De ins en outs van Azure Advanced Threat Protection
Nick Sonnevelt

Wat is Azure Advanced Threat Protection?

Azure Advanced Threat Protection is een online service die helpt bij het beschermen van een Hybride Cloud oplossing tegen cyberaanvallen en inside attacks. Azure ATP detecteert verdachte activiteiten en toont dit in een Centraal dashboard. Het dashboard is gekoppeld aan Azure AD en biedt dus ondersteuning voor Single sign-on en Role Based Access (RBAC) control. Daarnaast biedt het portaal de mogelijkheid om uitgebreide rapporteren te genereren.

Dit is anders dan het Azure Security Center dashboard, dat aanbevelingen geeft en proactief stuurt op het voorkomen van security incidenten binnen de omgeving. Dit terwijl Azure Advanced Threat Protection verdachte activiteiten detecteert op het moment van uitvoering.

Hoe werkt Azure Advanced Threat Protection?

Azure Advanced Threat Protection wordt geïnstalleerd op Domain Controllers of op een standalone server, in combinatie met Port Mirroring van de Domain Controllers. Middels een  network processing engine, wordt data onderzocht op authenticatie, autorisatie en informatie.

Domain Controllers met de ” network processing engine ” van ATP, worden ook wel sensors genoemd. Een alternatieve methode voor het afvangen en onderzoeken van data is de installatie op een standalone server met gebruik van Port mirroring op de Domain Controllers.

InSpark Azure Advanced Threat Protection Blog Nick 2

Binnen het online portaal van Azure ATP is zichtbaar welke machines als Sensor functioneren, of deze nog up-to-date zijn en of de machine nog verbonden is met de Azure ATP workspace.

Wat detecteert Azure Advanced Threat Protection?

Azure ATP rapporteert verdachte activiteiten, maar onderneemt geen actie. Het rapporteren van deze activiteiten gebeurt in het centrale ATP portaal en wanneer dit wordt geconfigureerd, worden alerts per email verzonden.

Voor elk alert wordt aangegeven om welke activiteit het gaat, wie of wat de activiteit heeft uitgevoerd, maar ook wat de aanbevolen vervolgstappen zijn om eventuele schade te beperken.

InSpark Azure Advanced Threat Protection Blog Nick 3

Gevoelige Accounts

Naast het rapporteren van verdachte activiteiten, detecteert ATP “gevoelige accounts”. Accounts worden als gevoelig gemarkeerd wanneer er sprake is van toewijzing van teveel rechten binnen Active Directory. Een voorbeeld is de “Domain Admins” groep. Een andere factor die meespeelt bij het detecteren van gevoelige accounts, is het feit dat er onversleutelde credentials worden verstuurd, d.m.v. een Active Directory gebaseerde authenticatie tot een systeem.

 

InSpark Azure Advanced Threat Protection Blog Nick 4

VPN authenticatie

Bij het gebruik van VPN verbindingen op basis van Radius, kan Azure ATP worden ingezet om informatie te analyseren van VPN authenticatie verzoeken. Op dit moment is er ondersteuning voor de leveranciers “Microsoft, F5, Check Point en Cisco ASA”.

Een accuraat overzicht creëren

Door het configureren van uitzonderingen/exclusions binnen ATP, zorg je voor minder false positive meldingen en dus een accuraat overzicht van de gegenereerde meldingen. Uitzonderingen kunnen geconfigureerd worden voor bepaalde users of omgevingen, maar ook op alert niveau.

InSpark Azure Advanced Threat Protection Blog Nick 4

Uit veiligheidsredenen kunnen niet voor alle meldingen uitzonderingen worden geconfigureerd.

Alerting

Azure ATP biedt de mogelijkheid tot notificaties in het geval van een alert of een probleem met een sensor. Deze notificaties worden per mail verzonden naar de geconfigureerde e-mailadressen. Alternatief kun je de notificaties laten versturen naar een Syslog server, welke je vervolgens kan uitlezen in bijvoorbeeld Operations Management Suite (OMS).

Licentie

Azure Advanced Threat Protection is beschikbaar als onderdeel van de Enterprise Mobility + Security 5 (EMS 5) licentie. Daarnaast is het los verkrijgbaar via ons CSP programma.

Conclusie

Zal Azure ATP je beschermen van potentiële aanvallen of schade? Misschien wel, maar niet zo goed als het Security Center dat kan. Azure ATP vraagt om een hoog managementghalte om een perfect en waardevol beveiligingssysteem te creeëren voor Enterprise organisaties. Zonder de integratie van OMS, is Azure ATP een leuke kers op de taart, maar blijft het een monitorend portaal. Denk hier dus goed over na.

InSpark Azure Advanced Threat Protection Blog Nick 6

SHARE
Nick Sonnevelt

Consultant Cloud Infra & Apps

Meer weten?
Ik kan je alles vertellen over Azure ATP en andere security oplossingen, onder het genot van een kopje koffie.
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!