Microsoft Defender for Endpoint eller Endepunkt var tidligere Microsoft Defender Advanced Threat Protection (ATP). Det er et omfattende produkt, langt mer enn tradisjonell antivirusbeskyttelse. Det består av flere moduler og er en kjernekomponent i Microsofts offensive sikkerhet, som bygger på maskinlæring og automatisering. Defender for Endpoint forhindrer, oppdager, undersøker og svarer på avanserte trusler på endepunkter, med støtte for Windows, Linux, macOS, Android og iOS. Det beskytter proaktivt ved å fjerne sårbarheter og redusere angrepsflater.
Defender for Endpoint sørger i sanntid for neste generasjons skydrevne, atferdsbaserte forsvar mot skadelige programvare. For å slå ned på angrep reaktivt inkluderer løsningen endepunktsdeteksjon og -respons (EDR), automatiserte undersøkelser og utbedringer, samt jakttjenester. Ved behov kan trussel-eksperter fra Microsoft kobles inn. Plattformen er integrert i Microsoft 365 Defender og gir et rikholdig API for tredjeparter. Tjenesten leveres fra skyen og kan enkelt distribueres, konfigureres og administreres med en enhetlig opplevelse.
Microsoft 365 Defender
Flere produkter som sørger for avansert beskyttelse mot trusler, har fått nye navn. Det markerer et skifte fra individuelle siloer til koordinert sikkerhet på tvers av domener. Microsoft Threat Protection er endret til Microsoft 365 Defender, Azure Advanced Threat Protection (ATP) til Microsoft Defender for Identity, Microsoft Defender ATP til Microsoft Defender for Endpoint og Office 365 ATP til Microsoft Defender for Office 365. Tjenestene er vevd tett inn i hverandre. Defender for Endpoint kommuniserer med Microsoft Information Protection for å prioritere endepunkter som krever mest beskyttelse, og Microsoft Intune for å konfigurere enheter og holde programvare oppdatert.
Komponentene i Microsoft Defender for Endpoint
Defender for Endpoint består av seks moduler. De første to er forebyggende. Neste generasjons beskyttelse opererer i sanntid. De tre siste benyttes primært etter at et sikkerhetsbrudd er et faktum.
- Trussel- og sårbarhetsadministrasjon identifiserer, vurderer og utbedrer svakheter på endepunkter.
- Angrepsflatereduksjon begrenser angrepsflaten, som er summen av de tjenester et endepunkt eksponerer mot Internett og utgjør dets digitale fotspor.
Neste generasjons beskyttelse bruker maskinlæring og dybdeanalyse for å beskytte mot filbasert skadelig programvare.
- Endepunktsdeteksjon og -respons overvåker atferd og angrepsteknikker for å oppdage og svare på avanserte angrep. Det gir synlighet i hele sikkerhetsbruddet.
Automatisert undersøkelse og utbedring benytter kunstig intelligens (KI) for automatisk å undersøke varsler og utbedre komplekse trusler på få minutter.
- Microsofts trussel-eksperter bringer dybdekunnskaper foruten proaktiv og reaktiv trusseljakt til virksomheten din.
Sentralisert konfigurasjon og administrasjon sørger for en helhetlig opplevelse. APIer lar deg knytte plattformen sammen med andre løsninger.
Atferd, sikkerhetsanalyse og trusselintelligens
Hver kunde får en egen leier (tenant) for Microsoft Defender for Endpoint, som er tilgjengelig via Microsoft Defender Security Center. Ved hjelp av APIer og integrasjoner kan det foretas signaldeling med andre sikkerhetsløsninger fra Microsoft eller tredjepartssystemer. Defender for Endpoint bruker følgende kombinasjon av teknologier på endepunkter og i Microsofts skytjenester:
Atferdssensorer samler inn og behandler atferdssignaler fra operativsystemet. Sensorene sender dataene til din private, isolerte skyforekomst av Defender for Endpoint. I Windows 10 er funksjonaliteten innebygd, andre plattformer krever en agent.
- Skybasert sikkerhetsanalyse utnytter stordata, maskinlæring og unik Microsoft-optikk på tvers av hele økosystemet lokalt og i skyen. Atferdssignaler oversettes til innsikt, oppdagelse og anbefalte svar på avanserte trusler.
- Trusselintelligens generert av Microsofts jegere og sikkerhetsteam, hjelper Defender for Endpoint å identifisere angrepsverktøy, teknikker og prosedyrer og sørger for varsler når disse blir observert i innsamlede sensordata.
Maskinlæring og Microsofts intelligente sikkerhetsgraf
Microsoft Intelligent Security Graph (ISG) gir unike innsikter, støttet av billioner av signaler (M står for milliarder). De analyseres ved hjelp av maskinlæring. Denne trusselintelligensen spiller en sentral rolle i alle tjenester som inngår i Microsoft 365 Defender. Beskyttelsen på endepunkter må gjøre mer enn å oppdage kjent skadevare basert på signaturer. Den trenger intelligente responsmuligheter for å håndtere dagens sikkerhetstrusler.
Skyen brukes ikke bare til å avlaste analysen av potensielt skadelig programvare. Den åpner døren for mange muligheter som ville være vanskelig å kjøre lokalt. Maskinlæring og KI er gode eksempler. Microsofts intelligente sikkerhetsgraf gir rike signaler fra omfattende sikkerhetsinformasjon og atferdsanalyser som selskapet lar deg bruke for å forbedre beskyttelse og gjenkjenning.
Beskytte, oppdage, respondere
Det mest populære rammeverket for cybersikkerhet er utformet av NIST, US National Institute of Standards and Technology, inndelt i fem kategorier. Defender for Endpoint mapper godt til modellen:
Beskytte. Hindre en risiko eller trussel i å materialisere. Unngå at en ondsinnet handling blir utført. Blokker tilgang til spesifikke funksjoner, eller sett en stopper for en utførbar fil.
Oppdage. Alt du ikke kan blokkere, må oppdages. Jo raskere det skjer, desto mindre er sjansen for at risikoen blir til et problem og kan gjøre mer skade.
Respondere. Dette er din siste forsvarslinje. Responsstrategien bør bestå av tekniske løsninger og dokumenterte prosedyrer som effektivt begrenser eller slår ned på en trussel i miljøet ditt. Responsen kan gi utslag for betinget tilgang, tilgangskontrollen i Azure Active Directory.
Trussel- og sårbarhetsadministrasjon
Trussel- og sårbarhetsadministrasjon (Threat and Vulnerability Management – TVM) benytter en risikobasert tilnærming til å oppdage, prioritere og utbedre sårbare og feilkonfigurerte endepunkter. Konfigurasjonsvurderingen (Configuration Score) gir detaljerte opplysninger og kontroll over sikkerhetstilstanden i virksomheten din basert på beste praksis. En høy poengsum betyr at enhetene er mer motstandsdyktige mot cyberangrep. Trussel- og sårbarhetsadministrasjon sørger for:
- Et inventar over alle enheter. Enheter som er lagt til i Defender for Endpoint, sender automatisk informasjon om sårbarheter og sikkerhetskonfigurasjonen til dashbordet.
- Synlighet i programvare og sårbarheter gir en oversikt over programvaren i virksomheten, med installasjoner, avinstallasjoner og oppdateringer. Oppdagede sårbarheter i applikasjoner rapporteres sammen med tiltak for å utbedre dem.
- Kjøretidskontekst for applikasjoner viser bruksmønstre for applikasjoner, noe som gir et bedre grunnlag for prioritering og beslutninger.
- Konfigurasjonstilstand gir synlighet i organisasjonens sikkerhets- og feilkonfigurasjoner. Problemer rapporteres i dashbordet med anbefalinger som umiddelbart kan settes ut i live.
Trusler oppstår på løpende bånd. Det avdekkes stadig nye sårbarheter. Du står overfor en lang liste med presserende oppgaver. Defender for Endpoint hjelper deg med å prioritere (bevisst velge bort alternativer). Oversikten over hva som bør ha forrang, bygger på forskjellige faktorer:
- Fremvoksende angrep på Internett. Microsofts trusselinformasjon identifiserer nye trusler over hele verden. Disse opplysningene brukes til å prioritere sikkerhetsanbefalinger for å fokusere på sårbarheter som for tiden utnyttes på Internett. Det hjelper deg å fokusere på de viktigste angrepene og gardere deg mot dem.
- Aktive sikkerhetsbrudd. Defender for Endpoint har en oversikt over angrep som for øyeblikket skjer i organisasjonen din eller er for tiden er aktive.
- Beskytte intellektuell eiendom. Defender for Endpoint kan integreres i Microsoft Information Protection og dermed gi innsikt i hvilke enheter det er viktigst å beskytte.
Angrepsflatereduksjon
Angrepsflatereduksjon (Attack Surface Reduction – ASR) fjerner risikable eller unødvendige overflater og hindrer farlig kode i å kjøre. Det dreier seg om å være føre vâr og herde endepunkter. ASR er en samlebetegnelse for mange innebygde funksjoner i Windows 10 som bidrar til å redusere risikoen for at et angrep kan kompromittere maskinene dine. Du kan se på ASR som et vertsbasert system som hindrer inntrenging (Host Intrusion Prevention System – HIPS).
- ASR-regler reduser sårbarheter (angrepsflater) i applikasjonene dine med intelligente regler som bidrar til å stoppe skadelig programvare. De fleste dekker oppførselen til Microsoft Office-produkter, andre er mer generelle. Reglene krever Defender Antivirus.
- Maskinvarebasert isolering beskytter og opprettholder integriteten til et system når det starter og mens det kjører. Du kan kjøre Microsoft Edge i en isolert virtuell maskin for å beskytte deg mot ondsinnede nettsteder.
- Applikasjonskontroll krever at programmene du bruker, er klarert (hvitelistet).
- Utnyttelsesbeskyttelse hjelper med å beskytte operativsystemer og apper mot å bli utnyttet. Beskyttelsen fungerer med antivirusløsninger fra tredjeparter.
- Nettverksbeskyttelse utvider beskyttelsen til nettverkstrafikk og tilkoblingen til organisasjonens enheter (krever Defender Antivirus).
- Web-beskyttelse sikrer enheter mot nett-trusler og hjelper å regulere uønsket innhold.
- Kontrollert mappetilgang blokkerer skadelige eller mistenkelige apper, inkludert løsepengevirus, fra å gjøre endringer i filer i de viktigste systemmappene dine (krever Defender Antivirus).
- Brannmur forhindrer uautorisert trafikk i å strømme til eller fra organisasjonens enheter med toveis nettverksfiltrering.
ASR-regler ble opprinnelig introdusert som en stor oppdatering av Microsoft Defender Antivirus. Deler av funksjonssettet kan brukes sammen med Windows 10 Pro. Hele krever en Enterprise-lisens. Ved at reglene integreres i Defender for Endpoint kan du overvåke og gjennomgå analyser av varsler i sanntid, finjustere ekskluderinger, konfigurere ASR-regler og få frem hendelsesrapporter.
Neste generasjons beskyttelse
Microsoft Defender Antivirus leverer neste generasjons beskyttelse. På Windows 10 benyttes den innebygde antivirusmotoren, med oppdaterte signaturer flere ganger om dagen. Den fungerer godt både med og uten Defender for Endpoint. Windows Defender skårer som topp-produkt i AV-TEST, en uavhengig organisasjon som evaluerer og vurderer antivirus- og sikkerhetsprogramvare. Defender Antivirus kan samarbeide med OneDrive om å bekjempe løsepengevirus. Den varsler om viruset og fjerner det. Så får du muligheten til å kjøre Gjenopprett OneDrive til tilstanden den var i før angrepet. Defender for Endpoint benytter maskinlæring og dybdeanalyse for å beskytte mot filbasert skadelig programvare. Den gjør bruk av:
- Sanntidsbeskyttelse med lokale maskinlæringsmodeller (ML), atferdsvurdering og heuristikk for å blokkere trusler. Med heuristisk menes algoritmer som antar at ukjente programmer som ligner på kjente datavirus, også er virus.
- Sky-levert beskyttelse utfyller sanntidsbeskyttelsen ved å sende metadata eller kopier av filer til skyen for videre analyse.
- Blokkering av potensielt uønskede applikasjoner (PUA). Det er apper som anses for å være usikre, men som vanligvis ikke oppfattes som virus.
- Manipulasjonsbeskyttelse låser Defender Antivirus og forhindrer at sikkerhetsinnstillingene endres av lokale administratorer eller inntrengere.
Defender for Endpoint kan benyttes med tredjeparts antivirusløsninger, med enkelte begrensinger. Da går antivirusmotoren over i passiv modus. Du bør like fullt oppdatere virussignaturene, for de bidrar til at Defender for Endpoint kan oppdage angrep.
Endepunktsdeteksjon og -respons
Endepunktsdeteksjon og -respons (EDR) overvåker atferd og angrepsteknikker for å svare på avanserte innbrudd. La oss sette EDR i perspektiv: Trussel- og sårbarhetsadministrasjon og angrepsflatereduksjon er forebyggende kontroller før et sikkerhetsbrudd, din første forsvarslinje. Hvis skadelig programvare blir levert til endepunktet ditt og prøver å kjøre, tillater eller forhindrer Microsoft Defender Antivirus den før koden utføres. Dette er annen forsvarslinje.
Men hvis det viste seg at filen ikke var ren, varsler EDR-sensorer deg om mistenkelige aktiviteter forårsaket av den ondsinnede filen. Dette skjer etter utførelsen og er tredje forsvarslinje. Når Microsoft Defender for Endpoint er konfigurert med EDR i blokkeringsmodus, vil ikke EDR-motoren bare varsle i sikkerhetssenteret, men også sette i verk tiltak, som for eksempel å instruere Microsoft Defender Antivirus om å blokkere en fil etter at den har kjørt.
En av de kraftigste og kuleste funksjonene i Microsoft Defender for Endpoint er Advanced Hunting. Det er et spørrebasert trusseljaktverktøy som lar deg utforske opptil 30 dager med innfangede rå data som Endepunktsdeteksjon og -respons samler inn fra alle maskinene dine. Spørrespråket kalles Kusto Query Language (KQL), en forenklet form for SQL. Det er lett å komme i gang med veivisere og ferdige spørringer som sømløst hentes fra kodelageret GitHub. Trusseljakt med KQL er en viktig del av aktivitetene til sikkerhetsoperasjonsteamet ditt, i et forsøk på kontinuerlig og proaktivt å skanne miljøet for tegn på kompromittering eller angrep.
Automatisert undersøkelse og utbedring
Automatisert undersøkelse og utbedring (Automated Investigation & Remediation – AIR) benytter kunstig intelligens for automatisk å undersøke varsler og utbedre komplekse trusler på få minutter. Det reduserer volumet av varsler som må undersøkes individuelt. Funksjonen for automatiserte undersøkelser utnytter forskjellige inspeksjonsalgoritmer og prosesser. Den bruker runbooks, en samling rutinemessige prosedyrer og operasjoner, for å undersøke varsler og iverksette øyeblikkelig utbedringstiltak som bøter på sikkerhetsbrudd. Dette reduserer varslingsvolumet i betydelig grad, så du kan fokusere på mer sofistikerte trusler og mer omfattende tiltak.
Microsofts trussel-eksperter
Microsoft trussel-eksperter (MTE) bringer dybdekunnskaper og trusseljakt til organisasjonen din. Du kan konsultere en trussel-ekspert fra forskjellige steder i Microsoft Defender Security Center, som for eksempel i en hendelse, en varsling eller en enhets-side. Andre muligheter er fra hjelpe- og støttemenyen og handlingsmenyen på siden for filer. Dessverre er ikke trusseleksperter del av standardtilbudet til Microsoft Defender for Endpoint, men må kjøpes separat.
Arkitekturen i Defender for Endpoint
Defender for Endpoint er integrert med Microsoft Information Protection (MIP) og Azure Security Center. Plattformen er del av Microsoft 365 Defender, sammen med Microsoft Cloud App Security (MCAS), Defender for Identity og Defender for Office 365. Forvaltningen av endepunkter kan håndteres av tredjeparter som ServiceNow eller av Endpoint Configuration Manager (SCCM) og Intune. Løsningen kan kobles opp mot et SIEM-system, som Microsoft Sentinel. Du kan bruke Power BI eller en tilpasset form for trusselintelligens (TI). Hovedsensorene som benyttes er:
- Trussel- og sårbarhetssensorer som samler informasjon om endepunktskonfigurasjon, installert programvare og oppdateringer.
- EDR-atferdssensorer som samler inn data som kan brukes til å oppdage og undersøke angrep.
Angrep mot virksomheter foregår i stadig høyere grad ved å angripe identiteter og enheter. Defender for Endpoint gjør det vanskelig for nettkriminelle å utnytte kjente sårbarheter i programvare og feilkonfigurerte og unødvendige tjenester som eksponeres mot nettet. Om en skadelig fil likevel klarer å trenge gjennom forsvaret, forsøker Defender for Endpoint å blokkere den. Det kan skje ved signaturbasert beskyttelse, atferdsanalyse og lokal maskinlæring.
Men ofte er det ikke nok for å avdekke sannheten om filen. Da leveres den til skyen for videre analyse ved hjelp av forskjellige typer maskinlæringsmodeller. Et detonasjonskammer er en virtuell container som undersøker filen i et sikret miljø. Defender for Endpoint lagrer data om alle enheter i et halvt år i en egen leier (tenant). Det omfatter installert programvare og konfigurasjoner. Sånn er det lett å se trender. ERD-data for avansert jakt oppbevares i 30 dager.
Lisensiering
De fleste lisenser er per bruker og tillater at du onboarder opptil fem enheter til plattformen. Microsoft Defender for Endpoint krever Windows 10 Enterprise E5 eller Windows 10 Education A5; Microsoft 365 E5, Microsoft 365 E5-sikkerhet eller Microsoft 365 A5. Det bør bemerkes at det beste og rimeligste valget er Microsoft 365 E3 + E5-sikkerhet. De andre sikkerhetsproduktene for Microsoft 365 som er omtalt her, følger også med.
En frittstående lisens kan brukes for én enkelt enhet, som en server eller kiosk, eller hvis du ikke vil kjøpe en hel lisenspakke. Men den gir deg ingen rett til å integrere med andre tjenester. For Defender for Endpoint på Windows Server må du velge ett av følgende lisensalternativer: Azure Defender for Servers eller Microsoft Defender for Endpoint for Servers.
Avsluttende ord
Microsoft Defender for Endpoint er en komplett løsning for endepunktsikkerhet som forhindrer, oppdager og automatisk undersøker og svarer på angrep. Plattformen kan lett virke overveldende. En parallell er hvordan man sikrer en fysisk bygning. Folk kommer inn gjennom en enveis sikkerhetssluse som skanner for metall og gjenstander. Det blir Trussel- og sårbarhetsadministrasjon. Det er ikke mer enn én hovedinngang med flere nødutganger. Vi begrenser ansatte til å få tilgang til etasjer i bygningen der deres egne kontorer ligger. Dette er Angrepsflatereduksjon.
Besøkende må fremvise ID (signaturbasert beskyttelse) og kontrolleres ideelt sett mot en database over ettersøkte personer (Intelligent Security Graph). Sikkerhetsoffiserer som går rundt, oppdager uvanlig oppførsel (atferdsbasert forsvar). Samlet gir dette Neste generasjons beskyttelse. Kameraer overalt overvåker hva som skjer i og utenfor bygningen (anta sikkerhetsbrudd). Et sikkerhetsteam varsles når en hendelse (ondsinnet kode) utspiller seg, så de kan undersøke, samle bevis og slå ned angrepet. Det blir Endepunktsdeteksjon og -respons.
Med sikkerhetskameraene på plass er det vanskelig å holde øye med alt som skjer. Vi trenger avlastning, kognitive tjenester som gjenkjenner ansikter og maskinlæringsmodeller som identifiserer avvikende oppførsel. Det får vi med Automatisert undersøkelse og utbedring. Vi kontrakterer eksterne sikkerhetsspesialister som rutinemessig går gjennom loggene for tilgangskontrollen for å finne ut om det er noe mistenkelig. Da har vi proaktiv jakt og Microsofts trussel-eksperter.
Microsoft har for lengst etablert seg som ett av verdens ledende sikkerhetsselskaper. De tilbyr noen av de beste sikkerhetsproduktene i bransjen, ikke minst på grunn av sin dype kunnskap om egne tjenester. Men selskapets forskjellige produktnavn har hittil gjort det vanskelig å orientere seg i porteføljen. Dette er blitt lettere ved å samle tjenestene for Microsoft 365 under Microsoft Defender. I Azure er det foretatt en tilsvarende forenkling. Azure Security Center Standard Edition er blitt til Azure Defender for Servers, Azure Security Center for IoT til Azure Defender for IoT og Advanced Threat Protection for SQL til Azure Defender for SQL.
