Wat is Azure Advanced Threat Protection?
Azure Advanced Threat Protection is een online service die helpt bij het beschermen van een Hybride Cloud oplossing tegen cyberaanvallen en inside attacks. Azure ATP detecteert verdachte activiteiten en toont dit in een Centraal dashboard. Het dashboard is gekoppeld aan Azure AD en biedt dus ondersteuning voor Single sign-on en Role Based Access (RBAC) control. Daarnaast biedt het portaal de mogelijkheid om uitgebreide rapporteren te genereren.
Dit is anders dan het Azure Security Center dashboard, dat aanbevelingen geeft en proactief stuurt op het voorkomen van security incidenten binnen de omgeving. Dit terwijl Azure Advanced Threat Protection verdachte activiteiten detecteert op het moment van uitvoering.
Hoe werkt Azure Advanced Threat Protection?
Azure Advanced Threat Protection wordt geïnstalleerd op Domain Controllers of op een standalone server, in combinatie met Port Mirroring van de Domain Controllers. Middels een network processing engine, wordt data onderzocht op authenticatie, autorisatie en informatie.
Domain Controllers met de ” network processing engine ” van ATP, worden ook wel sensors genoemd. Een alternatieve methode voor het afvangen en onderzoeken van data is de installatie op een standalone server met gebruik van Port mirroring op de Domain Controllers.
Binnen het online portaal van Azure ATP is zichtbaar welke machines als Sensor functioneren, of deze nog up-to-date zijn en of de machine nog verbonden is met de Azure ATP workspace.
Wat detecteert Azure Advanced Threat Protection?
Azure ATP rapporteert verdachte activiteiten, maar onderneemt geen actie. Het rapporteren van deze activiteiten gebeurt in het centrale ATP portaal en wanneer dit wordt geconfigureerd, worden alerts per email verzonden.
Voor elk alert wordt aangegeven om welke activiteit het gaat, wie of wat de activiteit heeft uitgevoerd, maar ook wat de aanbevolen vervolgstappen zijn om eventuele schade te beperken.
Gevoelige Accounts
Naast het rapporteren van verdachte activiteiten, detecteert ATP “gevoelige accounts”. Accounts worden als gevoelig gemarkeerd wanneer er sprake is van toewijzing van teveel rechten binnen Active Directory. Een voorbeeld is de “Domain Admins” groep. Een andere factor die meespeelt bij het detecteren van gevoelige accounts, is het feit dat er onversleutelde credentials worden verstuurd, d.m.v. een Active Directory gebaseerde authenticatie tot een systeem.
VPN authenticatie
Bij het gebruik van VPN verbindingen op basis van Radius, kan Azure ATP worden ingezet om informatie te analyseren van VPN verzoeken. Op dit moment is er ondersteuning voor de leveranciers “Microsoft, F5, Check Point en Cisco ASA”.
Een accuraat overzicht creëren
Door het configureren van uitzonderingen/exclusions binnen ATP, zorg je voor minder false positive meldingen. Daardoor krijg je een accuraat overzicht van de gegenereerde meldingen. Uitzonderingen kunnen geconfigureerd worden voor bepaalde users of omgevingen, maar ook op alert niveau.
Uit veiligheidsredenen kunnen niet voor alle meldingen uitzonderingen worden geconfigureerd.
Alerting
Azure ATP biedt de mogelijkheid tot notificaties in het geval van een alert of een probleem met een sensor. Deze notificaties worden per mail verzonden naar de geconfigureerde e-mailadressen. Alternatief kun je de notificaties laten versturen naar een Syslog server, welke je vervolgens kan uitlezen in bijvoorbeeld Operations Management Suite (OMS).
Licentie
Azure Advanced Threat Protection is beschikbaar als onderdeel van de Enterprise Mobility + Security 5 (EMS 5) licentie. Daarnaast is het los verkrijgbaar via ons CSP programma.
Conclusie
Zal Azure ATP je beschermen van potentiële aanvallen of schade? Misschien wel, maar niet zo goed als het Security Center dat kan. Azure ATP vraagt om een hoog managementghalte om een perfect en waardevol beveiligingssysteem te creeëren voor Enterprise organisaties. Zonder de integratie van OMS, is Azure ATP een leuke kers op de taart, maar blijft het een monitorend portaal. Denk hier dus goed over na.
