Windows Defender avanzó la protección de amenazas en Windows 10

Windows Defender Advanced Threat Protection (ATP) es un servicio de seguridad que permite a los clientes empresariales detectar, investigar y responder a amenazas avanzadas en sus redes. Este capítulo proporciona información sobre el servicio, cómo configurarlo y luego mantenerla y usarla para operaciones. Esta introducción explicará los requisitos previos para habilitar este servicio y dar una visión general de los componentes clave. El capítulo se divide en las siguientes secciones lógicas para proporcionar información relevante:

• Plan: Comprenda los requisitos y el plan para los cambios necesarios para implementar y adoptar esta solución dentro de su entorno
• Implementar: detalles de configuración para habilitar el portal ATP, los puntos finales a bordo y garantizar la conectividad de red correcta
• Detección: Pasos de detección e investigación que aseguran que pueda identificar rápidamente el alcance y los objetivos de los ataques avanzados y obtener evidencia forense
• Protección: los pasos posteriores a la violación que puede tomar para detener activamente un ataque y evitar una mayor propagación

Cubriremos los siguientes temas:

• Una introducción al Centro de Seguridad de Defensores de Windows y una protección avanzada de amenazas (ATP)
• Cómo activar el servicio ATP y configurar sus puntos finales
• ¿Qué pasa con la actividad sospechosa y evita que se extienda más a través de la empresa?

Requisitos previos

Windows Defender ATP requiere una de las siguientes soluciones de licencia de Microsoft Volume:

• Windows 10 Enterprise E5
• Windows 10 Education E5
• Secure productivo Enterprise E5, que incluye Windows 10 Enterprise E5

Cuando ejecuta el asistente de incorporación por primera vez, debe elegir dónde se almacena la información relacionada con el ATP de su defensor de Windows: ya sea en un centro de datos europeo o de los Estados Unidos. No puede cambiar su ubicación de almacenamiento de datos después de la primera configuración.
Windows Defender ATP se ejecuta en la versión 1706 y las ediciones previas de Windows:

• Windows 10 Enterprise
• Educación de Windows 10
• Windows 10 Pro
• Windows 10 Pro Education

Cada punto final debe tener una conexión a Internet, que puede utilizar hasta 5 MB de ancho de banda diariamente para comunicarse con el servicio en la nube de Windows Defender ATP e informar datos cibernéticos.
Se debe configurar la actualización de la firma de Windows Defender (o un servicio antimalware alternativo y compatible), y el controlador de antimalware de lanzamiento temprano de Windows Defender (ELAM) debe estar habilitado.
Para administrar el servicio, a los administradores se les debe otorgar uno de los siguientes roles en Azure Active Directory (Azure AD):

• Administrador de seguridad: esto proporcionará acceso completo para iniciar sesión, ver toda la información y resolver alertas. Este rol puede enviar archivos para un análisis profundo y descargar el paquete de incorporación.
• Lector de seguridad: esto proporcionará el derecho de iniciar sesión y ver toda la información, pero no puede cambiar el estado de alerta, enviar archivos para un análisis profundo o acceder a los paquetes de incorporación.

Defensor de Windows

Windows Defender es un software antivirus que está integrado en el sistema operativo Windows y protege sus sistemas contra virus, malware, spyware y amenazas de red. Es un servicio de Windows que funciona con otros servicios de seguridad y mantenimiento de Microsoft, como Windows Firewall y Microsoft Smartscreen. Todos estos servicios están habilitados de forma predeterminada y comienzan al inicio del sistema. Windows Update se encargará de actualizarse automáticamente, si está configurado para hacerlo. Actualizar el defensor de Windows no requiere reiniciar el sistema.

• Algunas características clave del defensor de Windows en Windows 10 incluyen lo siguiente:
• Microsoft Active Protection Service (MAPS): Esto utiliza los metadatos de un archivo para analizar el posible malware, que si se encuentra puede dar lugar a un nuevo archivo de firma de virus que se crea para proteger otros dispositivos
• Sistema de inspección de red: esto ayuda a proteger contra intentos de intrusión dirigidos a vulnerabilidades conocidas y recién descubiertas en los protocolos de red
• Monitoreo del comportamiento: esto se utiliza para buscar actividades, no solo las firmas de virus conocidas
• Protección basada en la nube utilizando el aprendizaje automático: se utiliza para ejecutar el malware potencial en una cámara de detonación para determinar si es malicioso
• Personalización: esto puede excluir archivos, directorios o procesos (útil para las computadoras y servidores del desarrollador)
• Opciones de escaneo múltiple: incluyen un escaneo completo, rápido, programado, en OnDemand y Full
• Escaneo activo bidireccional: esto se utiliza para actividades de alto volumen, como en los servidores
• Aplicación potencialmente no deseada (PUA): esta es una forma de buscar y bloquear las aplicaciones y servicios que no deberían ejecutarse en sus computadoras debido a la configuración errónea, el software de baja calidad y el riesgo de causar problemas de rendimiento y/o seguridad

El defensor de Windows ATP puede funcionar junto con soluciones de seguridad de terceros y antimalware. Si instala una herramienta de seguridad de terceros, Windows apaga el servicio de seguridad correspondiente. Por ejemplo, Windows apaga automáticamente el defensor de Windows cuando instala un antivirus de terceros, y no puede volver a encenderlo porque la configuración del defensor de Windows se vuelve inactivo a menos que desinstale el antivirus de terceros.

Centro de seguridad del defensor de Windows

El Windows Defender Security Center se introdujo en Windows 10, versión 1703. Esta aplicación proporciona un lugar central para revisar y configurar configuraciones para las siguientes características de seguridad:

• Virus, malware y protección de amenazas utilizando el antivirus de defensor de Windows:
• Proporciona protección en tiempo real contra virus y malware conocidos.
• Incluye protección basada en la nube, que proporciona una detección más rápida cuando se usa junto con el envío automático de muestras.
• El envío automático de muestra permite a Windows enviar archivos de muestra a Microsoft para ayudarlo a protegerlo a usted y a otros de posibles amenazas. Se le solicita al usuario si es probable que el archivo que se envíe contenga información personal. También hay una opción para enviar manualmente un archivo sospechoso para la investigación.
• Se pueden hacer exclusiones si necesita especificar un archivo o directorio.
• Hay notificaciones con información crítica sobre la salud y la seguridad de su dispositivo disponibles. También puede notificar sobre notificaciones no críticas, incluidas la actividad reciente y los resultados de escaneo y las notificaciones de firewall de Windows (para cualquier aplicación que esté bloqueada en las redes privadas o públicas).
• Rendimiento y salud del dispositivo, que incluye información sobre controladores, espacio de almacenamiento y problemas generales de actualización de Windows
• Protección de firewall y red
• Aplicación y configuración del navegador:
• Windows Defender SmartScreen verifica aplicaciones y archivos que no son reconocidos
• SmartScreen para Microsoft Edge protege de sitios y descargas maliciosas
• SmartScreen para las aplicaciones de la tienda de Windows verifica el contenido web utilizado por estas aplicaciones
• Hay opciones familiares disponibles que habiliten los controles de los padres y vean los dispositivos familiares

Estas opciones son totalmente configurables utilizando la política de grupo, y las actualizaciones de definición de virus se realizan a través del mecanismo de actualización de Windows para garantizar que siempre estén actualizados.

Windows Defender ATP

Windows Defender ATP es un servicio de suscripción basado en la nube que proporciona protección avanzada al analizar eventos que ocurren en múltiples puntos finales para detectar anomalías y vectores de ataque conocidos. La solución se compone de los siguientes componentes principales:

• Puntos finales: estos recopilan y procesan señales de comportamiento de los sensores incorporados al sistema operativo (por ejemplo, kernel, memoria, registro, archivo y comunicaciones de red) y envían estos datos de sensor a su instancia privada, aislada y en la nube de Windows Defender ATP . Actualmente trabajan con Windows 10, y el soporte para Windows Server llegará pronto.
• Análisis de seguridad en la nube: esto nos permite aprovechar los big data, el aprendizaje automático y las vistas únicas de Microsoft en el ecosistema de Windows (como la herramienta de eliminación de software Microsoft Maliciosa (MSRT)), los productos en la nube empresarial (como Office 365) y los activos en línea (como Bing y reputación de URL de pantalla inteligente); Las señales de comportamiento se traducen en ideas, detecciones y respuestas recomendadas a amenazas avanzadas.
• Inteligencia de amenazas: esto es generado por Microsoft Hunters y equipos de seguridad globales, y aumentado por la inteligencia de amenazas proporcionada por múltiples socios. La inteligencia de amenazas permite a Windows Defender ATP identificar herramientas, técnicas y procedimientos del atacante y generar alertas cuando se observan en los datos del sensor recopilado.
• Portal de ATP: esta es una consola única basada en la nube para proporcionar operaciones de seguridad expertas para alertas procesables precisas, herramientas para investigaciones de amenazas e incidentes, y acciones de respuesta posteriores a la violación en toda su organización:

Windows Defender ATP funciona con la seguridad de Windows existente
tecnologías en puntos finales, como Windows Defender, Applocker y
Guardia del dispositivo. También puede funcionar al lado de la seguridad de terceros
Soluciones y productos antimalware.
La solución aprovecha la tecnología y la experiencia de Microsoft para detectar
ataques cibernéticos sofisticados. Una base única de conocimiento de inteligencia de amenazas
proporciona detalles del actor y contexto de intención para cada amenaza basada en Intel
Detección, combinación de fuentes de inteligencia de primera y tercera parte.
La detección de ataques avanzados basados ​​en el comportamiento encuentra los ataques y correlatos
alertas por los adversarios conocidos y desconocidos que intentan ocultar sus actividades en
puntos finales. Investigar el alcance de la violación o los comportamientos sospechosos en cualquier
máquina a través de una línea de tiempo de la máquina rica y obtenga información adicional utilizando
Colección y análisis profundos (detonación) para cualquier archivo o URL.

Plan - Análisis del medio ambiente

Esta sección proporciona una lista de las consideraciones y recomendaciones clave al implementar el servicio ATP de Windows Defender ATP.
Tipos de clientes:

• Los puntos finales deben estar ejecutando Windows 10 versión 1706 (actualización de creadores)
• Confirme que la compilación estándar esté configurada adecuadamente para garantizar que el servicio pueda ejecutarse sin afectar el rendimiento del dispositivo
• Ejecute una prueba para garantizar que toda la información del sensor se recopile correctamente
• Las licencias suficientes deben ser propiedad y asignadas a usuarios y dispositivos
• La conectividad a Internet debe habilitarse para garantizar la comunicación entre los puntos finales y el servicio ATP, y el ancho de banda suficiente disponible para el número de clientes que informará diariamente
• Considere qué clientes tienen un alto riesgo y pueden requerir una mayor frecuencia de informes
• También marque qué clientes deben excluirse de enviar muestras para una inspección profunda

Elección de antimalware:

• La solución funcionará con antivirus de terceros compatibles y soluciones de seguridad, pero no habrá acciones de respuesta disponibles; Solo alerta e investigación
• El uso de Windows Defender Antivirus (AV) habilitará el archivo de bloque automático en toda la organización, así como cualquier otra acción de respuesta que se desarrolle en el futuro

Ubicaciones:

• Los datos se almacenarán solo en los centros de datos de EE. UU. O la UE. Considere cuál es el más apropiado para su organización. Esta opción no se puede cambiar una vez que se implementa el inquilino.
• Considere si la seguridad de todos los puntos finales será administrado por el mismo equipo. Con una implementación global, puede haber múltiples equipos que requieren acceso al portal ATP para ver alertas y llevar a cabo investigaciones. ¿Esto requiere inquilinos separados o pueden todos los dispositivos informar a un solo inquilino?

Gestión de clientes y alertas:

• Decida qué opciones se utilizarán para administrar los puntos finales: GPO, System Center Configuration Manager (SCCM) o Mobile Device Management (MDM).
• Considere usar el script manual para configurar puntos finales individuales durante la prueba de concepto, el primer piloto y algunas implementaciones de BYOD.
• Decide quién administrará el portal para la configuración y para monitorear alertas. La configuración requiere el rol de administración de seguridad. Las alertas de monitoreo solo requieren el rol del lector de seguridad.
• Desarrolle un procedimiento para garantizar que las alertas sean monitoreadas, asignadas, investigadas y resueltas adecuadamente.

Implementar la activación del servicio

Esta sección explicará los pasos necesarios para habilitar e implementar completamente esta solución para proteger a los usuarios y dispositivos en toda su organización. Se explicarán las siguientes actividades:

• Regístrese y active el servicio ATP de Windows Defender ATP
• Puntos finales a bordo
• Configurar datos del sensor
• Otras configuraciones

Regístrese y active Windows Defender ATP

El servicio depende de que el inquilino de Azure esté activado y configurado. Luego deberá asegurarse de que las licencias apropiadas hayan sido adquiridas y asociadas con su suscripción.
Permisos del administrador: el administrador deberá ser miembro del rol de administrador de seguridad para habilitar el servicio, ejecutar el asistente de configuración inicial y para el soporte y el mantenimiento continuos. Los derechos de administrador global también funcionarán, pero no es necesario, ya que esto proporcionaría permisos excesivos.
MAULLADO DE PRIMERACIÓN: Una vez que se hayan asignado las licencias, visite https://securitycenter.windows.com e inicie sesión con una cuenta que tenga derechos de administrador global o administrador de seguridad a su inquilino. Un asistente lo guiará a través de los siguientes pasos (un procedimiento de 10-20 minutos):
1. Primero verá una página de bienvenida, que proporciona enlaces a artículos e información relevantes, si lo necesita.
2. El siguiente paso es seleccionar la ubicación de almacenamiento de datos. Actualmente solo hay dos opciones: Estados Unidos o Europa. La página proporciona enlaces a la sección de almacenamiento y privacidad de datos de la Guía ATP de Windows Defender ATP.
3. Luego seleccione las siguientes preferencias:

• Período de retención de datos: elija de 30 a 180 días
• Seleccione el tamaño de la organización: elija según el número de puntos finales que se monitorearán
• Seleccione su industria: esta es una opción de múltiples elecciones para garantizar que el servicio se pueda configurar para buscar ataques específicos de la industria
• Experiencia de vista previa: elija si habilitar o deshabilitar las funciones de vista previa

En este punto, sus opciones se finalizan y se crea la instancia de la nube, que puede tardar unos minutos en completarse antes de que pueda continuar:

• Una vez que se completa la configuración, se le proporciona una lista de opciones para descargar los scripts de incorporación de punto final. Estos son específicos para su entorno y requieren que cree un canal seguro y el registro entre el dispositivo y el servicio en la nube (en breve se explicarán más detalles).
• Los pasos finales cerrarán el asistente y lo llevarán al portal ATP de Windows Defender para ver los puntos finales mientras se registran.

Configuración de portal

Cuando inicie sesión por primera vez en el portal ATP, puede configurar algunas de las configuraciones específicas para su uso del portal:

• Configuración de la zona horaria: el aspecto del tiempo es importante en la evaluación y el análisis de los ataques cibernéticos percibidos y reales. Es importante que su sistema refleje la configuración correcta de la zona horaria. Su configuración de zona horaria actual se muestra en el menú ATP de Windows Defender ATP. Puede cambiar la zona horaria que se muestra en el menú Configuración.
• Reglas de supresión: las reglas de supresión controlan qué alertas se suprimen. Puede suprimir alertas para que ciertas actividades no sean marcadas como sospechosas. Las alertas de supresión se pueden configurar en función de una máquina específica o para toda la organización.
• Licencia: al hacer clic en el enlace de la licencia en el menú Configuración, puede ver la información del acuerdo de licencia para Windows Defender ATP.

Verifique la salud del servicio

Esta sección le permite ver la salud del servicio actual. Si hay algún problema, verá detalles relacionados con el problema y cuándo se detectó.

Verifique el estado del sensor

Los puntos finales se registran con el servicio ATP y proporcionan datos de sensor regulares. Si hay errores de comunicación o el cliente está fuera de línea durante un largo período de tiempo, este informe ayuda a identificar máquinas problemáticas y ayuda a resolver problemas conocidos. Las dos razones principales para no informar correctamente son las siguientes:

• Inactivo: cuando un punto final deja de informar al servicio ATP durante más de siete días. Deberá confirmar que estos puntos finales aún están activos en su entorno y remedian cualquier problema de servicio que impacte la capacidad del cliente para informar.
• Mal configurado: cuando un punto final informa al servicio ATP, pero se detectan errores, se presentan como mal configurados, debido a uno de los siguientes temas:
• Sin datos del sensor: no se envían datos del sensor, por lo que se pueden activar alertas limitadas desde la máquina
• Comunicación deteriorada: las siguientes habilidades pueden verse afectadas: enviar archivos para un análisis profundo, bloquear archivos y aislar máquinas de la red

Habilitar la integración de Siem

Si su organización ha implementado un sistema de información de seguridad y gestión de eventos (SIEM), puede extraer alertas del portal ATP de Windows Defender utilizando el conector SIEM. Los conectores están disponibles para múltiples proveedores, incluidos Splunk y Arcsight. Una API genérica está disponible para otros.

Puntos finales a bordo

Esto se logra implementando un paquete de configuración en cada punto final. Actualmente, esto funciona para Windows 10, versión 1706 (actualización de creadores). Windows Server 2016 y Windows Server 2012 R2 serán compatibles en el futuro.
Existen varios métodos y herramientas de implementación que se pueden utilizar para implementar el paquete de configuración en cada punto final, dependiendo de lo que funcione mejor para el tamaño y la complejidad de su organización:

• Si sus puntos finales se unen a un dominio AD, puede usar la política de grupo para implementar el script
• Si ha implementado SCCM, esto se puede usar para implementarlo en cada dispositivo administrado
• Dispositivos administrados por MDM, como Microsoft Intune
• Un script se puede ejecutar manualmente en cada máquina individual, independientemente de cómo se administre, siempre que tenga conectividad a Internet al servicio ATP

El paquete de configuración es exclusivo de su inquilino y está disponible para descargar desde el portal ATP de Windows Defender: https://securitycenter.windows.com:
1. Vaya al panel de navegación y haga clic en la administración de punto final.
2. Seleccione las opciones apropiadas, como la política grupal.
3. Haga clic en el paquete de descarga y guarde el archivo .zip.

Cada paquete proporciona un script diferente y archivos adicionales cuando sea necesario:

• Script local: se proporciona un solo script de comando de Windows.
• Política de grupo: se proporciona un script de comando de Windows, así como un archivo .admx y .Adml para la consola de administración de políticas de grupo (GPMC).
• MDM: Esto proporciona un solo archivo de incorporación que se puede implementar en máquinas específicas.

SCCM: Hay dos opciones, recomendamos actualizar a la versión 1606. Esto proporciona un solo archivo de incorporación que se puede implementar en máquinas específicas.
Una vez que el punto final haya recibido el paquete de configuración, intentará comunicarse con el servicio ATP. Para hacer esto, el punto final debe estar en una red que permita la comunicación HTTP con varias URL. Para redes complejas y altamente seguras, esto puede requerir un cambio en las reglas de firewall y la configuración de proxy para habilitar esta comunicación.

Configurar datos del sensor

Actualmente, hay dos configuraciones que se pueden configurar para cada punto final.
Por ejemplo, para configurar clientes utilizando la política de grupo:
1. Descargue el paquete de configuración para la política de grupo.
2. Exportar el contenido del archivo.
3. Copie el archivo ADMX a la carpeta %Systemroot %\ PolicyDefinitions \.
4. Copie el archivo ADML a la carpeta %Systemroot %\ PolicyDefinitions.
5. Lanzamiento de la editor de políticas del grupo y cree una nueva política de grupo dirigida a los clientes OU para Windows 10 apropiados.
Ahora necesita configurar las siguientes políticas:

• Para garantizar que cada punto final se registre con el servicio ATP, vaya a la configuración de la computadora | Preferencias | Configuración del panel de control y cree una nueva tarea programada para ejecutar el script de incorporación de ATP de Windows Defender ATP.
• Para configurar el modo de latencia y la configuración de la colección de muestras, vaya a la configuración de la computadora | Políticas | Plantillas administrativas | Componentes de Windows | Defensor de Windows ATP.

• El modo de latencia del cliente cambia la frecuencia de informes; Para activos o máquinas de alto valor con alto riesgo, puede aumentar la frecuencia de expedición al modo. Habilitar esta característica puede tener un impacto de rendimiento en el cliente y aumentar el tráfico de la red, por lo que se recomienda probar esto en algunos puntos finales y monitorear el impacto antes de implementarse ampliamente.
• Cambie la configuración de la recolección de muestras para habilitar o evitar que se recolecten muestras desde el punto final cuando se realiza una solicitud a través del portal ATP del defensor de Windows para un análisis profundo.

Configuración adicional

Hay algunas configuraciones adicionales a tener en cuenta que pueden evitar que el servicio se ejecute correctamente.
Configuración de telemetría y diagnóstico: antes de configurar los puntos finales, debe asegurarse de que el servicio de telemetría y diagnóstico esté habilitado en todos los puntos finales de su organización. Por defecto, este servicio está habilitado, pero es una buena práctica verificar para asegurarse de obtener datos de sensor de ellos.
Las actualizaciones de firma de Windows Defender están configuradas: el agente ATP de Windows Defender depende de la capacidad de Windows Defender para escanear archivos y proporcionar información sobre ellos. Si Windows Defender no es el anti malware activo en su organización, es posible que deba configurar las actualizaciones de firma.

• Cuando Windows Defender no es el anti malware activo en su organización y usted usa el servicio ATP de Windows Defender, Windows Defender entra en modo pasivo.
• El controlador de antimalware de lanzamiento temprano de Windows Defender (ELAM) está habilitado.
• Si está ejecutando Windows Defender como el producto principal contra el malware en sus puntos finales, el agente ATP de Windows Defender se incorporará con éxito.
• Si está ejecutando un cliente anti malware de terceros y usa soluciones MDM o SCCM (rama actual) versión 1606, deberá asegurarse de que el controlador de ELAM de Windows Defender esté habilitado.

Detectar: ​​usando el portal de ATP

Lo primero que verá cuando inicie sesión en el portal de ATP es el
Vista del tablero:

Descripción general de la navegación del tablero:

• Panel de navegación del lado izquierdo (1)
• Ventana principal del portal para mostrar los mosaicos y detalles del tablero (2)
• Búsqueda, comentarios, configuraciones y ayuda y soporte (3)

El tablero muestra una instantánea de los siguientes componentes:

• Las últimas alertas activas en su red, con las más importantes resaltadas en la parte superior
• Las máquinas diarias informan para mostrar cuántas máquinas informan activamente cada día
• Las máquinas en riesgo mostrarán esos puntos finales con los mayores riesgos
• El informe de los usuarios en riesgo proporciona una identificación rápida de esos usuarios.
• Máquinas con alertas de malware activas
• Salud de sensores y servicios

Cola de alertas

Desde el panel de navegación, seleccione la cola de alertas. Esta vista mostrará una lista de alertas que fueron marcadas desde los puntos finales en su red. Puede ordenar y filtrar las alertas haciendo clic en el encabezado de la columna. Seleccione una alerta para ver más detalles y cambie el estado de nuevo a progreso o resuelto. También puede especificar una clasificación para la alerta y asignarla a usted mismo si aún no está asignado. Para administrar múltiples alertas, use CTRL o cambie para seleccionar más de una, luego aplique la misma acción a cada alerta. Las alertas se gestionan en varias colas, dependiendo de su estado actual:

• Nuevo
• En curso
• Resuelto
• Asignado a mi

Lista de máquinas

Desde el panel de navegación, seleccione la lista de máquinas.
Esta vista le mostrará todos los puntos finales que se han registrado en el servicio ATP. Las columnas se pueden clasificar para proporcionar información rápida, o puede exportarlas a un archivo CSV. Las columnas disponibles incluyen:

• Nombre de la máquina
• Dominio
• Plataforma del sistema operativo
• Estado de salud
• Último visto
• IP interna
• Alertas activas
• Detecciones activas de malware

También puede filtrar los resultados de la vista en función de las siguientes opciones:
Hora: elija un rango entre 1 día y 6 meses
Plataforma del sistema operativo: incluir o excluir sistemas operativos específicos
Salud: incluya o excluya estadísticas de salud específicas para mostrar solo puntos finales activos, inactivos o mal configurados
Alertas de categoría de malware: elija incluir o excluir los siguientes tipos de malware:

• Ransomware
• Robo de credenciales
• Explotar
• Puerta trasera
• General
• Pua

Configuración de preferencias

En el panel de navegación, seleccione Configuración de preferencias.
General: algunas de las configuraciones que se configuraron durante el asistente de configuración inicial se pueden modificar aquí, incluida la política de retención de datos y las selecciones de la industria. La ubicación de almacenamiento de datos y el tamaño de la organización no se pueden modificar.
Características avanzadas: esta sección proporciona características que requieren integración con otras tecnologías:

• Archivo de bloque: si Windows Defender es la solución activa contra el malware, y la protección basada en la nube está habilitada, entonces puede usar la función de archivo de bloque para bloquear archivos potencialmente maliciosos en su red. Esto evitará que el archivo se lea, escriba o ejecute en todas las máquinas registradas con ATP (en su organización).
• Office 365 Conexión de inteligencia de amenazas: si tiene una suscripción activa de Office 365 E5 (o el complemento de inteligencia de amenazas), puede conectar el ATP del defensor de Windows al ATP de Office 365. Esto permitirá que las investigaciones de seguridad se extiendan a través de las dos plataformas.

Gestión de punto final

Desde el panel de navegación, seleccione Gestión de punto final. Esta sección le permite descargar los archivos de configuración relevantes, dependiendo de sus requisitos de implementación y administración.

Proteger la respuesta posterior a la violación

Esta sección cubrirá los tipos de amenazas que abordan el ATP del defensor de Windows, como el ransomware y el robo de credenciales, y las respuestas que puede tomar cuando se encuentra una máquina sospechosa, archivo o proceso, para asegurarse de recopilar la información relevante para un a través de la investigación y la limpieza.

Tipos de amenazas

El servicio ATP de Windows Defender ATP puede detectar una amplia gama de amenazas. Cada uno se discute en las siguientes secciones, y se puede agregar más en el futuro a medida que cambia el panorama de amenazas. Use esta información para obtener conciencia de los diversos tipos de amenazas y manténgase al día con los cambios revisando el informe de inteligencia de seguridad de Microsoft.

Ransomware

El ransomware utiliza métodos comunes para cifrar archivos utilizando claves que solo son conocidas por los atacantes. Como resultado, las víctimas no pueden acceder al contenido de los archivos cifrados. La mayoría de los ransomware muestran o deja caer una nota de rescate: una imagen o un archivo HTML que contiene información sobre cómo obtener la herramienta de descifrado suministrada por el atacante por una tarifa. Desafortunadamente, pagar al atacante no garantiza que los archivos se descifren, sin embargo, varias compañías lo han hecho, solo proporcionando más fondos para que realicen más ataques contra otras compañías. Una mejor respuesta es asegurarse de que los archivos estén respaldados y llevar a cabo una restauración de los archivos afectados, y luego evitar que esto vuelva a ocurrir.

Robo de credenciales

Las herramientas de espionaje, ya sean disponibles comercialmente o se usan únicamente para fines no autorizados, incluyen spyware de uso general, software de monitoreo, programas de piratería y robadores de contraseñas. Estas herramientas recopilan credenciales y otra información de registros de navegador, presas de clave, correo electrónico e mensajes instantáneos, conversaciones de voz y video, y capturas de pantalla. Se utilizan en ataques cibernéticos para establecer información de control y robo.
Microsoft tiene acceso a la inteligencia cibernética que les permite escanear credenciales robadas (de bases de datos masivas que enumeran la información obtenida de infracciones anteriores), y si alguno se detecta en uso contra su inquilino (a través de Azure AD), puede alertar y tomar inmediato Acción para proteger la identidad al hacer cumplir las verificaciones de autenticación adicionales (busque la protección de identidad de Azure AD para obtener más detalles).

Exploits

Las exploits aprovechan el código no garantizado en los componentes y aplicaciones del sistema operativo. Las exploits permiten a los atacantes ejecutar código arbitrario, elevar los privilegios y realizar otras acciones que aumentan su capacidad para comprometer una máquina dirigida. Las exploits se encuentran tanto en malware de productos básicos como en malware utilizados en ataques específicos. La mejor manera de defenderse de este tipo de ataques es asegurarse de que haya parcheado completamente todo el firmware, los sistemas operativos y el software tan pronto como las actualizaciones estén disponibles.

Puro

Las puertas traseras son herramientas maliciosas de acceso remoto que permiten a los atacantes acceder y controlar las máquinas infectadas. Las puertas traseras también se pueden usar para ex-filtrados datos. Estos tipos de ataques pueden limitarse garantizando que las credenciales se actualicen de manera regular (todas las contraseñas se cambian con frecuencia, incluidas las cuentas locales, los servicios y las credenciales incorporadas). Estos ataques se pueden encontrar monitoreando comportamientos anómalos que indican una posible actividad maliciosa.

Malware general

El malware es un programa malicioso que realiza acciones no deseadas, incluidas acciones que pueden interrumpir, causar daños directos y facilitar la intrusión y el robo de datos. Algunos malware pueden replicarse y extenderse de una máquina a otra. Otros pueden recibir comandos de atacantes remotos y realizar actividades asociadas con ataques cibernéticos. El software antivirus puede detectar firmas de malware conocidas, pero pueden cambiar con frecuencia (cientos a miles de nuevas variantes cada día). Prevenir los derechos administrativos locales a todos los usuarios es la mejor manera de evitar este tipo de ataque. También puede implementar tecnologías como Applocker para evitar que se ejecuten procesos no autorizados.

Aplicación potencialmente no deseada

PUA es una categoría de aplicaciones que instalan y realizan actividades indeseables sin un consentimiento adecuado del usuario. Estas aplicaciones no son necesariamente maliciosas, pero su comportamiento a menudo afecta negativamente la experiencia informática, incluso parece invadir la privacidad del usuario. Muchas de estas aplicaciones muestran publicidad, modifican la configuración del navegador e instalan software agrupado.

Tomar acciones receptivas

Una vez que se ha confirmado una violación, debe poder tomar medidas rápidas y apropiadas para evitar una mayor propagación y daños potenciales. Las siguientes acciones de respuesta están disponibles:

• Aislar máquinas o recolectar un paquete de investigación
• Cargar archivos para un análisis profundo
• Detener los archivos de detención y cuarentena o bloquear un archivo desde su red
• Pivote en la oficina 365 para investigar, evitando una mayor propagación

Tomar acciones receptivas en una máquina

Una vez que se ha identificado una amenaza, hay acciones que se pueden tomar en la máquina que se sospecha que contiene el malware u otra evidencia de actividades. Use la siguiente guía para recopilar datos que se pueden utilizar como evidencia forense, conocida como paquete de investigación y, si es necesario, aislar la máquina para evitar mayores riesgos y dar tiempo para llevar a cabo una investigación y limpieza exhaustivas.

Recopilar un paquete de investigación

Una vez que haya identificado actividades sospechosas en una máquina, puede recolectar un paquete de investigación para identificar el estado actual y comprender mejor las herramientas y técnicas utilizadas por el atacante. Esta información es útil para recopilar antes del aislamiento y la reconstrucción de la computadora como parte de su proceso de recuperación; De lo contrario, la información se pierde y es posible que nunca descubra cómo ocurrió el ataque.
Para iniciar una colección, busque la máquina en el portal ATP, vaya al menú Acciones, seleccione el paquete de investigación recopilar y luego ingrese un motivo cuando se le solicite:

Se recomienda ejecutar este informe en una muestra de sus puntos finales para asegurarse de que estén configurados correctamente cuando están sanos, para asegurarse de obtener toda esta información valiosa en caso de que ocurra un ataque.
El paquete puede tardar varios minutos en cargar desde el punto final hasta el portal, y luego estará disponible en el Centro de Acciones, donde puede descargarlo y llevar a cabo sus investigaciones:

Mientras probaba, el archivo zip era de 3.3 MB; Sus resultados pueden variar según el nivel de actividad en sus clientes:

El paquete contiene la siguiente información:

• Informe de proceso Autorun
• Lista de programas instalados (archivo .csv)
• Conexiones de red (múltiples archivos .txt)
• Archivos previos a la captura (múltiples archivos; estos requerirán un lector especial para ver)
• Procesos (archivo .csv)
• Tareas programadas (archivo .csv)
• Registro de eventos de seguridad (asegúrese de que esto tenga un tamaño correcto para evitar la pérdida de datos)
• Servicios (archivo .txt)
• Sesiones SMB de Windows (archivo .txt)
• Directorios TEMP (un archivo .txt por usuario)
• Usuarios y grupos (archivo .txt)
• CollectionsumMaryReport.xls: un resumen de la recopilación de paquetes de investigación para garantizar que haya capturado toda la información

Aislar una máquina

Cuando un ataque es lo suficientemente grave, es posible que desee aislar toda la máquina mientras puede llevar a cabo más actividades de investigación y limpieza. En el portal ATP, identifique la máquina que desea aislar y abrir el menú Acciones, y luego seleccione Aislar la máquina. Se le solicitará al usuario un mensaje para advertirles sobre esta actividad y les solicitará que se comuniquen con el mostrador de servicio:

Mientras el dispositivo mantenga la conectividad a Internet, podemos controlar de forma remota su capacidad para extender las infecciones. Esta es una forma muy poderosa de controlar las acciones centralmente en dispositivos sin el riesgo de perder la productividad empresarial si se encuentra un falso positivo.

Tomar acciones receptivas en un archivo o proceso

Los archivos y procesos sospechosos se pueden investigar específicamente. Use la siguiente guía para llevar a cabo un análisis profundo para identificar completamente las amenazas potenciales y tomar la respuesta adecuada, como bloquear el archivo que se accede.

Solicitar análisis profundo

Las solicitudes de análisis profundo se pueden realizar desde el portal ATP. A través de sus investigaciones, cuando encuentra un archivo que sospecha, puede ver los detalles e instantáneamente ver si este archivo ya ha sido detectado:

Este informe también muestra cuántas otras máquinas en su entorno han detectado el archivo. Si cree que es sospechoso, puede seleccionar la solicitud de análisis profundo para enviarla a Microsoft para su investigación. Si se encuentra un problema, se le notificará de los resultados.

Detente y archivo de cuarentena

Desde la misma vista, si el botón Acciones se activa (se muestra como azul), puede contener un ataque seleccionando la acción del archivo Stop & Quarantine:

Se le solicitará al usuario sobre el archivo que se pone en cuarentena.

Bloquear

Si identifica un archivo que desea evitar que se use en todas partes, puede seleccionar el archivo de bloque. Esta acción asegurará que el archivo esté en cuarentena no solo en esta máquina, sino en todos los puntos finales registrados con el servicio ATP. Debido al potencial impacto generalizado que esto podría tener en todo su entorno, la capacidad debe habilitarse bajo la configuración de preferencias, en las características avanzadas.
Esta opción funciona tanto para archivos como para ejecutables, para evitar que se ejecuten aplicaciones no deseadas.

Pivote en la oficina 365

Desde el portal ATP del defensor de Windows, si investiga un ataque y encuentra el archivo sospechoso originado en un correo electrónico o se descubre en otros buzones de buzones, puede seleccionar iniciar el portal ATP de Office 365: https://protection.office.com/# /amenazeExplorer.
El portal de ATP del defensor de Windows proporciona la información específica requerida para buscar y filtrar el archivo específico en todos los buzones:

El administrador puede crear un incidente dentro de Office 365 y adjuntar los correos electrónicos afectados:

Resumen

En este artículo, cubrimos las capacidades avanzadas que están disponibles cuando Windows 10 Enterprise está integrada con el servicio ATP de Windows Defender ATP. Ahora tenemos la capacidad de obtener visibilidad instantánea en acciones críticas de cada cliente de Windows 10 que administramos, independientemente de dónde esté en el mundo. Al poder aprovechar el conocimiento de los equipos de cazadores globales y los expertos en seguridad cibernética, podemos detectar, investigar y responder rápidamente a las amenazas avanzadas que el software independiente no puede defender.
Esta tecnología evoluciona constantemente para traer nuevas técnicas y procesos directamente a usted. Impléntelo en su entorno, siéntase cómodo con los controles y capacidades actuales, y manténgase informado de los cambios para garantizar que sepa cómo defender y recuperarse de una violación.