Del I ga en kjapp oversikt over Microsoft Defender for Endpoint (MDE) med henvisning til en mer utførlig innføring i et tidligere innlegg. Vi viste hvordan du kan herde endepunkter med Trussel- og sårbarhetsadministrasjon og Angrepsflatereduksjon. Dette er første linje i forsvaret. Det fortsatte med annen linje, som er Neste generasjons beskyttelse mot skadelig programvare ved hjelp av dyp analyse og maskinlæring lokalt og i skyen. Til slutt demonstrerte vi at du kan integrere Defender for Endpoint med Cloud App Discovery for å oppdage skygge-IT og sette opp varslinger.
Her ser vi på tredje forsvarslinje, som er Endepunktsdeteksjon og -respons (EDR). Den overvåker atferd og angriperteknikker for å oppdage og svare på avanserte angrep. Vi beveger oss videre til Automatisert undersøkelse og utbedring, som benytter seg av kunstig intelligens for automatisk å undersøke varsler og utbedre komplekse trusler på få minutter. Microsofts trusseleksperter med sin dype kunnskap og proaktiv trusseljakt avrunder fremstillingen av egenskapene i Defender for Endpoint. Et tillegg viser hvordan du kommer i gang.
Endepunktsdeteksjon og -respons (EDR)
I flere tiår har vi hørt om antivirus. Det nye buzz-ordet er EDR. Enkelte ganger er det en tynn linje mellom de to funksjonene. Hvis skadevare ender opp på enheten din og prøver å kjøre, tillater eller forhindrer Defender Antivirus at koden utføres. Om den får grønt lys (før utføring) og viser seg å være skadelig, varsler EDR-sensorer (etter utføring) deg om mistenkelige aktiviteter forårsaket av den ondartede filen. EDR lagrer samlet informasjon fra endepunktene sentralt der det gjennomføres ytterligere prosedyrer som tolking, oppdagelse, undersøkelse, registrering og varsling. Om EDR i blokkmodus er aktivert, kan den også blokkere et angrep.
Blokkering av atferd før og etter utføring
Det er ingen grunn til å dvele for lenge ved motorene og komponentene. Figuren illustrerer forholdet mellom antivirus som oppdager trusler før de utføres, og EDR som trer i aksjon etter utførelse. Samspillet mellom klient og sky er også interessant. Om Defender Antivirus ikke klarer å blokkere en fil ved hjelp av signaturer, benytter den seg av maskinlæring, heuristikk og emulering. I skyen er det en rekke maskinlæringsmodeller som undersøker potensielt skadelige filer med tanke på omdømme, metadata og klassifisering. Filer kan åpnes i et detonasjonskammer, som er en virtuell maskin, for inngående undersøkelse. Eksperter hos Microsoft har skrevet smarte regler.
EDR bruker også først komponentene på klienten. Filløse og minne-angrep identifiseres via AMSI-integrasjon, som skanner skript-kode i minnet. AMSI står for Antimalware Scan Interface eller grensesnitt for antiskadevare-skanning. Skript kan med hensikt kodes på en forvirrende måte som skjuler den sanne hensikten og gjør den vanskelig å oppdage. Klienten overvåker dessuten atferd og nettverk, foruten at den skanner minnet. Skyen har motsvarende maskinlæringsmodeller for AMSI og atferdsanalyse. Med ERD i blokkeringsmodus kan EDR samarbeide med Defender for Antivirus. EDR oppdager angrepet, og Antivirus slår ned på den – noe som også funger med tredjepartsantivirus.
Hvorfor EDR?
Vanlig antivirusprogramvare klarer ikke å stoppe alle angrep i dagens trussellandskap, som overkjører oss med filløs skadelig programvare som bruker standard binærfiler og vrir ser unna oppdagelse. Det foretas prosessinjeksjoner og direkte minneangrep som ikke er bakket av filer. Polymorfe trusler muterer raskere enn tradisjonelle løsninger kan følge med på. Endelig er det menneskedrevne angrep som tilpasser seg det de finner på kompromitterte enheter.
Endepunktsdeteksjon og -respons bruker ulike data-analyseteknikker for å oppdage mistenkelig systematferd, blokkerer ondsinnet aktivitet og gir kontekstuell informasjon og utbedringsforslag for å gjenopprette de berørte systemene. EDR-sensorene registrerer prosessinformasjon, aktivitet på nettverket og brukerpålogging. De har en dyp optikk inn i kjernen og minnet og fanger opp endringer i registeret og på filsystemet. Dette er langt mer enn hva signatur-baserte antivirusløsninger gjør.
Hendelser og varsler i Microsoft 365-Sikkerhet
Microsoft 365-Sikkerhet er det nye hjemmet for selskapets sikkerhetsprodukter. Defender for Endpoint er allerede integrert. Det samme gjelder Microsoft Defender for Office 365 (MDO), som tidligere het . Det finnes en forhåndsversjon av Microsoft Defender for Identity (MDI) som også er å finne i samme portal. Da er det antakelig bare et tidsspørsmål før Microsoft Cloud App Security (MCAS) flyttes dit.
Hendelser viser alle relaterte varsler på tvers av alle endepunkter, med signaler fra Intelligent Security Graph (ISG) og andre sikkerhetsløsninger fra Microsoft. Sånn kan man følge et angrep som for eksempel begynte med en trojansk hest som slapp gjennom e-postbeskyttelsen og infiserte flere enheter. Så kan man se hva samme angriper foretar seg videre.
Ovenfor vises varsler fra MDO, Antivirus og ERD som er løst. Du kan bevege deg fra en enhet til en annen for å få dyp innsikt i hva som skjer. Hvis du for eksempel ser på en hendelse, kan du se alle relaterte varsler og relaterte enheter som er knyttet til hendelsen. Fra siden Enhetsenhet kan du også se relaterte varsler, hendelser, brukere som benytter enheten, tilmed sikkerhetsanbefalinger for endepunktene hentet fra motoren for Trussel- og sårbarhetsadministrasjon.
Klikker du på et varsel, får du detaljerte opplysninger om angrepet, blant annet om IP-adressen det kommer fra, at det ble oppdaget av EDR, og at teknologien for oppdagelsen av PowerShell-skriptet er AMSI: atferdsanalyse i minnet. Tidlig i år integrerte Microsoft -teknikker i hendelser og varsler, noe som kan være ekstremt nyttig for å forstå angrepet.
Manuell live-respons
Du kan velge en maskin i Enhetsinventar og sette i verk forskjellig typer responser. Du kan isolere enheten fra nettverket mens du undersøker og utbedrer den. Det bryter naturligvis ikke tilkoblingen til Defender for Endpoint, men heller ikke med Outlook og Teams, så du kan kommunisere med brukere. Du kan blokkere apper som ikke er signert av Microsoft, og skanne for virus. Du kan samle inn en etterforskningspakke som gir informasjon om installerte programmer, autokjør, tjenester, logger knyttet til sikkerhetshendelser, planlagte oppgaver, prosesser osv. Opplysningene kan brukes til å spore opp hva som kan ha skjedd på endepunktet. Med en PowerShell-sesjon kommer du inn på enheten, og du kan laste opp skript. Endelig kan du initiere en automatisert undersøkelse.
Automatisert undersøkelse og utbedring
Du har ikke tid til å undersøke og løse alle sikkerhetsvarsler. Så la Defender for Endpoint gjøre det. Automatisering hjelper deg med å bevege deg fra varsel til utbedring i stor skala. Innebygd kunstig intelligens (KI) benytter inspeksjonsalgoritmer og prosesser en analytiker vil bruke til å undersøke og rette opp trusler. Mens tjenesten ikke har pause og ferie. Den gir bare etterforskning av høy kvalitet og utbedring 24 timer sju dager i uken. Gangen i automatisert undersøkelse og utbedring er:
- Bestemme om trusselen krever handling
- Utføre nødvendige utbedringshandlinger
- Avgjøre hvilke tilleggsundersøkelser som så bør skje
- Rense og gjenta om nødvendig
Etterforskningen kjører flere KI-baserte spillbøker for å analysere og forstå omfanget av angrepet for å sikre at alle trusler blir håndtert. Defender for Endpoint bruker sitt rike sett med historiske data for å se om relaterte trusler er observert på andre maskiner. Standard er full automatisering, men kan overstyres med enhetsgrupper der du angir graden. Kritiske server er ofte ikke fullt automatisert.
Microsoft Trusseleksperter
Defender for Endpoint gir deg nok synlighet i angrep og verktøyene du trenger, sammen med automatisering. Men enkelte ganger skader det ikke med ekstra hjelp. Microsoft Trusseleksperter er en administrert trusseljakttjeneste og består av to komponenter. Den gir målrettede angrepsvarsler med spesiell innsikt og analyse som hjelper deg med å identifisere og svare på de mest kritiske truslene raskt og nøyaktig. Det andre er eksperter ved behov. Du blir sikrere i hvordan skal gå frem, en enorm tidsbesparelse i en kritisk situasjon. Dessverre er tjenesten ikke del av standardtilbudet til Defender for Endpoint og må kjøpes separat.
Defender for Endpoint og betinget tilgang
Det er ikke uvanlig at vi krever at enheter må være i samsvar før vi godtar pålogging fra dem. Dette er lagt inn i policyen Access from trusted devices. Dermed må endepunktene være registrert i Intune og oppfylle visse minstekrav. Alle andre enheter stenges ute allerede ved inngangsdøren.
Ved å integrere Defender for Endpoint med Intune, kan du i samsvarspolicyene for Windows 10 ytterligere kvalifisere adgangen. Betinget tilgang lar deg kontrollere tilgangen til bedriftsinformasjon basert på risikonivået til en enhet. Velg maksimal tillat risikoscore for enheter som evalueres av Defender for Endpoint. Enheter som overskrider scoren, markeres som ikke i samsvar. Verdiene kan være lav, middels eller høy. Dette beskytter bedriften ytterligere.
Sette opp Defender for Endpoint
Defender for Endpoint her er lisensiert som tillegg til Microsoft 365 Business Premium. Du må tegne lisensen via din IT-partner. Prisen er 45,80 per bruker/måned. Hver bruker kan registrere opptil fem enheter – typisk en PC, Mac, mobil og nettbrett. Ellers inngår Defender for Endpoint i Microsoft 365 E5 og Microsoft E3 + E5 Security. Logg deg på portalen og bla ned til Alle administrasjonssentre og velg Microsoft Defender ATP. Defender Advanced Threat Protection (ATP) er omdøpt til Defender for Endpoint. Men det gamle navnet går igjen flere steder. Det opprettes en konto med en egen tenant. Du kan velge hvor du vil lagre data (Europa) og hvor lenge (180 dager).
Du må registrere (onboarde) minst en enhet for å gå videre. Det er flere måter å gjøre det på. Det enkleste første gang er å bruke en Windows 10-enhet og kjøre et kommandoskript. Klikk på Download package. Pakken – eller rettere sagt skriptet – lastes ned til mappen Nedlastinger. Start opp PowerShell – det går fint med Cmd også – som administrator og naviger deg frem til mappen. Kjør skriptet, bekreft med Y og trykk så hvilken som helst tast. Dermed er enheten registrert. Kopier skriptet for å kjøre en oppdagelsestest. Vinduet lukkes umiddelbart etter at testen har kjørt. Ved å integrere Defender for Endpoint med Intune kan du automatisere utrullingen. Det er godt forklart på siden for Onboarding i Innstillinger.
Enheten er registrert. Bla deg ned til Settings og velg Portal redirection (Portal-omdirigering). Her kan du automatisk omdirigere alle kontoer i organisasjonen din fra securitycenter.windows.com til security.microsoft.com, det nye hjemmet til Defender for Endpoint. Logg deg av og på igjen.
Nå er du i Microsoft 365-Sikkerhet. Bla deg ned til Innstillinger og velg Endepunkter, Advanced Features. Slå på eller sørg for at disse valgene er slått på: Automated Investigation, Live Response og Enable EDR in block mode. Du ønsker at mest mulig foregår automatisert. Live Response lar deg opprette en PowerShell-sesjon til en Windows 10-enhet. Det er opp til deg om du vil godta skript som ikke er signert. EDR i blokkeringsmodus lar EDR samarbeide med Defender Antivirus.
Alle disse bør også være slått på: Automatically resolve alerts (Løs varsler automatisk), Allow or block file (Tillat eller blokker fil), Custom network indicators (Egendefinerte nettverksindikatorer), Tamper protection (Manipulasjonsbeskyttelse), Show user details (Vis brukerdetaljer), Skype for Business integration (integrasjon med Skype el. Teams), Microsoft Cloud App Security (for Business Premium er det Cloud App Discovery), Microsoft Secure Score (Microsoft Sikkerhetsvurdering), Microsoft Intune connection (Microsoft Intune-tilkobling) og Device discovery (Enhetsoppdagelse).
Avslutning – Bedre sammen
Defender for Endpoint lar deg overvåke og svare på sikkerhetsvarsler på enheter som er sikret med neste generasjons beskyttelse, endepunkts-oppdagelse og -svar samt mange andre funksjoner. Best fungerer produktet sammen med Windows 10. Du behøver ikke rulle ut en agent. Alle sensorer er innebygd i Windows 10. Det gjelder også en rekke tjenester Defender for Endpoint benytter seg av, som Defender Antivirus og Defender Firewall og funksjonene for Angrepsflatereduksjon. Men støtten for Mac blir stadig bedre. I fjor høst fikk den god støtte for Trussel- og sårbarhetsadministrasjon. Spørrespråket Kusto, som opererer på tvers av produktene i Microsoft 365-Sikkerhet og Azure AD skulle vært tatt opp, men hadde sprengt rammen.
