Что такое расширенная защита от угроз в Защитнике Windows

Обновлено: 21.11.2024



Мы с самого начала разрабатывали Windows 10 как нашу самую безопасную платформу. Благодаря таким функциям, как Credential Guard, Device Guard, Windows Hello и Enterprise Data Protection, Windows 10 обеспечивает уникальную защиту от атак. Защитник Windows, наша бесплатная служба защиты от вредоносных программ, ежедневно обеспечивает защиту почти 300 миллионов устройств. И Windows продолжает ежемесячно повышать уровень защиты в системе, поскольку любые проблемы безопасности расследуются и своевременно обновляются через Центр обновления Windows.

Эта постоянная приверженность безопасности привела к большому спросу со стороны корпоративных клиентов. От Министерства обороны, которое внедряет Windows 10 во всех сферах обслуживания, начиная с этого года с 4 миллионами устройств — до NASCAR, Virgin Atlantic и школ по всему миру — мы рады видеть, что клиенты с самыми высокими требованиями переходят на новый уровень. на Windows 10 быстрее, чем когда-либо прежде.

Сегодня мы объявляем о следующем шаге в наших усилиях по защите наших корпоративных клиентов с помощью новой услуги Advanced Threat Protection в Защитнике Windows.


Кибератаки становятся все более изощренными

Мы наблюдаем все более наглые кибератаки. Киберпреступники хорошо организованы с тревожным появлением спонсируемых государством атак, кибершпионажа и кибертерроризма. Даже при самой лучшей защите изощренные злоумышленники используют социальную инженерию и уязвимости нулевого дня для проникновения в корпоративные сети. Только в 2015 году было зарегистрировано несколько тысяч таких атак. Мы обнаружили, что в настоящее время предприятию требуется более 200 дней, чтобы обнаружить нарушение безопасности, и 80 дней, чтобы его локализовать. За это время злоумышленники могут нанести ущерб корпоративной сети, похитив данные, нарушив конфиденциальность и подорвав доверие клиентов. Эти атаки невероятно дороги: они обходятся организациям в среднем в 12 млн долларов США за каждый инцидент, что оказывает более серьезное влияние на репутацию компании.

По мере того, как подходы злоумышленников развивались и становились все более изощренными, должен меняться и наш подход к обеспечению безопасности наших корпоративных клиентов. И наши клиенты согласны с тем, что 90 % опрошенных ИТ-директоров заявили, что им необходимо полноценное передовое решение для защиты от угроз, которое быстрее выявляет атаки с помощью всеобъемлющей аналитики и обеспечивает действенное исправление.

Расширенная защита от угроз в Защитнике Windows поможет обнаруживать, расследовать и реагировать на атаки

Чтобы помочь защитить наших корпоративных клиентов, мы разрабатываем Advanced Threat Protection в Защитнике Windows, новую службу, которая поможет предприятиям обнаруживать, расследовать и реагировать на сложные атаки на их сети. Основываясь на существующих средствах защиты, которые сегодня предлагает Windows 10, Advanced Threat Protection в Защитнике Windows обеспечивает новый уровень защиты от взлома для стека безопасности Windows 10. Благодаря сочетанию клиентской технологии, встроенной в Windows 10, и надежной облачной службы это поможет обнаруживать угрозы, которые преодолели другие средства защиты, предоставлять предприятиям информацию для расследования нарушения безопасности между конечными точками и предлагать рекомендации по реагированию.

Расширенная защита от угроз Защитника Windows:

1) Обнаруживает расширенные атаки, предоставляет ключевую информацию о том, кто, что и почему произошло нападение. Комплексная аналитика угроз позволяет обнаруживать атаки, опираясь на крупнейший в мире набор сенсоров и расширенную защиту от угроз, созданную экспертами, в том числе командой экспертов Майкрософт и опытных партнеров по безопасности.

Усовершенствованная защита от угроз в Защитнике Windows основана на сочетании поведенческих датчиков Windows, облачной аналитики безопасности, аналитики угроз и использования интеллектуального графа безопасности Microsoft. Этот огромный график безопасности предоставляет аналитику безопасности больших данных, которая просматривает совокупное поведение для выявления аномалий на основе анонимной информации с более чем 1 миллиарда устройств Windows, 2,5 триллиона проиндексированных URL-адресов в Интернете, 600 миллионов запросов репутации в Интернете и более 1 миллиона подозрительные файлы взрывались каждый день.

Эти данные затем дополняются опытом экспертов по безопасности мирового уровня и передовых специалистов по защите от угроз со всего мира, которые обладают уникальными возможностями для обнаружения атак.

2) Рекомендации по ответу.Данные об операциях безопасности службы позволяют легко анализировать оповещения, исследовать всю сеть на наличие признаков атак, изучать действия злоумышленников на определенных устройствах и получать подробные сведения о файлах по всей организации, чтобы рекомендовать ответные меры.

Благодаря возможностям путешествия во времени Advanced Threat Protection в Защитнике Windows анализирует состояние компьютеров и их действия за последние шесть месяцев, чтобы максимизировать возможности исторического исследования и предоставляет информацию о простой временной шкале атак. Упрощенные инструменты расследования устраняют необходимость изучения необработанных журналов, предоставляя информацию о процессах, файлах, URL-адресах и сетевых подключениях для конкретного компьютера или предприятия.

Кроме того, облачная служба детонации позволяет отправлять файлы и URL-адреса на изолированные виртуальные машины для углубленного изучения. В будущем Windows Advanced Threat Protection также предложит инструменты исправления для затронутых конечных точек.

3) Дополняет решения Microsoft Advanced Threat Detection Solutions. Поскольку Advanced Threat Protection в Защитнике Windows встроен в Windows 10, он будет постоянно обновляться, что снижает затраты и не требует усилий по развертыванию. Работает на облачной серверной части, не требует локальной серверной инфраструктуры или постоянного обслуживания. Он дополняет службы защиты электронной почты из Office 365 Advanced Threat Protection и Microsoft Advanced Threat Analytics.

Уже защищает 500 000 конечных точек

Подобно тому, как мы разрабатывали Windows 10 с учетом отзывов миллионов участников программы предварительной оценки Windows, мы работали с нашими самыми продвинутыми корпоративными клиентами, чтобы решить их самые серьезные проблемы с безопасностью, включая расследование атак и повседневные операции, чтобы протестировать наше решение в их средах. . Advanced Threat Protection в Защитнике Windows уже работает с первыми клиентами из разных регионов и отраслей, а также со всей сетью Microsoft, что делает его одним из крупнейших действующих сервисов расширенной защиты от угроз.

Вот несколько отзывов, которые мы получаем от наших первых клиентов:

«Кибербезопасность — моя самая большая забота, а защита всех конечных точек в моей организации — мой текущий приоритет. Advanced Threat Protection в Защитнике Windows уникален тем, что он может точно видеть, что происходит на каждой конечной точке, что другие решения не могут решить». Грег Петерсен, старший директор по ИТ-безопасности, Avanade

«Вам необходимо иметь несколько уровней защиты, и Advanced Threat Protection в Защитнике Windows дополняет нашу стратегию защиты. Всемирная выборка, которую может предложить только Microsoft, помогает обнаруживать сомнительное поведение на наших компьютерах и своевременно предупреждает нас, делая наши компьютеры и сеть более безопасными». Фрэн Де Ханн, старший советник по безопасности, Pella Windows

«Развертывание Advanced Threat Protection в Защитнике Windows дало нам невероятную информацию о нескольких критических уязвимостях безопасности в нашей сети, для устранения которых мы уже предприняли немедленные действия, а также обновили наши политики безопасности». Хенрик Педерсен, ИТ-менеджер, TDC Hosting, Дания

Мы рекомендуем нашим клиентам перейти на Windows 10, чтобы получить нашу самую передовую защиту безопасности, а также возможность воспользоваться преимуществами Advanced Threat Protection в Защитнике Windows, когда она станет доступна более широко в этом году. Мы рады предложить эту услугу для защиты наших клиентов.

Endpoint Protection может помочь в управлении и мониторинге Microsoft Defender для конечной точки. Защитник Microsoft для конечной точки помогает предприятиям обнаруживать, расследовать сложные атаки в своих сетях и реагировать на них. Политики Configuration Manager могут помочь вам подключить и контролировать клиенты Windows 10 или более поздней версии.

Облачный портал Microsoft Defender for Endpoint — это Центр безопасности Microsoft Defender. Добавляя и развертывая файл конфигурации подключения клиента, Configuration Manager может отслеживать состояние развертывания и работоспособность Microsoft Defender для агента конечной точки. Защитник Microsoft для конечной точки поддерживается на компьютерах с клиентом Configuration Manager или под управлением Microsoft Intune.

Предпосылки

  • Подписка на онлайн-службу Microsoft Defender for Endpoint
  • Клиентские компьютеры, на которых запущен клиент Configuration Manager
  • Клиенты, использующие ОС, перечисленные в разделе Поддерживаемые клиентские операционные системы ниже.
  • Вашей учетной записи администратора требуется роль безопасности Endpoint Protection Manager.

Поддерживаемые клиентские операционные системы

Вы можете использовать следующие операционные системы:

  • Windows 8.1
  • Windows 10 версии 1607 или более поздней.
  • Windows 11
  • Windows Server 2012 R2
  • Windows Server 2016
  • Полугодовой канал Windows Server (SAC), версия 1803 или более поздняя
  • Windows Server 2019
  • Windows Server 2022

О подключении к Microsoft Defender для конечной точки с помощью Configuration Manager

Разные операционные системы предъявляют разные требования к подключению к Microsoft Defender for Endpoint. Windows 8.1 и другим устройствам с более ранними операционными системами требуется ключ рабочей области и идентификатор рабочей области на борту. Устройства более высокого уровня, такие как Windows Server версии 1803, нуждаются в файле встроенной конфигурации. Configuration Manager также устанавливает Microsoft Monitoring Agent (MMA), когда это необходимо встроенным устройствам, но не обновляет агент автоматически.

Операционные системы более высокого уровня включают:

  • Windows 10 версии 1607 и выше
  • Windows 11
  • Полугодовой канал Windows Server (SAC), версия 1803 или более поздняя
  • Windows Server 2019
  • Windows Server 2022

Операционные системы нижнего уровня включают:

  • Windows 8.1
  • Windows Server 2012 R2
  • Windows Server 2016

В настоящее время современный унифицированный Microsoft Defender для конечной точки для Windows Server 2012 R2 и 2016 находится в общедоступной предварительной версии. Configuration Manager версии 2107 с накопительным пакетом обновления поддерживает настройку с использованием политик Endpoint Protection, включая политики, созданные в центре администрирования Microsoft Endpoint Manager с помощью подключения клиента. Дополнительные сведения о развертывании предварительной версии см. в разделе Сценарии миграции сервера.

При подключении устройств к Защитнику Microsoft для конечной точки с помощью Configuration Manager вы развертываете политику Защитника в целевой коллекции или нескольких коллекциях. Иногда целевая коллекция содержит устройства с любым количеством поддерживаемых операционных систем. Инструкции по подключению этих устройств различаются в зависимости от того, нацелены ли вы на коллекцию, содержащую устройства с операционными системами только более высокого уровня, или коллекция также включает клиентов более низкого уровня.

  • Если ваша целевая коллекция содержит устройства как более высокого, так и более низкого уровня, используйте инструкции для подключения устройств под управлением любой поддерживаемой операционной системы (рекомендуется).
  • Если ваша коллекция содержит только устройства более высокого уровня, вы можете воспользоваться инструкциями по подключению более высокого уровня.

Если ваша целевая коллекция содержит устройства более низкого уровня и вы используете инструкции для подключения только устройств более высокого уровня, то устройства более низкого уровня не будут подключены. Необязательные поля ключа рабочей области и идентификатора рабочей области используются для подключения устройств нижнего уровня, но если они не включены, политика не будет работать на клиентах нижнего уровня.

В Configuration Manager 2006 или более ранней версии:

  • Если вы редактируете существующую политику, добавляя или редактируя поля «Ключ рабочей области» и «Идентификатор рабочей области», вы также должны предоставить файл конфигурации. Если все три элемента не указаны, политика не будет работать на клиентах нижнего уровня. > — Если вам нужно отредактировать файл подключения, а также заполнить поля «Ключ рабочей области» и «Идентификатор рабочей области», предоставьте их снова вместе с файлом подключения. Если все три элемента не указаны, политика не будет работать на клиентах нижнего уровня.

Подключение устройств с любой поддерживаемой операционной системой к Microsoft Defender for Endpoint (рекомендуется)

Вы можете подключить устройства под управлением любой из поддерживаемых операционных систем к Microsoft Defender for Endpoint, предоставив файл конфигурации, ключ рабочей области и идентификатор рабочей области для Configuration Manager.

Получить файл конфигурации, идентификатор рабочей области и ключ рабочей области

Выберите «Настройки», затем выберите «Включение» под заголовком «Конечные точки».

В качестве операционной системы выберите Windows 10 и 11.

Выберите текущую ветвь Microsoft Endpoint Configuration Manager или более позднюю для метода развертывания.

Нажмите Загрузить пакет.

Загрузите сжатый файл архива (.zip) и извлеките его содержимое.

Выберите «Настройки», затем выберите «Включение» в разделе «Управление устройством».

В качестве операционной системы выберите из списка Windows 7 SP1 и 8.1 или Windows Server 2008 R2 SP1, 2012 R2 и 2016.

  • Ключ и идентификатор рабочей области будут одинаковыми независимо от того, какой из этих вариантов вы выберете.

Скопируйте значения для ключа рабочей области и идентификатора рабочей области из раздела Настройка подключения.

Файл конфигурации Microsoft Defender для конечной точки содержит конфиденциальную информацию, которую следует хранить в безопасности.

Настройка устройств

В консоли Configuration Manager выберите Активы и соответствие > Endpoint Protection > Политики Microsoft Defender ATP.

Выберите Создать политику ATP в Microsoft Defender, чтобы открыть мастер политик.

Введите имя и описание политики Microsoft Defender для конечной точки и выберите Onboarding.

Перейдите к файлу конфигурации, который вы извлекли из загруженного ZIP-файла.

Укажите ключ рабочей области и идентификатор рабочей области, затем нажмите "Далее".

  • Убедитесь, что ключ рабочей области и идентификатор рабочей области указаны в правильных полях. Порядок в консоли может отличаться от порядка в онлайн-службе Microsoft Defender for Endpoint.

Укажите образцы файлов, которые собираются и передаются с управляемых устройств для анализа.

Просмотрите сводку и завершите работу мастера.

Щелкните правой кнопкой мыши созданную политику и выберите Развернуть, чтобы настроить политику Microsoft Defender for Endpoint для клиентов.

  • В Configuration Manager 2006 или более ранней версии:
    • Если вы редактируете существующую политику, добавляя или редактируя поля «Ключ рабочей области» и «Идентификатор рабочей области», вы также должны предоставить файл конфигурации. Если все три элемента не указаны, политика не будет работать на клиентах нижнего уровня. > — Если вам нужно отредактировать файл подключения, а также заполнить поля «Ключ рабочей области» и «Идентификатор рабочей области», предоставьте их снова вместе с файлом подключения. Если все три элемента не указаны, политика не будет работать на клиентах нижнего уровня.

    Встроенные устройства с операционными системами только более высокого уровня для Microsoft Defender for Endpoint

    Клиентам более высокого уровня требуется файл конфигурации подключения для подключения к Microsoft Defender for Endpoint. К операционным системам более высокого уровня относятся:

    • Windows 11
    • Windows 10 версии 1607 и выше
    • Полугодовой канал Windows Server (SAC), версия 1803 и более поздние
    • Windows Server 2019
    • Windows Server 2022

    Если ваша целевая коллекция содержит устройства как более высокого, так и более низкого уровня, или если вы не уверены, воспользуйтесь инструкциями по подключению устройств под управлением любой поддерживаемой операционной системы (рекомендуется).

    Получить файл встроенной конфигурации для устройств более высокого уровня

    1. Перейдите в Центр безопасности Microsoft Defender и войдите в систему.
    2. Выберите "Настройки", затем выберите "Включение" под заголовком "Конечная точка".
    3. В качестве операционной системы выберите Windows 10 и 11.
    4. Выберите текущую ветвь Microsoft Endpoint Configuration Manager или более позднюю в качестве метода развертывания.
    5. Нажмите "Загрузить пакет".
    6. Загрузите сжатый файл архива (.zip) и извлеките его содержимое.

    В этих шагах вы загружаете файл подключения для Windows 10 и 11, но этот файл также используется для серверных операционных систем более высокого уровня.

    • Файл конфигурации Microsoft Defender для конечной точки содержит конфиденциальную информацию, которую следует хранить в безопасности.
    • Если ваша целевая коллекция содержит устройства более низкого уровня и вы используете инструкции для подключения только устройств более высокого уровня, то устройства более низкого уровня не будут подключены. Необязательные поля ключа рабочей области и идентификатора рабочей области используются для подключения устройств нижнего уровня, но если они не включены, политика не будет работать на клиентах нижнего уровня.

    Настройка устройств более высокого уровня

    1. В консоли Configuration Manager выберите Активы и соответствие > Endpoint Protection > Политики ATP в Microsoft Defender и выберите Создать политику ATP в Microsoft Defender. Откроется мастер политики.
    2. Введите имя и описание политики Microsoft Defender для конечной точки и выберите Onboarding.
    3. Перейдите к файлу конфигурации, который вы извлекли из загруженного ZIP-файла.
    4. Укажите образцы файлов, которые собираются и передаются с управляемых устройств для анализа.
      • Нет
      • Все типы файлов
    5. Просмотрите сводку и завершите работу мастера.
    6. Щелкните правой кнопкой мыши созданную политику и выберите Развернуть, чтобы нацелить политику Microsoft Defender for Endpoint на клиентов.

    Монитор

    В консоли Configuration Manager выберите Мониторинг > Безопасность и выберите Microsoft Defender ATP.

    Просмотрите панель мониторинга Microsoft Defender для конечной точки.

    Статус подключения агента Microsoft Defender ATP: количество и процентная доля подходящих управляемых клиентских компьютеров с подключенной активной политикой Microsoft Defender для конечной точки

    Состояние агента ATP в Microsoft Defender: процент компьютеров-клиентов, сообщающих о состоянии своего агента Microsoft Defender for Endpoint

    Здорово - Работает правильно

    Неактивно — данные не отправлялись в службу в течение определенного периода времени

    Состояние агента — системная служба агента в Windows не запущена

    Не включено — политика была применена, но агент не сообщил о встроенной политике

    Создайте файл конфигурации отключения

    Выберите «Настройки», затем выберите «Отключение» под заголовком «Конечная точка».

    Выберите Windows 10 и 11 в качестве операционной системы и текущую ветвь Microsoft Endpoint Configuration Manager или более позднюю версию в качестве метода развертывания.

    • Использование варианта Windows 10 и 11 гарантирует, что все устройства в коллекции отключены, а MMA будет удален при необходимости.

    Загрузите файл сжатого архива (.zip) и извлеките его содержимое. Отключенные файлы действительны в течение 30 дней.

    В консоли Configuration Manager выберите Активы и соответствие > Endpoint Protection > Политики ATP в Microsoft Defender и выберите Создать политику ATP в Microsoft Defender. Откроется мастер политики.

    Введите имя и описание политики Microsoft Defender для конечной точки и выберите Offboarding.

    Перейдите к файлу конфигурации, который вы извлекли из загруженного ZIP-файла.

    Просмотрите сводку и завершите работу мастера.

    Выберите Развернуть, чтобы нацелить политику Microsoft Defender for Endpoint на клиентов.

    Файлы конфигурации Microsoft Defender для конечной точки содержат конфиденциальную информацию, которую следует хранить в безопасности.

    Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

    Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

    Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

    Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.

    Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.

    Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.

    ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

    Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

    Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .

    ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

    Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

    Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

    Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

    Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .

    Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.

    Architectural Glass Products установила устройства слежения на тележки для доставки, чтобы отслеживать свою продукцию и тележки для доставки в .

    В дебатах о создании или покупке появилась новая переменная, и все дело в том, как облачные сервисы связывают внутренние и внешние ресурсы.

    Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной

    Microsoft предлагает невероятно мощное решение для защиты от взлома, которое обеспечивает автоматическое обнаружение конечных точек и реагирование на них: "Защитник Microsoft для конечных точек", ранее известный как "Microsoft Defender ATP" (MDATP) или "Windows Defender ATP" (WDATP).

    Microsoft изменила бренд продукта, чтобы отразить тот факт, что теперь он также доступен для защиты конечных точек с использованием операционных систем (ОС), отличных от Windows, таких как: macOS, Linux, iOS и Android. Однако эта статья посвящена продукту исключительно с точки зрения Microsoft и Windows 10.

    Поскольку многие люди за пределами сообщества Microsoft по-прежнему называют это решение Microsoft Defender ATP (расшифровывается как Advanced Threat Protection), мы пока сохраним эту терминологию в статье.

    Что он делает?

    Короче говоря, Microsoft Defender ATP автоматически обнаруживает и устраняет сложные атаки на ваши конечные точки. Он исследует масштабы и потенциальное влияние каждой угрозы, предоставляя отчеты о различных угрозах для компьютеров вашей организации, что позволяет вам быстро и легко смягчить и устранить угрозы с помощью передовых инструментов и автоматизации.

    Мы должны подчеркнуть, что Microsoft Defender ATP не является антивирусным (AV) продуктом. Microsoft Defender — не путать с Microsoft Defender ATP — обеспечивает защиту от вредоносных программ и вирусов для ОС Windows 10, в то время как продукт ATP представляет собой решение после взлома, которое дополняет Microsoft Defender AV.

    Что такое решение после взлома?

    Решения для защиты от взлома разработаны, чтобы помочь вам после того, как ваша система безопасности была взломана. Почему это важно? Это важно, потому что передовой практикой считается «сеть с нулевым доверием» — современная модель кибербезопасности, которая работает на предположении, что нарушение может и произойдет в какой-то момент времени. Учитывая, что ни одно решение безопасности в мире не является непробиваемым, модель нулевого доверия является наиболее логичным и подходящим подходом.

    Microsoft Defender ATP гарантирует, что при возникновении нарушения его можно будет быстро изолировать и устранить до того, как оно причинит какой-либо ущерб или проявит себя в вашей сети. Он также выявляет уязвимости в вашей организации, такие как неисправленное программное обеспечение, и предлагает варианты исправления для устранения этой проблемы. Таким образом, Microsoft Defender ATP является «превентивным» и предлагает вашей организации еще один уровень защиты.

    Как это работает?

    Microsoft Defender ATM работает без агентов и не требует развертывания или инфраструктуры, поскольку размещается в облаке. Технология использует «поведенческие датчики конечной точки», которые находятся в операционной системе каждого устройства. Эти датчики в Windows постоянно собирают данные и передают их обратно в собственный облачный экземпляр Microsoft Defender вашей организации. Затем Microsoft Defender ATP анализирует поведение кода, работающего на компьютерах вашей организации, и определяет, не выглядит ли это угрозой.

    Как он узнает, как выглядит угроза?

    По сути, Microsoft собирает невероятное количество данных телеметрии от клиентов по всему миру — более 8 триллионов сигналов ежедневно. Эта телеметрия состоит из сигналов от разных служб Microsoft, таких как Microsoft Defender ATP, Office 365 ATP, и данных от групп Microsoft по кибербезопасности, глобальных правоохранительных органов и т. д. Microsoft называет этот пул данных «Microsoft Intelligent Security Graph». Microsoft использует машинное обучение мирового уровня, искусственный интеллект и аналитику больших данных для этой телеметрии. Этот объем данных позволяет Microsoft определить, какие модели поведения в коде считаются «нормальными», а какие модели поведения могут указывать на некоторые вредоносные действия, такие как вредоносное ПО или другой тип атаки. Данные Intelligent Security Graph обеспечивают защиту от угроз в режиме реального времени в продуктах и ​​службах Microsoft, включая Microsoft Defender ATP.

    Чтобы дать вам представление о том, какой объем данных поступает в Intelligent Security Graph, на следующих рисунках показано, насколько глубоко корпорация Майкрософт осведомлена о глобальных действиях и угрозах:

    • Проанализировано 400 000 000 000 электронных писем
    • Обновлено более 100 000 000 устройств Windows.
    • Проанализировано 700 000 000 учетных записей пользователей Azure
    • 450 000 000 000 анализов аутентификаций в месяц

    Когда организации сталкиваются с угрозами, эта информация передается обратно в облако Microsoft, которое изучает, какие из этих моделей поведения указывают на угрозу. Если в экземпляре Microsoft Defender ATP вашей организации обнаружена угроза, он просканирует устройства вашей организации на наличие угрозы и сообщит вам:

    • Как возникла угроза
    • Что это за угроза
    • Что может сделать угроза

    Затем вы можете предпринять действия по устранению угрозы и устранению проблемы, а также в некоторых случаях автоматическое исправление, выполняемое Microsoft Defender ATP.

    Функциональность и возможности

    Несмотря на то, что ключевые функции Microsoft Defender тесно интегрированы и переплетены между его различными возможностями и другими продуктами Microsoft для защиты от угроз, возможности Microsoft Defender ATP можно в общих чертах свести к следующим категориям:

    Управление угрозами и уязвимостями

    MDATP выполняет инвентаризацию программного обеспечения на конечных точках в режиме реального времени. Таким образом, он имеет представление обо всем программном обеспечении на машине и информацию об изменениях, таких как исправления, установки и удаления.Если в приложениях, работающих на ваших компьютерах, существуют известные уязвимости в системе безопасности или отсутствуют исправления, Microsoft Defender ATP обнаружит их, установит для них приоритет и позволит вам исправить их с помощью рекомендаций по безопасности. Интеграция Microsoft Defender ATP с Intune и System Center Configuration Manager (SCCM) обеспечивает встроенный процесс исправления.

    Уменьшение поверхности атаки

    Установив определенные элементы управления с помощью MDATP, вы можете свести к минимуму области, в которых киберугрозы и атаки могут атаковать вашу защиту. Например, приложения должны быть помечены как доверенные, чтобы они могли работать, а не быть доверенными по умолчанию, как это могло быть в прошлом. Аппаратная изоляция также уменьшает поверхность атаки, изолируя ненадежные веб-сайты и PDF-файлы в облегченных контейнерах, чтобы отделить их от Windows 10, защищая компьютер и данные компании от злоумышленника.

    Обнаружение конечных точек и ответ (EDR)

    Ключевой функциональностью Microsoft Defender ATP после взлома являются возможности обнаружения и реагирования конечных точек (EDR). MDATP обнаруживает атаки практически в режиме реального времени, предоставляя ИТ-аналитикам и аналитикам безопасности действенные предупреждения. «Оповещения», имеющие общие характеристики (например, «один и тот же файл», «один и тот же URL-адрес», «приблизительное время» или «характеристики файла» и т. д.), автоматически группируются в «Инциденты». Такое объединение упрощает группе реагирования расследование и реагирование на угрозы в масштабах всей организации.

    Панель управления операциями безопасности Microsoft Defender ATP позволяет централизованно просматривать данные вашей организации различными способами. Например, вы можете просматривать такие сведения, как компьютеры, находящиеся под угрозой, пользователи, подвергающиеся риску, подозрительные действия, активные оповещения, автоматические расследования и т. д., на панели мониторинга высокого уровня, где отображаются данные вашей компании.

    Оповещения

    Поскольку угрозы возникают на ваших конечных точках, например. вредоносный исполняемый файл, вы почти мгновенно получите оповещения на панели управления Microsoft Defender ATP.

    Предупреждение будет отображаться на панели управления с прикрепленными к нему различными метаданными, такими как: заголовок, имя затронутой машины, имя пользователя, оценка серьезности, время нахождения в очереди и т. д.

    Расследование

    Затем вы можете продолжить расследование угрозы. Microsoft Defender ATP предоставляет описание угрозы, объясняя, что произошло, например. «Обнаружено подозрительное поведение приложения Microsoft Word. Такое поведение может указывать на то, что документ Word использовался для доставки вредоносного ПО или инициирования других вредоносных действий на компьютере».

    Вы также увидите список рекомендуемых действий, которые помогут вам справиться с подозрительным поведением. Хотя это полезно для устранения угрозы, вы, вероятно, также захотите узнать, как и почему возникла эта угроза.

    Одной из лучших функций Microsoft Defender ATP является хронология событий. В предупреждении вы можете открыть временную шкалу, которая принимает форму древовидной структуры процессов, показывающую полную временную шкалу того, как угроза достигла конечной точки, и действий, в которых она была задействована с момента появления на устройстве.

    Исправление

    Microsoft Defender ATP позволяет быстро реагировать на атаки, выполняя ответные действия на компьютерах и файлах. Затем вы можете выбрать, какие действия вы хотите выполнить с предупреждением, пока вы предпринимаете действия по устранению проблемы. Это могут быть такие действия, как запуск антивирусного сканирования, ограничение выполнения приложений или изоляция компьютера от сети при сохранении подключения к службе Microsoft Defender ATP.

    Вы также получаете полное представление о том, как инфекция распространяется в вашей сети. Microsoft Defender ATP предоставляет вам список всех компьютеров, которые были заражены с момента первоначального появления угрозы. Это позволит вам затем провести исправление и исследование на этих машинах.

    Что касается файлов. Microsoft Defender ATP позволяет быстро взять файл и поместить его в карантин, а также получить информацию о том, на скольких компьютерах в вашей организации находится файл, о распространенности файла в мире, количестве имен файлов и количестве экземпляров файла. .

    Эта информация чрезвычайно ценна и позволяет организациям очень быстро устранять угрозы.

    Автоматическое расследование и исправление

    Из-за высокой распространенности онлайн-угроз и множества конечных точек в вашей организации служба Microsoft Defender ATP может генерировать значительное количество предупреждений, что может оказаться сложной задачей для ИТ-специалистов. Поэтому в Microsoft Defender ATP включена автоматизированная служба для изучения предупреждений и устранения нарушений безопасности путем немедленного исправления. Это уменьшает объем предупреждений, позволяя администраторам безопасности сосредоточиться на самых насущных проблемах. Кроме того, вы можете работать с Центром управления безопасностью, который может сортировать входящие оповещения и выделять важные приоритеты, требующие немедленных действий.

    Расширенный поиск

    Благодаря расширенному поиску Microsoft Defender ATP вы можете использовать мощные возможности поиска и запросов для поиска угроз в вашей организации. Ваши настраиваемые правила обнаружения используются для создания предупреждений, которые отображаются на централизованной панели мониторинга Центра безопасности Microsoft Defender.

    Интеграции

    Microsoft Defender ATP тесно интегрируется с другими продуктами Microsoft для защиты от угроз, предоставляя комплексное решение для обеспечения безопасности. Интеграция включает:

    • Расширенная защита от угроз Azure (Azure ATP)
    • Центр безопасности Azure
    • Информационная защита Azure
    • Условный доступ
    • Безопасность облачных приложений Microsoft
    • Расширенная защита от угроз Office 365 (Office 365 ATP)
    • Intune

    Лицензионные требования

    Чтобы использовать Microsoft Defender ATP, вам ранее требовалось:

    • Windows 10 E5
    • Дополнение Microsoft 365 E5 Security (для которого требуется Microsoft 365 E3)
    • Microsoft 365 E5 (включая Windows 10 E5)

    Однако теперь это изменилось — со 2 марта 2020 г. Microsoft удалила предварительное требование лицензии Windows из MD ATP, что позволяет приобретать MD ATP как отдельное решение для всех поддерживаемых устройств. Свяжитесь с нами, чтобы обсудить лицензирование MD ATP для вашей организации.

    Обратите внимание: MDATP по-прежнему включен в перечисленные выше предложения, и эти предложения остались без изменений.

    Безопасность Microsoft 365

    Microsoft 365 предоставляет вам доступ к широкому спектру инструментов и функций безопасности для защиты вашей организации, однако многие из расширенных инструментов можно найти только в Microsoft 365 E5. Для тех, кто использует Microsoft 365 E3 и хочет получить инструменты безопасности E5, повышение стоимости до E5 может оказаться слишком большим. Более того, большая часть дополнительных расходов приходится на продукты, которые могут не понадобиться, например Power BI Pro или телефония и голосовая связь.

    Поэтому корпорация Майкрософт выпустила новую надстройку безопасности, которую можно использовать с Microsoft 365 E3, предоставляя вам доступ ко всем передовым продуктам безопасности, которые можно найти в Microsoft 365 E5, без необходимости платить за полную версию. лицензия Е5. Это дополнение, известное как «Microsoft 365 E5 Security Add-on», — это то, что мы обычно рекомендуем нашим клиентам, поскольку оно уравновешивает стоимость с превосходными уровнями безопасности, которые могут быть достигнуты с помощью приложений для защиты от угроз. Дополнительную информацию можно найти в нашем Руководстве по Microsoft 365 Enterprise.

    Обзор и дальнейшие действия

    Здесь мы лишь немного коснулись возможностей Microsoft Defender ATP. Подводя итог, можно сказать, что Microsoft Defender ATP — это невероятное решение для защиты от взлома, которое в сочетании с другими решениями Майкрософт для защиты от угроз обеспечивает невероятно ценную последнюю линию передовой защиты для вашей организации.

    Мы рекомендуем загрузить наше Руководство по Microsoft 365 Enterprise, чтобы получить исчерпывающий обзор преимуществ, функций безопасности и лицензирования Microsoft 365, включая подробные сведения о Microsoft Defender ATP.

    Если вам интересно узнать больше о Microsoft Defender ATP или наших управляемых службах безопасности, свяжитесь с Chorus сегодня.

    Читайте также: