Achtung “Fortgeschrittene Bedrohung”! Das ist der gemeinsame Nenner von vier Diensten Microsofts, die sich über Office 365, Azure und Windows erstrecken. Aber mal ehrlich, wer weiß denn wirklich welcher Dienst hier was genau macht? Meine Motivation mich damit auseinanderzusetzen kam vor allem aus der Fragestellung heraus, welche Quick-Wins man mit einer EM+S E5 Lizenz erhalten kann. Bei der Recherche dazu bin ich dann ungewohnt zäh vorangekommen habe aber dafür zahlreiche tolle Funktionen gefunden, die nicht immer zu meinem Vorwissen aus Konferenzen gepasst haben. Dagegen hilft nur: Durch die Doku durchbeißen und ausprobieren. Da ich vermute, dass die meisten Personen außerhalb von Redmond auch keinen guten Überblick haben, was es da so alles gibt, teile ich meine Erkenntnisse gerne hier im Blog.
Fangen wir damit an, welche Produkte es mit diesem Namensschema gibt und in welchen Lizenzen (bzw. Lizenzbündeln) sie enthalten sind:
- Office 365 Advanced Threat Protection (teilweise auch Advanced Email Threat Protection) (Eigenständige Lizenz im O365-Portal)
- Azure Advanced Threat Protection (Lizenz via EM+S E5 oder als Einzellizenz)
- Windows Defender Advanced Threat Protection (Eigenständige Lizenz im O365-Portal)
- Microsoft Advanced Threat Analytics (EM+S E3 & E5 oder als Einzellizenz)
Mit dieser Liste wird vielleicht klar, warum die Recherche für Einsteiger hier schwierig ist: Durch die großen Überlappungen im Produktnamen erhält man schnell wild gemischte Suchtreffer. In der Tat listet Google bei der Suche nach “Advanced Threat Microsoft” alle vier Produkte auf der ersten Seite. Deshalb nachfolgend eine grobe Zusammenfassung durch mich, was hinter welchem Dienst steckt, inkl. einer Einschätzung wie viel “Quick Win” in dem jeweiligen Service steckt.
Office 365 Advanced Threat Protection
Dieser Service ist am leichtesten zu beschreiben und abzugrenzen: Anhänge und Links für Exchange Online Mailboxen werden auf Ihre Sicherheit geprüft. Anhänge werden in deiner “Detonation Chamber” geöffnet. Wird dabei ein ungewöhnliches Verhalten festgestellt (z.B. Änderungen in der Registry & Co), wird der Anhang geblockt. Bei Links funktioniert der Check etwas anders: Die Links werden alle auf eine O365-URL mit Weiterleitung umgeschrieben – klickt ein Anwender auf einen Link wird dieser zunächst geprüft, bevor die Weiterleitung ausgeführt wird. Für den Anwender läuft das mit den Links – aktuelles Outlook vorausgesetzt – weitgehend unbemerkt ab. Die Prüfung der Anhänge benötigt etwas Zeit, weshalb der Anwender hier durchaus merkt, dass etwas im Hintergrund passiert. Der Textinhalt der Mail kommt sofort, der Anhang wird nachträglich zugestellt. Während man auf den Anhang wartet wurde dieser mit einer netten Information dazu ersetzt, dass dieser noch auf seine Sicherheit geprüft wird.
Dieses Feature hat meiner Meinung nach ein hohes Potenzial die Sicherheit zu erhöhen, gleichzeitig ist der Aufwand zur technischen Implementierung minimal: 10 Minuten im Exchange Online Interface reichen aus, um alles wichtige zu konfigurieren. Großer Nachteil: Auch in einer O365 E5 Lizenz ist der Dienst nicht enthalten. Es werden weitere 1,69€ pro Nutzer und Monat fällig. Meiner Meinung nach ist Preis-Leistung hier aber stimmig.
Windows Defender Advanced Threat Protection
Windows Defender dürfte den meisten IT-Pros ein Begriff sein: Dabei handelt es sich um Microsofts Ansatz für eine Endpoint-Protection unter Windows. Anfangs noch unter Microsoft Security Essentials als kostenloses Zusatztool vermarktet, ist es in Windows 10 ein fester Bestandteil des Windows Betriebssystems. Der Zusatz „Advanced Threat Protection“ bedeutet an dieser Stelle aber nicht, dass der Defender in einer Bezahlvariante ein paar mehr Viren erkennt. Vielmehr geht es darum, dass sicherheitsrelevante Informationen aus dem Betriebssystem zentral an eine Stelle übertragen und dort ausgewertet werden. Windows Defender Advanced Threat Protection (WDATP) ist somit die Kombination aus Windows 10 Betriebssystemkomponenten, Windows Defender-Mechanismen und einem Cloud-Dashboard das Muster aus diesen Daten herausliest und aufbereitet. Jetzt könnte man sagen „Also ein Dashboard für meinen Virenscanner“ – das ist zwar naheliegend aber falsch. Es ist für WDATP nicht notwendig, dass Windows Defender als Virenscanner eingesetzt wird. Entscheidend ist der Teil der Windows 10 Betriebssystemkomponenten, weshalb bestimmte Funktionen auch erst mit 1809 funktionieren. Konkret kann Windows 10 mittlerweile feststellen, wenn bestimmte potenziell verdächtige Aktionen ausgeführt werden. Als Beispiel kann man hier bestimmte Änderungen in der Registry nennen, oder wenn ein Prozess vom Nutzerkontext in den Systemkontext wechselt. Diese Informationen helfen dabei einen bereits erfolgten Angriff nachzuvollziehen. Das passt zu Microsofts „Post-Breach“ Philopsophie. Post-Breach meint (stark verkürzt): Entweder wurdest du schon gehackt oder du weißt es nur noch nicht.
In dem Fall, dass WDATP hilft, hat es der Eindringling an dem klassischen Virenscanner bereits vorbeigeschafft. Nachdem die Hürde des Virenscanners als genommen wurde gilt es, die Spur der Malware so schnell wie möglich zu finden und zu verfolgen. Microsoft wird hier nicht müde zu betonen, dass die Angreifer im Schnitt 200 Tage im Netzwerk des Opfers spionieren können, bevor diese bemerkt werden. WDATP soll diese Zeit erheblich reduzieren.
Zusammengefasst: Windows 10 meldet allerlei Ereignisse, die je nach Kontext kritisch sein können an die Microsoft Cloud. Dort wird diese riesige Datenmenge dann mit Erkenntnissen aus der weltweiten Cloud zu einem aussagekräftigen Dashboard eingedampft. Durch eine gute Verknüpfung der Events kann man so auch sehen, auf welche anderen Accounts oder Computer sich der Angreifer ggf. Zugriff verschafft hat. Microsoft versichert, dass nur anonymisierte Daten direkt in den zentralen Datenbestand fließen. Der Großteil der Daten bleibt somit im Tenant des Kunden, der allerdings immer noch auf Microsoft-Hardware läuft.
Bleibt die Frage, wie schnell man damit starten kann. Wie bei den meisten Cloud-Services kann man schnell loslegen, aber vor einem Firmenweiten Rollout wird man sich dann doch intensiv damit beschäftigen wollen und einige Tests fahren. Hierfür stellt Microsoft direkt einige Beispiel-Szenarien im Portal von WDATP bereit. Der firmenweite Rollout kann dann über GPO, SCCM oder Intune erfolgen, womit man leicht und schnell skalieren kann.
Azure Advanced Threat Protection
Wenn die Windows Defender ATP den Windows Client schützt, müsste Azure ATP dem Namen nach ja die Azure Umgebung schützen, richtig? Leider nein. Azure ATP ist ebenfalls ein Service, der bei Angriffen in On Premise Netzwerken schützen soll. Während sich WDATP auf Clients fokussiert liegt der Zweck von Azure ATP in der Auswertung von Daten und Netzwerkverkehr des Domain Controllers. Konkret installiert man einen Azure ATP Sensor in der eigenen On Premise Domain, welcher dann eine Reihe von Daten nach Azure schickt. Im ersten Schritt wird dabei eine Baseline von „normalem Verhalten“ von Nutzern erstellt. Es wird u.a ermittelt, welche Gruppenmitgliedschaften für welche User üblich sind und wie deren allgemeines Verhalten aus Sicht des Domain-Controllers aussieht.
Da Azure ATP als Sensor auf den Domain-Controllern installiert werden muss, ist es nichts was man in einem größeren Unternehmen „mal eben so“ machen kann. Auch wenn das eigentliche Doing eher überschaubar ist dürfte die Implementierung im Change-Advisory-Board kräftig diskutiert werden. Diejenigen, die sich für eine EM+S E5 Lizenz entschieden haben, sollten dieses wertvolle Tool aber auf jeden Fall betrachten und in Betrieb nehmen!
Azure Advanced Threat Analytics
Mit Microsoft Advanced Threat Analytics (ATA) kommen wir zum letzten Tool in diesem Beitrag. Und ich mache es auch ganz kurz: Advanced Threat Analytics ist (vereinfacht ausgedrückt) die alte Version von Azure ATP. Während Azure ATP die Daten von den Domain-Controllern nach Azure überträgt und dort auswertet, bietet ATA einen OnPremise Server, der diese Daten speichert und verarbeitet. Weiterhin ist ATA sehr viel langsamer als Azure ATP, in Bezug auf CPU-Load der Domain-Controller wird von 10-facher Geschwindigkeit bei Azure ATP berichtet. Weiterhin fehlt ATA die Integration mit Windows Defender ATP. Es gibt aktuell also nur noch wenige Gründe auf ATA zu setzen und damit für mich auch vorerst keinen Anlass sich weiter damit zu beschäftigen.