Что такое Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

Azure Advanced Threat Protection (ATP) или Расширенная защита от угроз Azure — это облачное решение безопасности, которое использует сигналы локальной службы Active Directory для обнаружения и анализа сложных угроз, скомпрометированных удостоверений и вредоносных действий внутренних пользователей, направленных на вашу организацию.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization. Azure ATP позволяет аналитикам и специалистам службы безопасности, занимающимся выявлением современных угроз в гибридных средах, решать следующие задачи:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • отслеживать пользователей, поведение сущностей и действия с помощью аналитики на основе обучения;Monitor users, entity behavior, and activities with learning-based analytics
  • защищать удостоверения и учетные данные пользователей, хранящиеся в Active Directory;Protect user identities and credentials stored in Active Directory
  • выявлять и изучать подозрительные действия пользователей и современные атаки на основе модели цепочки атаки;Identify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • получать сведения об инцидентах в четко установленные сроки для быстрого рассмотрения.Provide clear incident information on a simple timeline for fast triage

Отслеживание и профилирование поведения и действий пользователейMonitor and profile user behavior and activities

Azure ATP отслеживает и анализирует действия пользователей в сети и информацию о них, такую как разрешения и членство в группах, формируя базовые показатели для каждого пользователя.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Затем Azure ATP определяет аномалии с помощью встроенных адаптивных интеллектуальных функций, предоставляя вам информацию о подозрительных действиях и событиях и выявляя современные угрозы, скомпрометированные учетные записи и внутренние угрозы, направленные на организацию.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Собственные датчики Azure ATP отслеживают контроллеры домена организации, что позволяет получать подробное представление всех действий пользователей на каждом устройстве.Azure ATP’s proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Защита удостоверений пользователей и сокращение уязвимой зоныProtect user identities and reduce the attack surface

Azure ATP предоставляет бесценную информацию о конфигурациях удостоверений и рекомендации по обеспечению безопасности.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Благодаря отчетам о безопасности и аналитике пользовательских профилей Azure ATP помогает существенно сократить число направлений атак, угрожающих вашей организации, усложняя взлом учетных данных пользователей и затрудняя проведение атак.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. С помощью визуальных путей бокового смещения в Azure ATP можно быстро узнать, как злоумышленник может перемещаться по сети вашей организации с целью взлома важных учетных записей, и заранее предотвратить эти риски.Azure ATP’s visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Отчеты о безопасности Azure ATP помогают выявлять пользователей и устройства, которые проходят проверку подлинности с помощью открытых паролей. Они также предоставляют дополнительную информацию для оптимизации корпоративной защиты и ваших политик.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Выявление подозрительных действий и современных кибератак на основе модели цепочки атакиIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

Как правило, атаки изначально направлены на доступные объекты, например пользователей с низким уровнем прав, а затем быстро распространяются по горизонтали, пока злоумышленник не получит доступ к ценным ресурсам, например важным учетным записям, в том числе с правами администратора домена, или конфиденциальным данным.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Azure ATP позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку кибератаки.Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

Разведывательная атакаReconnaissance

Выявляйте попытки незаконных пользователей и злоумышленников получить информацию.Identify rogue users and attackers’ attempts to gain information. Злоумышленники ищут сведения об именах пользователей, их членстве в группах, о назначенных устройствам IP-адресах, ресурсах, а также другую информацию самыми разными методами.Attackers are searching for information about user names, users’ group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Компрометация учетных данных.Compromised credentials

Выявляйте попытки получить учетные данные пользователей, обнаруживая атаки методом подбора, неудачные попытки проверки подлинности, изменение членства пользователей в группах и другие подозрительные действия.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Боковое смещениеLateral movements

Определяйте попытки бокового смещения в вашей сети с целью получения контроля над важными учетными записями с использованием таких методов, как Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash и других.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

Полное управление доменомDomain dominance

Azure ATP позволяет обнаруживать перехват контроля над доменом, полученный через удаленное выполнение кода на контроллере домена или такими методами, как DC Shadow, несанкционированная репликация контроллера домена и Golden Ticket.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Изучайте оповещения и действия пользователейInvestigate alerts and user activities

Azure ATP предоставляет только важные оповещения системы безопасности в режиме реального времени, что позволяет не отвлекаться на ненужную информацию.Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Представление временной шкалы атак Azure ATP позволяет сосредоточиться на том, что действительно имеет значение, и использовать интеллектуальные аналитические функции.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Azure ATP позволяет быстро анализировать угрозы и получать информацию о пользователях, устройствах и сетевых ресурсах в масштабе всей организации.Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Тесная интеграция с ATP в Защитнике Windows обеспечивает дополнительный уровень безопасности благодаря обнаружению современных постоянных угроз в операционной системе и защите от них.Seamless integration with Windows Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Дополнительные ресурсы по Azure ATPAdditional resources for Azure ATP

Запустите бесплатную пробную версиюStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Следите за Azure ATP в Microsoft Tech CommunityFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtectionhttps://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Присоединяйтесь к сообществу Yammer по Azure ATPJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Посетите страницу продукта Azure ATPVisit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/https://azure.microsoft.com/features/azure-advanced-threat-protection/

Дополнительные сведения об архитектуре Azure ATPLearn more about Azure ATP architecture

Архитектура Azure ATPAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

На Microsoft Ignite 2018 прошло несколько мероприятий, посвященных Расширенной защите от угроз Azure.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. Если вы на них не были, рекомендуем посмотреть записи:Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117. Меры безопасности и устранение инцидентов с Azure ATP: видео на YouTubeBRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP и Защита идентификации Azure Active DirectoryAzure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237. Защита гибридной облачной среды с помощью Защиты идентификации Azure AD и Azure ATP: видео на YouTubeBRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157. Ускорение развертывания и внедрения решений Microsoft Information Protection: видео на YouTubeBRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Сводку новостей об Azure ATP с мероприятия Ignite 2018 см. в записи блога Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities (Расширенная защита от угроз Azure получает новые возможности интеграции, обнаружения и анализа).For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

Дальнейшие действияWhat's next?

Развертывать Azure ATP рекомендуется в три этапа:We recommend deploying Azure ATP in three phases:

Этап 1Phase 1

  1. Настройте в Azure ATP защиту основных сред.Set up Azure ATP to protect your primary environments. Модель быстрого развертывания Azure ATP позволяет немедленно защитить организацию.Azure ATP's fast deployment model enables you to start protecting your organization today. Установка Azure ATPInstall Azure ATP
  2. Настройте конфиденциальные учетные записи и учетные записи honeytoken.Set sensitive accounts and honeytoken accounts.
  3. Просматривайте отчеты и пути бокового смещения.Review reports and lateral movement paths.

Этап 2Phase 2

  1. Защитите все контроллеры домена и леса в вашей организации.Protect all the domain controllers and forests in your organization.
  2. Отслеживайте все оповещения — изучайте оповещения о боковом смещении и перехвате контроля над доменом.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Обратитесь к руководству по оповещениям системы безопасности, чтобы научиться распознавать угрозы и потенциальные атаки.Work with the Security Alert guide to understand threats and triage potential attacks.

Этап 3Phase 3

  1. Интегрируйте оповещения Azure ATP в рабочие процессы службы безопасности.Integrate Azure ATP alerts into your SecOp workflows.

См. такжеSee Also