Windows defender advanced threat protection что это

Обновлено: 03.07.2024

Windows 10 изначально создавалась как самая безопасная платформа. С помощью Credential Guard, Device Guard, Windows Hello и защита корпоративных данных Windows 10 обеспечивает исключительно высокий уровень безопасности. Защитник Windows — наша бесплатная служба для защиты от вредоносных программ — изо дня в день следит за безопасностью почти 300 млн устройств. И с каждым месяцем защита Windows становится все совершеннее: когда в ней обнаруживается хоть малейшая брешь, на помощь тут же приходит Центр обновления.

Благодаря повышенному вниманию к безопасности новая ОС пользуется высоким спросом среди корпоративных клиентов. Мы с радостью наблюдаем за тем, как быстро переходят на Windows 10 клиенты с самыми высокими требованиями: Министерство обороны США, где Windows 10 уже в этом году появится на 4 млн устройств во всех родах войск, и NASCAR, и Virgin Atlantic, и учебные заведения во всем мире.

Сегодня мы выходим на новый уровень защиты для корпоративных клиентов и объявляем о запуске службы Advanced Threat Protection для Защитника Windows.

Кибератаки становятся все более изощренными

Сегодняшним киберпреступникам дерзости не занимать. Они действуют в хорошо организованных группах, которые могут работать даже на государства; процветают кибершпионаж и кибертеррор. Вооружившись изощренными методиками, такими как социальная инженерия и уязвимости нулевого дня, они в состоянии взломать даже самые защищенные корпоративные сети. В одном только 2015 году стало известно о тысячах подобных атак. Мы выяснили, что предприятия обнаруживают нарушение безопасности не раньше, чем через 200 дней после начала атаки, и еще 80 дней требуется, чтобы устранить ее последствия. То есть у злоумышленников достаточно времени, чтобы учинить в корпоративной сети настоящий хаос, воруя данные, ставя под угрозу конфиденциальность и разрушая доверие клиентов. Подобные атаки обходятся бизнесу все дороже: в среднем каждый инцидент наносит компании ущерб 12 млн долларов, не говоря уже о последствиях для ее репутации.

Раз подходы злоумышленников эволюционируют, средства защиты для корпоративных клиентов не должны отставать. Наши заказчики согласны с этим: 90 % опрошенных ИТ-директоров заявили, что им требуется полноценное решение для расширенной защиты от угроз, позволяющее быстрее выявлять атаки с помощью комплексной аналитики и предлагающее практические меры по устранению их последствий.

Advanced Threat Protection для Защитника Windows: обнаружение, изучение, реагирование

Чтобы защитить корпоративных клиентов, мы разрабатываем Advanced Threat Protection для Защитника Windows — новую службу, которая поможет обнаруживать и изучать изощренные атаки на сети компаний, а также эффективно реагировать на них. Это решение, основанное на существующих методах защиты в Windows 10, предлагает дополнительный уровень защиты от угроз после нарушения целостности сети. Сочетая клиентские технологии, встроенные в Windows 10, с облачными, оно позволит обнаруживать угрозы, сумевшие обойти другие средства защиты. Кроме того, предприятие получит всю нужную информацию, чтобы изучить брешь в различных конечных точках, и будет иметь рекомендации по устранению последствий атаки.

Что делает служба Advanced Threat Protection для Защитника Windows

Обнаруживает атаки и сообщает о том, кто и что сделал и почему атака стала возможной. Аналитика угроз высокого уровня использует крупнейшую в мире сеть датчиков, признанные технологии расширенной защиты от угроз, а также знания экспертов Microsoft и компаний-партнеров.

Служба Advanced Threat Protection для Защитника Windows работает на базе датчиков поведения Windows, облачной аналитики, аналитики угроз и интеллектуального графа Microsoft. Масштабный граф, анализируя данные больших объемов, выявляет аномалии в их поведении. Это становится возможным благодаря обезличенной информации, поступающей более чем с 1 млрд устройств Windows. Кроме того, в графе ежедневно индексируется 2,5 трлн URL-адресов, выполняется 600 млн интернет-запросов о репутации и обезвреживается более 1 млн подозрительных файлов.

Затем с этими данными работают эксперты мирового класса и энтузиасты со всего мира, которые обладают особыми знаниями и технологиями для обнаружения атак.

Дает рекомендации по реагированию на атаки.На основе данных по безопасности от новой службы можно с легкостью отслеживать оповещения, исследовать сеть на признаки атаки, изучать действия злоумышленников на конкретных устройствах и получать подробные сведения о размещении файлов во всей организации, а также получать рекомендации по реагированию.

Используя модель машины времени, служба Advanced Threat Protection для Защитника Windows изучает состояние компьютеров и их активность за последние шесть месяцев, чтобы выявить закономерности, и выводит информацию на наглядной временной шкале. Вам больше не придется изучать обычные журналы событий, пытаясь найти в них те записи, которые относятся к определенному процессу, файлу, URL-адресу или сетевому подключению для определенного компьютера или целого предприятия.

А облачная служба обезвреживания файлов позволяет отправлять файлы и URL-адреса на изолированные виртуальные машины для более глубокой проверки. В будущем Advanced Threat Protection для Защитника Windows также будет включать средства для устранения последствий на затронутых конечных точках.

Дополняет решения Microsoft для обнаружения угроз повышенной сложности. Поскольку служба Advanced Threat Protection для Защитника Windows предустановлена в Windows 10, она будет постоянно обновляться, и вам не придется отдельно тратиться на ее развертывание. Она работает на облачном сервере, а значит, вам не понадобится локальная серверная инфраструктура или постоянная техническая поддержка. Новое решение дополняет службы защиты электронной почты, такие как служба Advanced Threat Protection для Office 365 и Microsoft Advanced Threat Analytics.

500 000 конечных точек уже под защитой

Разрабатывая Windows 10, мы учитывали мнения и пожелания миллионов участников программы предварительной оценки Windows. Точно так же при создании новой службы мы общались с корпоративными клиентами, стремясь найти решение самых острых проблем безопасности (изучение атак без ущерба для ежедневной деятельности и т. п.) и тестируя решение в их средах. Advanced Threat Protection для Защитника Windows уже доступна для клиентов по программе раннего внедрения из различных регионов и отраслей во всей сети Microsoft. На сегодняшний день это одна из крупнейших служб расширенной защиты от угроз.

Что думают о новой службе клиенты

«Кибербезопасность — это моя главная забота: прежде всего мне нужно защитить все конечные точки в своей организации. Advanced Threat Protection для Защитника Windows уникальна тем, что благодаря ей легко узнать о происходящем в каждой конечной точке. Другие решения этого не могут». Грег Петерсен (Greg Petersen), директор по ИТ-безопасности, Avanade

«Нам необходимо сразу несколько уровней защиты, и Advanced Threat Protection для Защитника Windows хорошо вписывается в нашу стратегию. Глобальная выборка, которая есть только в решениях Microsoft, помогает обнаружить подозрительное поведение компьютеров и вовремя предупредить об этом. Так повышается защищенность наших компьютеров и сети». Фран де Ханн (Fran De Hann), старший консультант по безопасности, Pella Windows

Развернув Advanced Threat Protection для Защитника Windows, мы сразу же узнали о нескольких критических уязвимостях в нашей сети и немедленно приняли меры для их устранения, а также обновили свои политики безопасности». Хенрик Педерсен (Henrik Pedersen), ИТ-менеджер, TDC Hosting, Дания

Обновитесь до Windows 10 уже сейчас, чтобы получить доступ к самым современным функциям безопасности и опробовать службу Advanced Threat Protection для Защитника Windows, когда она выйдет для широкой аудитории (уже в этом году). И мы с нетерпением ждем этого момента.

*Терри Майерсон (Terry Myerson), исполнительный вице-президент, Windows and Devices Group

Приветствую друзья!

Основные возможности

Поддерживаемые операционки

Семейство	Название
Windows Servers	Windows Server 2016, Windows Server 2012 R2
Поддерживаемые версии Windows	Windows 10, Windows 8.1, Windows 7 SP1
Другие платформы (через партнеров)	Android, iOS, macOS, Linux

• Организациях, например где проводятся финансовые операции.
• Банки, их филиалы, отделения.
• Учебные учреждения.
• В разных компаниях.

Вот собственно часть админки:

Видим графики, всякие диаграммы.. А вот само меню админки:

Отключение

Отключить службу просто:

1. Два раза нажимаем по службе.
2. Нажимаем кнопку Остановить.
3. В менюшке Тип запуска выбираем Отключена (чтобы она потом сама не запускалась).

Запустить окно со списком служб тоже просто:

Папка

Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:

Кстати работает служба под процессом MsSense.exe.

Но кроме службы также нашел папку эту:

C:\Program Files\Windows Defender Advanced Threat Protection

Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.

Заключение

Мы сегодня пообщались немного о продвинутой защите, которая:

Надеюсь информация пригодилась. Удачи и добра! До новых встреч!

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.

Если говорить коротко, то Служба ATP в Защитнике Windows — это служба безопасности, с помощью которой можно обнаруживать в своих сетях угрозы безопасности, исследовать их и принимать ответные меры. Служба работает на основе встроенной в Windows 10 комбинации технологий и облачной службы Microsoft. К таким технологиям относятся:

• Датчики поведения на хостах. Эти датчики встроены в Windows 10. Они собирают и обрабатывают сигналы операционной системы о поведении (например, о взаимодействиях процессов, реестра, файлов и сети) и отправляют данные в ваш частный, изолированный облачный экземпляр службы ATP.
• Облачный анализ безопасности. По сути дает возможность преобразовывать поведенческие сигналы в аналитические данные для выявления угроз, а также помогает с рекомендациями по их устранению.
• Аналитика угроз. В Microsoft есть отдельные специалисты и отделы безопасности данных, в дополнении к этому используются аналитические данные об угрозах от партнеров. Это позволяет службе ATP идентифицировать средства, технологии и методы атаки. Оповещать пользователей при обнаружении соответствующих признаков в собираемых данных.

Возможности службы по исследованию хостов позволяют получить подробные оповещения, понять характер и масштаб возможного вторжения.

Служба ATP в Защитнике Windows работает с различными технологиями Windows по обеспечению безопасности:

• Защитник Windows
• AppLocker
• Device Guard

Обзор портала Advanced Threat Protection в Защитнике Windows

Для мониторинга и ответных действий на угрозы можно использовать портал ATP. Он решает следующие задачи:

• Просмотр, сортировка и классификация оповещений от хостов.
• Поиск дополнительной информации, связанной с обнаруженными индикаторами. Это могут быть конкретные файлы или IP – адреса.
• Изменение различных настроек службы: часовой пояс и правила оповещений.

• (1) Область Настроек
• (2) Область навигации
• (3) Основной портал
• (4) Поиск

С настройками всё вполне очевидно.

В Панели навигации доступны такие представления как:

• Информационная панель (сам дашборд, на котором отображается основная информация);
• Очередь оповещений (Новые, В процессе, Разрешённые и так далее).

В разделе управление хостами можно скачать пакет для подготовки машин к работе с ATP.

Служба ATP и использует следующие условные обозначения:

Обнаружение — признак обнаруженной угрозы вредоносного программного обеспечения.

Активная угроза — угрозы, которые активно исполнялись на момент обнаружения.

Устранено — угроза удалена с компьютера.

Не устранено — угроза не удалена с компьютера.

В общем виде подход к исследованию бреши в системе безопасности при помощи ATP можно разбить на следующие этапы:

1. Просмотр оповещения на информационной панели или в очереди оповещений.
2. Анализ индикаторов компрометации (IOC) или атаки (IOA).
3. Анализ временной шкалы оповещений, поведения и событий компьютера.
4. Управление оповещениями, понимание угрозы или потенциального взлома, сбор информации для определения необходимых действий и обработки оповещения.

Просмотр информационной панели службы Advanced Threat Protection в Защитнике Windows

Так как работу с ATP мы начинаем с анализа данных на информационной панели, рассмотрим её более подробно. Данные об оповещениях и компьютерах позволяют быстро установить факт, место и время подозрительной активности в сети — это дает необходимый контекст для понимания ситуации. Здесь также отображается сводка данных о событиях, помогающая идентифицировать значимые события или поведение на компьютере. Также можно открыть подробные сведения о событиях и индикаторах на более низком уровне. Активные плитки дают визуальные подсказки, позволяющие оценить общее состояние систем безопасности. При щелчке по такой плитке открывается подробное представление соответствующего компонента.

Оповещения службы ATP

При щелчке по плитке Оповещения ATP отображается общее количество активных оповещений службы ATP в сети за последние 30 дней. Оповещения распределены на две группы: Новые и Выполняющиеся.

Каждая группа имеет подкатегории по уровням серьёзности. Щелкнув по числу внутри каждого можно вывести представление очереди соответствующей категории.

Компьютеры, подвергающиеся риску

На этой плитке показан список компьютеров с наибольшим количеством активных оповещений. Общее число оповещений для каждого компьютера показано в круге рядом с именем компьютера. С противоположной стороны плитки представлено количество оповещений, сгруппированных по уровням серьёзности. Не сложно догадаться, что темный цвет это более опасные, а более светлый – менее.

Плитка Статус содержит информацию о том, активна ли служба и имеются ли проблемы, а также о количестве компьютеров, которые направляли отчеты в службу в течение последних 30 дней.

Плитка Отчёты от компьютеров содержит гистограмму, на которой представлено количество компьютеров, отправлявших оповещения, по дням. Увидеть точное число компьютеров, отправлявших оповещения в определенный день, можно наведя курсор на отдельные столбцы гистограммы.

Компьютеры с обнаруженными активными вредоносными программами

Плитка Компьютеры с обнаруженными активными вредоносными программами отображается, только если в ваших конечных точках используется Защитник Windows. Под активной вредоносной программой понимаются угрозы, которые активно исполнялись на момент обнаружения. Наведя курсор мыши на каждый из столбцов, можно увидеть количество обнаруженных активных вредоносных программ и количество хостов, на которых в течение последних 30 дней была обнаружена хотя бы одна активная вредоносная программа.

В схеме представлено пять категорий вредоносного ПО:

• Программа для кражи паролей — угрозы, направленные на кражу учётных данных.
• Программа-шантажист — угрозы, направленные на блокировку доступа пользователя к компьютеру или файлам и вымогательство денег для восстановления доступа.
• Эксплойт — угрозы, использующие уязвимости программного обеспечения для заражения компьютеров.
• Угроза — все остальные угрозы, не относящиеся к категориям программ для кражи паролей, программ-шантажистов и эксплойтов. К этой категории относятся трояны, черви, бэкдоры («черные ходы») и вирусы.
• Низкий уровень серьёзности — угрозы с низким уровнем серьёзности, включая программы для показа рекламы и потенциально нежелательные программы, например модификаторы браузера.

Просмотр и упорядочение очереди оповещений Advanced Threat Protection

Выделенная область

Название области

Описание

• Уровень серьезности оповещения в виде цветного столбца.
• Краткое описание оповещения, включая имя субъекта угрозы (в случаях, когда атрибуция возможна).
• Последний случай отправки оповещения любым из компьютеров.
• Сколько дней оповещение находится в очереди.
• Уровень серьезности оповещения.
• Общая категория типа оповещения или этап процесса устранения оповещения.
• Пораженный компьютер (если их несколько, отображается количество пораженных компьютеров).
• Значок меню управления оповещениями, которое позволяет обновлять статус оповещения и добавлять комментарии.

• Самые новые (по дате последнего появления угрозы в вашей сети).
• Время в очереди (по длительности нахождения угрозы в очереди).
• Серьёзность.

• Серьёзность.
• Период времени.

• Самые новые — сортировка оповещений по дате последнего появления в конечных точках.
• Время в очереди — сортировка оповещений по продолжительности нахождения в очереди.
• Серьезность — сортировка по уровню серьёзности.

• Высокий (красный): угрозы, обычно связанные с постоянными угрозами повышенной сложности (APT). Такие оповещения указывают на высокий риск из-за серьезности ущерба, который может быть нанесен хостам.
• Средний (оранжевый): редко возникающие угрозы, например, аномальные изменения реестра, выполнение подозрительных файлов и поведение характерное для различных этапов атак.
• Низкий (желтый): угрозы, связанные с распространенными вредоносными программами и средствами для взлома, которые не указывают на наличие угрозы повышенной сложности.

Анализ оповещений Advanced Threat Protection в Защитнике Windows

Чтобы приступить к анализу, и получить подробную информацию нужно щёлкнуть по оповещению в любой очереди.

Подробные сведения об оповещении включают следующее:

• Дата и время последнего создания оповещения.
• Описание оповещения.
• Рекомендуемые действия.
• Граф инцидента.
• Индикаторы, которые привели к созданию оповещения.

Граф инцидента включает визуальное представление места возникновения оповещения, событий, которые привели к его созданию, и других компьютеров, на которые повлияло это событие. На графе показано влияние оповещения на исходном компьютере, а также как это событие повлияло на срабатывание оповещений на других компьютерах.

Можно щёлкнуть кружок на графе инцидента, чтобы развернуть узлы и просмотреть события или файлы, которые связаны с оповещением.

Напоминаем, что сервис ATP в Защитнике Windows встроен в ядро Windows 10 Корпоративная, его работу можно оценить бесплатно.

Впервые технология расширенной защита от угроз Advanced Threat Protection в Защитнике Windows (Windows Defender ATP) была представлена в обновлении Fall Creators Update для Windows 10. На тот момент функция была доступна исключительно для операционных систем Windows 10.

Несколько месяцев спустя, Microsoft официально объявила о добавлении Windows Defender ATP в более старые версии Windows – Windows 7 и 8.1. Однако, первоначальные планы по выпуску предварительной версии весной 2018 года и финальной версии летом 2018 года не состоялись. Редмонд смог выпустить предварительную версию в 2018 году, но дата общей доступности механизма защиты была отложена.

На прошлой неделе компания объявила, что функция безопасности теперь доступна для организаций, использующих устройства Windows 7 и Windows 8.1.

События Windows Defender ATP стали отображаться в Центре безопасности Защитника Windows, в центральной административной панели для управления рабочими станциями.

Windows Defender ATP для Windows 7 и Windows 8.1 обеспечивает тщательное и глубокое наблюдение за действиями на рабочих станциях. Компонент анализирует процессы, файлы, сеть, реестр и операции с памятью, предоставляя инженерам безопасности всю необходимую информацию для понимания действий угроз, происходящих на старых версиях Windows.

Advanced Threat Protection доступен только в версиях Enterprise и Pro. Функцию безопасности можно использовать в Windows 7 Service Pack 1 Pro или Enterprise и в Windows 8.1 Pro или Enterprise.

Для работы компонента требуется System Center Endpoint Protection или установка Microsoft Monitoring Agent (MMA).

Администраторы могут получить дополнительную информацию в руководстве по подключению функции.

Зачем Microsoft добавила ATP в предыдущие версии Windows?

Когда Windows 10 была выпущена в 2015 году, Microsoft сделала некоторые функции эксклюзивными для этой ОС. Такие функции, как Microsoft Edge, поддержка определенного оборудования и уникальные функции безопасности не были портированы в предыдущие версии Windows.

В некоторых случаях функции стали доступны в операционных системах, не разрабатываемых Microsoft – например, в Android.

Microsoft заявляет, что, добавляя поддержку ATP в предыдущие версии Windows, компания «помогает клиентам поддерживать высокий уровень безопасности при переходе на Windows 10».

Напомним, что поддержка Microsoft Windows 7 завершится в январе 2020 года. Корпоративные клиенты смогут продлить поддержку максимум на три года на платной основе. Цена продления с каждым годом будет удваиваться и за третий год организациям нужно будет отдать 200 долларов за одно рабочее место Windows 7 Pro.

Таким образом, корпоративные клиенты смогут использовать Windows 7 до 2023 года. Поддержка Windows 8.1 завершится в январе 2023 года, но на данный момент компания не объявляла об аналогичной программе платного продления поддержки для данной системы. Возможно, данная опция станет доступна позже.

Читайте также:

  
• При установке windows 10 перезагружается на логотипе
  
• Ext2fsd не работает в windows 10
  
• Ошибка 800f0a12 при обновлении windows 7
  
• Dangerous waters не запускается на windows 10
  
• Как установить mpi linux