В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.
Если говорить коротко, то Служба ATP в Защитнике Windows — это служба безопасности, с помощью которой можно обнаруживать в своих сетях угрозы безопасности, исследовать их и принимать ответные меры. Служба работает на основе встроенной в Windows 10 комбинации технологий и облачной службы Microsoft. К таким технологиям относятся:
- Датчики поведения на хостах. Эти датчики встроены в Windows 10. Они собирают и обрабатывают сигналы операционной системы о поведении (например, о взаимодействиях процессов, реестра, файлов и сети) и отправляют данные в ваш частный, изолированный облачный экземпляр службы ATP.
- Облачный анализ безопасности. По сути дает возможность преобразовывать поведенческие сигналы в аналитические данные для выявления угроз, а также помогает с рекомендациями по их устранению.
- Аналитика угроз. В Microsoft есть отдельные специалисты и отделы безопасности данных, в дополнении к этому используются аналитические данные об угрозах от партнеров. Это позволяет службе ATP идентифицировать средства, технологии и методы атаки. Оповещать пользователей при обнаружении соответствующих признаков в собираемых данных.
Схематично эти компоненты службы представлены ниже.
Возможности службы по исследованию хостов позволяют получить подробные оповещения, понять характер и масштаб возможного вторжения.
Служба ATP в Защитнике Windows работает с различными технологиями Windows по обеспечению безопасности:
- Защитник Windows
- AppLocker
- Device Guard
Она также может параллельно работать и со сторонними решениями по обеспечению безопасности.
Обзор портала Advanced Threat Protection в Защитнике Windows
Для мониторинга и ответных действий на угрозы можно использовать портал ATP. Он решает следующие задачи:
- Просмотр, сортировка и классификация оповещений от хостов.
- Поиск дополнительной информации, связанной с обнаруженными индикаторами. Это могут быть конкретные файлы или IP – адреса.
- Изменение различных настроек службы: часовой пояс и правила оповещений.
Интерфейс портала включает в себя четыре основные рабочие области:
- (1) Область Настроек
- (2) Область навигации
- (3) Основной портал
- (4) Поиск
С настройками всё вполне очевидно.
В Панели навигации доступны такие представления как:
- Информационная панель (сам дашборд, на котором отображается основная информация);
- Очередь оповещений (Новые, В процессе, Разрешённые и так далее).
Раздел компьютеры отображает перечень компьютеров, которые защищает служба ATP, и некоторые сведения о них.
Настройка приоритетов позволяет настраивать уведомления по email или политику хранения данных (другими словами – сколько данные будут храниться в тенанте).
В разделе управление хостами можно скачать пакет для подготовки машин к работе с ATP.
Служба ATP и использует следующие условные обозначения:
Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности.
Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности.
Обнаружение — признак обнаруженной угрозы вредоносного программного обеспечения.
Активная угроза — угрозы, которые активно исполнялись на момент обнаружения.
Устранено — угроза удалена с компьютера.
Не устранено — угроза не удалена с компьютера.В общем виде подход к исследованию бреши в системе безопасности при помощи ATP можно разбить на следующие этапы:
- Просмотр оповещения на информационной панели или в очереди оповещений.
- Анализ индикаторов компрометации (IOC) или атаки (IOA).
- Анализ временной шкалы оповещений, поведения и событий компьютера.
- Управление оповещениями, понимание угрозы или потенциального взлома, сбор информации для определения необходимых действий и обработки оповещения.
Просмотр информационной панели службы Advanced Threat Protection в Защитнике Windows
Так как работу с ATP мы начинаем с анализа данных на информационной панели, рассмотрим её более подробно. Данные об оповещениях и компьютерах позволяют быстро установить факт, место и время подозрительной активности в сети — это дает необходимый контекст для понимания ситуации. Здесь также отображается сводка данных о событиях, помогающая идентифицировать значимые события или поведение на компьютере. Также можно открыть подробные сведения о событиях и индикаторах на более низком уровне. Активные плитки дают визуальные подсказки, позволяющие оценить общее состояние систем безопасности. При щелчке по такой плитке открывается подробное представление соответствующего компонента.
Оповещения службы ATP
При щелчке по плитке Оповещения ATP отображается общее количество активных оповещений службы ATP в сети за последние 30 дней. Оповещения распределены на две группы: Новые и Выполняющиеся.
Каждая группа имеет подкатегории по уровням серьёзности. Щелкнув по числу внутри каждого можно вывести представление очереди соответствующей категории.
Компьютеры, подвергающиеся риску
На этой плитке показан список компьютеров с наибольшим количеством активных оповещений. Общее число оповещений для каждого компьютера показано в круге рядом с именем компьютера. С противоположной стороны плитки представлено количество оповещений, сгруппированных по уровням серьёзности. Не сложно догадаться, что темный цвет это более опасные, а более светлый – менее.
Плитка Статус содержит информацию о том, активна ли служба и имеются ли проблемы, а также о количестве компьютеров, которые направляли отчеты в службу в течение последних 30 дней.
Плитка Отчёты от компьютеров содержит гистограмму, на которой представлено количество компьютеров, отправлявших оповещения, по дням. Увидеть точное число компьютеров, отправлявших оповещения в определенный день, можно наведя курсор на отдельные столбцы гистограммы.
Компьютеры с обнаруженными активными вредоносными программами
Плитка Компьютеры с обнаруженными активными вредоносными программами отображается, только если в ваших конечных точках используется Защитник Windows. Под активной вредоносной программой понимаются угрозы, которые активно исполнялись на момент обнаружения. Наведя курсор мыши на каждый из столбцов, можно увидеть количество обнаруженных активных вредоносных программ и количество хостов, на которых в течение последних 30 дней была обнаружена хотя бы одна активная вредоносная программа.
В схеме представлено пять категорий вредоносного ПО:
- Программа для кражи паролей — угрозы, направленные на кражу учётных данных.
- Программа-шантажист — угрозы, направленные на блокировку доступа пользователя к компьютеру или файлам и вымогательство денег для восстановления доступа.
- Эксплойт — угрозы, использующие уязвимости программного обеспечения для заражения компьютеров.
- Угроза — все остальные угрозы, не относящиеся к категориям программ для кражи паролей, программ-шантажистов и эксплойтов. К этой категории относятся трояны, черви, бэкдоры («черные ходы») и вирусы.
- Низкий уровень серьёзности — угрозы с низким уровнем серьёзности, включая программы для показа рекламы и потенциально нежелательные программы, например модификаторы браузера.
Угрозы считаются активными, если существует очень высокая вероятность, что вредоносная программа выполнялась в вашей сети, а не просто была локально сохранена на диске.
Щёлкнув по любой из этих категорий, можно перейти к представлению Компьютеры, где данные будут отфильтрованы для соответствующей категории. Так можно получить подробные сведения о том, на каких компьютерах обнаружены активные вредоносные программы и сколько угроз зарегистрировано на каждом из них.
Просмотр и упорядочение очереди оповещений Advanced Threat Protection
Управлять оповещениями службы ATP в Защитнике Windows можно в рамках регулярных ежедневных задач. Оповещения выстраиваются в очереди в соответствии с текущим статусом.По умолчанию оповещения в очереди сортируются в порядке от последних к самым старым.В следующей таблице и на снимке экрана приведены основные области Очереди оповещений.
Выделенная область |
Название области |
Описание |
|---|---|---|
| (1) | Очередь оповещений | Выберите показ Новых, Выполняющихся или Разрешённых предупреждений |
| (2) | Оповещения | Каждое оповещение содержит следующие данные:
При щелчке по оповещению раскрывается дополнительная информация об угрозе, а на временной шкале выполняется переход к дате создания оповещения. |
| (3) | Сортировка и фильтры оповещений | Сортировка оповещений возможна по следующим параметрам:
Кроме того, отображаемые оповещения можно отфильтровать по параметрам:
|
Очередь оповещений можно отфильтровать и отсортировать (сделать сводку), чтобы выявить необходимые оповещения на основе определенных критериев. Для этого доступны три механизма:
- Сортировка очереди с помощью раскрывающегося меню в поле Сортировка по с выбором одного из указанных ниже параметров:
- Самые новые — сортировка оповещений по дате последнего появления в конечных точках.
- Время в очереди — сортировка оповещений по продолжительности нахождения в очереди.
- Серьезность — сортировка по уровню серьёзности.
- Для фильтрации оповещения по уровню серьёзности можно установить один или несколько флажков в раскрывающемся меню в поле Фильтровать по:
- Высокий (красный): угрозы, обычно связанные с постоянными угрозами повышенной сложности (APT). Такие оповещения указывают на высокий риск из-за серьезности ущерба, который может быть нанесен хостам.
- Средний (оранжевый): редко возникающие угрозы, например, аномальные изменения реестра, выполнение подозрительных файлов и поведение характерное для различных этапов атак.
- Низкий (желтый): угрозы, связанные с распространенными вредоносными программами и средствами для взлома, которые не указывают на наличие угрозы повышенной сложности.
- Отображаемую часть очереди можно ограничить различными заданными периодами с помощью раскрывающегося меню в поле диапазона дат (по умолчанию выбрано значение 6 месяцев).
Для изменения порядка сортировки (например, показа первыми самых старых оповещений вместо самых новых) можно щелкнуть значок порядка сортировки.
Анализ оповещений Advanced Threat Protection в Защитнике Windows
Чтобы приступить к анализу, и получить подробную информацию нужно щёлкнуть по оповещению в любой очереди.
Подробные сведения об оповещении включают следующее:
- Дата и время последнего создания оповещения.
- Описание оповещения.
- Рекомендуемые действия.
- Граф инцидента.
- Индикаторы, которые привели к созданию оповещения.
Для оповещений, которые были соотнесены с действиями злоумышленника или субъекта, отображается цветная плитка с именем субъекта.
Щёлкнув по имени субъекта, можно просмотреть профиль аналитики угроз для него, включая краткий обзор субъекта, сведения об его интересах или целях, тактике, методах и процедурах, а также информацию о его активности по всему миру. Также отобразится набор рекомендуемых ответных действий.
Граф инцидента включает визуальное представление места возникновения оповещения, событий, которые привели к его созданию, и других компьютеров, на которые повлияло это событие. На графе показано влияние оповещения на исходном компьютере, а также как это событие повлияло на срабатывание оповещений на других компьютерах.
Можно щёлкнуть кружок на графе инцидента, чтобы развернуть узлы и просмотреть события или файлы, которые связаны с оповещением.
Напоминаем, что сервис ATP в Защитнике Windows встроен в ядро Windows 10 Корпоративная, его работу можно оценить бесплатно.
Приветствую друзья! 
Сегодня мы поговорим о программе Windows Defender Advanced Threat Protection — узнаем что она из себя представляет, зачем нужна. Поехали!
Windows Defender Advanced Threat Protection — что это?
Windows Defender Advanced Threat Protection (ATP) — агент защитника Windows, представляющий единую платформу превентивной защиты, обнаружения взломов, автоматического изучения и устранения (так понимаю угроз). Вот такая официальная информация содержится на сайте Майкрософт.
Если короткой — Windows Defender Advanced Threat Protection это некий компонент виндовского защитника, обеспечивающий дополнительную защиту.
Также на офф сайте сказано — этот агент защищает ваш бизнес от сложных угроз. Возможно данная защита больше направлена на коммерческие ПК, чем на домашние. Например этой защитой пользуются компании DB Schenker, Metro CSG, Emirates Airlines, MSC Mediterranean Shipping Company и другие компании. Разумеется все довольны, их отзывы есть на офф сайте Microsoft.
Основные возможности
Давайте попробуем понять основные возможности этой защиты — просто инфа в интернете как бы есть, но она раскидана и расплывчата. Я буду опираться на офф сайт Microsoft.
- Установка не требуется, нет проблем с совместимостью, постоянное обновление, размещается в облаке. Видимо имеется ввиду что это облачный сервис, поддерживает все актуальные версии Windows, данные постоянно обновляются.
- Функции мониторинга — позволяют детально изучить процесс защиты, угрозы, получить всю подробную информацию. Поддерживается взаимодействие с с Intelligent Security Graph (Microsoft).
- Автоматическая защита — время от предупреждения до устранения угрозы может занимать считанные минуты. Все как бы хорошо, но мне кажется, что реакция должна быть быстрее, или не?
- Синхронизация — поддерживается распространение информации в Microsoft 365 на все устройства, всем пользователям для ускорения ответных мер. Скорее всего это касается устройств/юзеров, которые подключены к одной сети, например корпоративной. Либо к одной какой-то сетевой группе.
- Помогает защитить конечные точки от кибер-угроз, обнаруживает сложные атаки, утечки данных, автоматизирует процесс реагирования, повышает общую безопасность. Агент ATP сертифицирован в соответствии со стандартом ISO 27001.
- Устраняет уязвимые области (в числе и уязвимость нулевого дня), тем самым предотвращая использование их вирусами и хакерами при атаках.
- The Intelligent Security Graph (ISG) — обеспечивает данными, которые необходимы при защите от самых сложных видов угроз — вирусного ПО, бесфайловых и прочих видов атак.
- Присутствует функция отслеживания поведения, использующая машинное обучение для обнаружения атак. В наличии инструмент SecOps для исследования угроз.
- Поддержка системы репутации файлов и веб-сайтов. Хакерские сайты, мошеннические, и просто файлы, зараженные вирусом — будут обнаруживаться, пользователь будет предупрежден.
- Антивирус на базе облачных технологий защищает от известных и неизвестных угроз.
Это только основные возможности. О всех писать нет смысла — не всем они будут понятны, разве что только системным администраторами. Смотря что умеет эта защита, можно делать вывод — она точно излишня для домашних, обычных юзеров. Вирусы, которым способна дать отпор данная защита — просто не водятся на обычных ПК.
| Семейство | Название |
|---|---|
| Windows Servers | Windows Server 2016, Windows Server 2012 R2 |
| Поддерживаемые версии Windows | Windows 10, Windows 8.1, Windows 7 SP1 |
| Другие платформы (через партнеров) | Android, iOS, macOS, Linux |
В общем ребята — не вижу смысла вас дальше грузить этой инфой. Думаю всем все понятно — Windows Defender Advanced Threat Protection это инструмент, направлен на обеспечение повышенной безопасности, которая нужна больше бизнесу, чем обычному домашнему ПК. Кроме бизнеса, может использовать думаю в:
- Организациях, например где проводятся финансовые операции.
- Банки, их филиалы, отделения.
- Учебные учреждения.
- В разных компаниях.
Снова вывод — используется там, где данные на ПК имеют особую ценность. То есть даже вы дома можете использовать эту защиту, если у вас.. например мега ценная инфа финансового характера.
Windows Defender Advanced Threat Protection — внешний вид
Давайте посмотрим на эту программу — ее внешний вид, интерфейс.
Вот собственно часть админки:
Видим, что есть много кнопок, функция, чтобы контролировать безопасность в реальном времени. Я так понимаю что на главной странице будет отображена самая важная инфа, вот на картинке выше пример — написано Malicious memory artifacts found, что означает — найдены вредоносные артефакты памяти.
Я так понимаю что всю аналитику, мониторинг, наблюдение — можно вести в интернете:
Видим графики, всякие диаграммы.. А вот само меню админки:
Как видим — полный отчет о действиях, всякие настройки, лог оповещений.. думаю для домашнего юзера это будет слишком сложным да и лишним делом.. все это следить, проверять..
Отключение
Оказывается существует служба — Windows Defender Advanced Threat Protection Service, сервисное/внутреннее название которой — Sense. Русское название такое — Служба Advanced Threat Protection в Защитнике Windows:
В описании так и сказано — помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях.
На скриншоте видно — кнопка Запустить активна, меню Тип запуска — тоже активно. Не заблокировано. Значит можно в целях эксперимента эту службу отключить, если например эта защита вызывает нагрузку на ПК, либо компьютер просто тормозит.
Отключить службу просто:
- Два раза нажимаем по службе.
- Нажимаем кнопку Остановить.
- В менюшке Тип запуска выбираем Отключена (чтобы она потом сама не запускалась).
Запустить окно со списком служб тоже просто:
- Зажимаем Win + R, появится окошко Выполнить.
- Пишем команду services.msc.
- Откроется окно где будут перечислены все службы — как виндовские, так и сторонние.
Папка
Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:
Кстати работает служба под процессом MsSense.exe.
Но кроме службы также нашел папку эту:
C:Program FilesWindows Defender Advanced Threat Protection
Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.
Заключение
Мы сегодня пообщались немного о продвинутой защите, которая:
- Предназначена скорее всего для бизнеса, корпоративных компаний, где нужна повышенная защита данных.
- Обычным юзерам — вряд ли нужна.
- Опция отключения — доступна. Значит можно попробовать отключить. Думаю точку восстановления перед этим создавать необязательно.. хотя можно и создать — делов то на 1 сек..
Надеюсь информация пригодилась. Удачи и добра! До новых встреч! 
На главную!
17.06.2019
Windows 10 изначально создавалась как самая безопасная платформа. С помощью Credential Guard, Device Guard, Windows Hello и защита корпоративных данных Windows 10 обеспечивает исключительно высокий уровень безопасности. Защитник Windows — наша бесплатная служба для защиты от вредоносных программ — изо дня в день следит за безопасностью почти 300 млн устройств. И с каждым месяцем защита Windows становится все совершеннее: когда в ней обнаруживается хоть малейшая брешь, на помощь тут же приходит Центр обновления.
Благодаря повышенному вниманию к безопасности новая ОС пользуется высоким спросом среди корпоративных клиентов. Мы с радостью наблюдаем за тем, как быстро переходят на Windows 10 клиенты с самыми высокими требованиями: Министерство обороны США, где Windows 10 уже в этом году появится на 4 млн устройств во всех родах войск, и NASCAR, и Virgin Atlantic, и учебные заведения во всем мире.
Сегодня мы выходим на новый уровень защиты для корпоративных клиентов и объявляем о запуске службы Advanced Threat Protection для Защитника Windows.
Кибератаки становятся все более изощренными
Сегодняшним киберпреступникам дерзости не занимать. Они действуют в хорошо организованных группах, которые могут работать даже на государства; процветают кибершпионаж и кибертеррор. Вооружившись изощренными методиками, такими как социальная инженерия и уязвимости нулевого дня, они в состоянии взломать даже самые защищенные корпоративные сети. В одном только 2015 году стало известно о тысячах подобных атак. Мы выяснили, что предприятия обнаруживают нарушение безопасности не раньше, чем через 200 дней после начала атаки, и еще 80 дней требуется, чтобы устранить ее последствия. То есть у злоумышленников достаточно времени, чтобы учинить в корпоративной сети настоящий хаос, воруя данные, ставя под угрозу конфиденциальность и разрушая доверие клиентов. Подобные атаки обходятся бизнесу все дороже: в среднем каждый инцидент наносит компании ущерб 12 млн долларов, не говоря уже о последствиях для ее репутации.
Раз подходы злоумышленников эволюционируют, средства защиты для корпоративных клиентов не должны отставать. Наши заказчики согласны с этим: 90 % опрошенных ИТ-директоров заявили, что им требуется полноценное решение для расширенной защиты от угроз, позволяющее быстрее выявлять атаки с помощью комплексной аналитики и предлагающее практические меры по устранению их последствий.
Advanced Threat Protection для Защитника Windows: обнаружение, изучение, реагирование
Чтобы защитить корпоративных клиентов, мы разрабатываем Advanced Threat Protection для Защитника Windows — новую службу, которая поможет обнаруживать и изучать изощренные атаки на сети компаний, а также эффективно реагировать на них. Это решение, основанное на существующих методах защиты в Windows 10, предлагает дополнительный уровень защиты от угроз после нарушения целостности сети. Сочетая клиентские технологии, встроенные в Windows 10, с облачными, оно позволит обнаруживать угрозы, сумевшие обойти другие средства защиты. Кроме того, предприятие получит всю нужную информацию, чтобы изучить брешь в различных конечных точках, и будет иметь рекомендации по устранению последствий атаки.
Что делает служба Advanced Threat Protection для Защитника Windows
Обнаруживает атаки и сообщает о том, кто и что сделал и почему атака стала возможной. Аналитика угроз высокого уровня использует крупнейшую в мире сеть датчиков, признанные технологии расширенной защиты от угроз, а также знания экспертов Microsoft и компаний-партнеров.
Служба Advanced Threat Protection для Защитника Windows работает на базе датчиков поведения Windows, облачной аналитики, аналитики угроз и интеллектуального графа Microsoft. Масштабный граф, анализируя данные больших объемов, выявляет аномалии в их поведении. Это становится возможным благодаря обезличенной информации, поступающей более чем с 1 млрд устройств Windows. Кроме того, в графе ежедневно индексируется 2,5 трлн URL-адресов, выполняется 600 млн интернет-запросов о репутации и обезвреживается более 1 млн подозрительных файлов.
Затем с этими данными работают эксперты мирового класса и энтузиасты со всего мира, которые обладают особыми знаниями и технологиями для обнаружения атак.
Дает рекомендации по реагированию на атаки.На основе данных по безопасности от новой службы можно с легкостью отслеживать оповещения, исследовать сеть на признаки атаки, изучать действия злоумышленников на конкретных устройствах и получать подробные сведения о размещении файлов во всей организации, а также получать рекомендации по реагированию.
Используя модель машины времени, служба Advanced Threat Protection для Защитника Windows изучает состояние компьютеров и их активность за последние шесть месяцев, чтобы выявить закономерности, и выводит информацию на наглядной временной шкале. Вам больше не придется изучать обычные журналы событий, пытаясь найти в них те записи, которые относятся к определенному процессу, файлу, URL-адресу или сетевому подключению для определенного компьютера или целого предприятия.
А облачная служба обезвреживания файлов позволяет отправлять файлы и URL-адреса на изолированные виртуальные машины для более глубокой проверки. В будущем Advanced Threat Protection для Защитника Windows также будет включать средства для устранения последствий на затронутых конечных точках.
Дополняет решения Microsoft для обнаружения угроз повышенной сложности. Поскольку служба Advanced Threat Protection для Защитника Windows предустановлена в Windows 10, она будет постоянно обновляться, и вам не придется отдельно тратиться на ее развертывание. Она работает на облачном сервере, а значит, вам не понадобится локальная серверная инфраструктура или постоянная техническая поддержка. Новое решение дополняет службы защиты электронной почты, такие как служба Advanced Threat Protection для Office 365 и Microsoft Advanced Threat Analytics.
500 000 конечных точек уже под защитой
Разрабатывая Windows 10, мы учитывали мнения и пожелания миллионов участников программы предварительной оценки Windows. Точно так же при создании новой службы мы общались с корпоративными клиентами, стремясь найти решение самых острых проблем безопасности (изучение атак без ущерба для ежедневной деятельности и т. п.) и тестируя решение в их средах. Advanced Threat Protection для Защитника Windows уже доступна для клиентов по программе раннего внедрения из различных регионов и отраслей во всей сети Microsoft. На сегодняшний день это одна из крупнейших служб расширенной защиты от угроз.
Что думают о новой службе клиенты
«Кибербезопасность — это моя главная забота: прежде всего мне нужно защитить все конечные точки в своей организации. Advanced Threat Protection для Защитника Windows уникальна тем, что благодаря ей легко узнать о происходящем в каждой конечной точке. Другие решения этого не могут». Грег Петерсен (Greg Petersen), директор по ИТ-безопасности, Avanade
«Нам необходимо сразу несколько уровней защиты, и Advanced Threat Protection для Защитника Windows хорошо вписывается в нашу стратегию. Глобальная выборка, которая есть только в решениях Microsoft, помогает обнаружить подозрительное поведение компьютеров и вовремя предупредить об этом. Так повышается защищенность наших компьютеров и сети». Фран де Ханн (Fran De Hann), старший консультант по безопасности, Pella Windows
Развернув Advanced Threat Protection для Защитника Windows, мы сразу же узнали о нескольких критических уязвимостях в нашей сети и немедленно приняли меры для их устранения, а также обновили свои политики безопасности». Хенрик Педерсен (Henrik Pedersen), ИТ-менеджер, TDC Hosting, Дания
Обновитесь до Windows 10 уже сейчас, чтобы получить доступ к самым современным функциям безопасности и опробовать службу Advanced Threat Protection для Защитника Windows, когда она выйдет для широкой аудитории (уже в этом году). И мы с нетерпением ждем этого момента.
Ваш Терри*
*Терри Майерсон (Terry Myerson), исполнительный вице-президент, Windows and Devices Group
Advanced Threat Protection and Analytics
Microsoft Information Protection Solutions in Microsoft 365 protect data throughout its Lifecycle
Office 365 Advanced Threat Protection
Office 365 Advanced Threat Protection (ATP) is a cloud-based email filtering service that helps protect your organization against unknown malware and viruses by providing zero-day protection and safeguarding versus phishing and other unsafe links, in real time.
Office 365 ATP can be added to select Exchange and Office 365 subscriptions.
Microsoft Defender Advanced Threat Protection
Microsoft Defender ATP is a unified platform for preventive protection, post-breach detection, automated investigation and response. It is a complete security solution that:
- Is built-in to Windows 10 and uses a combination of Windows 10 and cloud services to catch suspicious endpoint behaviors
- Automates alerts and remediation of complex threats in minutes
- When used together with Microsoft 365, can share detection and exploration across devices, identities and information to speed up response and recovery
- Requires no additional deployment or infrastructure and is always up to date
Advanced Threat Analytics (ATA)
Advanced Threat Analytics is a platform that helps protect your organization from advanced targeted cyber attacks and insider threats. It takes information from various data sources such as logs and events in your network, to learn and profile the behavior of users and other entities in your organization.
ATA detects suspicious activity throughout the key phases of a cyberattack, and continuously adapts and learns to keep up with changing threats and user behaviors.
Learn more about the threats that ATA can detect here.
Additional Resources
Office 365 ATP e-book
Get a free e-book that explains how Office 365 ATP keeps your email, data, and business secure.
GET E-BOOK
Windows Defender ATP — Ransomware response playbook
This playbook discusses how enterprises can leverage Windows Defender ATP to detect, investigate, and mitigate ransomware threats in their networks.
DOWNLOAD NOW
Get the Latest Security Intelligence Report
Stay on top of the latest Security Intelligence updates.
DOWNLOAD NOW
Start a conversation.
Have a question? We are here to offer the best solution for your business.
Talk to an expert
Start a conversation.
Start a conversation.
Skip to content
- ТВикинариум
- Форум
- Поддержка
- PRO
- Войти
Служба Advanced Threat Protection в Защитнике Windows
Имя службы: Sense
Отображаемое имя: Служба Advanced Threat Protection в Защитнике Windows
Состояние: Выполняется
Тип запуска: Вручную
Зависимости: нет
Описание по умолчанию
Служба Advanced Threat Protection в Защитнике Windows помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях безопасности, происходящих на компьютере.
Нормальное описание
Дочерняя служба Защитника Windows, которая говорит Защитнику что делать на основе событий безопасности Windows.
Рекомендации
Учитывая следующее:
- Грош цена той защите, которую можно положить в один клик
Службу можно отключить Командой:
for /f %I in ('reg query "HKLMSYSTEMCurrentControlSetServices" /k /f "Sense" ^| find /i "Sense"') do (reg add "%I" /v "Start" /t reg_dword /d 4 /f)
Однако это не остановит и не отключит другие дочерние объекты Защитника. Поэтому рекомендуется избавляться от всей этой шушеры (псевдозащиты) именно в Win 10 Tweaker.
Win 10 Tweaker первая и всё ещё единственная программа, которая в реальном времени отключает Antimalware.
Windows Defender ATP – новый функционал активного обнаружения, который выявляет и блокирует вредоносную активность[3]. В отличие от других сервисов ит безопасности, которые анализируют наличие сигнатур вирусов, он контролирует функционирования системы и ищет то, что не попадает под стандартные шаблоны. Таким образом, Windows Defender ATP выявляет подозрительную активность системы.
Модель работы основана на прогнозировании, машинном обучении, прикладном изучении и искусственном интеллекте[2]. Система может блокировать практически всю вредоносную деятельность по первому сигналу в течение миллисекунд[2].
Примеры такой деятельности:
- Необычное удаленное подключение с нетипичного IP.
- Выполнение нетипичных команд.
- Частое выполнение команд с определенного направления.
- Подключение необычных пользователей.
- Подозрительный рост подключений.
WDATP включен по умолчанию и оптимизирован для поддержки различных ролей сервера[3].
Реализация
Windows Defender ATP – это не дискретное, а глубоко встроенное приложение, которое работает вместе со всеми ролями системы. В каждой роли есть свой кусочек Windows Defender ATP, чтобы обеспечить высокую степень интеграции. Анализ подозрительной деятельности основывается на использовании локального и облачного машинного обучения[2]. Более миллиона подозрительных файлов выполняется в песочнице облака. Windows Defender ATP анализирует их поведение и использует данные в защите[1].
Совместимость
Windows Defender ATP не требует отключения себя, чтобы подключить другой движок безопасности. Он нормально работает параллельно с другими движками и нормально на них реагирует. Поэтому, если вы не считаете, что Windows Defender ATP потребляет излишнее количество ресурсов, отключать его не обязательно. Вы можете выбрать возможность использования двух движков одновременно. Может быть конфликт, если второй движок устаревший. Windows Defender ATP реагировать не будет, но могут быть проблемы со стороны устаревшего движка.
Работа с event
В случае если активность определяется как подозрительная, Windows Defender ATP создает event. Реагирование на возникающие event может быть сконфигурировано. В случае если появляется event, но вы считаете поведение нормальным, можно настроить ответ. Так же доступна возможность интеллектуального планирования. Система может принимать решения самостоятельно на основании ваших действий на конкретный event.
Итог
Windows Defender ATP без сомнения прогрессивный продукт компании Microsoft. Его внедрение показывает отличные результаты (ссылка) по данным Microsoft. Отличной чертой является глубокая интеграция, совместимость с другими движками и расширенная обработка ошибок.
1 http://www.oszone.net/28979
2 https://cloudblogs.microsoft.com/
3 https://docs.microsoft.com/
Нет похожих статей.
Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) – платформа, выполняющая функции поиска, идентификации, приоритизации и реагирования на угрозы безопасности на уровне конечных точек. Microsoft Defender ATP включена в Windows и работает на основе комбинации технологий защиты и облачных сервисов Microsoft, т.е. предлагает дополнительный уровень защиты от угроз.
К данным технологиям относятся: датчики работоспособности рабочих станций, необходимые для сбора и обработки поведенческих сигналов с конечных точек и отправки в облачный сервис Microsoft Defender; анализ безопасности, реализованный с помощью машинного обучения, технологий big data и смежных облачных сервисов Microsoft, предназначенный для преобразования сигналов, полученных с датчиков в аналитические данные для обнаружения угроз и выработки рекомендаций по безопасности; исследование угроз посредством взаимодействия с экспертами по безопасности Microsoft и службами управления угрозами, предоставляемыми партнерами компании, для идентификации, классификации и исследования методов и технологий атак.
Таким образом, Microsoft Defender ATP представляет из себя сервис, работающий со всеми ролями в системе. Анализ такой подозрительной деятельности, как удаленное подключение с незнакомого IP-адреса, выполнение нелегитимных команд, подключение необычных пользователей, подозрительный рост подключений, работает на основе локального и облачного машинного обучения. Множество подозрительных файлов выполняется и анализируется в выделенной облачной песочнице, а сервис анализирует поведение данных файлов для принятия решения о дальнейшем распространении, а также для дальнейшего использования в защите.
Противодействие вирусам-шифровальщикам с помощью служб Windows Defender Advanced Threat Protection и Device Guard
Вирусы-шифровальщики стали настоящим бичом нашего времени, и следует признать, что мы живем в эпоху бурного развития данного типа угроз. По статистике компании Kaspersky Lab, в 2016 году возникло 62 новых семейства программ-вымогателей, а количество новых модификаций вымогателей выросло в 11 раз: с 2900 в период с января по март до 32 091 в июле-сентябре. С января по конец сентября число атак на компании возросло в три раза: если в январе атаки проводились в среднем каждые две минуты, то в сентябре — уже каждые 40 секунд. Интенсивность атак на пользователей удвоилась: атаки проводились в среднем раз в 20 секунд в начале периода и раз в 10 секунд в конце. Кроме того, каждое пятое предприятие малого или среднего бизнеса, заплатившее выкуп, так и не получило доступ к своим данным.
Как видите, ситуация совсем неутешительна. Что же делать? Естественно, первое, что приходит на ум, — создавать резервные копии, а внутри компании не хранить никакие данные на рабочих станциях сотрудников. Ведь делать резервные копии серверов куда проще, тем более регулярно, несколько раз в сутки. Однако при любых правильно организованных мероприятиях по серверному резервированию всегда существуют риски, что пользователи будут хранить какие-то данные на своем компьютере. Особенно привилегированные пользователи, считающие, что правила написаны не для них. Ведь очень сложно возразить руководителю своей компании и вряд ли даже самому пунктуальному сотруднику отдела ИТ захочется срочно искать новую работу.
Для успешного отражения атак вирусов-шифровальщиков необходимо понимать, как происходит заражение. Атака может идти по нескольким направлениям. Как правило, самый распространенный путь заражения — электронная почта. Сегодня злоумышленники активно используют методы социальной инженерии, эффективность которых, увы, со временем не падает. Преступник может позвонить сотруднику вашей компании и после беседы направить письмо с вложением, содержащим вредоносную ссылку. Сотрудник, безусловно, откроет этот файл, ведь он только что говорил с отправителем по телефону. Это, естественно, один из примеров. К сожалению, от таких атак не застрахован никто. Снизить вероятность подобной атаки можно лишь путем обучения пользователей.
Источником атаки может служить фишинговый сайт, на который пользователь зашел по мошеннической ссылке или случайно нажав ссылку в почтовом вложении. Все чаще заражение происходит через мобильные устройства сотрудников, с которых они получают доступ к корпоративным ресурсам. И тут привычный антивирус больше не спасает.
Кроме того, часто администраторы либо не устанавливают обновления для системы безопасности, либо делают это значительно позже необходимого срока. Что можно посоветовать в такой ситуации? В данной статье мы рассмотрим несколько технологий от компании Microsoft.
Windows Defender Advanced Threat Protection
Перечислю ключевые особенности данной службы Windows Defender Advanced Threat Protection (WD ATP).
1. Отказоустойчивый, полноценный датчик уровня ядра, который подвержен меньшим рискам, чем установленное «поверх» средство защиты разработки сторонней компании.
2. Высокая производительность, гарантированная Microsoft; решение прошло строгое тестирование в Windows и отвечает требованиям к производительности.
3. Может работать одновременно с любым сторонним антивирусом и файерволом, проблем совместимости приложений нет, так как данная служба работает на базе службы Microsoft Azure и доступ к консоли WD ATP предоставляется через портал securitycenter.windows.com. Компонент ATP разработан Microsoft как часть Windows 10 (модель «Windows как услуга», WaaS), при обновлении операционной системы не возникает ошибок типа «синий экран смерти» (так как для активации расширенных средств обнаружения не требуется реконструирование ядра Windows, достаточно скачать с портала скрипт и распространить его с помощью групповых политик).
4. Возможность проведения расследования:
- ретроспективный анализ ВСЕХ событий на ВСЕХ конечных пользовательских системах за период до 6 месяцев и глобальный поиск;
- удобный доступ к функциям глубокого анализа;
- аналитика угроз из ведущих источников (Microsoft, iSIGHT) встроена в решение.
5. Поведенческий анализ:
- обнаружение на основе анализа поведения позволяет выявлять неизвестные угрозы и даже «угрозы нулевого дня»;
- масштабы отслеживания — создание базовой модели нормального поведения для каждой машины на основе данных, полученных с более 1 млрд устройств под управлением Windows;
- глубина анализа.
6. Это решение на базе «облака», следовательно:
- не нужны локальные компоненты, имеются неограниченные возможности масштабирования;
- логика обнаружения с помощью использования «облачных» служб недоступна злоумышленникам для изучения;
- контроль конечных пользовательских систем, даже когда они не подключены к корпоративному домену;
- высокий уровень соответствия требованиям и конфиденциальности данных, основанный на строгих отраслевых стандартах.
Для работы Windows Defender ATP использует:
- Датчики поведенческого анализа, встроенные в Windows 10. Эти датчики собирают поведенческие сигналы от компонентов операционной системы.
- «Облачную» аналитику. С помощью технологий Machine Learning в Azure информация собирается с Windows 10, продуктов набора Office, EMS, проводится анализ и рекомендуется то или иное поведение.
- Анализ угроз. В результате анализа Windows Defender ATP идентифицирует инструменты атакующего, методы и процедуры и генерирует предупреждения, если обнаруживается угроза.
На приведенном рисунке показаны служебные компоненты Windows Defender ATP.
 |
| Рисунок. Служебные компоненты Windows Defender ATP |
Windows Defender ATP работает как с существующими технологиями безопасности Windows на конечных системах пользователей, такими как Windows Defender, AppLocker и Device Guard, так и со сторонними решениями по обеспечению безопасности и антивирусными продуктами.
Device Guard
Служба Device Guard (чаще встречается термин «белый список программ») — метод защиты, основанный на том, что в системе запускается только разрешенное программное обеспечение. Данный метод нуждается в большой подготовительной работе.
Перед внедрением этого метода необходимо составить список программ (с учетом версий), применяемых в вашей организации. Причем не просто составить список, а отсортировать его по компьютерам и пользователям. А затем проверить совместимость компьютеров на предмет возможности настройки на них Device Guard. Увы, стоит признать, что в большинстве организаций подробный учет программ попросту отсутствует и никогда не проводился. Подобная инвентаризация, проводимая в первый раз, занимает много времени и сил. Кроме того, следует учесть, что часто сами пользователи не знают, какое именно программное обеспечение им нужно для выполнения рабочих обязанностей.
Device Guard — сочетание корпоративных функций безопасности оборудования и программного обеспечения, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях. Это также означает, что, даже если злоумышленник получит контроль над ядром Windows, он с гораздо меньшей вероятностью сможет запустить вредоносный код после перезапуска компьютера вследствие метода принятия решений о том, что и когда может запускаться.
Редакция Windows 10 Корпоративная Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Microsoft Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для выявления надежных объектов. По существу, служба целостности кода работает вместе с ядром в контейнере Windows, защищенном гипервизором.
Device Guard позволяет операционной системе редакции Windows 10 Корпоративная запускать только код, подписанный доверенными источниками, в соответствии с вашей политикой целостности кода ядра при помощи определенных настроек оборудования и безопасности, в том числе:
- целостность кода пользовательского режима (UMCI);
- новые правила целостности кода ядра, включая новые ограничения подписей, установленные лабораториями WHQL;
- безопасная загрузка с ограничениями базы данных (db/dbx);
- безопасность на основе виртуализации для защиты системной памяти, а также приложений и драйверов на основе ядра от возможного взлома;
- доверенный платформенный модуль (TPM) 1.2 или 2.0.
Кроме того, так как устройство запускается с использованием безопасной загрузки UEFI, программы типа boot-kit и root-kit не смогут запускаться.
После безопасного запуска операционная система Windows 10 Enterprise может запустить службы безопасности на основе Hyper-V. Эти службы обеспечивают защиту ядра системы, не позволяя вредоносному коду запускаться на ранних этапах загрузки или в режиме ядра после запуска.
Перед загрузкой и использованием Device Guard необходимо выполнить определенные требования, описанные в таблице.
Прежде чем начать использовать Device Guard, необходимо настроить среду и политики.
Служба Device Guard поддерживает и приложения UWP, и классические приложения для Windows. Доверие между Device Guard и вашими приложениями устанавливается, когда ваши приложения подписываются с помощью подписи, которую вы определяете как надежную. Однако подходят не все подписи. Начиная с Windows 10 сборки 1703 все приложения, развернутые через SCCM, являются доверенными. Подпись ставится следующим образом:
- С помощью процедуры публикации в Магазине Windows. Все приложения в Магазине Microsoft Store автоматически подписываются с помощью специальных подписей, предоставляемых нашим (или вашим) собственным удостоверяющим центром сертификации.
- Использование собственного цифрового сертификата или инфраструктуры открытых ключей (PKI). Поставщики услуг Интернета и организации могут сами подписывать свои классические приложения для Windows, добавляя себя в список доверенных источников.
- С помощью заверителя подписи, отличного от Microsoft. Поставщики услуг Интернета и организации могут использовать доверенного заверителя подписи, отличного от Microsoft, чтобы подписывать собственные классические приложения для Windows.
- С помощью веб-службы, предоставляемой Microsoft (выйдет позже в этом году). Поставщики услуг Интернета и организации смогут использовать более надежную веб-службу, предоставляемую корпорацией Microsoft, для подписания своих классических приложений для Windows.
Применяя две описанные технологии, вы сможете снизить вероятность заражения. Вместе с тем хотелось бы отметить, что только комплексный подход способен обеспечить защиту от вредоносных программ. Надеюсь, что приведенное описание подходов к защите от вирусов-шифровальщиков подтолкнет вас к более глубокому изучению технологий.