13/11/2020 publicat per: Softeng

Microsoft Defender Advanced Threat Protection (ATP)

En els últims mesos, hem vist en els mitjans de comunicació com importants empreses i institucions han patit atacs informàtics que han deixat a l'descobert milions de dades sensibles i col·lapsat les seves xarxes corporatives. Segons dades de l'INCIBE (Institut Nacional de Ciberseguretat), l'any passat es van registrar més de 120.000 incidents a Espanya, sent aquesta xifra un 40% més gran que l'any anterior.

En efecte, la seguretat és un dels grans reptes als quals s'enfronten les empreses. No obstant, la sofisticació dels atacs evoluciona a passos de gegant arribant a un nivell tan elevat que poden passar molts mesos fins a descobrir la intrusió a la xarxa i per tant provocant un gran impacte en l'empresa.

Per fer front a aquest tipus d'amenaces avançades, Microsoft ens ofereix Microsoft Defensar for Endpoint (anteriorment anomenat Microsoft Defensar Advanced Threat Protection). Es tracta d'una poderosa solució que combina la tecnologia de Windows 10 i el servei en el núvol intel·ligent Azure per oferir a les empreses protecció preventiva, detecció posterior a la infracció, investigació automatitzada i resposta davant amenaces avançades en les seves xarxes.

Molt més que un antivirus
L'antivirus de Microsoft és Windows Defensar i està inclòs en tots els sistemes operatius de Windows. En canvi, Microsoft Defensar for Endpoint és un conjunt de solucions de seguretat avançades en el núvol que, entre altres fonts, es nodreix de l'antivirus (sigui o no Windows Defensar).

Com t'ajuda exactament a protegir-te?

En línies generals t'ajuda a:

  • Detectar atacs avançats i de dia-zero (Atac que aprofita una vulnerabilitat desconeguda), a partir de l'anàlisi de l'entorn, el comportament i l'ús de l'aprenentatge automàtic, mostrant-te informació detallada de l'abast de la bretxa de seguretat a través de la consola central i oferint solucions per mitigar-la.
  • Obtenir un a nàlisi en temps real de tota la teva infraestructura d'equips a través d'una consola central que mostra informació de l'estat i l'activitat dels equips protegits.
  • T'ofereix accés instantani a l'anàlisi de 6 mesos d'informació referent a l'comportament de l'empresa per dur a terme una anàlisi forense, oferint-te un inventari d'arxius, adreces URL i connexions en tota la xarxa.
  • Estalvia temps al teu departament IT gràcies a la investigació automàtica d'alertes.
  • Ofereix un enfocament de plataforma única
  • Protecció contra atacs de nova generació: Virus polimòrfics o mutants difícils de detectar a causa de que canvien el seu codi maliciós constántemente.
  • Reducció de les superfícies d'atac, a través de diferents funcionalitats com la protecció web, l'accés contolado a carpetes o el control d'aplicacions, protegeix els equips minimitzant les superfícies d'atac.

Microsoft Defender for Endpoint

Com treballa?

L'eina monitoritza contínuament la xarxa a la recerca d'activitat maliciosa o comportaments anòmals a través de:

  • Sensors de conducta: Integrats en els equips i dispositius, recopilen i processen senyals de comportament de sistema operatiu (per exemple, comunicacions de xarxa, modificacions de fitxers i processos). Seguidament aquesta informació s'envia a la consola de Seguretat en el núvol per a analitzar-los i intercanviar senyals amb Microsoft Intelligent Security Graph.
  • Intel·ligència d'amenaces: Microsoft compta amb un equip d'especialistes de seguretat a nivell mundial i una comunitat de caçadors ( "hunters"), que es dediquen exclusivament a buscar i trobar noves tècniques malicioses, entrenant contínuament a Microsoft Defensar for Endpoint per ajudar-lo a ser cada vegada més efectiu.
  • Anàlisi de seguretat en el núvol: Gràcies a l'BigData i a l'aprenentatge automàtic, analitza la informació rebuda dels sensors i la contrasta amb informació històrica i anònima de milions de dispositius repartits per tot el món així com per la Intel·ligència Artificial d'amenaces inclosa en el propi Windows Defensar for Endpoint, per detectar comportaments anòmals, tècniques dels hackers i similitud amb atacs coneguts.

Investigació i solució d'amenaces automàtica

Windows defender advanced Threat Protection

Gràcies a el poder del núvol, l'aprenentatge automàtic i les anàlisis de comportament, Microsoft Defensar for Endpoint proporciona una protecció intel·ligent capaç de fer front a les amenaces més sofisticades i avançades. En xifres, processa 970 milions d'esdeveniments maliciosos a el dia a través d'l'ecosistema empresarial i de consum de Microsoft, el que fa que la seva intel·ligència sigui més poderosa dia a dia. No obstant això, detectar amenaces és només la meitat de la batalla, el 80% de les empreses reben un gran volum d'alertes en els seus sistemes, provocant que el departament IT ocupi gran part dels seus recursos en tasques d'investigació i remediació.

Per resoldre aquest problema, Microsoft Defensar for Endpoint inclou una característica que volem destacar anomenada "investigació automàtica": Aquesta prestació investiga automàticament alertes i aplica intel·ligència artificial per determinar si es tracta realment d'una amenaça amb l'objectiu de poder decidir quines accions prendre, també , de manera automàtica. Aquesta funcionalitat estalvia temps i esforç als departaments d'IT, permetent focalitzar-se en tasques més estratègiques per a l'empresa.

Protecció no només per a Windows

Una de les característiques més recents que Microsoft ha afegit a Microsoft Defensar for Endpoint és la capacitat de protegir no només ordinadors amb Windows, sinó estendre'l també a dispositius amb altres sistemes operatius, tant en ordinadors com mòbils. Així, ara Microsoft Defensar for Endpoint és compatible amb iOS, Android i MacOS, i és capaç de protegir-nos d'atacs de phishing i enllaços maliciosos en diferents dispositius. Cal tenir en compte que els dispositius mòbils representen una amenaça incremental en la vulnerabilitat davant d'atacs de phishing per dos principals motius. Primer perquè els links mailiciosos solen venir no únicament de l'correu electrònic, sinó d'aplicacions de missatges, SMS i altres aplicacions. I segon, perquè en aquests dispositius és més difícil de veure la URL que vas a clicar (pel simple fet de tenir menys pantalla) i per la facilitat de fer clic fins i tot per error.

Concretament, Windows Defensar for endpoints protegeix contra enllaços maliciosos mitjançant aquestes tres tècniques:

  • Anti-phishing. Els enllaços no segurs de les aplicacions mòbils són bloquedos a l'instant, per després notificar als equips de seguretat mitjançant el portal Microsoft Defensar Security Center.
  • Bloqueig de connexions insegures. Bloqueja determinades connexions no segures que fan les aplicacions sense coneixement de l'usuari. Posteriorment, notifica mitjançant el portal de seguretat.
  • Indicadors personalitzats. Permet als equips de seguretat crear accessos i bloquejos personalitzats en funció de les seves necessitats.

Característiques de el portal Microsoft Defensar Security Center

Microsoft Defensar for Endpoint ajuda a el departament d'IT a administrar eficaçment la xarxa de l'empresa, oferint-li un portal d'administració i gestió centralitzat de totes les alertes i mesures de seguretat dels equips, amb funcionalitats que et permeten:

  • Microsoft Defender Advanced Threat Protection (ATP) Moure't pels diferents panells de navegació per accedir a: Operacions de seguretat, Puntuació de seguretat o el Panell d'anàlisi d'amenaces.
  • Gestionar les alertes de seguretat de tota la xarxa.
  • Controlar i gestionar les investigacions automàtiques que s'han dut a terme.
  • A través d'una potent eina de cerca avançada basada en consultes, podràs "caçar" i investigar proactivament a través de les dades de la teva empresa.
  • En l'apartat de llista de màquines podràs controlar els equips incorporats a Windows Defensar ATP obtenint informació detallada de riscos i alertes.
  • Obtenir una visió ràpida de l'estat de servei de l'aplicació.
  • Millorar les seves opcions de configuració, permeten personalitzar normes de retenció, habilitar característiques avançades i crear informes de Power BI que et permetran analitzar de forma interactiva màquines, alertes i estat de la investigacions.

Panells de navegació

Panell d'operacions de seguretat

Aquest panell proporciona una instantània de la xarxa mostrant una vista detallada sobre les diverses alertes de seguretat en equips i usuaris. A través d'aquest panell pots explorar, investigar i determinar ràpidament on i quan s'han produït activitats sospitoses i poder comprendre amb facilitat el context en el qual van sorgir.

Windows defender advanced Threat Protection

El panell té finestres interactives que proporcionen indicacions sobre l'estat de manteniment general de l'organització, com alertes actives, màquines i usuaris en risc, investigacions automàtiques actives i un panell d'activitats sospitoses que mostra els esdeveniments d'auditoria en funció de les deteccions de diversos components de seguretat.

L'eina ofereix també la possibilitat de simular atacs perquè puguis comprovar el seu nivell d'efectivitat abans de seguir incorporant equips.

 

Panell d'anàlisi d'amenaces

Les amenaces emergeixen cada vegada amb més freqüència ia través d'aquest panell, podràs avaluar ràpidament la teva posició de seguretat, incloent l'impacte i resistència de la teva empresa en el context d'amenaces específiques. Així mateix, podràs avaluar i controlar l'exposició de risc a Spectre i Meltdown contínuament, dues de les principals vulnerabilitats dels xips dels processadors a través de les quals els atacants poden accedir al teu equip.

El panell ofereix un conjunt d'informes interactius publicats per l'equip d'investigació de Microsoft Defensar for Endpoint en el moment en què una nova amenaça i atac s'identifica. Des de la secció de recomanacions de mitigació podràs executar accions específiques per millorar la visibilitat de l'amenaça i augmentar la resistència de la teva empresa.

Windows defender advanced Threat Protection

A més de les funcionalitats que hem comentat en l'article, volem destacar les següents:

aïllament

La velocitat de resposta i l'aïllament són la clau per a l'èxit de prevenció d'atacs de seguretat. Per tant, quan l'eina detecta que un equip està compromès, suspèn automàticament el compte de l'usuari i aïlla el dispositiu infectat per impedir l'accés a la xarxa, reduint dràsticament la superfície de l'atac. Així mateix, encara que la màquina estigui aïllada, el departament IT té control total sobre aquest equip en risc, per poder analitzar i mitigar la bretxa de seguretat.

detonació

Pots enviar arxius sospitosos per a una inspecció profunda i anàlisi completa en qüestió de minuts, en un entorn aïllat de la xarxa i bloquejar els arxius en cas de ser maliciosos.

Accés condicional basat en el risc de l'equip

Microsoft Defensar for Endpoint pot controlar l'accés a la informació sensible basant-se en el nivell de risc de l'propi equip. D'aquesta manera, garanteix que només els usuaris autenticats que utilitzin un dispositiu registrat a l'empresa podran accedir a les dades de la companyia a l'Office 365 i més, que només es pugui accedir si l'equip està en bon estat (sense virus, troians, etc). Per tant, si es detecta una amenaça en un dispositiu, la possibilitat d'accés a la informació sensible per part de l'dispositiu afectat es bloqueja de manera instantània mentre l'amenaça segueixi activa.

Administració d'amenaces i vulnerabilitats

Aquesta capacitat utilitza un enfocament basat en el risc per identificar, prioritzar i reparar vulnerabilitats en el equips i configuracions errònies. inclou:

  • Descobriment en temps real a través d'inventaris de dispositius, que ofereixen informació automàtica sobre dades de configuració de seguretat i vulnerabilitats dels equips.
  • Inventari de programari de l'empresa, així com els canvis relacionats amb noves instal·lacions, desinstal i pegats.
  • Visibilitat constant dels patrons d'ús de les aplicacions per a una millor priorització i presa de decisions davant comportaments sospitosos.
  • Control i visibilitat sobre les configuracions de seguretat de l'empresa, mostrant informació i alertes en temps real sobre problemes emergents com antivirus deshabilitat o configuracions errònies. Els problemes s'informen en el panell amb recomanacions processables.
  • Intel·ligència d'amenaces que ajuda a prioritzar i enfocar-se en aquelles vulnerabilitats o amenaces que representen un risc més crític per a l'empresa.
  • Sol·licituds de remediació amb un sol clic, a través de la integració amb Microsoft Intune. Així mateix, proporciona monitoratge en temps real de l'estat i progrés de les activitats de remediació en tota l'empresa.
  • Proporciona informació sobre mitigacions alternatives addicionals, com els canvis de configuració que poden reduir el risc associat amb vulnerabilitats de programari.

Integració amb les eines de Microsoft 365
Pots dotar Microsoft Defensar for Endpoint de més informació i més intel·ligència a l'hora d'avaluar el nivell de risc de cada màquina amb la integració de:

  • Microsoft Defensar for Identity: Detecta si la màquina pateix comporatamientos anòmals (atacs laterals, per exemple) i, si és així puja el risc de la màquina per poder prioritzar la revisió de la mateixa.
  • Azure Information Protection (AIP): Comparant dues màquines amb les mateixes vulnerabilitats, la que disposi de documents etiquetats amb AIP tindrà un nivell de risc superior (a l'comptar amb informació sensible) i, per tant, es prioritzarà.
  • Microsoft Cloud App Security (MCAS): Permet que aquelles aplicacions que MCAS s'ha marcat com a no autoritzades, quedin bloquejades en l'equip sense poder utilitzar-se, independentment de la xarxa a la qual estigui connectat.

¿Llicenciament de Microsoft Defensar for Endpoint?

Hi ha diferents modalitats de llicència en funció de l'tipus de endpoint que vulguem protegir. Els usuaris amb llicència poden utilitzar Microsoft Defensar for Endpoint en un màxim de cinc dispositius simultanis.

  • Microsoft Defensar for Endpoint es pot adquirir de manera individual
  • S'inclou en Windows 10 E5 (inclou totes les capacitats de seguretat de la versió E3 + Microsoft Defensar for Endpoint)
  • S'inclou en Microsoft 365 E5 (inclou Windows 10 Enterprise E5, Office 365 E5 i EMS E5)
  • S'inclou en l'Add-on de Seguretat de Microsoft 365 E5

Per servidors:

  • Connectant els servidors a Security Center de Azure
  • Llicència de Microsoft Defensar for Endpoint per a servidors

Com a conclusió, podem afirmar que Microsoft Defensar for Endpoint cobreix el cicle de vida de les amenaces de principi a fi, des de la detecció fins a la investigació i resposta de manera automàtica, portant a la teva empresa a un nivell de protecció màxim.

Des Softeng, estem compromesos en donar solucions als nostres clients i oferir-los la nostra experiència en aquesta àrea, així que t'animem a que segueixis el nostre bloc en el qual continuarem informant sobre les eines i solucions de seguretat que podem oferir-te.

Vols saber més sobre Windows 10 Enterprise E5 o Microsoft 365? Contacta amb nosaltres!

Sí, vull saber més!

 

 

<< tornar al bloc
FacebookTwitterLinkedInWhatsapp
Cognoms *
Càrrec *
Nº empleats *
Enviant...

Vols rebre els articles al teu correu?


Suscripciones al Blog Rss del Bloc