După descrierea făcută de vendor, “Microsoft Defender pentru Endpoint este o platformă concepută pentru a ajuta rețelele enterprise să prevină, să detecteze, să investigheze și să răspundă la amenințările avansate ale terminalelor/dispozitivelor.”
Pentru înțelege, însă, mult mai rapid și eficient această definiție, vom face împreună o analiză a graficul de mai jos, ce ilustrează cronologia tipică a unui atac direcționat:
Sursa docs.microsoft.com
Sursa Microoft Learn
De aceea, viziunea Microsoft asupra nevoilor de securitate a organizațiilor a fost integrată în platforma Microsoft 365 Defender ce oferă capacitatea organizațiilor de a preveni, detecta, investiga și remedia atacurile complexe desfășurate pe mai multe domenii. Poți urmări acest tutorial care explică pas cu pas modul de utilizare Microsoft 365 Defender.
În această suită, rolul Microsoft Defender pentru Endpoint este de platformă unificată pentru terminalele finale (endpoints) pentru protecție preventivă, detectarea încălcării securității acestora și investigarea și răspunsul automat.
Sursa docs.microsoft.com
Odată cu activarea licenței pentru Microsoft Defender for Endpoint vor fi disponibile următoarele capabilități:
Microsoft Defender pentru Endpoint utilizează următoarele tehnologii integrate în Windows 10/11 și platforma de cloud Microsoft 365:
Una din cele mai importante funcționalități ale acestui produs este identificarea, evaluarea și remedierea eficientă a punctelor slabe ale terminalelor (endpoints), ce este esențială pentru implementarea unui program de securitate sănătos și pentru reducerea riscului la nivelul organizației. Numită managementul amenințărilor și vulnerabilităților, servește ca o infrastructură pentru reducerea zonei de expunere și pentru întărirea securității la nivelul dispozitivelor contribuind astfel la creșterea capacității organizației de a rezista atacurilor cibernetice.
Această infrastructură ajută organizațiile să descopere vulnerabilități și configurări greșite în timp real, pe baza senzorilor, fără a fi nevoie de agenți sau scanări periodice și este capabilă să prioritizeze problemele descoperite pe baza unui număr de factori: tipul amenințărilor, aparițiile acestora la nivelul organizației și informațiile sensibile despre dispozitivele vulnerabile și contextul utilizării infrastructurii.
Managementul amenințărilor și vulnerabilităților este integrat în timp real cu conglomeratul de securitate Microsoft Endpoint, Microsoft Intelligent Security Graph și baza de cunoștințe de analiză a aplicațiilor și se poate asocia cu politicile de securitate gestionate de platforma de MDM (Microsoft Device Management) Microsoft Endpoint Manager.
A doua funcționalitate majoră a platformei Microsoft Defender for Endpoint este reducerea suprafeței de atac, considerată a fi prima linie de apărare conform modelelor de securitate din industrie, asigurându-se că setările de configurare sunt setate corect și că sunt aplicate tehnici de atenuare a exploatării (governance and compliance). Mai jos am pus câteva din funcționalitățile implementate în platformă, ce au rolul de a reduce suprafața atacată:
Mecanisme de securitate implementate în Windows 11
ce contribuie activ la reducerea suprafeței de atac a dispozitivului
Capabilitățile de protecție ale platformei Microsoft Defender for Endpoint
Alături de capacitățile de detecție și răspuns, atacurile avansate sunt detectate în timp real, ceea ce oferă analiștilor de securitate oportunitatea de a prioritiza alertele, de a obține vizibilitate asupra încălcării principiilor de securitate și de a lua rapid măsuri de răspuns cu scopul remedierii amenințărilor detectate.
Platforma colectează continuu date de telemetrie cibernetică comportamentală ce includ informații despre proces, activități în rețea, vizibilitate în profunzimea kernelului și managerului de memorie, activități de conectare a utilizatorului, modificări ale registrilor și ale sistemului de fișiere.
Informațiile sunt stocate timp de șase luni, permițând unui analist să se întoarcă investigativ înapoi în timp, până la începutul unui atac și să poată obține diferite date necesare pentru a aborda o investigație prin mai mulți vectori de atac.
Volumul mare al alertelor generate poate fi o provocare pentru o echipă tipică de operațiuni de securitate dacă le abordează individual. Pentru a face față acestei provocări, Microsoft Defender pentru Endpoint utilizează capabilități automate de investigare și remediere pentru a reduce semnificativ volumul alertelor care trebuie investigate individual.
Această funcție folosește diverși algoritmi de inspectare și procese analitice pentru a examina alertele și a lua măsuri imediate de remediere în scopul rezolvării încălcărilor de securitate, ceea ce reduce semnificativ volumul alertelor, permițând experților în operațiuni de securitate să se concentreze asupra amenințărilor mai sofisticate și a altor investigații de o importanță mai ridicată.
Pentru o înțelegere în profunzime a conceptelor enumerate anterior poți parcurge tutorialul Reducerea riscurilor organizaționale prin Threat & Vulnerability Management, oferit de vendor pe platforma Microsoft Learn.
Microsoft Defender pentru Endpoint permite generarea și utilizarea de interogări de hunting (vânătoare de amenințări) pentru a crea reguli personalizate de detectare ce pot rula automat pentru a verifica și a răspunde la diferite evenimente și stări ale sistemului, inclusiv activitatea de încălcare suspectată și mașini configurate greșit.
Sursa Microsoft Learn