatú felhasználók és a támadók számára az információk megszerzésére tett kísérleteket.Identify rogue users and attackers' attempts to gain information. A támadók a felhasználónevek, a felhasználók csoporttagság, az eszközökhöz, erőforrásokhoz rendelt IP-címek és egyebek számos különböző módszer használatával keresnek információt.Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Hitelesítő adatokkal való visszaélésCompromised credentials

Azonosíthatja a felhasználói hitelesítő adatoknak a találgatásos támadásokkal, a sikertelen hitelesítésekkel, a felhasználói csoporttagság változásaival és más módszerekkel való megtámadására tett kísérleteket.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Oldalirányú mozgásokLateral movements

Az érzékeny felhasználók további ellenőrzéséhez, például a jegy átadásához, a kivonat átadásához, valamint a kivonat kiváltásához és más módszerekhez, a hálózaton belüli későbbi Áthelyezési kísérletek észlelése.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

Tartományi dominanciaDomain dominance

Kiemelve a támadó viselkedését, ha a tartományi dominancia elérhető, távoli kódfuttatást tesz lehetővé a tartományvezérlőn, valamint olyan metódusokat, mint a DC Shadow, a rosszindulatú tartományvezérlők replikálása, a Golden Ticket-tevékenységek és egyebek.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Riasztások és felhasználói tevékenységek vizsgálataInvestigate alerts and user activities

Az Azure ATP úgy lett kialakítva, hogy csökkentse az általános riasztási zaj mértékét, és csak a releváns, fontos biztonsági riasztásokat biztosítson egy egyszerű, valós idejű szervezeti támadási idővonalonAzure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Az Azure ATP-támadás idővonalának nézete lehetővé teszi, hogy az intelligens elemzések intelligenciát kihasználva könnyen maradjon a témához.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Az Azure ATP használatával gyorsan elemezheti a fenyegetéseket, és betekintést nyerhet a szervezeten belül a felhasználók, az eszközök és a hálózati erőforrások számára.Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. A Microsoft Defender ATP zökkenőmentes integrációja újabb, fokozott biztonságú réteget biztosít az operációs rendszer speciális, állandó fenyegetésekkel szembeni észlelése és védelme révén.Seamless integration with Microsoft Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

További források az Azure ATP-hezAdditional resources for Azure ATP

Ingyenes próbaverzió elindításaStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Az Azure ATP követése a Microsoft technikai közösségébenFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Csatlakozás az Azure ATP Yammer-közösséghezJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Látogasson el az Azure ATP-termék oldaláraVisit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/

További információ az Azure ATP-architektúrárólLearn more about Azure ATP architecture

Azure ATP-architektúraAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

A Microsoft Ignite 2018 számos, az Azure komplex veszélyforrások elleni védelemreösszpontosított előadást jelentett.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. A munkamenetek rögzítése megtörtént, így ha kihagyta az eseményt, javasoljuk, hogy tekintse meg a következőt:Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117 – SecOp és incidensek válasza az Azure ATP-vel – nézze meg a YouTube-videótBRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP és Azure AD IP (Active Directory Identity Protection)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 – a hibrid felhőalapú környezet biztonságossá tétele a Azure ad Identity Protection és az Azure ATP-vel – nézze meg a YouTube-videótBRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 – a Microsoft Information Protection-megoldások üzembe helyezésének és bevezetésének gyorsítása – nézze meg a YouTube-videótBRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Az Ignite 2018-on készült Azure ATP-hirdetmények összefoglalásához tekintse meg az Azure-beli komplex veszélyforrások elleni védelem az integrációkat, az észleléseket és a kriminalisztikai képességeket.For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

A következő lépésekWhat's next?

Javasoljuk, hogy három fázisban telepítse az Azure ATP-t:We recommend deploying Azure ATP in three phases:

1. fázisPhase 1

  1. Az Azure ATP beállítása az elsődleges környezetek megóvására.Set up Azure ATP to protect your primary environments. Az Azure ATP gyors üzembe helyezési modellje lehetővé teszi, hogy még ma megkezdje a szervezet védelmét.Azure ATP's fast deployment model enables you to start protecting your organization today. Az Azure ATP telepítéseInstall Azure ATP
  2. Bizalmas fiókok és honeytoken-fiókokbeállítása.Set sensitive accounts and honeytoken accounts.
  3. Tekintse át a jelentéseket és az oldalirányú mozgási útvonalakat.Review reports and lateral movement paths.

2. fázisPhase 2

  1. A szervezetben lévő összes tartományvezérlő és erdő védelmének biztosítása.Protect all the domain controllers and forests in your organization.
  2. Figyelje az összes riasztást – vizsgálja meg az oldalirányú mozgást & tartományi dominancia riasztásokat.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. A biztonsági riasztások útmutatójának segítségével megismerheti a fenyegetéseket és osztályozhatja a lehetséges támadásokat.Work with the Security Alert guide to understand threats and triage potential attacks.

3. fázisPhase 3

  1. Integrálja az Azure ATP-riasztásokat a SecOp munkafolyamataiba.Integrate Azure ATP alerts into your SecOp workflows.

Lásd még:See Also