Windows Defender erweiterte Bedrohungsschutz in Windows 10

Windows Defender Advanced Threat Protection (ATP) ist ein Sicherheitsdienst, mit dem Unternehmenskunden fortgeschrittene Bedrohungen in ihren Netzwerken erkennen, untersucht und reagieren können. Dieses Kapitel enthält Informationen zum Dienst, zum Konfigurieren und Verwalten und Verwenden von Operationen. Diese Einführung erläutert die Voraussetzungen, diesen Dienst zu ermöglichen und einen Überblick über die Schlüsselkomponenten zu geben. Das Kapitel wird in die folgenden logischen Abschnitte unterteilt, um relevante Informationen bereitzustellen:

• Plan: Verstehen Sie die Anforderungen und planen Sie die Änderungen, die für die Bereitstellung und Übernahme dieser Lösung in Ihrer Umgebung erforderlich sind
• Bereitstellung: Konfigurationsdetails, um das ATP -Portal in den Endpunkten in Bord zu aktivieren und die korrekte Netzwerkkonnektivität zu gewährleisten
• Erkennung: Erkennungs- und Untersuchungsschritte, die sicherstellen, dass Sie schnell den Umfang und die Ziele fortgeschrittener Angriffe identifizieren und forensische Beweise erhalten
• Schutz: Nach dem Ausbruch können Sie einen Angriff aktiv gestoppt und weitere Ausbreitung verhindern

Wir werden die folgenden Themen behandeln:

• Eine Einführung in das Windows Defender Security Center und den erweiterten Bedrohungsschutz (ATP)
• So aktivieren Sie den ATP -Dienst und konfigurieren Sie Ihre Endpunkte
• Was tun, wenn verdächtige Aktivitäten gefunden werden, und verhindern Sie, dass sich die Ausbreitung weiter über das Unternehmen ausbreitet?

Voraussetzungen

Windows Defender ATP benötigt eine der folgenden Microsoft Volumen -Lizenzlösungen:

• Windows 10 Enterprise E5
• Windows 10 Education E5
• Sichere produktive Enterprise E5, einschließlich Windows 10 Enterprise E5

Wenn Sie zum ersten Mal den Onboarding-Assistenten ausführen, müssen Sie auswählen, wo Ihre Windows Defender ATP-bezogenen Informationen gespeichert sind: entweder in einem europäischen oder in den USA befindlichen Rechenzentrum. Sie können Ihren Datenspeicherort nach dem ersten Setup nicht ändern.
Windows Defender ATP läuft auf Version 1706 und vorangegangene Windows -Editionen:

• Windows 10 Enterprise
• Windows 10 Bildung
• Windows 10 Pro
• Windows 10 Pro Education

Jeder Endpunkt muss über eine Internetverbindung verfügen, die täglich bis zu 5 MB Bandbreite verwenden kann, um mit dem Windows Defender ATP Cloud -Service zu kommunizieren und Cyber ​​-Daten zu melden.
Das Windows Defender Signature-Update (oder ein alternativer und kompatibler Anti-Malware-Dienst) muss konfiguriert werden, und der ELAM-Treiber (Windows Defender Early Start Antimalware) muss aktiviert sein.
Um den Dienst zu verwalten, müssen die Administratoren eine der folgenden Rollen in Azure Active Directory (Azure AD) erhalten:

• Sicherheitsadministrator: Dies bietet vollständigen Zugriff auf Anmeldung, Anzeigen aller Informationen und behebt Warnungen. Diese Rolle kann Dateien für die tiefe Analyse einreichen und das Onboarding -Paket herunterladen.
• Sicherheitsleser: Dies gibt das Recht, alle Informationen anzumelden und anzeigen, kann jedoch den Alarmstatus nicht ändern, Dateien für die tiefe Analyse einreichen oder auf die Onboarding -Pakete zugreifen.

Windows Defender

Windows Defender ist eine Antiviren-Software, die in das Windows-Betriebssystem integriert ist und Ihre Systeme vor Viren, Malware, Spyware und Netzwerkbedrohungen schützt. Es ist ein Windows -Dienst, der mit anderen Microsoft -Sicherheits- und Wartungsdiensten wie Windows Firewall und Microsoft Smartscreen funktioniert. Alle diese Dienste sind standardmäßig aktiviert und beginnen beim System -Start. Windows Update kümmert sich um die Aktualisierung selbst automatisch, wenn sie dazu konfiguriert wird. Das Aktualisieren von Windows Defender erfordert keinen Neustart des Systems.

• Einige wichtige Funktionen von Windows Defender in Windows 10 enthalten Folgendes:
• Microsoft Active Protection Service (MAPS): Hier
• Netzwerkinspektionssystem: Dies hilft, sich vor Intrusionsversuchen zu bewahren, die auf bekannte und neu entdeckte Schwachstellen in Netzwerkprotokollen abzielen
• Verhaltensüberwachung: Dies wird verwendet, um Aktivitäten zu scannen, nicht nur bekannte Virussignaturen
• Cloud -basierter Schutz mit maschinellem Lernen: Dies wird verwendet, um die potenzielle Malware in einer Detonationskammer auszuführen, um festzustellen, ob sie böswillig ist
• Anpassung: Dies kann Dateien, Verzeichnisse oder Prozesse ausschließen (nützlich für die Computer und Server des Entwicklers)
• Mehrere Scanoptionen: Dazu gehören On-Access, Schnell, geplant, ONDEMAND und VOLLSTÄNDIGER SCAN
• BIDirektionales aktives Scannen: Dies wird für Aktivitäten mit hoher Volumen verwendet, z. B. auf Servern
• Potenziell unerwünschte Anwendung (PUA): Dies ist eine Möglichkeit, Anwendungen und Dienste zu suchen und zu blockieren, die aufgrund von Fehlkonfiguration, Software schlechter Qualität und Risiko einer Leistung und/oder Sicherheitsprobleme ausgesetzt sein sollten

Windows Defender ATP kann mit Drittanbieter-Sicherheitslösungen und Anti-Malware zusammenarbeiten. Wenn Sie ein Sicherheitstool von Drittanbietern installieren, schaltet Windows den entsprechenden Sicherheitsdienst aus. Zum Beispiel schaltet Windows Windows Defender automatisch aus, wenn Sie ein Antiviren von Drittanbietern installieren, und Sie können ihn nicht wieder einschalten, da Windows Defender-Einstellungen inaktiv werden, es sei denn, Sie deinstallieren das Antiviren von Drittanbietern.

Windows Defender Security Center

Das Windows Defender Security Center wurde in Windows 10, Version 1703 eingeführt. Diese App bietet einen zentralen Ort zum Überprüfen und Konfigurieren von Einstellungen für die folgenden Sicherheitsfunktionen:

• Virus-, Malware- und Bedrohungsschutz mit Windows Defender Antivirus:
• Es bietet Echtzeitschutz vor bekannten Viren und Malware
• Es umfasst Wolkenbasisschutz und bietet eine schnellere Erkennung, wenn sie in Verbindung mit automatischer Probeneinreichung verwendet werden.
• Durch die automatische Beispielübermittlung können Windows Beispieldateien an Microsoft senden, um Sie und andere vor potenziellen Bedrohungen zu schützen. Der Benutzer wird aufgefordert, wenn die zu übertragende Datei wahrscheinlich persönliche Informationen enthalten. Es besteht auch eine Option, eine verdächtige Datei zur Untersuchung manuell einzureichen.
• Ausschlüsse können gemacht werden, wenn Sie eine Datei oder ein Verzeichnis angeben müssen.
• Benachrichtigungen mit kritischen Informationen über die Gesundheit und Sicherheit Ihres Geräts sind verfügbar. Es kann auch über nicht kritische Benachrichtigungen informiert werden, einschließlich der aktuellen Aktivitäten und der Scan-Ergebnisse und der Windows-Firewall-Benachrichtigungen (für Apps, die in privaten oder öffentlichen Netzwerken blockiert sind).
• Geräteleistung und Gesundheit, die Informationen zu Treibern, Speicherplatz und allgemeinen Windows -Update -Problemen enthält
• Firewall und Netzwerkschutz
• App- und Browsereinstellungen:
• Windows Defender Smartscreen überprüft Apps und Dateien, die nicht erkannt werden
• Smartscreen für Microsoft Edge schützt vor böswilligen Websites und Downloads
• Smartscreen für Windows Store -Apps überprüft die von diesen Apps verwendeten Webinhalte
• Es stehen Familienoptionen zur Verfügung, mit denen Eltern kontrolliert werden können und Familiengeräte anzeigen können

Diese Optionen können mit Gruppenrichtlinien vollständig konfiguriert werden, und die Aktualisierungen der Virendefinition werden über den Windows -Update -Mechanismus erstellt, um sicherzustellen, dass sie immer auf dem neuesten Stand sind.

Windows Defender ATP

Windows Defender ATP ist ein Cloud -basierter Abonnementdienst, der einen erweiterten Schutz bietet, indem Ereignisse analysiert werden, die über mehrere Endpunkte hinweg auftreten, um Anomalien und bekannte Angriffsvektoren zu erkennen. Die Lösung besteht aus den folgenden Hauptkomponenten:

• Endpunkte: Diese Sammelverhaltenssignale von Sensoren bis zum Betriebssystem (z. . Derzeit arbeiten sie mit Windows 10 und unterstützt den Windows Server in Kürze.
• Cloud Security Analytics: Dies ermöglicht es uns, Big Data, maschinelles Lernen und eindeutige Microsoft -Ansichten über das Windows -Ökosystem (wie das Microsoft Bösartigkeit Softwareentfernertool (MSRT)), Enterprise Cloud -Produkte (wie Office 365) und Online -Assets zu nutzen (wie Bing und Smartscreen -URL -Ruf); Verhaltenssignale werden in Erkenntnisse, Erkennungen und empfohlene Antworten auf fortgeschrittene Bedrohungen übersetzt.
• Bedrohungsintelligenz: Dies wird von Microsoft -Jägern und globalen Sicherheitsteams erzeugt und durch Bedrohungsinformationen erweitert, die von mehreren Partnern bereitgestellt werden. Bedrohungsintelligenz ermöglicht es Windows Defender ATP, Angreifer -Tools, -Techniken und -verfahren zu identifizieren und Warnungen zu generieren, wenn diese in gesammelten Sensordaten beobachtet werden.
• ATP-Portal: Dies ist eine einzelne Cloud-basierte Konsole, die Expertensicherheitsvorgänge für präzise umsetzbare Warnungen, Instrumente für Bedrohung und Incident-Untersuchungen sowie Reaktionsaktionen nach der Ausnahme in Ihrem Unternehmen bereitstellt:

Windows Defender ATP arbeitet mit vorhandener Windows -Sicherheit
Technologien zu Endpunkten wie Windows Defender, Applocker und
Geräteschutz. Es kann auch Seite an Seite mit der Sicherheit von Drittanbietern funktionieren
Lösungen und Anti-Malware-Produkte.
Die Lösung nutzt Microsoft Technology und Expertise, um zu erkennen
Raffinierte Cyber ​​-Angriffe. Eine einzigartige Bedrohungsintelligenzwissensbasis
Bietet Akteure Details und Absichtskontext für jede Bedrohung intel basiert
Erkennung, Kombination von First- und Drittanbieter-Intelligenzquellen.
Verhaltensbasierte erweiterte Angriffserkennung findet die Angriffe und Korrelate
Warnungen für bekannte und unbekannte Gegner, die versuchen, ihre Aktivitäten zu verbergen
Endpunkte. Untersuchen Sie den Umfang von Verstoß oder Verdacht auf Verhalten
Maschine durch eine reichhaltige Maschinenzeitleiste und erhalten zusätzlichen Einblick
Deep Collection and Analysis (Detonation) für Dateien oder URLs.

Plan - Umgebungsanalyse

Dieser Abschnitt enthält eine Liste der wichtigsten Überlegungen und Empfehlungen bei der Bereitstellung des Windows Defender ATP -Dienstes.
Kundentypen:

• Endpunkte sollten Windows 10 Version 1706 ausführen (Creators Update)
• Bestätigen Sie, dass der Standardbau angemessen konfiguriert ist, um sicherzustellen, dass der Dienst ausgeführt wird, ohne die Leistung des Geräts zu beeinflussen
• Führen Sie einen Test aus, um sicherzustellen, dass alle Sensorinformationen korrekt gesammelt werden
• Ausreichende Lizenzen sollten im Besitz von Benutzern und Geräten sein und zugewiesen werden
• Die Internetkonnektivität sollte aktiviert werden, um die Kommunikation zwischen Endpunkten und dem ATP -Service sowie ausreichende Bandbreite für die Anzahl der Kunden zur Verfügung zu stellen, die täglich melden werden
• Überlegen Sie, welche Kunden ein hohes Risiko haben und möglicherweise eine höhere Berichtshäufigkeit erfordern
• Auch markieren Sie, welche Kunden von der Einreichung von Proben für eine tiefe Inspektion ausgeschlossen werden sollten

Auswahl der Anti-Malware:

• Die Lösung wird mit kompatiblen Antiviren- und Sicherheitslösungen von Drittanbietern zusammenarbeiten, es werden jedoch keine Antwortaktionen verfügbar sein. Nur alarmieren und Untersuchungen
• Die Verwendung von Windows Defender Antivirus (AV) ermöglicht die automatische Blockdatei in der Organisation sowie alle anderen Antwortaktionen, die in Zukunft entwickelt werden

Standorte:

• Die Daten werden nur in den US- oder EU -Rechenzentren gespeichert. Überlegen Sie, welches für Ihre Organisation am besten geeignet ist. Diese Option kann nicht geändert werden, sobald der Mieter bereitgestellt wird.
• Überlegen Sie, ob die Sicherheit aller Endpunkte vom selben Team verwaltet wird. Mit einem globalen Einsatz gibt es möglicherweise mehrere Teams, die Zugriff auf das ATP -Portal benötigen, um Warnungen anzuzeigen und Ermittlungen durchzuführen. Benötigt dies separate Mieter oder kann sich alle Geräte an einen einzelnen Mieter melden?

Verwalten von Kunden und Warnungen:

• Entscheiden Sie, welche Optionen zum Verwalten der Endpunkte verwendet werden: GPO, Systemcenter Configuration Manager (SCCM) oder Mobilgeräteverwaltung (MDM).
• Erwägen Sie, das manuelle Skript zum Konfigurieren einzelner Endpunkte während des Nachweises des Konzepts, des Ersten Piloten und einiger BYOD -Bereitstellungen zu verwenden.
• Entscheiden Sie, wer das Portal für die Konfiguration und die Überwachung von Warnungen verwaltet. Die Konfiguration erfordert die Sicherheits -Administratorrolle. Die Überwachung von Benachrichtigungen erfordert nur die Rolle des Sicherheitslesers.
• Entwickeln Sie ein Verfahren, um sicherzustellen, dass Warnungen überwacht, zugewiesen, untersucht und angemessen gelöst werden.

Bereitstellung - Dienstaktivierung

In diesem Abschnitt werden die Schritte erläutert, die erforderlich sind, um diese Lösung zu aktivieren und vollständig bereitzustellen, um Benutzer und Geräte in Ihrem Unternehmen zu schützen. Die folgenden Aktivitäten werden erklärt:

• Melden Sie sich an und aktivieren Sie den Windows Defender ATP -Dienst
• Onboard -Endpunkte
• Konfigurieren von Sensordaten
• Andere Konfigurationen

Anmelden und aktivieren Sie Windows Defender ATP

Der Dienst ist abhängig davon, dass Ihr Azure -Mieter aktiviert und konfiguriert wird. Sie müssen dann sicherstellen, dass die entsprechenden Lizenzen erworben und mit Ihrem Abonnement verbunden sind.
Administratorberechtigungen: Der Administrator muss Mitglied der Sicherheitsadministratorrolle sein, um den Dienst zu ermöglichen, den ersten Konfigurationsassistenten durchzuführen und laufende Unterstützung und Wartung zu erhalten. Die globalen Administratorrechte werden ebenfalls funktionieren, sind jedoch nicht notwendig, da dies zu übermäßigen Berechtigungen erteilt würde.
Erster Assistent: Sobald die Lizenzen zugewiesen wurden, gehen Sie zu https://securitycenter.windows.com und melden Sie sich mit einem Konto an, das entweder globale Administrator- oder Sicherheitsadministratorrechte an Ihrem Mieter enthält. Ein Assistenten führt Sie dann durch die folgenden Schritte (eine 10-20-minütige Prozedur):
1. Sie sehen zuerst eine Begrüßungsseite, die Links zu relevanten Artikeln und Informationen bereitstellt, falls Sie dies benötigen.
2. Der nächste Schritt besteht darin, den Datenspeicherort auszuwählen. Derzeit gibt es nur zwei Optionen: entweder USA oder Europa. Die Seite enthält Links zum Datenspeicher- und Datenschutzabschnitt des Windows Defender ATP -Handbuchs.
3. Wählen Sie dann die folgenden Einstellungen aus:

• Datenspeicherzeit: Wählen Sie zwischen 30 und 180 Tagen
• Wählen Sie Organisationsgröße: Wählen Sie basierend auf der Anzahl der zu überwachenden Endpunkte aus
• Wählen Sie Ihre Branche aus: Dies ist eine Option Multi-Choice, um sicherzustellen, dass der Service so konfiguriert werden kann, dass sie nach branchenspezifischen Angriffen suchen
• Vorschauerfahrung: Wählen Sie, ob die Vorschaubefunktionen aktiviert oder deaktiviert werden sollen

Zu diesem Zeitpunkt werden Ihre Auswahl abgeschlossen und die Cloud -Instanz erstellt, die möglicherweise einige Minuten dauern, bis Sie fortfahren können:

• Sobald die Konfiguration abgeschlossen ist, erhalten Sie eine Liste von Optionen zum Herunterladen der Endpoint Onboarding -Skripte. Diese sind spezifisch für Ihre Umgebung und müssen Sie einen sicheren Kanal und eine sichere Registrierung zwischen dem Gerät und dem Cloud -Dienst erstellen (weitere Details werden in Kürze erläutert).
• Die letzten Schritte schließen den Assistenten und bringen Sie zum Windows Defender ATP -Portal, um die Endpunkte bei der Registrierung anzuzeigen.

Portalkonfiguration

Wenn Sie sich zum ersten Mal beim ATP -Portal anmelden, können Sie einige der Einstellungen konfigurieren, die für die Verwendung des Portals spezifisch sind:

• Zeitzoneneinstellungen: Der Zeitraum der Zeit ist wichtig für die Bewertung und Analyse wahrgenommener und tatsächlicher Cyber ​​-Angriffe. Es ist wichtig, dass Ihr System die richtigen Zeitzoneneinstellungen widerspiegelt. Ihre aktuelle Zeitzoneneinstellung ist im Windows Defender ATP -Menü angezeigt. Sie können die angezeigte Zeitzone im Einstellungsmenü ändern.
• Unterdrückungsregeln: Die Unterdrückungsregeln steuern, welche Warnungen unterdrückt werden. Sie können Warnungen unterdrücken, damit bestimmte Aktivitäten nicht als misstrauisch gekennzeichnet sind. Die Unterdrückung von Warnungen können basierend auf einer bestimmten Maschine oder für die gesamte Organisation konfiguriert werden.
• Lizenz: Durch Klicken auf den Lizenzlink im Menü "Einstellungen" können Sie die Informationen zur Lizenzvereinbarung für Windows Defender ATP anzeigen.

Überprüfen Sie die Gesundheit der Service

In diesem Abschnitt können Sie die aktuelle Servicegesundheit anzeigen. Wenn es Probleme gibt, sehen Sie Details im Zusammenhang mit dem Problem und wenn es erkannt wurde.

Überprüfen Sie den Sensorstatus

Endpunkte registrieren sich beim ATP -Dienst und geben Sie regelmäßige Sensordaten an. Wenn Kommunikationsfehler vorliegen oder der Kunde über einen langen Zeitraum offline ist, hilft dieser Bericht dabei, problematische Maschinen zu identifizieren und bekannte Probleme zu lösen. Die beiden Hauptgründe für die Nichtbewertung sind wie folgt:

• INAKTIV: Wenn ein Endpunkt länger als sieben Tage lang in den ATP -Dienst berichtet wird. Sie müssen bestätigen, dass diese Endpunkte in Ihrer Umgebung weiterhin aktiv sind und alle Serviceprobleme beheben, die sich auf die Berichterstattung des Kunden auswirken.
• Fehlkonfiguriert: Wenn ein Endpunkt dem ATP -Dienst meldet, jedoch Fehler festgestellt werden, werden sie aufgrund eines der folgenden Probleme als falsch konfiguriert angezeigt:
• Keine Sensordaten: Es werden keine Sensordaten gesendet, sodass nur begrenzte Warnungen aus der Maschine ausgelöst werden können
• Beeinträchtigtes Kommunikation: Die folgenden Fähigkeiten können beeinträchtigt sein: Senden von Dateien für die tiefe Analyse, Blockierung von Dateien und Isolieren von Maschinen aus dem Netzwerk

Aktivieren Sie die SIEM -Integration

Wenn Ihre Organisation ein System für Sicherheitsinformationen und Event Management (SIEM) bereitgestellt hat, können Sie mit dem Siem Connector Warnungen vom Windows Defender ATP -Portal abrufen. Steckverbinder sind für mehrere Anbieter erhältlich, einschließlich Splunk und ArcSight. Für andere steht eine generische API zur Verfügung.

Onboard -Endpunkte

Dies wird erreicht, indem ein Konfigurationspaket für jeden Endpunkt bereitgestellt wird. Derzeit funktioniert dies für Windows 10, Version 1706 (Creators Update). Windows Server 2016 und Windows Server 2012 R2 werden in Zukunft unterstützt.
Es gibt verschiedene Methoden und Bereitstellungswerkzeuge, mit denen das Konfigurationspaket für jeden Endpunkt bereitgestellt werden kann, je nachdem, was für Ihre Organisationsgröße und -komplexität am besten geeignet ist:

• Wenn Ihre Endpunkte mit einer Anzeigendomäne verbunden sind, können Sie die Gruppenrichtlinie zur Bereitstellung des Skripts verwenden
• Wenn Sie SCCM bereitgestellt haben, kann dies verwendet werden, um es für jedes verwaltete Gerät bereitzustellen
• Von MDM verwaltete Geräte wie Microsoft Intune
• Ein Skript kann manuell auf jeder einzelnen Maschine ausführen

Das Konfigurationspaket ist für Ihren Mieter einzigartig und kann vom Windows Defender ATP -Portal heruntergeladen werden: https://securitycenter.windows.com:
1. Gehen Sie zum Navigationsbereich und klicken Sie auf Endpoint Management.
2. Wählen Sie die entsprechenden Optionen aus, z. B. die Gruppenrichtlinie.
3. Klicken Sie auf Paket herunterladen und die .zip -Datei speichern.

Jedes Paket bietet ein anderes Skript und zusätzliche Dateien, sofern dies erforderlich ist:

• Lokales Skript: Ein einzelnes Windows -Befehlskript wird bereitgestellt.
• Gruppenrichtlinie: Ein Windows -Befehlskript sowie eine .ADMX- und .ADML -Datei für die Gruppenrichtlinienverwaltungskonsole (GPMC).
• MDM: Dies liefert eine einzelne Onboarding -Datei, die an gezielten Maschinen bereitgestellt werden kann.

SCCM: Es gibt zwei Optionen. Wir empfehlen das Upgrade auf Version 1606. Dies bietet eine einzelne Onboarding -Datei, die für gezielte Maschinen bereitgestellt werden kann.
Sobald der Endpunkt das Konfigurationspaket erhalten hat, wird versucht, mit dem ATP -Dienst zu kommunizieren. Dazu muss sich der Endpunkt in einem Netzwerk befinden, das die HTTP -Kommunikation mit mehreren URLs ermöglicht. Für komplexe und sehr sichere Netzwerke kann dies eine Änderung der Firewall -Regeln und Proxy -Einstellungen erfordern, um diese Kommunikation zu ermöglichen.

Konfigurieren von Sensordaten

Derzeit gibt es zwei Konfigurationen, die für jeden Endpunkt festgelegt werden können.
Zum Beispiel, um Clients mithilfe der Gruppenrichtlinie zu konfigurieren:
1. Laden Sie das Konfigurationspaket für Gruppenrichtlinien herunter.
2. Exportieren Sie den Inhalt der Datei.
3. Kopieren Sie die ADMX -Datei in den %SystemRoot %\ PolicyDefinitions \ Ordner.
4. Kopieren Sie die ADML-Datei in den Ordner %SystemRoot %\ PolicyDefinitions \ En-US.
5. Starten Sie Gruppenrichtlinien -Editor und erstellen Sie eine neue Gruppenrichtlinie, die an die entsprechende OU für Windows 10 -Clients abzielt.
Sie müssen jetzt die folgenden Richtlinien konfigurieren:

• Um sicherzustellen, dass jeder Endpunkt mit dem ATP -Dienst registriert, gehen Sie zur Computerkonfiguration | Vorlieben | Bedienerfeldeinstellungen und erstellen Sie eine neue geplante Aufgabe, um das Windows Defender ATP Onboarding -Skript auszuführen.
• Um die Einstellungen für Latenzmodus und Beispielsammlungen zu konfigurieren, wechseln Sie zur Computerkonfiguration | Richtlinien | Verwaltungsvorlagen | Windows -Komponenten | Windows Defender ATP.

• Der Latenzmodus des Clients ändert die Berichtsfrequenz. Bei hochwertigen Vermögenswerten oder Maschinen mit hohem Risiko können Sie die Frequenz erhöhen, um den Modus zu beschleunigen. Das Aktivieren dieser Funktion kann die Leistung auf den Client auswirken und den Netzwerkverkehr erhöhen. Daher wird empfohlen, dies an einigen Endpunkten zu testen und die Auswirkungen zu überwachen, bevor Sie weit verbreitet sind.
• Ändern Sie die Einstellungen für die Probenerfassung, um zu aktivieren oder zu verhindern, dass Proben vom Endpunkt gesammelt werden, wenn eine Anforderung über das Windows Defender ATP -Portal zur tiefen Analyse gestellt wird.

Zusätzliche Konfiguration

Es gibt einige zusätzliche Konfigurationen, die sich dessen bewusst sind, dass der Dienst ordnungsgemäß ausgeführt wird.
Einstellungen für Telemetrie- und Diagnostik: Bevor Sie Endpunkte konfigurieren, müssen Sie sicherstellen, dass der Telemetrie- und Diagnostikdienst an allen Endpunkten in Ihrem Unternehmen aktiviert ist. Standardmäßig ist dieser Dienst aktiviert, aber es ist eine gute Praxis, um sicherzustellen, dass Sie Sensordaten von ihnen abrufen.
Windows Defender Signature -Updates sind konfiguriert: Der Windows Defender ATP -Agent hängt von der Fähigkeit des Windows Defender ab, Dateien zu scannen und Informationen dazu zu geben. Wenn Windows Defender nicht die aktive Anti -Malware in Ihrem Unternehmen ist, müssen Sie möglicherweise die Signatur -Updates konfigurieren.

• Wenn Windows Defender nicht die aktive Anti -Malware in Ihrem Unternehmen ist und Sie den Windows Defender ATP -Dienst verwenden, geht Windows Defender in den passiven Modus ein.
• Der Windows Defender Early Start Antimalware (ELAM) -Treiber ist aktiviert.
• Wenn Sie Windows Defender als primäres Anti -Malware -Produkt auf Ihren Endpunkten ausführen, wird der Windows Defender ATP -Agent erfolgreich in Bord.
• Wenn Sie einen Anti-Malware-Client von Drittanbietern ausführen und MDM Solutions oder SCCM (Current Branch) Version 1606 verwenden, müssen Sie sicherstellen, dass der Windows Defender Elam Treiber aktiviert ist.

Erkennen - Verwenden des ATP -Portals

Das erste, was Sie sehen, wenn Sie sich beim ATP -Portal anmelden, ist das
Dashboard -Ansicht:

Dashboard -Navigationsübersicht:

• Navigationsbereich der linken Seite (1)
• Hauptfenster des Portals zum Anzeigen von Armaturenbrettfliesen und Details (2)
• Suche, Feedback, Einstellungen und Hilfe und Unterstützung (3)

Das Dashboard zeigt einen Schnappschuss der folgenden Komponenten an:

• Die neuesten aktiven Warnungen in Ihrem Netzwerk, mit den wichtigsten hervorgehobene oben angegeben
• Tägliche Maschinen berichten, um zu zeigen, wie viele Maschinen jeden Tag aktiv melden
• Gefahr wird diese Endpunkte mit den höchsten Risiken zeigen
• Der Gebietsbericht von Benutzern enthält eine schnelle Identifizierung dieser Benutzer
• Maschinen mit aktiven Malware -Warnungen
• Sensor- und Servicegesundheit

Warnungswarteschlange

Wählen Sie im Navigationsbereich Warnwarteschlangen aus. Diese Ansicht zeigt eine Liste von Warnungen, die von Endpunkten in Ihrem Netzwerk gekennzeichnet wurden. Sie können die Warnungen sortieren und filtern, indem Sie auf den Spaltenkopfklicken klicken. Wählen Sie eine Warnung aus, um weitere Details anzuzeigen, und ändern Sie den Status von neu in Fortschritt oder gelöst. Sie können auch eine Klassifizierung für den Alarm angeben und sich selbst zuweisen, wenn sie noch nicht zugewiesen ist. Um mehrere Warnungen zu verwalten, verwenden Sie Strg oder wechseln Sie, um mehr als einen auszuwählen, und wenden Sie dann dieselbe Aktion auf jede Warnung an. Warnungen werden in mehreren Warteschlangen verwaltet, abhängig von ihrem aktuellen Status:

• Neu
• Im Gange
• Gelöst
• Mir zugewiesen

Maschinenliste

Wählen Sie im Navigationsbereich die Maschinenliste aus.
Diese Ansicht zeigt Ihnen alle Endpunkte, die sich beim ATP -Dienst registriert haben. Die Spalten können sortiert werden, um schnelle Erkenntnisse zu liefern, oder Sie können sie in eine CSV -Datei exportieren. Die verfügbaren Spalten umfassen:

• Maschinenname
• Domain
• OS -Plattform
• Gesundheitszustand
• Zuletzt gesehen
• Interne IP
• Aktive Warnungen
• Aktive Malware -Erkennungen

Sie können die Ansichtsergebnisse auch basierend auf den folgenden Optionen filtern:
Zeit: Wählen Sie einen Bereich zwischen 1 Tag und 6 Monaten
OS -Plattform: Besondere Betriebssysteme einschließen oder ausschließen
Gesundheit: Fügen Sie spezifische Gesundheitsstatistiken ein oder ausschließen, um nur aktive, inaktive oder falsch konfigurierte Endpunkte zu zeigen
ARTWARE -Kategorie -Warnungen: Wählen Sie die folgenden Malware -Typen ein oder schließen Sie aus:

• Ransomware
• Diebstahl von Anmeldeinformationen
• Ausbeuten
• Hintertür
• Allgemein
• Pua

Einstellungen für Einstellungen

Wählen Sie im Navigationsbereich die Einrichtung der Einstellungen aus.
Allgemein: Einige der Einstellungen, die während des ersten Setup -Assistenten konfiguriert wurden, können hier geändert werden, einschließlich der Datenbindungspolitik und der Branchenauswahl. Der Datenspeicherort und die Organisationsgröße können nicht geändert werden.
Erweiterte Funktionen: Dieser Abschnitt enthält Funktionen, die eine Integration in andere Technologien erfordern:

• Blockdatei: Wenn Windows Defender die aktive Anti -Malware -Lösung ist und Cloud -basierter Schutz aktiviert ist, können Sie die Blockdateifunktion verwenden, um potenziell böswillige Dateien in Ihrem Netzwerk zu blockieren. Dadurch wird verhindern, dass die Datei auf allen bei ATP (in Ihrer Organisation) registrierten Maschinen gelesen, geschrieben oder ausgeführt wird.
• Office 365 Threat Intelligence Connection: Wenn Sie über ein aktives Office 365 E5-Abonnement (oder das Add-On des Threat Intelligence) verfügen, können Sie den Windows Defender ATP an das Office 365 ATP anschließen. Dadurch können Sicherheitsuntersuchungen auf den beiden Plattformen überspannen.

Endpunktmanagement

Wählen Sie im Navigationsbereich die Endpunktverwaltung aus. In diesem Abschnitt können Sie die entsprechenden Konfigurationsdateien abhängig von Ihren Bereitstellungs- und Verwaltungsanforderungen herunterladen.

Schützen Sie die Reaktion nach der Ausnahme

In diesem Abschnitt werden die Arten von Bedrohungen behandelt, die von Windows Defender ATP wie Ransomware und Diebstahl von Anmeldeinformationen behandelt werden und welche Antworten Sie bei einem verdächtigen Gerät, einer Datei oder einem Prozess gefunden haben, um sicherzustellen, dass Sie die relevanten Informationen für a sammeln durch Untersuchung und Aufräumarbeiten.

Arten von Bedrohungen

Der Windows Defender ATP -Dienst kann eine breite Palette von Bedrohungen erkennen. Jeder wird in den folgenden Abschnitten erörtert, und es kann in Zukunft mehr hinzugefügt werden, wenn sich die Bedrohungslandschaft ändert. Verwenden Sie diese Informationen, um das Bewusstsein für die verschiedenen Arten von Bedrohungen zu sensibilisieren, und halten Sie sich mit Änderungen auf dem Laufenden, indem Sie den Bericht von Microsoft Security Intelligence überprüfen.

Ransomware

Ransomware verwendet gemeinsame Methoden, um Dateien mithilfe von Schlüssel zu verschlüsseln, die nur den Angreifern bekannt sind. Infolgedessen können Opfer nicht auf den Inhalt der verschlüsselten Dateien zugreifen. Die meisten Ransomware werden einen Ransom -Hinweis angezeigt oder fallen: Ein Bild oder eine HTML -Datei, die Informationen darüber enthält, wie der Angreifer entschlüsselt wird, entschlüsseltes Tool für eine Gebühr. Leider garantiert die Bezahlung des Angreifers nicht, dass die Dateien entschlüsselt werden, aber mehrere Unternehmen haben dies getan, was nur mehr Mittel für sie bereitstellt, um weitere Angriffe gegen andere Unternehmen durchzuführen. Eine bessere Reaktion besteht darin, sicherzustellen, dass die Dateien gesichert wurden und eine Wiederherstellung der betroffenen Dateien durchführen und dann wieder verhindern, dass dies wieder auftritt.

Diebstahl von Anmeldeinformationen

Zu den Spionagewerkzeugen, ob im Handel erhältlich oder ausschließlich für nicht autorisierte Zwecke verwendet werden, gehören allgemeine Spyware, Überwachungssoftware, Hacking -Programme und Kennwort Stealer. Diese Tools sammeln Anmeldeinformationen und andere Informationen aus Browser -Datensätzen, Tastenpressen, E -Mail- und Sofortnachrichten, Sprach- und Videokonversationen sowie Screenshots. Sie werden bei Cyber ​​-Angriffen verwendet, um Kontrolle zu etablieren und Informationen zu stehlen.
Microsoft hat Zugriff auf Cyber-Intelligence, mit der sie nach gestohlenen Anmeldeinformationen scannen können (aus Massendatenbanken, die die Informationen aus früheren Verstößen auflisten), und wenn irgendwelche gegen Ihren Mieter (über Azure AD) erkannt werden Maßnahmen zum Schutz der Identität durch Durchsetzung zusätzlicher Authentifizierungsprüfungen (suchen Sie nach Azure -Anzeigenidentitätsschutz für weitere Einzelheiten).

Heldentaten

Exploits nutzen den ungesicherten Code in Betriebssystemkomponenten und -anwendungen. Durch Exploits können Angreifer beliebiger Code ausführen, Berechtigungen erhöhen und andere Aktionen ausführen, die ihre Fähigkeit erhöhen, eine gezielte Maschine zu beeinträchtigen. Exploits finden sich sowohl in der Rohstoff -Malware als auch in Malware, die bei gezielten Angriffen verwendet werden. Der beste Weg, um sich gegen diese Arten von Angriffen zu verteidigen, besteht darin, sicherzustellen, dass Sie alle Firmware, Betriebssysteme und Software vollständig gepatcht haben, sobald die Updates verfügbar sind.

Hintertüren

Hintertoors sind bösartige Remote-Zugriffstools, mit denen Angreifer infizierte Maschinen zugreifen und diese steuern können. Hintertoors können auch zum Ex-Filtrat-Daten verwendet werden. Diese Arten von Angriffen können begrenzt werden, indem sichergestellt wird, dass die Anmeldeinformationen regelmäßig aktualisiert werden (alle Passwörter werden häufig geändert, einschließlich lokaler Konten, Dienste und integrierten Anmeldeinformationen). Diese Angriffe finden Sie durch Überwachung von anomalen Verhaltensweisen, die auf potenzielle böswillige Aktivitäten hinweisen.

Allgemeine Malware

Malware ist ein böswilliges Programm, das unerwünschte Aktionen ausführt, einschließlich Aktionen, die stören, direkten Schaden verursachen und das Eindringen und den Datendiebstahl erleichtern können. Einige Malware können sich replizieren und von einer Maschine auf eine andere ausbreiten. Andere können Befehle von Remote -Angreifern erhalten und Aktivitäten ausführen, die mit Cyber ​​-Angriffen verbunden sind. Die Antiviren -Software kann bekannte Malware -Signaturen erkennen, können sich jedoch häufig ändern (täglich Hunderte bis Tausende neuer Varianten). Die Verhinderung der örtlichen Verwaltungsrechte für alle Benutzer ist der beste Weg, um diese Art von Angriff zu verhindern. Sie können auch Technologien wie Applocker bereitstellen, um zu verhindern, dass nicht autorisierte Prozesse ausgeführt werden.

Potenziell unerwünschte Anwendung

PUA ist eine Kategorie von Anwendungen, die unerwünschte Aktivitäten ohne ausreichende Benutzersteuerung installieren und ausführen. Diese Anwendungen sind nicht unbedingt böswillig, aber ihr Verhalten wirkt sich häufig negativ auf das Computererlebnis aus und scheinen sogar die Privatsphäre der Benutzer einzubeziehen. In vielen dieser Anwendungen werden Werbung angezeigt, die Browsereinstellungen geändert und gebündelte Software installiert.

Reaktionsschnelle Maßnahmen ergreifen

Sobald ein Verstoß bestätigt wurde, müssen Sie in der Lage sein, schnelle und angemessene Maßnahmen zu ergreifen, um eine weitere Ausbreitung und mögliche Schäden zu verhindern. Die folgenden Antwortaktionen sind verfügbar:

• Maschinen isolieren oder ein Untersuchungspaket sammeln
• Laden Sie Dateien für die tiefe Analyse hoch hoch
• Stop- und Quarantänendateien oder blockieren Sie eine Datei aus Ihrem Netzwerk aus
• Drehen

Reaktionsmaßnahmen auf einer Maschine ergreifen

Sobald eine Bedrohung identifiziert wurde, gibt es Maßnahmen, die auf die Maschine ergriffen werden können, die vermutet wird, dass die Malware oder andere Beweise für Aktivitäten enthalten sind. Verwenden Sie die folgenden Anleitungen, um Daten zu sammeln, die als forensische Beweise verwendet werden können, die als Untersuchungspaket bezeichnet werden, und isolieren Sie die Maschine bei Bedarf, um weitere Risiken zu verhindern, und geben Sie Zeit für die Durchführung einer gründlichen Untersuchung und Reinigung.

Sammeln eines Untersuchungspakets

Sobald Sie verdächtige Aktivitäten auf einer Maschine identifiziert haben, können Sie ein Untersuchungspaket sammeln, um den aktuellen Zustand zu identifizieren und die vom Angreifer verwendeten Tools und Techniken weiter zu verstehen. Diese Informationen sind nützlich, um sich vor der Isolation und Wiederaufbau des Computers im Rahmen Ihres Wiederherstellungsprozesses zu sammeln. Andernfalls gehen die Informationen verloren und Sie werden möglicherweise nie feststellen, wie der Angriff aufgetreten ist.
Um eine Sammlung zu initiieren, suchen Sie die Maschine im ATP -Portal, wählen Sie zum Menü Aktionen, wählen Sie das Untersuchungspaket ein und geben Sie dann einen Grund ein, wenn sie aufgefordert werden:

Es wird empfohlen, diesen Bericht über ein Beispiel Ihrer Endpunkte auszuführen, um sicherzustellen, dass sie bei gesundem Konfiguration korrekt konfiguriert sind, um sicherzustellen, dass Sie alle diese wertvollen Informationen erhalten, falls ein Angriff auftritt.
Das Paket kann einige Minuten dauern, bis der Endpunkt vom Endpunkt zum Portal hochgeladen wird, und ist dann im Aktionszentrum verfügbar, wo Sie es herunterladen und Ihre Ermittlungen durchführen können:

Beim Testen betrug die ZIP -Datei 3,3 MB; Ihre Ergebnisse können je nach Aktivitätsniveau Ihrer Kunden variieren:

Das Paket enthält die folgenden Informationen:

• Autorun -Prozessbericht
• Liste der installierten Programme (.csv -Datei)
• Netzwerkverbindungen (mehrere .txt -Dateien)
• Dateien vorab (mehrere Dateien; für diese müssen ein spezieller Leser angezeigt werden)
• Prozesse (.csv -Datei)
• Geplante Aufgaben (.csv -Datei)
• Sicherheitsereignisprotokoll (stellen Sie sicher, dass dies korrekt dimensioniert ist, um den Datenverlust zu verhindern)
• Services (.txt -Datei)
• Windows SMB Sessions (.txt -Datei)
• TEMP -Verzeichnisse (eine .txt -Datei pro Benutzer)
• Benutzer und Gruppen (.txt -Datei)
• CollectionsSummaryReport.xls: Eine Zusammenfassung der Untersuchungspaketsammlung, um sicherzustellen, dass Sie alle Informationen erfasst haben

Eine Maschine isolieren

Wenn ein Angriff ernst genug ist, möchten Sie möglicherweise die gesamte Maschine isolieren, während Sie weitere Untersuchungs- und Aufräumarbeiten durchführen können. Identifizieren Sie im ATP -Portal die Maschine, die Sie isolieren möchten, und öffnen Sie das Menü Aktionen und wählen Sie dann die Isolatmaschine aus. Der Benutzer wird mit einer Nachricht aufgefordert, sie vor dieser Aktivität zu warnen und ihn aufzuzeichnen, an den Service Desk zu kontaktieren:

Solange das Gerät die Internetkonnektivität beibehält, können wir seine Fähigkeiten zur Ausbreitung von Infektionen aus der Ferne steuern. Dies ist eine sehr leistungsstarke Methode, um die Aktionen auf Geräten zentral zu kontrollieren, ohne dass das Risiko einer Geschäftsproduktivität verloren geht, wenn ein falsches Positiv gefunden wird.

Ergreifen Sie reaktionsschnelle Aktionen in einer Datei oder einem Prozess

Verdächtige Dateien und Prozesse können speziell untersucht werden. Verwenden Sie die folgenden Anleitungen, um eine tiefe Analyse durchzuführen, um die potenziellen Bedrohungen vollständig zu identifizieren und eine angemessene Reaktion zu ermitteln, z. B. die Blockierung der zugegriffenen Datei.

Tiefe Analyse anfordern

Tiefe Analyseanfragen können aus dem ATP -Portal durchgeführt werden. Wenn Sie durch Ihre Untersuchungen eine misstrauische Datei finden, können Sie die Details anzeigen und sofort feststellen, ob diese Datei bereits erkannt wurde:

Dieser Bericht zeigt auch, wie viele andere Maschinen in Ihrer Umgebung die Datei erkannt haben. Wenn Sie der Meinung sind, dass es misstrauisch ist, können Sie die tiefe Analyseanfrage auswählen, um sie zur Untersuchung an Microsoft zu senden. Wenn ein Problem gefunden wird, werden Sie über die Ergebnisse informiert.

Stop- und Quarantänedatei

Aus derselben Ansicht können Sie einen Angriff enthalten, indem Sie die Aktion der Stop & Quarantine -Datei auswählen, wenn die Taste der Aktionen aktiviert ist (wie blau):

Der Benutzer wird über die zum Quarantäne gestellte Datei aufgefordert.

Blockdatei

Wenn Sie eine Datei identifizieren, die verhindern möchten, dass Sie überall verwendet werden, können Sie stattdessen die Blockdatei auswählen. Diese Aktion stellt sicher, dass die Datei nicht nur auf diesem Computer, sondern auch auf allen beim ATP -Dienst registrierten Endpunkten unter Quarantäne gestellt wird. Aufgrund der potenziellen weit verbreiteten Auswirkungen, die dies in Ihrer Umgebung haben könnte, muss die Fähigkeit im Rahmen der Einrichtungen der Präferenzen in den erweiterten Funktionen aktiviert werden.
Diese Option funktioniert sowohl für Dateien als auch für ausführbare Dateien, um zu verhindern, dass unerwünschte Anwendungen ausgeführt werden.

Drehen Sie sich in Office 365

Wenn Sie aus dem Windows Defender ATP -Portal einen Angriff untersuchen und die verdächtige Datei finden, die aus einer E -Mail stammt oder in anderen Postfächern entdeckt wird, können Sie auswählen, um das Office 365 ATP -Portal zu starten: https://protection.office.com/# /bedrohungsplorer.
Das Windows Defender ATP -Portal enthält die spezifischen Informationen, die für die Suche und Filtern der spezifischen Datei in allen Postfächern erforderlich sind:

Der Administrator kann dann einen Vorfall innerhalb von Office 365 erstellen und die betroffenen E -Mails anschließen:

Zusammenfassung

In diesem Artikel haben wir die erweiterten Funktionen behandelt, die verfügbar sind, wenn Windows 10 Enterprise in den Windows Defender ATP -Dienst integriert ist. Wir haben jetzt die Fähigkeit, sofortige Sichtbarkeit in kritische Aktionen jedes Windows 10 -Clients zu erlangen, den wir verwalten, unabhängig davon, wo er sich in der Welt befindet. Wenn wir in der Lage sind, auf das Wissen globale Hunter -Teams und Cyber ​​-Sicherheitsexperten zurückzugewinnen, können wir schnell erkennen, untersuchen und auf fortgeschrittene Bedrohungen reagieren, aus denen eigenständige Software nicht verteidigen kann.
Diese Technologie entwickelt sich ständig weiter, um Ihnen neue Techniken zu bringen und Ihnen direkt zu verarbeiten. Stellen Sie es in Ihrer Umgebung ein, vertrauen Sie mit den aktuellen Steuerelementen und Fähigkeiten und bleiben Sie über die Änderungen informiert, um sicherzustellen, dass Sie wissen, wie Sie einen Verstoß verteidigen und sich von einer Verstöße erholen können.