Advanced Threat Protection - ATP

Microsoft fasst unter dem Begriff "Advanced Threat Protection" erweiterte Schutzfunktionen für verschiedene Bedrohungen zusammen. Leider handelt es sich nicht nur um ein Produkt (Stand Maik 2019), so dass Verwirrungen eher der Regelfall sind, die ich hier etwas aufschlüsseln möchte.

Dies ist aber nicht mein primäres Fachgebiet, so dass es durchaus veraltete oder unvollständige Informationen geben kann. Feedback nehme ich gerne an. Das ist mein Wissenstand vom Mai 2019

Mittlerweile dürften alle Produkte auf Microsoft Defender for ... lauten.

Ignite 2019: Microsoft Threat Protection | Azure Sentinel and Microsoft 365 Threat Protection (Microsoft Ignite)
https://www.youtube.com/watch?v=Q-kkasdSA-E
Security & Information Protection Playlist https://www.youtube.com/playlist?list=PLXtHYVsvn_b_Fjf1G7bpfiuQib2OwZ7PQ

ATP Produkte

Es gibt leider nicht nur ein "ATP", sondern ich kenne im Juni 2019 schon vier Produkte, die sogar getrennt voneinander lizenziert werden.

Dieses Bild ist eine Momentaufnahme und noch nicht fertig.

Microsoft hat schon drei davon auf einer Seite zusammengefasst: Neben den hier genannten drei ATP-Produkten fehlt auf dem Bild noch "SQL ATP". Ich versuche mich mal an einer Einschätzung der vier ATP-Geschmackrichtungen und einem Zusatzprodukt.

Produkt Lizenz Funktion

Azure ATP
  • Standalone
  • EMS E5

Identity Protection

Überwacht OnPremise ADs mit einem Agenten um verschiedene Anmeldungen zu analysieren. Der Agent schneidet den Netzwerkverkehr mit, und erkennt auch Anomalitäten. Azure ATP überwacht zumindest indirekt alle Endgeräte, die gegen die DCs eine Autorisierung durchführen, d.h. auch nicht Domainmitglieder, Mobile Geräte etc.

Neben dem Netzwerk werden auch noch die Windows Events4776, 4732, 4733, 4728, 4729, 4756, 4757 und 7045 überwacht.

Die Daten werden in der Cloud gespeichert und ein SIEM-System kann diese per SYSLOG weitere Daten über den Agenten einliefern.

Wenn Sie Azure ATP installiert haben, dann erfolgt der Zugriff als Administrator über eine URL in der Art:

https://<tenantname>.atp.azure.com

Microsoft Defender ATP

  • Standalone
  • Windows Enterprise E5
  • Windows Education E5
  • Microsoft 365 E5

Endpoint Protection - Schutz des Clients

Die Erweiterung des vorhandenen Microsoft Defender um ATP-Funktionen ist für Windows 7-10, Mac, Linux und Android verfügbar und addiert neben dem vorhandenen Virenschutz ein umfangreiches Regelwerk zur Angriffserkennung, z.B.: Start von Prozessen, Netzwerkverbindungen u.a.

Wenn ich es recht verstanden habe, ist der Code quasi schon auf jedem PC mit Windows Defender vorhanden aber wird erst aktiviert, wenn der PC eine passende Lizenz erhalten hat.

https://securitycenter.windows.com/dashboard

Verwechseln Sie Endpoint Protection nicht mit dem Endpoint Manager

SQL – Advanced Threat Protection
  • Pro Server (?)

SQL Schutz für Azure Instanzen

Schützt die AzureSQL-Instanzen vor schädlichen Komponenten.

Office 365 ATP
  • Eigene Pläne
    O365 ATP P1
    O365 ATP P2
  • Office 365 E5

Verbesserter Spam/Malware Schutz mit Exchange Online

Hinter Office 365 ATP verbirgt sich nach meinem Verständnis ein verbesserter Spam- und vor allem Malware-Schutz für Exchange Postfächer, bei dem z.B. Links und Anlagen ersetzt werden, so dass erst beim Zugriff durch den Anwender der Scan erfolgt. Oft reicht schon diese Verzögerung, dass aktuellere Patterns die Malware dann schon erkennen.

Cloud App Security
  • EMS E5

Schutz von Cloud-basierten Applikationen (und Office 365 u.a.)

Diese Lösung wird zwischen ihre Daten im Backend und einer Applikation z.B. auf einem Mobilgerät gehängt und überwacht die Kommunikation zwischen App auf dem Client und Daten auf dem Backend. Es ist eher eine Application Firewall zum Schutz der Datentöpfe vor Angriffen. Microsoft nutzt diese Funktion aber auch für Office 365, z.B. auch Zugriffe auf Exchange Online etc.

Aber hier sind zwei Produkte zu unterscheiden:

  • Microsoft Cloud App Security
  • Office 365 Cloud App Security

Sie unterscheiden sich sowohl in der Funktion als auch der Lizenzierung:

"Microsoft Cloud App Security is licensed per user per month. All the users who are protected and covered with the Cloud App Security service, need to be licensed for full compliance."

Der Zugriff auf diese Dienste erfolgt als Administrator über die folgende URL

https://%tenantname%.portal.cloudappsecurity.com/
https://portal.cloudappsecurity.com/

Übrigens kann ein Administrator und https://netatwork.portal.cloudappsecurity.com/#/discovery/create-new-report/ auch Logfiles von Firewalls und anderen Quellen einmalig einspeisen.

Azure Security Center
  • Azure Subscription
  • 1,7ct/Server/h

Das Security Center in Azure gibt es schon einige Zeit und erfasst alle Azure Dienste samt ihrer "Best Practice Konfiguration". So sehen Sie dann schnell, wenn z.B. AzureVMs nicht mit Bitlocker verschlüsselt sind, es keine Netzwerk-Abschottung gibt oder RDP aus dem Internet offen ist. Interessant ist, dass diese Funktion durch entsprechende Lizenzierung auch auf Windows Server und Linux-System erweitert werden kann, die lokal stehen.

https://portal.azure.com/#blade/Microsoft_Azure_Security/SecurityMenuBlade/0

Azure Security Center enables you to strengthen your security posture. This means it helps you identify and perform the hardening tasks recommended as security best practices and implement them across your machines, data services, and apps. This includes managing and enforcing your security policies, and making sure your Azure virtual machines, non-Azure servers, and Azure PaaS services are compliant.
Quelle: https://docs.microsoft.com/de-de/azure/security-center/security-center-intro

With Security Center, you get native integration with Windows Defender Advanced Threat Protection out of the box.

Azure Sentinel
  • ?

Azure Sentinel ist seit 24. Sep 2019 "GA" und hat den Anspruch ein cloudbasiertes SIEM-Produkt zu werden, welches Events von unterschiedlichsten Systemen erhält und entsprechend auswertet.

Es sammelt primär erst einmal Events und analysiert diese. Es kann auch Daten vom Azure Security Center einlesen.

Azure Monitoring
  • per GB

Wenn Sie sich die bisher aufgeführten Produkte anschauen, dann stellen Sie fest, dass diese ihre Daten ja irgendwo speichern müssen und dann immer Azure Log Analytics oder Azure Monitoring auftaucht. Das ist quasi das Backend für die ganzen Tools und entsprechend müssen Sie hier Platz und Kosten einplanen. Auf der anderen Seite öffnet eine gemeinsame Plattform die Türen fr eine höhere Integration. Sie können natürlich Azure Monitoring auch selbst nutzen. Als fertige Monitoring, Logmanagement, Eventmanagement o.ä. würde ich das aber nicht ansehen.

Microsoft 365 Security Center

 

Das Security Center ist das Portal, in dem idealerweise alle Meldungen und Bewertungen letztlich zusammenlaufen

https://security.microsoft.com/securescore?viewid=overview

Manchmal werde ich den Eindruck nicht los, dass bei Microsoft viele Abteilungen teils ähnliche Lösungen aufbauen und diese dann später zusammengeführt oder verbunden werden. Aktuell hat aber jeder Baustein noch seine eigene Schwerpunkte und noch ist keiner durch einen anderen ersetzt.

Marktbegleiter

ATP steht ja nicht alleine auf der Welt und es gibt durchaus andere Produkte, die irgendwie auch einen Teil der Funktion abbilden.

Workload Beschreibung Produkte

Anmeldungen überwachen

Mit Azure ATP hat Microsoft eine Lösung um gezielt Anmeldungen auf den DCs sammeln und ungewöhnliche Vorgänge zu erkennen und zu melden.
  • AzureATP
  • Sysinternals Sysmon
  • 4rd Party IDS-Systeme

Events

Viele Systeme erzeugen Meldungen aber erst die zentrale Erfassung, einfache Zählung oder intelligente Korrelation liefert Einblicke in Vorgänge, Probleme und erlauben später eine Nachvollziehbarkeit

Malware/AV

Malware wird immer auf einem Endgeräte aktiv. Daher ist  ein Schutz mit Benachrichtigung hier maßgeblich. Solche Lösungen schützen indirekt alle Übertragungswege, d.h. Mail aber auch USB-Laufwerke, Gastzugriffe auf OneDrive, Dropbox, Google-Drive u.a.
  • Windows Defender
  • Windows Defender ATP
  • Applocker
  • 3rd Party AV-Produkte

SMTP Malware/AV

Die meisten Viren kommen per Mail an weniger erfahrene Anwender, die den Code einer Anlage letztlich ausführen. Auch der Abfluss von Informationen passiert oft unbemerkt per Mail.
  • Office 365 ATP
  • NoSpamProxy
  • 3rd Party SMTP-Filter

Performance Counter

Die klassischen Quellen für Monitoring sind auch für Angriffe wichtig. Ein Anstieg des Mailvolumens, Änderungen von Dateien, Internet-Verkehr und CPU-Last (Bitcoin Miner) sind alles Warnsignale.
  • System Center
  • PRTG, Nagios, u.a

Das ist natürlich nur ein erster stark vereinfachter Vergleich.

Azure Advanced Threat Protection (Azure ATP)

Siehe dazu die eigene Seite Azure ATP

Microsoft Defender ATP

Die erweiterte Funktion des Desktop-Schutzes beschreibe ich nicht weiter.

Microsoft Defender ATP Threat & Vulnerability Management
https://www.youtube.com/watch?v=-A9khpFydvA

Office 365 ATP

Der Schutz für eingehende Mails ist sicher für den ein oder anderen Kunden interessant. Die Beschreibung würde hier aber die Seite spengen

On-Premises ATA

Aus der Reihe fällt das Produkt "Advanced Threat Analystics", welches ich zufällig im MSDN-Download gesehen habe. Viele Teile des Code scheinen hier auch mit Defender ATP und AzureATP genutzt zu werden. Es ist aber ein eigenständiges Produkt mit eine kontinuierlichen Fortschreibung der Version:


Quelle: MSDN Download

Der Grund, dass hier noch alle Versionen angeboten werden dürfte am Update-Pfad liegen. Sie müssen einige Zwischenschritte von einer 1.4 auf eine 1.9 gehen, indem Sie alle Zwischenversionen durchlaufen.

Der ATA Monitor überwacht den Verkehr auf den Domain Controllern über eine lokale Installation oder ein Port-Mirroring und meldet die Events an das ATA Gateway. Zudem kann das Gateway auch Meldungen per Eventlog Forwarding, Syslog u.a. annehmen. Die Daten werden dann vorverarbeitet an das ATA-Center gesendet und die Daten in seine Bewertungen mit aufnehmen.

Weitere Links