Microsoft Defender for Endpoint er langt mer enn en tradisjonell signaturbasert antivirusløsning. Den omfatter flere komponenter. Trussel- og sårbarhetsbehandling sammen med Angrepsflatereduksjon følger føre-vâr-prinsippet og herder enhetene. Neste generasjons beskyttelse kombinerer heuristikk, atferdsanalyse og maskinlæring lokalt med detonasjonskamre, undersøkelse av stordata og kunstig intelligens i skyen. Endepunktsdeteksjon og -respons oppdager og svarer på avanserte angrep, noe som gir synlighet i hele sikkerhetsbruddet.
Automatisert undersøkelse og utbedring gransker varsler og utbedrer komplekse angrepstekniker i nær sanntid. Microsofts trussel-eksperter bringer dybdekunnskaper foruten proaktiv og reaktiv trusseljakt til virksomheten din. Defender for Endpoint er tett integrert med sikkerhetsmekanismene i Azure AD, Microsoft Endpoint Manager og de andre produktene i Microsoft 365 Defender, som er Defender for Identity, Cloud App Security og Defender for Office 365. Spørrespråket Kusto binder tjenestene sammen og kan avdekke hele anatomien i en cyberdrapskjede.
Microsoft 365 Defender
Microsoft 365 Defender er det nye hjemmet for sikkerhet. Øverst på navigasjonsmenyen ligger funksjonene som er felles. Hjem lar deg organisere kort. Hendelser og varsler samler signalene fra alle sikkerhetstjenester. Handlingssenter viser pågående og avsluttede handlinger, som å starte et virusskann og plassere filer i karantene. Med Jakt kan du foreta spørringer på tvers av alle tjenester. Trusselanalyser gir en oversikt over aktive trusler og hvilke som rammer virksomheten din. Sikkerhetsvurdering foretar en analyse av tiltakene du har satt opp for å sikre organisasjonen din. Lærehub har koblinger til videoer og dokumentasjon.
Administrasjonen av Defender for Endpoint – Endepunkter – er allerede innlemmet i portalen. Det samme gjelder Exchange Online Protection og Defender for Office 365 – E-post og samarbeid. Andre produkter skal følge etter. Det vil gi en enkel glassrute (single pane of glass) for styringsverktøy som forener data og grensesnitt på tvers av de forskjellige kildene og presenterer dem i en enkelt visning. Dette er fortsatt ikke et dedikert system for sikkerhetsinformasjon og hendelseshåndtering (Security Information and Event Management – SIEM). Men du kommer mange skritt nærmere.
Dashbordet for Trussel- og sårbarhetsbehandling
Menyene for Trussel- og sårbarhetsbehandling ligger under Håndtering av sikkerhetsproblemer. Instrumentbord gir en oversikt over enhetens tilstand, ikke fritt for innslag av gamification eller «spillifisering», med fremdriftsindikatorer som poeng og score. Konkurranseinstinktet og behovet for selvrealisering utfordres med å få ned poengsummen for eksponering og få den opp for enheter. Vær forberedt på at scoren beveger seg i bølgedaler. Du legger til nye enheter, Microsoft kommer med nye målekriterier. Samtidig er det programvare som må holdes oppdatert.
Toppanbefalingene kunne vi tatt med knusende ro om vi har satt opp oppdateringsringene for Windows, Office og Edge Chromium på en fornuftig måte. Men det er et varseltegn til høyre for Windows 10 som viser at én eller flere sårbarheter allerede utnyttes i angrep. Verktøyet for å behandle sårbarheter er risikobasert. Det prioriterer enheter som er utsatt for aktive trusler eller lagrer sensitive data. Sistnevnte er en følge av integrasjonen med Microsoft Information Protection og følsomhetsetiketter.
Sikkerhetsanbefalinger
Neste menypunkt er Anbefalinger. Vi må få oppdatert én Windows 10-enhet med Windows, Office, Edge Chromium. På to Windows-maskiner bør vi slå på Defender Application Guard i administrert modus. Vi rådes til å sette minimum PIN-lengden for oppstart (BitLocker) til seks eller flere tegn. På en enhet er ikke Defender Credential Guard aktivert. I tillegg er det enkelte anvisninger for macOS vi burde følge, som å endre passordlengden og sikre hjemmemapper.
Application Guard er et maskinvarebasert endepunktforsvar som er innebygd i Edge Chromium. Det isolerer nettsteder som ikke er klarert, i en virtuell maskin (VM) for å hindre at ondsinnet aktivitet rammer verten. Credential Guard er en sikkerhetsfunksjon som holder påloggingsinformasjon atskilt fra resten av operativsystemet for å forhindre tyveri. Når du klikker på én av oppføringene, får du god informasjon om å utbedre svakheten – enten manuelt, via gruppepolicyer eller Intune.
La oss se nærmere på oppdateringen av Windows 10, innbefattet innebygde applikasjoner. Du får en nærmere beskrivelse. CVE står for Common Vulnerabilities and Exposures (vanlige sårbarheter og eksponeringer), en referansemetode for offentlig kjente sikkerhetsproblemer. Du får opplysninger om eksponerte og installerte enheter, assosierte CVEer og utbedringsaktiviteter.
Vi har klikket på Request remediation (Be om utbedring). Det gir oss muligheten til å åpne en billett i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling.
Utbedring
Under Utbedring ser vi pågående og utførte aktiviteter. Oppdateringen av Windows 10 er allerede forfalt og avventer bekreftelse i Intune.
Programvarelager
Programvarelager gir en fortegnelse over installerte programmer, med en vurdering av svakheter og en oversikt over eksponerte enheter.
Svakheter
Svakheter lister opp alle sårbarheter basert på systemet for Common Vulnerabilities and Exposures. Her er det to sårbarheter som allerede utnyttes, hvorav én er kritisk.
Tidslinje for hendelser
På Tidslinjen for hendelser kan du gå 90 dager tilbake i tid.
Integrasjon med Microsoft Intune
For å integrere Defender for Endpoint med Intune må du først velge Innstillinger i portalen for Microsoft 365 Defender. Velg Endepunkter, Advanced features. Slå på Microsoft Intune connection.
Så må du inn i Endepunktbehandling. Klikk på Endpoint security, Microsoft Defender for Endpoint. Aktiver funksjonene for MDM-samsvar og appbeskyttelse som er aktuelle i din organisasjon. Ikke glem å lagre. Dermed har du opprettet en tjeneste-til-tjeneste-forbindelse mellom Microsoft Intune og Defender for Endpoint. Du kan bruke den til å rulle ut Defender for Endpoint til Windows 10 og macOS, sette opp samsvarspolicyer og bygge en bro mellom administrasjon av sikkerhet og IT.
Beskytte og sikre enheter
Fra Endpoint Security Overview i administrasjonssenteret for Microsoft Endpoint Manager beskytter og sikrer du enheter fra ett sted. Du aktiverer, konfigurerer og distribuerer Defender for Endpoint.
Til høyre ser du Remediate endpoint weaknesses. Den lar deg utbedre sårbarheter rapportert av Trussel- og sårbarhetsbehandling. Det er et grønt merke for at tilkoblingen til Microsoft ATP er aktivert, det gamle navnet for Defender for Endpoint.
Klikk på View security tasks. Oppgraderingen av Windows vises først som pending (pågående). Velg den og klikk på Accept. Da blir den aktiv.
Anbefalte og forenklede sikkerhetsinnstillinger
Microsofts anbefalte grunnlinjer gir deg en flying start for å sikre Windows 10-enheter. Alternativt kan du tildele maskinene forenklede sikkerhetspolicyer for antivirus, diskkryptering, brannmur, Angrepsflatereduksjon, Endepunktdeteksjon og -respons (EDR) og kontobeskyttelse. Da får du opp poengsummen for enheter i betydelig grad.
Avsluttende ord
Defender for Endpoint er i seg selv en markedsledende løsning for å beskytte enheter mot ukjent skadelig programvare, såkalte nulldagstrusler – noe vi ser stadig mer av i angrep, og som signaturbasert antivirus ikke klarer å fange opp. Trussel- og sårbarhetsbehandling fungerer i denne sammenheng som vaksine som gjør virksomheter mer motstandsdyktig. Den avgjorte styrken er hvor tett alle disse sikkerhetsmekanismene er vevd inn i hverandre. Det gjør etter vår mening Defender for Endpoint til det beste valget for å beskytte enhetene i organisasjonen din.
