Microsoft Defender Advanced Threat Protection

---

Microsoft Defender ATP to kompleksowe narzędzie do zapobiegania, ochrony, wykrywania i automatycznej odpowiedzi na zagrożenia pojawiające się na punktach końcowych. Jest to podstawowa część usługi Microsoft Threat Protecion. Zaawansowana ochrona przed zagrożeniami w postaci usługi Windows Defender oferuje 6 podstawowych funkcjonalności.

Pierwsza z nich to moduł zarządzania zagrożeniami i podatnościami. System dokonuje inwentaryzacji oprogramowania w czasie rzeczywistym. Dashboard tego modułu pozwala na ocenę poziomu zabezpieczeń dając podpowiedzi na temat podatności aplikacji i konieczności ich aktualizacji.

Kolejny moduł to, bezpośrednio tłumacząc, redukcja powierzchni ataku. Funkcjonalność ta pozwala zredukować ilość punktów potencjalnych źródeł ataku. Dla przykładu, kontrola aplikacji pozwala na uruchamianie tylko zaufanych aplikacji. Możliwe jest także np. zablokowanie dostępu do niezaufanych stron. Dwa pierwsze moduły Defender ATP pozwalają zabezpieczyć się przed potencjalnymi zagrożeniami które mógłby mieć znaczący wpływ na działanie organizacji

Kolejno dalej mamy antywirusa nowej generacji (NGAV) – narzędzie do wykrywania i blokowania ataków łączące technologie Machine Learning, analizy BIG DATA, dogłębnego badania zagrożeń i chmury Microsoft. Wykorzystuje monitorowania zachowania, heurystykę w celu zapewnienia ochrony przed zagrożeniami w czasie rzeczywistym. Ochrona uwzględnia złośliwe oprogramowanie w postaci plikowej jak i bezplikowej.

Endpoin Detection and Response (EDR) – pozwala na wykrywanie zagrożeń, które pozostają w ukryciu. Jest to narzędzie do przeprowadzania tzw. threat huntingu, pozwalając zespołom ds. bezpieczeństwa na wyszukiwanie, analizę oraz reagowanie na znalezione zagrożenia. Jest to moduł analityczny, którego dane mogą być zapisane z okresu 6 miesiecy zaś wyszukiwanie oparte jest o pisanie komend w jeżyku zapytań. Co ciekawe, wbudowany sandbox pozwala przesłać znalezione zagrożenia do dogłębnej analizy.

Kolejna funkcjonalność pozwala na przeprowadzanie automatycznej odpowiedzi. Sztuczna inteligencja wbudowana w Defendera ATP pomaga w sposób automatyczny na wykonywanie akcji naprawczych dotyczących zagrożeń. Działając w sposób automatyczny pozwala zespołom ds. bezpieczeństwa skupić się na tych bardziej wyrafinowanych zagrożeniach.

Ostatni moduł – Microsoft Threat Expert – moduł który składa się z dwóch składników. Pierwszy z nich dostarcza informacji o przeprowadzanych atakach kierunkowych. Drugi zaś z nich to dostępna pomoc ekspertów Microsoft na żądanie.

Wszystko to jest obsługiwane z centralnej konsoli oraz centralnie administrowane.

Microsoft Defender ATP to narzędzie bazujące na mechanizmach umieszczonych w chmurze. To zdjęcie doskonale pokazuje poszczególne etapy analizowania złośliwego oprogramowania poprzez dedykowane narzędzia. Klient lokalny na komputerach stanowi punkt wejścia i jest w stanie ochronić nas przed prostszymi zagrożeniami. Każde bardziej wyrafinowane zagrożenie wymaga wykorzystania modelu Machine Learning, który dostarczany jest z chmury.