Vad är Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Azure Advanced Threat Protection (ATP) är en molnbaserad säkerhetslösning som utnyttjar dina lokala Active Directory-signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga Insider-åtgärder som riktas mot din organisation.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

Med Azure ATP kan SecOp analytiker och säkerhets tekniker kämpar för att identifiera avancerade attacker i hybrid miljöer för att:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Övervaka användare, enhets beteende och aktiviteter med inlärnings-baserad analysMonitor users, entity behavior, and activities with learning-based analytics
  • Skydda användar identiteter och autentiseringsuppgifter som lagras i Active DirectoryProtect user identities and credentials stored in Active Directory
  • Identifiera och undersök misstänkta användar aktiviteter och avancerade attacker i Kill-kedjanIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Ange tydlig incident information på en enkel tids linje för snabb prioriteringProvide clear incident information on a simple timeline for fast triage

Övervaka och profilera användar beteende och aktiviteterMonitor and profile user behavior and activities

Azure ATP-övervakare och analyserar användar aktiviteter och information i nätverket, till exempel behörigheter och grupp medlemskap, vilket skapar en beteende bas linje för varje användare.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Azure ATP identifierar avvikelser med anpassningsbar inbyggd intelligens, vilket ger dig insikter om misstänkta aktiviteter och händelser, vilket avslöjar de avancerade hoten, de drabbade användarna och Insider hot mot din organisation.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Azure ATP: s tillverkarspecifika sensorer övervakar organisatoriska domänkontrollanter och tillhandahåller en omfattande vy för alla användar aktiviteter från varje enhet.Azure ATP's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Skydda användar identiteter och minska angrepps ytanProtect user identities and reduce the attack surface

Azure ATP ger dig värdefulla insikter om identitets konfiguration och föreslagna säkerhets metoder.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Med hjälp av säkerhets rapporter och analys av användar profiler bidrar Azure ATP till att dramatiskt minska din organisatoriska angrepps yta, vilket gör det svårare att kompromissa med användarautentiseringsuppgifter och få en attack.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Azure ATP: s visuella laterala rörelse banor hjälper dig att snabbt förstå exakt hur en angripare kan flytta sig senare i organisationen för att kompromissa med känsliga konton och hjälpa till att förhindra dessa risker i förväg.Azure ATP's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Azure ATP-säkerhetsrapporter hjälper dig att identifiera användare och enheter som autentiserar med lösen ord i klartext och ger ytterligare insikter för att förbättra din organisations säkerhets position och principer.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Identifiera misstänkta aktiviteter och avancerade attacker över cyberhot-attackens Kill-kedjaIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

Normalt lanseras attacker mot valfri tillgänglig entitet, till exempel en låg privilegie rad användare, och flyttas sedan snabbt tills angriparen får åtkomst till värdefulla till gångar – till exempel känsliga konton, domän administratörer och mycket känsliga data.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Azure ATP identifierar dessa avancerade hot vid källan genom hela cyberhot:Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

RekognoseringReconnaissance

Identifiera falska användare och angripare försöker få information.Identify rogue users and attackers' attempts to gain information. Angripare söker efter information om användar namn, användarens grupp medlemskap, IP-adresser tilldelade till enheter, resurser med mera, med olika metoder.Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Avslöjade autentiseringsuppgifterCompromised credentials

Identifiera försök att kompromettera användarautentiseringsuppgifter med hjälp av brute force-attacker, misslyckade autentiseringar, ändringar i användar grupp medlemskap och andra metoder.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Laterala rörelserLateral movements

Identifiera försök att flytta till ett senare tillfälle i nätverket för att få bättre kontroll över känsliga användare, använda metoder som att skicka biljetten, skicka hashen och Overpass hash med mera.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

DomändominansDomain dominance

Markera angrepps beteende om domän dominerande uppnås, via fjärrkörning av kod på domänkontrollanten och metoder som DC-skugga, replikering av skadlig domänkontrollant, gyllene biljett aktiviteter med mera.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Undersök aviseringar och användar aktiviteterInvestigate alerts and user activities

Azure ATP är utformat för att minska allmän avisering om aviseringar, och tillhandahåller endast relevanta, viktiga säkerhets aviseringar i en enkel, real tids tids linje för angripare.Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Vyn tids linje för Azure ATP-attack gör att du enkelt kan fokusera på det som är viktigt, med hjälp av intelligenta analyser.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Använd Azure ATP för att snabbt undersöka hot och få insikter i organisationen för användare, enheter och nätverks resurser.Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Sömlös integrering med Microsoft Defender ATP ger ytterligare ett lager med förbättrad säkerhet genom ytterligare identifiering och skydd mot avancerade beständiga hot på operativ systemet.Seamless integration with Microsoft Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Ytterligare resurser för Azure ATPAdditional resources for Azure ATP

Börja en kostnadsfri utvärderingsversionStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Följ Azure ATP på Microsofts Tech-communityFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Delta i Azure ATP Yammer-communitynJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Besök produkt sidan för Azure ATPVisit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/

Läs mer om Azure ATP-arkitekturLearn more about Azure ATP architecture

Azure ATP-arkitekturAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

Microsoft antändde 2018 flera sessioner som fokuserar på Azures avancerade hot skydd.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. Sessioner registrerades, så om du missade evenemanget rekommenderar vi att du tittar här:Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117 – SecOp och incident svar med Azure ATP – titta på YouTube-videonBRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP och Azure AD IP (Active Directory Identity Protection)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 – skydda din hybrid moln miljö med Azure AD Identity Protection och Azure ATP – titta på YouTube-videonBRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 – påskynda distribution och införande av Microsoft Information Protection-lösningar – titta på YouTube-videonBRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

En sammanfattning av Azure ATP-meddelanden som gjorts vid antändning 2018 finns i blogg inlägget- Azure Advanced Threat Protection utökar integreringar, identifieringar och kriminal tekniska funktioner.For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

Nästa stegWhat's next?

Vi rekommenderar att du distribuerar Azure ATP i tre faser:We recommend deploying Azure ATP in three phases:

Fas 1Phase 1

  1. Konfigurera Azure ATP för att skydda dina primära miljöer.Set up Azure ATP to protect your primary environments. Azure ATP: s snabb distributions modell gör det möjligt att börja skydda din organisation idag.Azure ATP's fast deployment model enables you to start protecting your organization today. Installera Azure ATPInstall Azure ATP
  2. Ange känsliga konton och honeytoken-konton.Set sensitive accounts and honeytoken accounts.
  3. Granska rapporter och vägar för sido förflyttning.Review reports and lateral movement paths.

Fas 2Phase 2

  1. Skydda alla domänkontrollanter och skogar i din organisation.Protect all the domain controllers and forests in your organization.
  2. Övervaka alla aviseringar – Undersök aviseringar om lateral förflyttning & domän dominerande ställning.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Arbeta med säkerhets aviserings guiden för att förstå hot och prioritering potentiella attacker.Work with the Security Alert guide to understand threats and triage potential attacks.

Fas 3Phase 3

  1. Integrera Azure ATP-aviseringar i dina SecOp-arbetsflöden.Integrate Azure ATP alerts into your SecOp workflows.

Se ävenSee Also