Версия ATP в Защитнике Windows для Windows 10 Fall Creators Update доступна для предварительного ознакомления

Мы рады рассказать об улучшениях службы ATP в Защитнике Windows, которые помогут расширить возможности предупреждения об угрозах, их обнаружения и исследования, а также механизмы ответной реакции и менеджмента для обеспечения сквозной защиты устройств под управлением Windows. Новинки теперь доступны для ознакомления в предварительной версии сервиса ATP Защитника Windows (WDATP) в обновлении Windows 10 Fall Creators Update.

Фокус компании на инвестициях в обеспечение безопасности привел нас к комбинированию лучших возможностей службы ATP Защитника Windows и комплекса безопасности самой Windows. Мы интегрировали в Windows 10 новые технологии предупреждения об угрозах, усовершенствовали встроенные датчики для улучшения обнаружения вредоносных сценариев (скриптов), добавили новые ответные меры на угрозы и ввели мощные инструменты анализа.

Итак, давайте подробнее рассмотрим эти новинки.

  • Технологии безопасности Windows работают в унисон, обеспечивая наглядное представление оповещений об угрозах от всех служб комплекса обеспечения безопасности, состоящего из Endpoint Detection and Response (EDR), Антивируса (AV) Защитника Windows, брандмауэра Защитника Windows, SmartScreen Защитника Windows, Device Guard в Защитнике Windows, Exploit Guard в Защитнике Windows. Сообщения о событиях, получаемые от всех элементов комплекта, можно просматривать на временной шкале для каждой машины. Вот некоторые новшества Security Operations (SecOps).
    • Показ сообщений об угрозах и событиях от SmartScreen Защитника Windows, которые появляются, если кто-либо из сотрудников компании кликает определенную ссылку (URL), несмотря на предупреждающее сообщение.
    • Показ попыток запуска неавторизованных приложений от Device Guard в Защитнике Windows, т.е. тех приложений, использование которых ограничено в данной организации.
    • Показ заблокированных или прошедших проверку приложений, в соответствии с правилами Exploit Guard в Защитнике Windows.
    • Показ обнаружений Антивируса (AV) Защитника Windows и блокировок брандмауэра Защитника Windows.
    • Просмотр событий и сведений об угрозах безопасности для сессии в изолированном контейнере Application Guard в Защитнике Windows (рис. 1).

Кроме того, мы обеспечили централизованное и простое управление с помощью System Center Configuration Manager (SCCM), начиная с версии 1710, используя также Microsoft Intune для управления различными продуктами комплекта безопасности Windows.

Обнаруженные события Application Guard в Защитнике Windows

  • Улучшенные обнаружения, оповещения об угрозах и расширение возможностей SOC (Security Operations Center — Центр мониторинга и реагирования на инциденты информационной безопасности). Мы продолжаем развивать возможности обнаружения угроз, чтобы добиться большей наглядности динамических атак на основе сценариев (скриптов), просмотра сетей и сообщений о попытках перехвата нажатий клавиш (keylogging). Мы улучшили функции сообщения об угрозах, предоставляя больше данных специалистам по безопасности для лучшего понимания того, что собственно стоит за конкретным сообщением (рис. 2). Мы ввели автоматическую корреляцию обнаружений и группирование относящихся к ним угроз. Кроме того, мы добавили возможность управления наиболее ценными активами, используя теги и группирование. Основываясь на отзывах пользователей, мы улучшили ответные меры, добавив улучшения в функцию изоляции машин, возможность ограничивать машины для запуска только проверенных кодов, а также запуская Антивирус Защитника Windows Defender для обновления и сканирования.

Улучшенный просмотр оповещений об угрозах

  • Средства анализа безопасности получили обновленный дизайн панели мониторинга (рис. 3), который позволяет лучше оценить состояние безопасности инфраструктуры предприятия по отношению к рекомендованному Windows-уровню, подробно выявляет возможные проблемы и предоставляет актуальные рекомендации по улучшению состояния. Эта панель мониторинга проливает свет на проблемы конфигурации и предоставляет обзор машин с неверной настройкой или устаревшими параметрами. Специалисты по безопасности теперь могут просматривать состояние безопасности системы организации с помощью широкого набора продуктов комплекта безопасности Windows, получая реальные сведения и отчеты с конечных точек. Панель мониторинга также позволяет просматривать машины с неверной настройкой, отсортированные по количеству проблем и предоставляет рекомендации по исправлению.

Панель мониторинга анализа безопасности

  • Настраиваемые отчеты: теперь организации могут быстро создать отчеты с помощью Power BI (рис. 4), позволяющие интерактивно анализировать машины, угрозы и состояние исследования системы. Эти отчеты обеспечивают просмотр угроз, например, их серьезность и время решения, а также просмотр машин, например, состояние работоспособности датчиков, ОС и домена.

Отчет Power BI

  • Доступ к данным с помощью API. Служба ATP Защитника Windows показывает большую часть доступных данных и действий, используя набор программных API, которые являются частью Microsoft Intelligence Security Graph. Эти API позволят вам автоматизировать свои рабочие процессы и ввести новшества в свою повседневную работу, используя возможности службы ATP Защитника Windows.
  • Больше Windows socket. Мы расширили набор типов конечных точек и добавили поддержку конечных точек с Windows Server 2012R2 и 2016 (рис. 5). К тому же, мы добавили улучшенную поддержку VDI (virtual desktop infrastructure) для тех организаций, которым необходимо обеспечить безопасность виртуальных систем.

Просмотр машин с Windows Server

Мы очень рады предоставить вам возможность первыми попробовать все эти новинки в течение 90 дней — загрузите ознакомительную версию прямо сейчас!

Равив Тамир (Raviv Tamir) / Директор группы Windows Defender ATP (Principal Group Program Manager, Windows Defender ATP)

Exit mobile version