Advanced Threat Protection - ATP
Microsoft fasst unter dem Begriff "Advanced Threat Protection" erweiterte Schutzfunktionen für verschiedene Bedrohungen zusammen. Leider handelt es sich nicht nur um ein Produkt (Stand Maik 2019), so dass Verwirrungen eher der Regelfall sind, die ich hier etwas aufschlüsseln möchte.
Dies ist aber nicht mein primäres Fachgebiet, so dass es durchaus veraltete oder unvollständige Informationen geben kann. Feedback nehme ich gerne an. Das ist mein Wissenstand vom Mai 2019
Mittlerweile dürften alle Produkte auf Microsoft Defender for ... lauten.
Ignite 2019: Microsoft Threat Protection | Azure Sentinel and
Microsoft 365 Threat Protection (Microsoft Ignite)
https://www.youtube.com/watch?v=Q-kkasdSA-E
Security & Information Protection Playlist
https://www.youtube.com/playlist?list=PLXtHYVsvn_b_Fjf1G7bpfiuQib2OwZ7PQ
ATP Produkte
Es gibt leider nicht nur ein "ATP", sondern ich kenne im Juni 2019 schon vier Produkte, die sogar getrennt voneinander lizenziert werden.
Dieses Bild ist eine Momentaufnahme und noch nicht fertig.
Microsoft hat schon drei davon auf einer Seite zusammengefasst: Neben den hier genannten drei ATP-Produkten fehlt auf dem Bild noch "SQL ATP". Ich versuche mich mal an einer Einschätzung der vier ATP-Geschmackrichtungen und einem Zusatzprodukt.
Produkt | Lizenz | Funktion |
---|---|---|
Azure ATP |
|
Identity ProtectionÜberwacht OnPremise ADs mit einem Agenten um verschiedene Anmeldungen zu analysieren. Der Agent schneidet den Netzwerkverkehr mit, und erkennt auch Anomalitäten. Azure ATP überwacht zumindest indirekt alle Endgeräte, die gegen die DCs eine Autorisierung durchführen, d.h. auch nicht Domainmitglieder, Mobile Geräte etc. Neben dem Netzwerk werden auch noch die Windows Events4776, 4732, 4733, 4728, 4729, 4756, 4757 und 7045 überwacht. Die Daten werden in der Cloud gespeichert und ein SIEM-System kann diese per SYSLOG weitere Daten über den Agenten einliefern.
Wenn Sie Azure ATP installiert haben, dann erfolgt der Zugriff als Administrator über eine URL in der Art: https://<tenantname>.atp.azure.com |
Microsoft Defender ATP |
|
Endpoint Protection - Schutz des ClientsDie Erweiterung des vorhandenen Microsoft Defender um ATP-Funktionen ist für Windows 7-10, Mac, Linux und Android verfügbar und addiert neben dem vorhandenen Virenschutz ein umfangreiches Regelwerk zur Angriffserkennung, z.B.: Start von Prozessen, Netzwerkverbindungen u.a. Wenn ich es recht verstanden habe, ist der Code quasi schon auf jedem PC mit Windows Defender vorhanden aber wird erst aktiviert, wenn der PC eine passende Lizenz erhalten hat. https://securitycenter.windows.com/dashboard Verwechseln Sie Endpoint Protection nicht mit dem Endpoint Manager
|
SQL – Advanced Threat Protection |
|
SQL Schutz für Azure InstanzenSchützt die AzureSQL-Instanzen vor schädlichen Komponenten.
|
Office 365 ATP |
|
Verbesserter Spam/Malware Schutz mit Exchange OnlineHinter Office 365 ATP verbirgt sich nach meinem Verständnis ein verbesserter Spam- und vor allem Malware-Schutz für Exchange Postfächer, bei dem z.B. Links und Anlagen ersetzt werden, so dass erst beim Zugriff durch den Anwender der Scan erfolgt. Oft reicht schon diese Verzögerung, dass aktuellere Patterns die Malware dann schon erkennen.
|
Cloud App Security |
|
Schutz von Cloud-basierten Applikationen (und Office 365 u.a.)Diese Lösung wird zwischen ihre Daten im Backend und einer Applikation z.B. auf einem Mobilgerät gehängt und überwacht die Kommunikation zwischen App auf dem Client und Daten auf dem Backend. Es ist eher eine Application Firewall zum Schutz der Datentöpfe vor Angriffen. Microsoft nutzt diese Funktion aber auch für Office 365, z.B. auch Zugriffe auf Exchange Online etc. Aber hier sind zwei Produkte zu unterscheiden:
Sie unterscheiden sich sowohl in der Funktion als auch der Lizenzierung:
"Microsoft Cloud App Security is licensed per user per month. All the users who are protected and covered with the Cloud App Security service, need to be licensed for full compliance."
Der Zugriff auf diese Dienste erfolgt als Administrator über die folgende URL https://%tenantname%.portal.cloudappsecurity.com/ Übrigens kann ein Administrator und https://netatwork.portal.cloudappsecurity.com/#/discovery/create-new-report/ auch Logfiles von Firewalls und anderen Quellen einmalig einspeisen.
|
Azure Security Center |
|
Das Security Center in Azure gibt es schon einige Zeit und erfasst alle Azure Dienste samt ihrer "Best Practice Konfiguration". So sehen Sie dann schnell, wenn z.B. AzureVMs nicht mit Bitlocker verschlüsselt sind, es keine Netzwerk-Abschottung gibt oder RDP aus dem Internet offen ist. Interessant ist, dass diese Funktion durch entsprechende Lizenzierung auch auf Windows Server und Linux-System erweitert werden kann, die lokal stehen. https://portal.azure.com/#blade/Microsoft_Azure_Security/SecurityMenuBlade/0 Azure
Security Center enables you
to strengthen your security
posture. This means it helps
you identify and perform the
hardening tasks recommended
as security best practices
and implement them across
your machines, data services,
and apps. This includes
managing and enforcing your
security policies, and
making sure your Azure
virtual machines, non-Azure
servers, and Azure PaaS
services are compliant. With Security Center, you get native integration with Windows Defender Advanced Threat Protection out of the box.
|
Azure Sentinel |
|
Azure Sentinel ist seit 24. Sep 2019 "GA" und hat den Anspruch ein cloudbasiertes SIEM-Produkt zu werden, welches Events von unterschiedlichsten Systemen erhält und entsprechend auswertet. Es sammelt primär erst einmal Events und analysiert diese. Es kann auch Daten vom Azure Security Center einlesen.
|
Azure Monitoring |
|
Wenn Sie sich die bisher aufgeführten Produkte anschauen, dann stellen Sie fest, dass diese ihre Daten ja irgendwo speichern müssen und dann immer Azure Log Analytics oder Azure Monitoring auftaucht. Das ist quasi das Backend für die ganzen Tools und entsprechend müssen Sie hier Platz und Kosten einplanen. Auf der anderen Seite öffnet eine gemeinsame Plattform die Türen fr eine höhere Integration. Sie können natürlich Azure Monitoring auch selbst nutzen. Als fertige Monitoring, Logmanagement, Eventmanagement o.ä. würde ich das aber nicht ansehen.
|
Microsoft 365 Security Center |
|
Das Security Center ist das Portal, in dem idealerweise alle Meldungen und Bewertungen letztlich zusammenlaufen |
Manchmal werde ich den Eindruck nicht los, dass bei Microsoft viele Abteilungen teils ähnliche Lösungen aufbauen und diese dann später zusammengeführt oder verbunden werden. Aktuell hat aber jeder Baustein noch seine eigene Schwerpunkte und noch ist keiner durch einen anderen ersetzt.
Marktbegleiter
ATP steht ja nicht alleine auf der Welt und es gibt durchaus andere Produkte, die irgendwie auch einen Teil der Funktion abbilden.
Workload | Beschreibung | Produkte |
---|---|---|
Anmeldungen überwachen |
Mit Azure ATP hat Microsoft eine Lösung um gezielt Anmeldungen auf den DCs sammeln und ungewöhnliche Vorgänge zu erkennen und zu melden. |
|
Events |
Viele Systeme erzeugen Meldungen aber erst die zentrale Erfassung, einfache Zählung oder intelligente Korrelation liefert Einblicke in Vorgänge, Probleme und erlauben später eine Nachvollziehbarkeit |
|
Malware/AV |
Malware wird immer auf einem Endgeräte aktiv. Daher ist ein Schutz mit Benachrichtigung hier maßgeblich. Solche Lösungen schützen indirekt alle Übertragungswege, d.h. Mail aber auch USB-Laufwerke, Gastzugriffe auf OneDrive, Dropbox, Google-Drive u.a. |
|
SMTP Malware/AV |
Die meisten Viren kommen per Mail an weniger erfahrene Anwender, die den Code einer Anlage letztlich ausführen. Auch der Abfluss von Informationen passiert oft unbemerkt per Mail. |
|
Performance Counter |
Die klassischen Quellen für Monitoring sind auch für Angriffe wichtig. Ein Anstieg des Mailvolumens, Änderungen von Dateien, Internet-Verkehr und CPU-Last (Bitcoin Miner) sind alles Warnsignale. |
|
Das ist natürlich nur ein erster stark vereinfachter Vergleich.
Azure Advanced Threat Protection (Azure ATP)
Siehe dazu die eigene Seite Azure ATP
Microsoft Defender ATP
Die erweiterte Funktion des Desktop-Schutzes beschreibe ich nicht weiter.
Microsoft Defender ATP Threat & Vulnerability Management
https://www.youtube.com/watch?v=-A9khpFydvA
-
Microsoft
Defender ATP
https://go.microsoft.com/fwlink/p/?linkid=2069559 -
Microsoft
Defender ATP
Threat &
Vulnerability
Management
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/next-gen-threat-and-vuln-mgt - What's new in Microsoft Defender ATP
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/whats-new-in-microsoft-defender-atp -
Introducing
the security
configuration
framework: A
prioritized
guide to
hardening
Windows 10
https://www.microsoft.com/security/blog/2019/04/11/introducing-the-security-configuration-framework-a-prioritized-guide-to-hardening-windows-10/ -
Microsoft
Defender ATP
Evaluation
lab is now
available in
public
preview
https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Microsoft-Defender-ATP-Evaluation-lab-is-now-available-in-public/ba-p/770271
Office 365 ATP
Der Schutz für eingehende Mails ist sicher für den ein oder anderen Kunden interessant. Die Beschreibung würde hier aber die Seite spengen
- Office 365 Advanced Threat Protection
https://docs.microsoft.com/de-de/office365/securitycompliance/office-365-atp
On-Premises ATA
Aus der Reihe fällt das Produkt "Advanced Threat Analystics", welches ich zufällig im MSDN-Download gesehen habe. Viele Teile des Code scheinen hier auch mit Defender ATP und AzureATP genutzt zu werden. Es ist aber ein eigenständiges Produkt mit eine kontinuierlichen Fortschreibung der Version:
Quelle: MSDN Download
Der Grund, dass hier noch alle Versionen angeboten werden dürfte am Update-Pfad liegen. Sie müssen einige Zwischenschritte von einer 1.4 auf eine 1.9 gehen, indem Sie alle Zwischenversionen durchlaufen.
- Recommended upgrade path for ATA
https://docs.microsoft.com/en-us/advanced-threat-analytics/upgrade-path
Der ATA Monitor überwacht den Verkehr auf den Domain Controllern über eine lokale Installation oder ein Port-Mirroring und meldet die Events an das ATA Gateway. Zudem kann das Gateway auch Meldungen per Eventlog Forwarding, Syslog u.a. annehmen. Die Daten werden dann vorverarbeitet an das ATA-Center gesendet und die Daten in seine Bewertungen mit aufnehmen.
- Advanced Threat Analytics Documentation
https://docs.microsoft.com/en-us/advanced-threat-analytics/ - ATA Architecture
https://docs.microsoft.com/en-us/advanced-threat-analytics/ata-architecture
Weitere Links
- Addressing Confusion Around Microsoft’s 4 Advanced Threat
Protection Solutions
https://www.interlink.com/blog/entry/addressing-confusion-around-microsoft-s-3-advanced-threat-protection-solutions - Send Check Point Logs to Azure Sentinel
(beta)
https://ntsystems.it/post/Send-Check-Point-Logs-to-Azure-Sentinel-beta