Windows 10: Backport von Microsoft Defender ATP-Automatisierung und Cloud-App-Erkennung

[English]Letzten Mittwoch hat Microsoft den Backport der Microsoft Defender ATP-Automatisierung und Cloud-App-Erkennung auf älteren Windows 10-Versionen bekannt gegeben.


Anzeige

Allgemeine Hinweise und Rückblick

Microsoft ist dabei, den Windows Defender als Schutz vor Bedrohungen für Unternehmensumgebungen auszuweiten. Mit Windows Defender Advanced Thread Protection (Windows Defender ATP) steht eine erweiterte (kostenpflichtige) Schutzlösung für Windows 10 in Unternehmensumgebungen bereit. Im Februar 2019 wurde dann bekannt, dass Microsoft den Windows Defender ATP auch für Windows 7 SP1 und Windows 8.1 portiert hat (siehe Windows Defender ATP EDR für Windows 7/8.1 verfügbar).

In einem Kommentar zum Artikel hat Stefan Kanthak dann auf einige Schwachstellen beim Download und beim Installer dieser Lösung hingewiesen. In diesem Kommentar zu meinem heise-Artikel kamen ebenfalls Hinweise auf eine Mail auf securityfocus mit den gleichen Informationen. Auch sonst sind die Kommentare zum Blog-Beitrag ganz interessant.

Aus Windows Defender Advanced Thread Protection (ATP) wurde inzwischen Microsoft Defender ATP, eine umfassende Schutzlösung für Windows 10 und macOS in Unternehmensumgebungen (siehe Windows Defender ATP wird zu Microsoft Defender ATP).

(Quelle: YouTube)

Backport für ältere Windows 10-Versionen

Letzten Mittwoch (26. Juni 2019) hat Heike Ritter in einem Techcommunity-Beitrag darauf hingewiesen, dass Microsoft Defender ATP-Automatisierung und Cloud-App-Erkennung jetzt auch auf älteren Windows 10-Maschinen verfügbar sind.

Ich bin über den obigen Tweet darauf aufmerksam geworden, musste aber erst recherchieren, was daran neu ist. Denn die oben erwähnten Blog-Beiträge hatte ich noch im Hinterkopf.

Worum geht es im Artikel?

Die Automatisierung von Microsoft Defender ATP nutzt modernste KI-Technologie, um Vorfälle zu beheben, indem sie automatisch Warnmeldungen untersucht, KI anwendet, um festzustellen, ob eine Bedrohung real ist, und bestimmt, welche Maßnahmen ergriffen werden müssen – vom Alarm bis zur Behebung in Minutenschnelle. Diese Automatisierung war jedoch auf die jeweils neueste Windows 10-Version beschränkt.


Anzeige

Microsoft schreibt, dass ‘viele’ Unternehmenskunden im semi-annual channel (SAC) die Funktionsupdates auf die jeweils neueste Windows 10-Version zwei Mal jährlich mitmachen. Aber Microsoft habe auch lernen müssen, dass der Rest der Gesamtmenge – ‘viele’ doch signifikant sei – denn diese Kunden steigen halt nicht jede 6 Monate auf die neueste Windows 10-Version mit all ihren Bugs um.

Aus diesem Kreis der Unternehmenskunden kam das Feedback, dass man mehr Zeit und Flexibilität benötige, um Updates zu planen, zu testen und bereitzustellen. Microsoft hat darauf reagiert und bereits Änderungen am Windows-Service- und Support-Lebenszyklus vorgenommen.

Der nächste Schritt, der damit angekündigt wurde: Redmond stellt die neuesten Microsoft Defender-ATP-Funktionen auch für ältere Windows 10-Versionen bereit.

Welche Windows 10-Versionen bekommen den Backport?

Eine der größten Anforderungen war die Microsoft Defender-ATP Automatisierung für frühere Windows 10-Versionen bereitzustellen. Damit sollten die Sicherheitsteams dabei auf diesen Versionen unterstützt werden, um Bedrohungen in ihrem Netzwerk automatisch zu untersuchen und zu beheben.

Die Automatisierung ist jetzt mit Windows 10, Version 1709 und höher verfügbar. Dieser Service umfasst auch die automatisierte Untersuchung und Behebung von speicherbasierten (dateifreien) Angriffen. Das bedeutet, dass das System automatisierte Speicherforensik nutzen kann, um bösartige Speicherbereiche zu belasten und erforderliche Maßnahmen zur In-Memory-Bereinigung durchzuführen.

Was muss man als Administrator tun?

Um von diesen rückportierten Funktionen zu profitieren, müssen Sie lediglich ein Windows Update installieren. Für das Windows 10 Fall Creators Update (Version 1709) müssen Sie KB4493441 oder höher installieren, und für Windows 10 Spring 2018 Update (Version 1803) ist es KB4493464 oder höher. Sobald das erledigt ist, können Sicherheitsteam von diesen Funktionen auf diesen Maschinen profitieren.

Kleine Erläuterung der Begrifflichkeiten

Eine der großen Probleme bei dem ganzen Zeugs ist, dass das Microsoft Marketing sich immer weitere klingende Bezeichnungen ausdenkt. Der Techcommunity-Artikel von Heike Ritter ist zwar recht knapp – wer nicht im Thema drin ist, versteht aber nur Bahnhof. Daher habe ich nachfolgend noch einige Informationen herausgezogen.

Microsoft Defender ATP-Automatisierung

Der Microsoft Defender ATP-Dienst bietet Funktionen, um Sicherheitsvorfälle auf Systemen in einem Dashboard anzuzeigen. Diese werden, darauf hatte ich in den obigen Artikeln hingewiesen, im Windows Defender Security Center zusammen mit Daten von anderen Endpunkten angezeigt. Damit erhälten Sicherheitsteam eine einzige Stelle, an der ein Überblick über Sicherheitsvorfälle zu finden ist. Die Daten können zur Untersuchung und Reaktion auf Vorfälle in der gesamten Windows-Umgebung verwendet werden.

Windows Defender ATP in Win7
Zum Vergrößern klicken

Der Pferdefuß ist, dass der Microsoft Defender ATP-Dienst zwar eine große Bandbreite an Transparenz im Hinblick auf Sicherheitsvorfälle auf denn überwachten Computern (Endpunkten) bietet. Aber der Dienst erzeugt eine Vielzahl von Warnungen, deren Menge für ein typisches Sicherheitsbetriebsteam eine Herausforderung darstellen kann. Microsoft hat das hier so umschrieben – der deutsche Volksmund hatte schon lange bevor Microsoft die Welt mit solchen Lösungen beglückte, einen treffenden Spruch dafür ‘Man sieht den Wald vor lauter Bäumen nicht mehr’.

Nachdem Microsoft diese Erkenntnis gewonnen hat, begann man mit Automatisierung zu reagieren. Um dieser Herausforderung zu begegnen, nutzt Microsoft Defender ATP automatisierte Untersuchungen. Ziel ist es, das Volumen der Warnmeldungen, die einzeln untersucht werden müssen, deutlich zu reduzieren.

Die automatisierte Untersuchungsfunktion nutzt verschiedene Prüfalgorithmen und Prozesse, die von Analysten (z.B. Playbooks) verwendet werden, um Warnmeldungen zu untersuchen und sofortige Abhilfemaßnahmen zur Behebung von Verstößen zu ergreifen. Dadurch wird das Alarmvolumen deutlich reduziert, so dass sich die Experten für Sicherheitsbetrieb auf komplexere Bedrohungen und andere hochwertige Initiativen konzentrieren können.

Die Liste der automatisierten Untersuchungen zeigt alle automatisch eingeleiteten Untersuchungen und weitere Details wie Status, Erkennungsquelle und Datum, an dem die Untersuchung eingeleitet wurde. Die Details sind im Dokument Overview of Automated investigations beschrieben.

Microsoft Cloud App Security

Kommen wir noch kurz zum Begriff ‘Microsoft Cloud App Security’, der im Dokument Microsoft Defender Advanced Threat Protection integration with Microsoft Cloud App Securitybeschrieben wird. Microsoft Cloud App Security lässt sich nativ mit Microsoft Defender Advanced Threat Protection (ATP) integrieren.

Microsoft Cloud App Security verwendet die von Microsoft Defender ATP gesammelten Verkehrsinformationen über die Cloud-Anwendungen und -Dienste, auf die von IT-verwalteten Windows 10-Computern zugegriffen wird. Die Integration ermöglicht es Ihnen, Cloud Discovery auf jedem Computer im Unternehmensnetzwerk über öffentliches WLAN, beim Roaming und über Fernzugriff auszuführen. Es ermöglicht auch maschinenbasierte Untersuchungen.

Hat man einen riskanten Benutzer identifiziert, können alle Computer, auf die der Benutzer zugegriffen hat, überprüfen werden, um potenzielle Risiken zu erkennen. Wurde eine riskante Maschine identifiziert, lassen sich alle Benutzer, die diese Maschine verwendet haben, überprüfen, um potenzielle Risiken zu erkennen. Die Microsoft Cloud App Security ist also ein mächtiges Werkzeug zur Auswertung der Protokolle von Endpunkten, die an Cloud App Security weitergeleitet werden.

Ähnliche Artikel:
Windows Defender ATP EDR für Windows 7/8.1 verfügbar
Windows Defender ATP wird zu Microsoft Defender ATP


Anzeige
Dieser Beitrag wurde unter Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.