Hopp til hovedinnhold

Hva er Azure Advanced Threat Protection?

Logo letter
Evelon AS
Jon-Alfred Smith
Bilde av en gutt som sitter på et tak

Microsoft har flere produkter med tilnavnet Advanced Threat Protection (ATP) eller avansert trusselbeskyttelse. Office 365 ATP beskytter organisasjonen mot sofistikerte trusler – som phishing, farlige vedlegg og nulldagstrusler fra skadelig programvare – og undersøker og utbedrer angrep automatisk. Windows Defender ATP avdekker nettverksangrep og databrudd og gir deg innsikten og verktøyene du trenger for å avslutte hendelser raskt.

Azure Advanced Threat Protection er den skybaserte versjonen av Microsoft Advanced Threat Analytics (ATA) og oppdager de samme avanserte truslene ved et innbrudd. Den krever ingen lokal server. Sensorene på domenekontrollerne bruker langt færre ressurser enn ATA-gatewayer. Det er støtte for hybride miljøer. Azure ATP er godt integrert med Office 365 ATP og Windows Defender ATP. Ulempen er eventuelt høyere lisenskostnader.

Egenskaper ved Azure Advanced Threat Protection

ATP1-1

Azure Advanced Threat Protection benytter tilsvarende mekanismer som Microsoft Advanced Threat Analytics for å oppdage mulige forsøk på lokale nettverksinnbrudd du ellers ikke får øye på. Azure ATP er skrevet om fra grunnen av for å utnytte mulighetene i skyen med tanke på skalering og integrering med andre sikkerhetsprodukter. Den utvider funksjonaliteten til også å omfatte brukere i Azure Active Directory (AD).

Hybride miljøer

Infrastrukturen hos de fleste små og mellomstore bedrifter er i ferd med å endre seg, med en delvis overgang til skyen. Den nye og langsiktige standarden er hybride miljøer. Det reiser to utfordringer: Vi må forstå hvordan avanserte angrep foregår på tvers av lokal og skybasert infrastruktur, og hvordan vi skal beskytte oss mot dem.

Microsofts sikkerhetsmodell

ATP2

Ingen sikringstiltak er perfekte, og da gjelder det å plusse på med flere. Microsoft benytter en lagdelt modell. Første linje er Office 365 Advanced Threat Protection. Den beskytter på forskjellige måter mot phishing, som står for en vesentlig del av identitetsangrep.

Om angriperen kommer gjennom første lag, kobles Windows Defender ATP inn, om den er tilgjengelig. Den vil blant annet undersøke om de kriminelle har installert skadelige programmer eller opprettet en kanal til kommando- og kontrollservere (C&C – Command and Control).

Tredje og siste lag i denne modellen er Azure ATP. Den oppdager mistenkelige aktiviteter basert på maskinlæring av brukernes atferd og kjente angrepsvektorer som rekognosering, lateral bevegelse innenfor nettverket og forsøk på å eskalere brukerrettigheter for å få herredømmet over domenet.

Cyberkriminelle tar også en snarvei inn i organisasjonen. Her benyttes det rå datakraft for å knekke passord. Tendensen i den senere tid er at dette gjøres mer forsiktig enn tidligere ved en metode som kalles low and slow (lavt og langsomt) eller password spray (lett passord-dusj). Den er ikke lett å få øye på, fører som regel til at kontoene ikke låses etter mislykte forsøk og går ut på å prøve med bare et begrenset antall passord som er hentet fra en ordliste.

Hvorfor Azure ATP?

Statistisk klarer angripere å få tak i påloggingsinformasjonen til én av hundre brukere som ikke benytter multifaktor-autentisering. Så har du det gående med inntrengere på innsiden av nettverket ditt. De vil finne måter å eskalere rettighetene på, så de til slutt ender opp som administratorer i domenet. Samtidig aner du ingenting. Du trenger et verktøy for å oppdage og avverge nettverksangrep. I Microsoft-verden kan du velge mellom Microsoft ATA, som krever minst en lokal server, og den skybaserte versjonen Azure ATP – som lett kan bli et bedre valg.

Beskyttelse i skyen og lokalt

ATP3

Utfordringen er å beskytte brukere, applikasjoner og data i skyen og lokalt. Azure ATP benytter seg av disse funksjonene:

  • Samle inn. Portspeiling eller sensorer på domenekontrollere. Dyp pakkeinspeksjon på lag 7. Hybride datakilder.
  • Analysere og lære. Egenlæring og profilering. Patentert teknologi for å finne tilbake til enheter på bakgrunn av IP-adresser. Ubegrenset skalering drevet av Azure.
  • Oppdage. Avvikende atferd og mistenkelige aktiviteter. Research basert på studier av innbrudd. Microsoft-intelligens.
  • Varsle og undersøke. Intuitiv angrepstidslinje. Rask prioritering av varsler. Undersøke via en dedikert profilside eller Windows Defender ATP.

La oss se nærmere på de fire mekanismene ovenfor. Det skader ikke om du først fordyper deg i bloggen Beskytt deg mot innbrudd med Advanced Threat Analytics. Den vil gi deg all nødvendig bakgrunn og er også gyldig for Azure ATP, med unntak av avsnittene om ATA Center på lokal server og de to formene for ATA-gatewayer.

Innsamling av informasjon

ATP4

Du kan velge mellom å sette opp en enkeltstående server med portspeiling eller lettvektssensorer for å logge nettverkstrafikken til og fra domenekontrollerne. Sensorer er anbefalt og betydelig forbedret i forhold til ATA-gatewayer. Tabellen viser typisk ressursbruk ved tilsvarende belastning, grunn god nok til å gå for Azure ATP. Den overvåker på lag 7 i OSI-modellen (Open Systems Interconnection), som er applikasjonslaget. Azure ATP får med seg type kryptering som benyttes i kommunikasjonen, hvem som sender autentiseringsforespørsler med Kerberos. Den ser på VPN-logger, RADIUS-kontoer og hendelseslister på serverne. Microsoft jobber med å innlemme både egne og tredjeparts skytjenester tettere. Kildene utvides kontinuerlig basert på registrerte angrep og Microsofts erfaring med dem.

Analyse og maskinlæring

Azure ATP lærer seg vanene til brukerne: hvilke enheter de benytter, når og fra hvor de logger på, hvilke ressurser de skaffer seg tilgang til lokalt og i skyen. Denne informasjonen lagres i databasen for Azure ATP og danner grunnlaget for å registrere avvik og unormal atferd – noe som kan skyldes kompromittert brukerlegitimasjon.

En kjent utfordring er å korrelere IP-adresser med enheter. Her har Microsoft utviklet en patentert teknologi som til enhver tid viser maskinvaren som benyttes. Det er et viktig moment i profileringen som kan se enheter og brukere i sammenheng. Azure ATP er skrevet om med tanke på skyskalering og integrering med andre tjenester. Det gjør det lettere å plusse på med nye atferds- og oppdagelsesmodeller.

Oppdagelse av suspekt atferd

ATP5

Turen er kommet til å oppdage avvikende og unormal atferd. Dette er basert på statistikk med utgangspunkt i brukernes vaner. Om en bruker til vanlig logger på fra tre enheter og nå plutselig fra tolv, er det et tegn på at en inntrenger har fått tak i vedkommendes påloggingsopplysninger og beveger seg lateralt i nettverket fra maskin til maskin.

Så er det ting som ikke skal skje: Det er for eksempel forespørsler om å replikere databasen for Active Directory til en ny maskin for å få tak i brukeropplysninger med passord. Det kan være forsøk på å overføre hele den interne DNS-sonen for å få en oversikt over infrastrukturen. Eller sånn som ovenfor: forsøk på å liste opp SMB-sesjoner. Dette er typiske aktiviteter hackere benytter. Her kommer Microsoft inn med sine respons- og sikkerhetsteam med all erfaring fra ekte databrudd og metoder for å utbedre og avverge dem.

Varsling og undersøkelse

ATP6

Ved mistanke om angrep varsler Azure ATP på ulike måter. Du kan og bør sette opp e-postvarsling. Du kan få ukentlige rapporter med sammendrag. Opplysningene kan sendes videre til en syslog-server. Advarsler kombinert med inngående informasjon og forslag til mottiltak vises på en oversiktlig og intuitiv angrepstidslinje i Azure ATP. Grensesnittet er identisk med Microsoft ATA.

Du får raskt en idé om varslet er reelt eller feil (falsk positiv). Så kan du bruke tid på å utforske hendelsen eller lukke den med det samme. På profileringssiden kan du se aktiviteten i sammenheng: Hvilken bruker på hvilken enhet var det? Hvilke ressurser ble aksessert? Så kan du gå direkte videre til Windows Defender ATP for ytterligere å undersøke risikohendelsen. Var det noen ondsinnete og skadelige prosesser som kjørte på enheten? Ble det oppdaget en unormal minnetilgang?

Sette opp Azure ATP

ATP7

Du logger deg på i portalen for Azure ATP med en bruker som er global administrator i tenanten din. Nettadressen er https://portal.atp.azure.com. Det kan ta noe tid før instansen er opprettet.

ATP8

Nettadressen endres fra portal til navnet du oppga da du opprettet tenanten din. Her er det ayla. Det betyr at du fremover logger på med tenant-navnet.

Det første du blir bedt om er å oppgi et brukernavn og passord til AD-domenet ditt (teknisk domeneskogen din). Her kreves det bare en vanlig bruker uten utvidede rettigheter. Klikk på koblingen.

ATP9

Legg til brukernavn, passord og domenet. Ikke glem å lagre. Knappen er lengre ned og ikke vist på skjermbildet. Dette må være en bruker som eksisterer.

ATP10

Klikk på koblingen under, Download Sensor Setup. Du må kopiere nøkkelen, som benyttes for installasjonen. Etter det sikres kommunikasjonen mellom domenekontrollerne og Azure ATP med sertifikater.

ATP11

Installasjonsfilene er lastet ned og pakket ut.

ATP12

Setup har oppdaget at sensoren installeres på en domenekontroller. Dermed er valget for enkeltstående server grånet ut. Legg for øvrig merke til at dialogboksen er til forveksling lik med boksene for Microsoft ATA. Klikk på Next og legg til tilgangsnøkkelen. Vær obs på at du må installere sensorene på alle domenekontrollere om du ikke velger enkeltstående server.

ATP13

På serveren installeres disse to tjenestene.

ATP14

I portalen for Azure ATP må det også vises at status for tjenesten er at den kjører.

Konfigurasjon av Azure ATP

ATP15

Du bør sette opp varsling via e-post, beskytte enkelte kontoer, konfigurere juksekontoer – honning-feller som ikke skal brukes, men som ser attraktive ut for hackere, så som SQLAdmin. Men dette får holde som en innføring.

Lisensiering av Azure ATP

Microsoft ATA inngår i den identitetsdrevne sikkerheten i Enterprise Mobility + Security (EMS) E3 og E5. Azure ATP krever EMS E5, men kan også tegnes som frittstående abonnement, noe som ikke er tilfellet for Microsoft ATA. Sånn kan Azure ATP bli en både rimeligere og bedre løsning.

Sammendrag

Azure ATP er den skybaserte versjonen av Microsoft ATA og mye enklere å ta i bruk. Du slipper å installere og drifte en egen server med alt det innebærer av vedlikehold – som backup, antivirus, overvåking, oppgradering og patching. Med Microsoft ATA er det viktig at du gir serveren nok prosessorkraft og minne, avhengig av belastning. Mens Azure ATP selv tar seg av all nødvendig skalering. ATP-sensorene krever langt færre ressurser på domenekontrollerne enn ATA-gatewayer.

Det er lettvint å komme i gang. Det klarer du fint som systemadministrator uten å være ekspert på sikkerhet eller nettverk. Azure ATP bruker de samme mekanismene for å analysere, lære, oppdage og varsle som Microsoft ATA. Skybaserte tjenester er fremtiden, og videreutviklingen går mye raskere her enn med lokale løsninger. Eventuelle høyere lisensutgifter må på den ene side ses i sammenheng med reduserte omkostninger for lokal drift og lavere ressurskrav på domenekontrollerne. På den annen side får du økt sikkerhet med støtte for hybride miljøer og den tette integrasjonen med Microsofts andre sikkerhetsprodukter.

Hva du skal velge – Microsoft ATA eller Azure ATP – er egentlig i første omgang en økonomisk avveining. Microsoft ATA blir rimeligere om du har EMS E3 på forhånd. Det er ikke vanskelig senere å gå over til Azure ATP etter hvert som funksjonaliteten øker her og du ser det som formålstjenlig å styrke sikkerheten. Grensesnittet i bruk er likt, også de grunnleggende mekanismene for å oppdage mulige innbruddsforsøk – angrep du overhodet ikke ser før det er for sent. Derfor bør du bestemme deg for å ta i bruk ett av disse to sikkerhetsproduktene.

Koblinger

Beskytt deg mot innbrudd med Advanced Threat Analytics

Skadevare og avanserte trusler i Office 365

Beskyttelse mot phishing-e-post i Office 365

Utvidet beskyttelse mot phishing i Office 365

Office 365 – Sikkerhet i skyen

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!