Microsoft Defender ATP nutzt die Cloud für zusätzlichen Schutz

Es ist eine Vollzeitbeschäftigung, einen Windows-Shop vor Sicherheitsverletzungen zu schützen.

Tatsächlich verwenden viele Organisationen einfach eine “Vermutungsverletzung” -Mentalität in Bezug auf ihre aktuelle Verteidigungshaltung, was bedeutet, dass sie ihre Umgebung ständig überwachen und auf Schwachstellen prüfen. Es gibt viele Produkte, die den Host vor böswilligen Angreifern schützen sollen. Microsoft Defender Advanced Threat Protection (ATP) ist die umfassende Bedrohungsschutzplattform des Technologiegiganten.

Microsoft Defender ATP überwacht Endpunkte auf speicherinterne und kernelbasierte Angriffe. Außerdem wird nach potenziellen Systemproblemen gesucht, z. B. nach anfälligen Treibern. Diese Funktionen ergänzen die allgemeineren Techniken zum Scannen von Sicherheitslücken und zur Erkennung von Malware, um Netzwerkausnutzungen, Keylogging-Versuche und böswillige Skripte zu finden. Microsoft Defender ATP ist die eingebettete Schnittstelle, die eine Verbindung zum Cloud-basierten Microsoft Defender Security Center herstellt.

Das Microsoft Defender Security Center-Portal bietet Administratoren die sprichwörtliche Glasscheibe für die Verwaltung und Kontrolle im gesamten Unternehmen für viele Windows-Sicherheitsfunktionen, einschließlich Windows-Firewall, Antivirus und Leistungsmonitore. Von Microsoft Defender ATP gemeldete Warnungen können anhand bestimmter Kriterien manuell oder automatisch bearbeitet werden. Um sich eingehender mit bestimmten Vorfällen zu befassen, kann ein Analyst von einem Kunden oder einer Vielzahl von Systemen auf eine Zeitleiste mit realen und historischen Daten zugreifen.

Microsoft investiert weiterhin stark in dieses Endpoint-Sicherheitsschutzprodukt, um über das Windows-Betriebssystem hinaus zu expandieren. Microsoft Defender ATP hieß früher Windows Defender ATP, wurde jedoch jetzt umbenannt, da es Nicht-Microsoft-Betriebssysteme wie Linux und macOS unterstützt.

Mit Microsoft Defender ATP vertiefen

Ein wichtiges Merkmal von Microsoft Defender ATP ist die Forensikfunktionalität nach einem Verstoß, mit der die ordnungsgemäße Korrektur auf Endpunkten ermittelt werden kann.
Microsoft Defender ATP nutzt die erweiterten Analysefunktionen, die dank der Technologie für maschinelles Lernen im Microsoft Intelligent Security Graph verfügbar sind. Dabei handelt es sich um eine allgemeine Sicherheitsstruktur, die Daten von Endpunkten weltweit sammelt und analysiert wird, um die Lebensfähigkeit einer neu auftretenden Bedrohung zu bestimmen.
Sicherheitsteams sind in der Lage, einen Drilldown durchzuführen und ein hohes Maß an Detailgenauigkeit zu erhalten, um den vollen Umfang eines Verstoßes durch Angriffe auf Endpunkte zu verstehen. Sie können Verhaltensanalysen verwenden, um den Angriffsfortschritt in Ihrer Umgebung zu verfolgen und Anleitungen zur Reaktion bereitzustellen. Unten finden Sie ein Beispiel für eine Zeitleiste eines Angriffs auf einen bestimmten Computer, der von Microsoft Defender ATP generiert wurde.

Microsoft Defender ATP-Warnungen
Sicherheitsteams können detaillierte Informationen zu verdächtigen Aktivitäten für einen bestimmten Computer abrufen, nachdem Microsoft Defender ATP ungewöhnliche Aktivitäten erkannt hat.

Verwendung der Microsoft Defender ATP-Automatisierungsstufen

In einigen Unternehmen verwaltet Microsoft Defender ATP möglicherweise mehrere hundert oder tausend Computer, was zu einer Vielzahl von Warnungen führt. Um dieses Aktivitätsniveau zu bewältigen, verfügt der ATP-Dienst über eine automatisierte Untersuchungsfunktion, die Inspektionsalgorithmen und Playbooks verwendet, um Vorfälle zu untersuchen und zu beheben. Jeder Vorfall wird in einer automatisierten Untersuchungsliste mit Details wie dem aktuellen Status und der Erkennungsquelle angezeigt.
Microsoft Defender ATP wird mit Automatisierungsstufen einschließlich geliefert Nicht geschützt, Halb und Voll. Die Standardaktion ist die halbautomatische Korrektur, für die eine Genehmigung des Benutzers erforderlich ist, bevor eine Aktion ausgeführt wird, wenn der ATP-Dienst dies erkennt böswillige Aktivitäten. Eine vollständige Aufschlüsselung der einzelnen Automatisierungsstufen finden Sie in der folgenden Tabelle.

Automatisierungsstufe Beschreibung
Nicht geschützt
  • Keine automatisierten Untersuchungen an einer Maschine.
Halb – jede Sanierung
  • Dies ist die Standardautomatisierungsstufe.
  • ATP erfordert die Genehmigung für jede Sanierungsmaßnahme.
Semi – Nicht-temporäre Ordnerkorrektur
  • ATP erfordert die Genehmigung von Dateien oder ausführbaren Dateien außerhalb temporärer Ordner.
  • Dateien oder ausführbare Dateien in temporären Ordnern, z. B. im Download-Ordner des Benutzers oder im temporären Ordner des Benutzers, werden bei Bedarf automatisch korrigiert.
Korrektur von Semi-Core-Ordnern
  • ATP erfordert die Genehmigung von Dateien oder ausführbaren Dateien in den Betriebssystemverzeichnissen wie dem Windows-Ordner und dem Ordner “Programme”.
  • ATP korrigiert bei Bedarf Dateien oder ausführbare Dateien in allen anderen Ordnern.
Voll
  • ATP führt alle Korrekturmaßnahmen automatisch durch.

Nachdem Sie das Ausmaß des Schadens ermittelt haben, können zusätzliche Schritte unternommen werden, um das Netzwerk vor weiteren Angriffen zu schützen, z. B. das Blockieren der schädlichen URL mit der Windows-Firewall und das Sichern der Verteidigung durch Aktualisieren auf die neuesten Definitionsdateien, Deaktivieren von Makros und Aktivieren kritischer Sicherungen Daten.
Microsoft Defender ATP lässt sich auch in die Office 365-Plattform integrieren, um vor Bedrohungen zu schützen, die per E-Mail auftreten.

Integration mit Exploit Guard

Microsoft Defender funktioniert auch mit Windows Defender Exploit Guard, ein optionales Add-On zu ATP. Exploit Guard bietet mehr Tools, um Exploits zur Laufzeit zu verringern, indem Unternehmen mehr Kontrolle darüber erhalten, wie Code auf ihren Computern ausgeführt wird. Es ähnelt der Technologie, die es ersetzt hat, Microsoft EMET, indem Intrusion Prevention verwendet wird, um Angriffe zu stoppen.
Exploit Guard verbindet sich mit anderen Technologien im Microsoft-Ökosystem, z. B. Windows Defender SmartScreen. Es blockiert böswillige Websites dynamisch basierend auf den Filtern in SmartScreen und bietet eine zusätzliche Verteidigungsebene, die besonders für Unternehmen nützlich ist, die auf Remote-Mitarbeiter angewiesen sind.

Microsoft Defender ATP in Aktion

Ein Beispiel für die Funktionen und die Vielseitigkeit von Microsoft Defender ATP ist die Integration von Sicherheitsintegration und Ereignisverwaltung (SIEM) zur Erkennung bestimmter Angriffe, z WannaCry Ransomware, die Dateien auf anfälligen Windows-Computern verschlüsselt.
Sigma ist ein Open Source-Projekt, das ein generisches Signaturformat für SIEM-Systeme erstellt. Microsoft Defender ATP unterstützt diese Suchmaschinensprache mit mehreren Tools. Benutzer, die Microsoft Defender ATP abonnieren, können testen, wie Sigma-Dateien importiert werden, indem sie die Datei WannaCry.yml von der GitHub-Site des Projekts unter herunterladen dieser Link.
Als nächstes konvertieren Sie die yml-Datei mit dem Python-basierten Sigmac-Tool unter in eine Sigma-Regel seine GitHub-Site.

python sigmac — target mdatp .win_mal_wannacry.yml

Die Microsoft Defender-Oberfläche bietet eine Möglichkeit, diese konvertierten Dateien zu kopieren, einzufügen und als Abfrage mit einem beschreibenden Namen zu speichern, z Ich könnte heulen.

Microsoft Defender ATP-Abfrage
Der Abschnitt für die erweiterte Jagd in Microsoft Defender ATP bietet eine Möglichkeit, eine eingehende Suche mithilfe von Abfragen für bestimmte Angriffe wie WannaCry durchzuführen.

Von Microsoft Defender gespeicherte Abfragen kann in Erkennungsregeln umgewandelt werden. Diese Regeln werden automatisch alle 24 Stunden ausgeführt.
Wenn Microsoft Defender ATP WannaCry in der Umgebung erkennt, kann es mithilfe der Microsoft Defender ATP-Suche feststellen, ob die Bedrohung andere Computer im Netzwerk betroffen hat. Die Suchfunktion arbeitet mit einem Datei-Hash, einem Dateinamen, einer schädlichen URL oder IP-Adressen.

Similar Posts

Leave a Reply