Microsoft Defender ATP de stap verder dan Antivirus

Geplaatst op 19 mei 2021 door Danielle Bakker in:
Cloud Computing

Microsoft Defender ATP is een ongelooflijk krachtige oplossing na een inbreuk die automatische detectie en reactie van eindpunten biedt.

Microsoft Defender ATP (MDATP) detecteert en herstelt automatisch geavanceerde aanvallen op uw endpoints. Het onderzoekt de omvang en de potentiële impact van elke bedreiging en levert rapporten over de verschillende bedreigingen voor de machines van uw organisatie, zodat u de bedreigingen snel en gemakkelijk kunt beperken en verwijderen met behulp van geavanceerde tools en automatisering.

We moeten benadrukken dat Microsoft Defender ATP geen antivirusproduct is. Microsoft Defender – niet te verwarren met Microsoft Defender ATP – biedt antimalware- en antivirusfuncties voor het Windows 10-besturingssysteem, terwijl het ATP-product een oplossing is na een inbreuk die een aanvulling vormt op Microsoft Defender.

Oplossingen na een inbreuk zijn ontworpen om u te helpen nadat uw beveiligingsmaatregelen zijn geschonden. Waarom is dit belangrijk? Het is belangrijk omdat het moderne cyberveiligheidsmodel ervan uitgaat dat een inbreuk op een bepaald moment kan en zal plaatsvinden . Aangezien geen enkele beveiligingsoplossing ter wereld ondoordringbaar is, is een zero-trust-model de meest logische en geschikte benadering.

Microsoft Defender ATP is er om ervoor te zorgen dat wanneer een inbreuk zich voordoet, deze snel kan worden geïsoleerd en aangepakt voordat deze de kans krijgt om enige schade aan te richten of zich te manifesteren binnen uw netwerk. Het identificeert ook kwetsbaarheden in uw organisatie, zoals niet-gepatchte software, en biedt herstelopties om dit aan te pakken. Microsoft Defender ATP is dus ‘preventief’ en biedt uw organisatie een extra beschermingslaag.

Hoe werkt het?

Microsoft Defender ATP is agentloos en vereist geen implementatie of infrastructuur omdat het in de cloud wordt gehost. De technologie maakt gebruik van ‘endpoint-gedragssensoren’ die binnen het besturingssysteem van elk apparaat liggen. Deze sensoren in Windows verzamelen voortdurend gegevens en sturen deze terug naar de eigen Microsoft Defender-cloudinstantie van uw organisatie. Microsoft Defender ATP analyseert vervolgens het gedrag van de code die op de computers van uw organisatie wordt uitgevoerd en bepaalt of iets eruitziet alsof het een bedreiging kan zijn.

Hoe weet MDATP hoe een dreiging eruitziet?

In feite verzamelt Microsoft een ongelooflijke hoeveelheid telemetrie van klanten over de hele wereld – in feite 6,5 biljoen signalen per dag. Deze telemetrie bestaat uit signalen van alle diensten van Microsoft, zoals Microsoft Defender ATP, Office 365 ATP en gegevens van de cyberbeveiligingsteams van Microsoft en wereldwijde wetshandhaving enz. Microsoft noemt deze gegevenspool de ‘ Microsoft Intelligent Security Graph’. Microsoft voert machine learning, AI en big data-analyse van wereldklasse uit voor deze telemetrie. Met deze hoeveelheid gegevens kan Microsoft bepalen welke gedragspatronen in de code als ‘normaal’ worden beschouwd en welke gedragspatronen kunnen duiden op een kwaadaardige activiteit, zoals malware of een ander type aanval. Inzichten uit de Intelligent Security Graph zorgen voor realtime bescherming tegen bedreigingen in Microsoft-producten en -services, waaronder Microsoft Defender ATP.

Als organisaties bedreigingen ervaren, wordt deze informatie teruggevoerd naar de cloud van Microsoft, die leert welke van deze gedragspatronen duiden op een bedreiging. Wanneer een bedreiging is gedetecteerd binnen het exemplaar van Microsoft Defender ATP van uw organisatie, scant het de apparaten van uw organisatie op de bedreiging en vertelt het u:

– Hoe de dreiging begon

– Wat de dreiging is

– Wat de dreiging waarschijnlijk zal doen

U kunt vervolgens actie ondernemen om de dreiging te verhelpen en het probleem te verwijderen, evenals automatisch herstel dat in sommige gevallen wordt uitgevoerd door Microsoft Defender ATP.

Functionaliteit en mogelijkheden.

Hoewel de belangrijkste functionaliteit van Microsoft Defender nauw geïntegreerd en verweven is tussen de verschillende mogelijkheden en de andere producten van Microsoft voor bescherming tegen bedreigingen, kunnen de mogelijkheden van Microsoft Defender ATP globaal worden samengevat in de volgende categorieën:

Beheer van bedreigingen en kwetsbaarheden.

MDATP voert een real-time software-inventarisatie uit op eindpunten. Het heeft daardoor zicht op alle software op een machine en inzicht in veranderingen zoals patches, installaties en verwijderingen. Waar bekende kwetsbaarheden in de beveiliging bestaan ​​met betrekking tot de applicaties die op uw machines worden uitgevoerd, of als er patches ontbreken, zal Microsoft Defender ATP deze ontdekken, ze prioriteren en u in staat stellen deze te verhelpen met beveiligingsaanbevelingen. Integratie tussen Microsoft Defender ATP met Intune en System Center Configuration Manager (SCCM) biedt een ingebouwd herstelproces.

Vermindering van het bereik van aanvallen.

Door bepaalde controles in te voeren met MDATP, kunt u de gebieden minimaliseren waar cyberbedreigingen en -aanvallen uw verdediging zouden kunnen aanvallen. Toepassingen moeten bijvoorbeeld worden gemarkeerd als vertrouwd om te kunnen worden uitgevoerd, in plaats van standaard vertrouwd te worden, zoals in het verleden. Hardware-isolatie verkleint ook het aanvalsoppervlak door niet-vertrouwde websites en pdf’s te isoleren in lichtgewicht containers om ze gescheiden te houden van Windows 10 – waardoor de machine en bedrijfsgegevens worden beschermd tegen de indringer.

Endpoint Detection and Response (EDR).

De belangrijkste functionaliteit van Microsoft Defender ATP na een inbreuk zijn de mogelijkheden voor endpointdetectie en -respons (EDR). MDATP detecteert aanvallen in bijna realtime en biedt bruikbare waarschuwingen aan IT- en beveiligingsanalisten. ‘Alerts’ met gemeenschappelijke kenmerken (bijv. ‘Zelfde bestand’, ‘zelfde URL’, ‘nabije tijd’ of ‘bestandskenmerken’ enz.) Worden automatisch gegroepeerd in ‘Incidenten’. Deze samenvoeging maakt het voor het responsteam gemakkelijker om bedreigingen in de hele organisatie te onderzoeken en erop te reageren.

 

Wilt u meer weten over Microsoft Defender ATP en Microsoft 365, Bel dan naar (074) 7 630 610 of stuur een email naar verkoop@iplinq.nl en wij informeren u graag over de mogelijkheden.