Microsoft Defender Advanced Threat Protection

Microsoft Defender Advanced Threat Protection

A Microsoft Defender Advanced Threat Protection (MDATP) a fenyegetések észlelésére és megelőzésére lett tervezve, azonban incidens bekövetkezte esetén alkalmas a reagálásra és a annak vizsgálatára (Incident Response).

A platform alkalmas MacOS és Linux rendszerek védelmére is a Microsoft operációs rendszerei mellett. A Windows 10 beépített szenzorokkal rendelkezik, melyek adatokat gyűjtenek és küldenek az ügyfél MDATP platformjának. Windows 7 SP1 és Windows 8.1 esetében agent segítségével történik az adatküldés.

A rendszer menedzselésétől függően az adatok küldése beállítható Group Policy, System Center Configuration Manager (SCCM), Mobile Device Management (például Intune), avagy a végponton futtatott script segítségével. Az adott végpont egy felhő alapú portálon keresztül (security.microsoft.com) monitorozható amennyiben az eszközt integrálták a környezetbe.

Az MDATP által nyújtott lehetőségek az alábbiak:

  • Fenyegetések és sérülékenységek menedzsmentje (Threat & Vulnerability Management)
  • Az organizáció támadási felületeinek minimalizálása (Attack surface reduction)
  • Újgenerációs védelem (Next generation protection)
  • Végponti detekció és védelem (Endpoint detection and response)
  • Automatizált vizsgálat és helyreállítás (Automated investigation and remediation)
  • Secure score
  • Microsoft Threat Experts

Fenyegetések és sérülékenységek menedzsmentje (Threat & Vulnerability Management)

 

Az MDATP folyamatosan szkenneli az eszközökön lévő szoftvereket és a hozzájuk tartozó javításokat. Amennyiben sérülékenység vagy hiányzó javítás található az eszközön, az MDATP Threat and Vulnerability Management segítségével riasztás generálható, valamint a felület használható ezen fenyegetések orvoslására is. Ez remediation task létrehozásával történik.

A rendszer előnye, hogy a remediation task folyamata valós időben követhető, továbbá a különböző munkacsoportok (IT biztonság, rendszergazdák) ugyan azt a konzolt használják, megkönnyítve ezzel az együttműködést.

Az organizáció támadási felületeinek minimalizálása (Attack surface reduction)

 

Az Attack surface reduction (ASR) audit módba kapcsolható az eszközökön generált események megtekintéséhez és a lehetséges támadási vektorok kiszűréséhez. Az ASR használatával a hardening elősegíthető, például beállítható, hogy csak legitim makrók futhassanak le egy Excel táblázaton belül. Az ASR szabályok olyan viselkedési mintákat céloznak, amelyekkel a malware-ek megpróbálják megfertőzni az eszközöket.

Ilyen viselkedési minták például:

  • Futtatható fájlok és scriptek az Office által használt alkalmazásokban
  • Obfuszkált. vagy gyanús script

Az ASR az alábbi eszközök esetében alkalmazható: Windows 10 1709, 1803 vagy újabb, Windows Server 2016 1803 vagy újabb, Windows Server 2019.

A teljes ASR szabálykészlet használatához Windows 10 Enterprise licensz szükséges. Windows E5 licensz vásárlásával további, az MDATP-ben található monitorozó, elemző eszközök is használhatóak.

Újgenerációs védelem (Next generation protection)

 

A Next generation protection (NGP) modul a Windows Defender Antivirus felhő alapú víruskereső eszközt takarja. Ez konfigurációtól függően viselkedésalapú, heurisztikus és machine learning alapú védelem ellátására is képes.

Végponti detekció és védelem (Endpoint detection and response)

 

Az MDATP Endpoint detection and response (EDR) komponense segít az ügyfeleknek a kapott riasztások értelmezésében. Egy támadás esetén sok valós idejű riasztás érkezik, melyek áttekintése megterhelő lehet. Az MDATP képes az eseményeket csoportosítani, így az elemző könnyen átlátja az eseményeket és gyorsabban tud reagálni rájuk.

Az MDATP-ben található eszközök segítségével az automatikus reagálás mellett lehetőség nyílik az események manuális kezelésére is a konzolon keresztül az “Initiate a live response session” opció kiválasztásával

Automatizált vizsgálat és helyreállítás (Automated investigation and remediation)

 

Az MDATP algoritmusok segítségével utánozza a playbook alapján eljáró elemző által alkalmazott folyamatokat a riasztások elemzésére és az automatikus reakcióra. Ennek köszönhetően csökken az elemző által vizsgálandó riasztások száma, és az elemző fókuszálhat a komplexebb feladatok megoldására.

Az MDATP az alábbi operációs rendszereket támogatja az automatizált vizsgálat kapcsán:

Windows Server 2019
Windows 10, version 1709, 1803 vagy újabb

Secure Score

 

A Secure Score egy olyan dashboard, amely magas szintű áttekintést nyújt a szervezet biztonsági állapotáról. Minél magasabb ez az érték, annál több teendő van az adott területen. A pontozás az ajánlott biztonsági beállítások használata, biztonsággal kapcsolatos feladatok elvégzése (például reportok átnézése) alapján kerül megállapításra.

A Microsoft Security Score elérése jogosultsághoz kötött, megkülönböztet read and write és read-only jogosultságú role-okat.

A read and write jogosultsággal az alábbi jogosultságú felhasználók rendelkeznek:

  • Global administrator
  • Security administrator
  • Exchange administrator
  • SharePoint administrator

 

Read-only jogosultságú role-ok:

  • Helpdesk administrator
  • User administrator
  • Service administrator
  • Security reader
  • Security operator
  • Global reader

Microsoft Threat Expert

A Microsoft Threat Experts egy igénybevehető szolgáltatás, melynek célja a szervezet munkájának segítése, a Microsoft szakemberei segítségével.

Két részre bontható ez a szolgáltatás:

  • Célzott támadások előrejelzése (Targeted attack notification)
  • Szaktanácsadás igény szerint (Experts on demand)

A „targeted attack notification” egy proaktív hunting szolgáltatás, mely az adott szervezethez köthető fenyegetésekről küld riasztást az MDATP konzolra. A szolgáltatás tartalmazza a fenyegetések monitorozását és elemzését, mesterséges intelligencia alapú támadásdetektálást -és priorizálást, kockázatok azonosítását.

Az „Experts on demand” opció igénybevételével felvehető a kapcsolat a Microsoft biztosági szakértői csapatával, adott riasztásokkal kapcsolatos kérdések megválaszolására, új fenyegetésekkel kapcsolatos védelmi megoldások kidolgozására.

Top