Azure Advanced Threat Protection

Dem Schrecken ein Ende

Ein intelligenter Schutz der IT ist in der heutigen Bedrohungslage immer wichtiger. Microsoft trägt dem mit dem Werkzeug Advanced Threat Analytics seit einiger Zeit Rechnung. Doch mehr und mehr werden hybride Infrastrukturen, die lokale und Clouddienste verbinden, zum Standard. Dem Schutz solcher Landschaften soll der neueste Sprössling aus Redmond dienen: Azure Advanced Threat Protection.
Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer ... (mehr)

Auf der Serverseite für den Unternehmenseinsatz bietet Microsoft mit "Advanced Threat Analytics" (ATA) eine lokale Plattform, mit deren Hilfe Unternehmen sich vor verschiedenen Cyberangriffen und Bedrohungen durch Hacker und Insider schützen können. ATA sammelt dazu den gesamten Netzwerkverkehr von Domaincontrollern (DC) und DNS-Servern per Portspiegelung oder durch die Installation des ATA-Lightweight-Gateway auf DCs. Die neuste Innovation von Microsoft nennt sich Azure Advanced Threat Protection (AATP) und nutzt weitestgehend die ATA-Technik und -Terminologie, nur mit dem Unterschied, dass AATP sowohl lokale IT-Umgebungen als auch in hybriden Umgebungen vor Cyberangriffen schützt. Ein weiterer Vorteil ist, dass Sie im Gegensatz zu ATA nicht alle Komponenten lokal einsetzen müssen. Zum Beispiel müssen Sie bei AATP kein ATA-Center deployen, diese Aufgabe übernimmt das AATP-Verwaltungsportal in der Cloud.

AATP [1] ist Bestandteil der "Microsoft 365 Enterprise Mobility Suite" und der "Microsoft Security E5 Suite". Der Dienst nutzt ein proprietäres Netzwerkanalyseprotokoll, um den Netzwerkverkehr der DC-Kommunikation (Kerberos, RPC, DNS, NTLM) zu sammeln und zu analysieren. Dies erfolgt durch die Bereitstellung von AATP-Sensoren direkt auf den DCs und die Portspiegelung von DCs und DNS-Servern bis zum eigenständigen AATP-Sensor. Ziel ist es, das Verhalten von Benutzern in der Organisation zu erfassen und anschließend ein Verhaltensprofil zu erstellen. AATP kann Ereignisse und Protokolle aus diesen Quellen beziehen:

- SIEM-Integration

- Windows-Ereignisweiterleitung (Windows Event Forwarding; WEF)

- Aus der Windows-Ereignissammlung für den Sensor

- RADIUS-Kontoführung über VPN

Auf diese Datenquellen kommen wir später noch zurück.

Systemanforderungen für Azure ATP

Azure ATP kommt mit einigen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019