Microsoft 365 Business Premium med Defender for Endpoint – Del I

Microsoft 365 Business Premium er et imponerende produkt som vokser jo mer du bruker det. Det leverer markedsledende produktivitets- og samarbeidsverktøy. Plattformen sørger for trygg tilgang, sikrer brukere og beskytter bedriftsressurser. Du kan forvalte alle enheter uansett hvor de befinner seg. Dine ansatte kan jobbe trygt enten de er på farten eller på hjemmekontor, samtidig som du bevarer den fulle kontrollen. Men det enkelte virksomheter vil savne, er en administrert løsning for virus- og trusselbeskyttelse. Defender for Endpoint gir deg dét til en forbausende lav pris, i underkant av 50 kroner per bruker/måned – med støtte for Windows, macOS, Android og iOS/iPadOS.

Oversikt over Defender for Endpoint

Microsoft Defender for Endpoint (MDE) er et omfattende produkt, langt mer enn tradisjonell antivirusprogramvare. Trussel- og sårbarhetsadministrasjon identifiserer, vurderer og utbedrer svakheter på endepunkter. Angrepsflatebeskyttelse reduserer angrepsflaten. Neste generasjons beskyttelse sørger for atferdsbasert, heuristisk virusbeskyttelse i sanntid. Endepunktsdeteksjon og -respons (EDR) oppdager avanserte angrep og gir full synlighet i omfanget av et sikkerhetsbrudd.

Automatisert undersøkelse og utbedring

retter automatisk opp kompromitterte enheter. Trussel-analyse holder deg oppdatert med rik trusselintelligens. Trusseleksperter bistår deg med ekspertise i verdensklasse. Jakt med spørrespråket Kusto avdekker skjulte trusler. Sentralisert konfigurasjon og administrasjon sørger for en helhetlig opplevelse. APIer lar deg knytte plattformen sammen med andre løsninger. MDE har en egen portal, men kan integreres i Microsoft 365-Sikkerhet.

Utfordringer i dagens trussellandskap

Trusselbildet i dag er dystert. Det utføres stadig flere fremstøt med skadevare som aldri har vært sett før. Det er polymorfe trusler som muterer raskere enn vanlige former for beskyttelse kan følge med på. Det er angrep som utnytter sårbarheter på enheter som går rett mot minnet uten å være bakket av filer. Da holder det ikke lenger å falle tilbake på virussignaturer. Tradisjonelle sikkerhetsløsninger kommer til kort. Du trenger funksjoner som er støttet av kunstig intelligens (KI) og maskinlæring (ML). De må kunne foreta atferdsanalyser for å blokkere og slå ned på offensiven. Du må sørge for at du i minst mulig grad er sårbar. Defender for Endpoint kommer med alle disse mekanismene.

Bedre føre var enn etter snar

Håndtering av sikkerhetsproblemer inneholder dashbordet for Trussel- og sårbarhetsadministrasjon. Eksponeringsscoren gjenspeiler nåværende eksponering knyttet til enheter i organisasjonen din. Under vises en historikk. Her bør du ha en lav poengsum. Scoren for enheter angir status for alle endepunkter på tvers av operativsystemer, applikasjoner, nettverk, kontoer og sikkerhetskontroller. Denne poengsummen skal være høy. Du oppnår poengene ved å følge sikkerhetsanbefalingene. Øverst vises de tre viktigste. Ved å klikke på Show more får du opp alle forslag.

Klikk for eksempel på Turn on Microsoft Defender Application Guard managed mode. Det gis en beskrivelse av risikoen, en oversikt over eksponerte enheter og CVEr. Det står for Common Vulnerabilities and Exposures eller vanlige sårbarheter og eksponeringer, en referansemodell for offentlig kjente informasjonssikkerhetsproblemer som vedlikeholdes av MITRE Corporation.

Klikk videre på Request remediation (Be om utbedring). Her finner du koblinger til nettsider på Microsoft Docs som gir trinnvise fremgangsmåter. I forespørselen kan du opprette en billett med adresse til Configuration Manager, Intune eller ServiceNow.

Utbedring viser de siste aktivitetene du har foretatt deg. Defender for Endpoint avdekker sårbarheter i programvare, også i tredjepartsapper som Google Chrome, Zoom og Adobe Creative Cloud. Dette er nyttig for administratorer. Medarbeidere velger ofte verktøy de oppfatter som mest tjenlige. Vi har ikke alltid god nok kjennskap til dem, men kan i det minste holde dem oppdatert og sørge for at de er konfigurert riktig. Programvarelager gir en oversikt over programmer som er installert.

Angrepsflatebeskyttelse

I likhet med Trussel- og sårbarhetsadministrasjon er mekanismer for å redusere angrepsflaten forebyggende sikkerhetskontroller som bidrar til å nøytralisere trusler før de kan påvirke maskinene dine. Funksjonene i seg selv er del av Windows 10 og krever ikke Defender for Endpoint, men det gir deg bedre styring og synlighet. Det første du bør se på, er 15 regler som er vist ovenfor, også kjent som ARS Rules – ARS står for Attack Surface Reduction. De begrenser atferden i apper, filer eller skript som er forbundet med ondsinnet aktivitet og gjør jobben for en angriper vanskeligere.

Begynn med å konfigurere dem i overvåkingsmodus fordi de kan bryte enkelte eldre applikasjoner. Det enkleste er å bruke Intune med enten profilen Microsoft Defender for Endpoint Baseline eller policyen Attack Surface Reduction. Et alternativ er PowerShell.

Andre funksjoner som faller inn under kategorien overflatebeskyttelse, er Application Guard, også referert til som applikasjonsisolasjon. Den er utformet for nettleseren Edge og isolerer ikke-klarerte nettsteder i en virtualisert container, atskilt fra resten av systemet. Application Control godtar bare hvitelistede applikasjoner. Du kan velge å stole på alle apper som har et godt rykte hos Microsoft. De kan være godkjent ved at de er distribuert av Intune eller Endpoint Configuration Manager.

Controlled Folder Access

eller kontrollert mappetilgang hindrer ikke-klarerte apper i å få tilgang til beskyttede mapper og skjermer dermed mot løsepengevirus. Men det er dessverre en Microsoft 365 E5-funksjon. Network Protection eller nettverksbeskyttelse blokkerer tilgang til destinasjoner med lavt omdømme i Microsoft Intelligent Security Graph. Det utvider SmartScreen ved å blokkere all utgående trafikk til farlige Internett-ressurser, ikke bare for Microsoft Edge.

Web Protection eller nettbeskyttelse inkluderer beskyttelse mot web-trusler for å herde maskiner mot phishing, skadelig programvare og webområder med frynsete rykte. Exploit Protection eller utnyttelsesbeskyttelse omfatter teknologier som Data Execution Prevention (DEP) og Arbitrary Code Guard (ACG). Device Control gir deg muligheten til å tillate eller blokkere flyttbare enheter. Du kan aktivere direkte minnetilgangsbeskyttelse for å redusere DMA-angrep.

Neste generasjons beskyttelse

Defender for Endpoint bruker Microsoft Defender Antivirus på Windows 10 for å hindre skadelig programvare i å kjøre, kjent som blokkering før utførelse. Det skjer om angrepet har klart å bryte gjennom første forsvarslinje, som er Trussel- og sårbarhetsadministrasjon og Angrepsflatereduksjon. Defender Antivirus sliter fortsatt ufortjent med et skralt renommé, til tross for at den har utviklet seg til å bli en av de mest effektive og høyest rangerte løsningene mot skadevare.

Defender Antivirus er neste generasjons beskyttelse. Den kombinerer maskinlæring, analyse av stordata, dybde-research av trusler og Microsofts skyinfrastruktur for å beskytte enheter. Den bruker overvåking av atferd, heuristikk og sanntids trusselbeskyttelse for å oppdage og blokkere ondartede filer eller filløse angrep. Ved hjelp av skyen oppdager og blokkerer den nye og fremvoksende trusler nesten umiddelbart. Samarbeidet mellom klient og sky kan arte seg sånn:

1. Sanntidsbeskyttelsen i Defender Antivirus inspiserer en fil og bruker forskjellige metoder som atferdsanalyse, heuristikk og lokale maskinlæringsmodeller (det tar millisekunder).
2. Hvis Defender Antivirus ikke kan avgjøre om filen er skadelig og sky-levert beskyttelse er aktivert, sender den metadata til skyen, for eksempel en hash av filen.
3. Skyen konsulterer Microsoft Intelligent Security Graph. Hvis det er en match, returnerer skyen dommen om filen til klienten om den er ren eller ondartet (det tar millisekunder). Hvis det er første gang vi ser filen, kan skyen be klienten om å laste den opp for grundigere analyse.
4. Klienten låser filen og sender den til skyen for videre undersøkelse.
5. Skyen utfører en avansert analyse (maskinlæring, detonasjonskammer og stordata). Dette kan ta minutter, timer eller til og med dager i tilfellet det kreves voldsomme data-analyser.
6. Klienten venter en forhåndsdefinert periode før filen tillates å kjøre, selv uten å ha mottatt svar fra skyen. Det er fare for at filen er skadelig, men det er et kompromiss mellom å vente i flere timer på at skyen skal levere et resultat, og brukeren som venter på å kjøre filen.
7. Analysen avsluttes kanskje etter flere timer. Hvis filen ikke er ren, er klienten kompromittert, og vi har mistet «pasient null». Men skyen vil generere en ny signatur og sende den tilbake til klienten og fremtidige klienter. Når de støter på denne filen, vet de allerede at den er skadelig.

På en Mac omtales virus- og trusselbeskyttelsen fortsatt som Microsoft Defender ATP.

Cloud App Discovery

Mange sliter med å komme i gang med Cloud App Discovery, som er en redusert versjon av Microsoft Cloud App Security (MCAS) og følger med Microsoft 365 Business Premium. Den vanlige måten er å hente ut en øyeblikksrapport fra brannmuren eller proxyen på kontoret og så sette opp kontinuerlig oppdagelse. Trafikkloggene avdekker hvilke skyapper som er i bruk i virksomheten og lar deg avsløre skygge-IT. Du kan godkjenne og blokkere apper og konfigurere varsler.

Med dagens mobile arbeidsstyrke og folk på hjemmekontor gir det mindre mening, annet enn hvis appene aksesseres via VPN. Ved å integrere Defender for Endpoint med Cloud App Discovery sørger Windows 10-klientene for kontinuerlige rapporter. De er oppført som Win10 Endpoint Users. Du går inn i Innstillinger, velger Endepunkter, Advanced Features og slår på integrasjonen med Microsoft Cloud App Security. I Cloud App Discovery må du huke av for å integrere Defender for Endpoint. Så velger du alvorlighetsgraden for signaler som sendes til Defender for Endpoint.

Avsluttende ord

Microsoft Defender for Endpoint er en sikkerhetsplattform for endepunkter. Den er utformet for å hjelpe virksomheter med å hindre, oppdage, undersøke og respondere på avanserte trusler. I del II av bloggen tar vi for oss hvordan du kommer i gang med Defender for Endpoint, konfigurerer enkelte innstillinger og integrer det med Intune. Så går vi videre på Endepunktsdeteksjon og -respons (EDR), Automatisert undersøkelse og utbedring og Trussel-analyse. Vi kaster et blikk på Trusseleksperter og Jakt med spørrespråket Kusto. Til slutt vises det hvordan signaler fra Defender for Endpoint kan benyttes sammen med betinget tilgang og blokkere pålogging fra infiserte enheter.