Azure Advanced Threat Protection

Auf der Serverseite für den Unternehmenseinsatz bietet Microsoft mit "Advanced Threat Analytics" (ATA) eine lokale Plattform, mit deren Hilfe Unternehmen sich vor verschiedenen Cyberangriffen und Bedrohungen durch Hacker und Insider schützen können. ATA sammelt dazu den gesamten Netzwerkverkehr von Domaincontrollern (DC) und DNS-Servern per Portspiegelung oder durch die Installation des ATA-Lightweight-Gateway auf DCs. Die neuste Innovation von Microsoft nennt sich Azure Advanced Threat Protection (AATP) und nutzt weitestgehend die ATA-Technik und -Terminologie, nur mit dem Unterschied, dass AATP sowohl lokale IT-Umgebungen als auch in hybriden Umgebungen vor Cyberangriffen schützt. Ein weiterer Vorteil ist, dass Sie im Gegensatz zu ATA nicht alle Komponenten lokal einsetzen müssen. Zum Beispiel müssen Sie bei AATP kein ATA-Center deployen, diese Aufgabe übernimmt das AATP-Verwaltungsportal in der Cloud.

AATP [1] ist Bestandteil der "Microsoft 365 Enterprise Mobility Suite" und der "Microsoft Security E5 Suite". Der Dienst nutzt ein proprietäres Netzwerkanalyseprotokoll, um den Netzwerkverkehr der DC-Kommunikation (Kerberos, RPC, DNS, NTLM) zu sammeln und zu analysieren. Dies erfolgt durch die Bereitstellung von AATP-Sensoren direkt auf den DCs und die Portspiegelung von DCs und DNS-Servern bis zum eigenständigen AATP-Sensor. Ziel ist es, das Verhalten von Benutzern in der Organisation zu erfassen und anschließend ein Verhaltensprofil zu erstellen. AATP kann Ereignisse und Protokolle aus diesen Quellen beziehen:

- SIEM-Integration

- Windows-Ereignisweiterleitung (Windows Event Forwarding; WEF)

- Aus der Windows-Ereignissammlung für den Sensor

- RADIUS-Kontoführung über VPN

Auf diese Datenquellen kommen wir später noch zurück.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.