Azure ATP

AzureATP ist der Teil, bei dem auf lokalen Domain Controllern ein Agent installiert wird, der die lokalen Anmeldungen überprüft.

Einrichtung eines Sensors

Azure ATP ist relativ schnell eingerichtet, da die Software nur auf die OnPremises Domain Controller installiert wird. Sie überwacht quasi per Netzwerkmitschnitt alle Anmeldungen und und Versuche auf die Domain Controller und kann damit schon als erste Verteidigungslinie betrachtet werden. In einem Firmen-LAN erfolgen die meisten Zugriffe schon "authentifiziert". Angriffe landen daher direkt oder indirekt sehr schnell auf einem Domain Controller und können dort erfasst werden. Das ist zwar kein Ersatz einer Überwachung aller anderen Dienste auf erfolgreiche oder erfolglose Anmeldungen aber ein erster Anfang. Ein Angriff auf einen Member-Server um das Kennwort des lokalen Administrators zu erraten, wird so natürlich nicht erkannt.

Die Installation startet derart, dass Sie in ihrem Azure Portal unter https://%tenantname%.atp.azure.com/configuration?tab=sensors die Installationsquelle herunterladen und sich den "Zugriffsschlüsse" für die spätere Installation merken.

Das Setup auf einem Domain Controller ist unspektakulär und die meisten Administratoren werden den Sensor auch direkt auf dem DC installiert. Es ist aber möglich den Sensor "daneben" auf einem eigeständigen System zu installieren, welcher dann die Netzwerkdaten durch ein Port-Mirroring auf dem Switch geliefert bekommt. So einen Sensor kann ein Angreifer dann nicht außer Kraft setzen.

Im zweiten Dialog müssen Sie dann den für ihren Tenant speziellen Zugriffsschlüssel eintragen.

Das war es auch schon fast. Der Dienst startet und überwacht Eventlogs und Zugriffe, die er in die Cloud meldet.

Anpassen der Gruppenrichtlinie

Damit die Überwachung richtig vollständig ist, müssen Sie allerdings ihre Gruppenrichtlinien etwas anpassen, so dass auch wirklich alle relevanten Einträge im Eventlog landen. Aber auch das erkennt schon der Agent und meldet es:

Beispielreports

Nach wenigen Minuten sollten die ersten Events im AzureATP-Portal erscheinen und es wird schnell sichtbar, wie Azure ATP funktioniert: Es überwacht, wer sich wo und wann anmeldet und stellt Beziehungen her. Nach einigen Tagen weiß AzureATp, auf welchen Endgeräten ich mich anmelde und worauf ich zugreifen

Genauso kann ich nach Computerm suchen, auf die zugegriffen wurde. AzureATP generiert daraus dann Alarme, wenn "ungewöhnliche" Zugriffe erkannt werden. Hier z.B. die Meldung, dass ein Server per LDAP ziemlich viele Dinge abgefragt hat

Hierbei handelt es sich um ein Provisoining-System, so dass diese Meldungen in Ordnung sind.

Berechtigungen

Die Berechtigungen, wer AzureATP einsehen darf, erfolgt über Rollenruppen im AzureAD.

Weitere Link