Windows defender advanced threat protection скачать

В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.

Если говорить коротко, то Служба ATP в Защитнике Windows — это служба безопасности, с помощью которой можно обнаруживать в своих сетях угрозы безопасности, исследовать их и принимать ответные меры. Служба работает на основе встроенной в Windows 10 комбинации технологий и облачной службы Microsoft. К таким технологиям относятся:

• Датчики поведения на хостах. Эти датчики встроены в Windows 10. Они собирают и обрабатывают сигналы операционной системы о поведении (например, о взаимодействиях процессов, реестра, файлов и сети) и отправляют данные в ваш частный, изолированный облачный экземпляр службы ATP.
• Облачный анализ безопасности. По сути дает возможность преобразовывать поведенческие сигналы в аналитические данные для выявления угроз, а также помогает с рекомендациями по их устранению.
• Аналитика угроз. В Microsoft есть отдельные специалисты и отделы безопасности данных, в дополнении к этому используются аналитические данные об угрозах от партнеров. Это позволяет службе ATP идентифицировать средства, технологии и методы атаки. Оповещать пользователей при обнаружении соответствующих признаков в собираемых данных.

Схематично эти компоненты службы представлены ниже.

Возможности службы по исследованию хостов позволяют получить подробные оповещения, понять характер и масштаб возможного вторжения.

Служба ATP в Защитнике Windows работает с различными технологиями Windows по обеспечению безопасности:

• Защитник Windows
• AppLocker
• Device Guard

Она также может параллельно работать и со сторонними решениями по обеспечению безопасности.

Обзор портала Advanced Threat Protection в Защитнике Windows

Для мониторинга и ответных действий на угрозы можно использовать портал ATP. Он решает следующие задачи:

• Просмотр, сортировка и классификация оповещений от хостов.
• Поиск дополнительной информации, связанной с обнаруженными индикаторами. Это могут быть конкретные файлы или IP – адреса.
• Изменение различных настроек службы: часовой пояс и правила оповещений.

Интерфейс портала включает в себя четыре основные рабочие области:

• (1) Область Настроек
• (2) Область навигации
• (3) Основной портал
• (4) Поиск

С настройками всё вполне очевидно.

В Панели навигации доступны такие представления как:

• Информационная панель (сам дашборд, на котором отображается основная информация);
• Очередь оповещений (Новые, В процессе, Разрешённые и так далее).

Раздел компьютеры отображает перечень компьютеров, которые защищает служба ATP, и некоторые сведения о них.

Настройка приоритетов позволяет настраивать уведомления по email или политику хранения данных (другими словами – сколько данные будут храниться в тенанте).

В разделе управление хостами можно скачать пакет для подготовки машин к работе с ATP.

Служба ATP и использует следующие условные обозначения:

Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности.

Обнаружение — признак обнаруженной угрозы вредоносного программного обеспечения.

Активная угроза — угрозы, которые активно исполнялись на момент обнаружения.

Устранено — угроза удалена с компьютера.

Не устранено — угроза не удалена с компьютера.

В общем виде подход к исследованию бреши в системе безопасности при помощи ATP можно разбить на следующие этапы:

1. Просмотр оповещения на информационной панели или в очереди оповещений.
2. Анализ индикаторов компрометации (IOC) или атаки (IOA).
3. Анализ временной шкалы оповещений, поведения и событий компьютера.
4. Управление оповещениями, понимание угрозы или потенциального взлома, сбор информации для определения необходимых действий и обработки оповещения.

Просмотр информационной панели службы Advanced Threat Protection в Защитнике Windows

Так как работу с ATP мы начинаем с анализа данных на информационной панели, рассмотрим её более подробно. Данные об оповещениях и компьютерах позволяют быстро установить факт, место и время подозрительной активности в сети — это дает необходимый контекст для понимания ситуации. Здесь также отображается сводка данных о событиях, помогающая идентифицировать значимые события или поведение на компьютере. Также можно открыть подробные сведения о событиях и индикаторах на более низком уровне. Активные плитки дают визуальные подсказки, позволяющие оценить общее состояние систем безопасности. При щелчке по такой плитке открывается подробное представление соответствующего компонента.

Оповещения службы ATP

При щелчке по плитке Оповещения ATP отображается общее количество активных оповещений службы ATP в сети за последние 30 дней. Оповещения распределены на две группы: Новые и Выполняющиеся.

Каждая группа имеет подкатегории по уровням серьёзности. Щелкнув по числу внутри каждого можно вывести представление очереди соответствующей категории.

Компьютеры, подвергающиеся риску

На этой плитке показан список компьютеров с наибольшим количеством активных оповещений. Общее число оповещений для каждого компьютера показано в круге рядом с именем компьютера. С противоположной стороны плитки представлено количество оповещений, сгруппированных по уровням серьёзности. Не сложно догадаться, что темный цвет это более опасные, а более светлый – менее.

Плитка Статус содержит информацию о том, активна ли служба и имеются ли проблемы, а также о количестве компьютеров, которые направляли отчеты в службу в течение последних 30 дней.

Плитка Отчёты от компьютеров содержит гистограмму, на которой представлено количество компьютеров, отправлявших оповещения, по дням. Увидеть точное число компьютеров, отправлявших оповещения в определенный день, можно наведя курсор на отдельные столбцы гистограммы.

Компьютеры с обнаруженными активными вредоносными программами

Плитка Компьютеры с обнаруженными активными вредоносными программами отображается, только если в ваших конечных точках используется Защитник Windows. Под активной вредоносной программой понимаются угрозы, которые активно исполнялись на момент обнаружения. Наведя курсор мыши на каждый из столбцов, можно увидеть количество обнаруженных активных вредоносных программ и количество хостов, на которых в течение последних 30 дней была обнаружена хотя бы одна активная вредоносная программа.

В схеме представлено пять категорий вредоносного ПО:

• Программа для кражи паролей — угрозы, направленные на кражу учётных данных.
• Программа-шантажист — угрозы, направленные на блокировку доступа пользователя к компьютеру или файлам и вымогательство денег для восстановления доступа.
• Эксплойт — угрозы, использующие уязвимости программного обеспечения для заражения компьютеров.
• Угроза — все остальные угрозы, не относящиеся к категориям программ для кражи паролей, программ-шантажистов и эксплойтов. К этой категории относятся трояны, черви, бэкдоры («черные ходы») и вирусы.
• Низкий уровень серьёзности — угрозы с низким уровнем серьёзности, включая программы для показа рекламы и потенциально нежелательные программы, например модификаторы браузера.

Угрозы считаются активными, если существует очень высокая вероятность, что вредоносная программа выполнялась в вашей сети, а не просто была локально сохранена на диске.

Щёлкнув по любой из этих категорий, можно перейти к представлению Компьютеры, где данные будут отфильтрованы для соответствующей категории. Так можно получить подробные сведения о том, на каких компьютерах обнаружены активные вредоносные программы и сколько угроз зарегистрировано на каждом из них.

Просмотр и упорядочение очереди оповещений Advanced Threat Protection

Управлять оповещениями службы ATP в Защитнике Windows можно в рамках регулярных ежедневных задач. Оповещения выстраиваются в очереди в соответствии с текущим статусом.По умолчанию оповещения в очереди сортируются в порядке от последних к самым старым.В следующей таблице и на снимке экрана приведены основные области Очереди оповещений.

Очередь оповещений можно отфильтровать и отсортировать (сделать сводку), чтобы выявить необходимые оповещения на основе определенных критериев. Для этого доступны три механизма:

1. Сортировка очереди с помощью раскрывающегося меню в поле Сортировка по с выбором одного из указанных ниже параметров:
   • Самые новые — сортировка оповещений по дате последнего появления в конечных точках.
   • Время в очереди — сортировка оповещений по продолжительности нахождения в очереди.
   • Серьезность — сортировка по уровню серьёзности.

2. Для фильтрации оповещения по уровню серьёзности можно установить один или несколько флажков в раскрывающемся меню в поле Фильтровать по:
   • Высокий (красный): угрозы, обычно связанные с постоянными угрозами повышенной сложности (APT). Такие оповещения указывают на высокий риск из-за серьезности ущерба, который может быть нанесен хостам.
   • Средний (оранжевый): редко возникающие угрозы, например, аномальные изменения реестра, выполнение подозрительных файлов и поведение характерное для различных этапов атак.
   • Низкий (желтый): угрозы, связанные с распространенными вредоносными программами и средствами для взлома, которые не указывают на наличие угрозы повышенной сложности.
3. Отображаемую часть очереди можно ограничить различными заданными периодами с помощью раскрывающегося меню в поле диапазона дат (по умолчанию выбрано значение 6 месяцев).

Для изменения порядка сортировки (например, показа первыми самых старых оповещений вместо самых новых) можно щелкнуть значок порядка сортировки.

Анализ оповещений Advanced Threat Protection в Защитнике Windows

Чтобы приступить к анализу, и получить подробную информацию нужно щёлкнуть по оповещению в любой очереди.

Подробные сведения об оповещении включают следующее:

• Дата и время последнего создания оповещения.
• Описание оповещения.
• Рекомендуемые действия.
• Граф инцидента.
• Индикаторы, которые привели к созданию оповещения.

Для оповещений, которые были соотнесены с действиями злоумышленника или субъекта, отображается цветная плитка с именем субъекта.

Щёлкнув по имени субъекта, можно просмотреть профиль аналитики угроз для него, включая краткий обзор субъекта, сведения об его интересах или целях, тактике, методах и процедурах, а также информацию о его активности по всему миру. Также отобразится набор рекомендуемых ответных действий.

Граф инцидента включает визуальное представление места возникновения оповещения, событий, которые привели к его созданию, и других компьютеров, на которые повлияло это событие. На графе показано влияние оповещения на исходном компьютере, а также как это событие повлияло на срабатывание оповещений на других компьютерах.

Можно щёлкнуть кружок на графе инцидента, чтобы развернуть узлы и просмотреть события или файлы, которые связаны с оповещением.

Напоминаем, что сервис ATP в Защитнике Windows встроен в ядро Windows 10 Корпоративная, его работу можно оценить бесплатно.

Публикация: 6 September 2017 Обновлено: 9 July 2020

Если вы используете Windows 10/8/7, и вы недавно получили сообщение об ошибке при запуске Защитника Windows — служба этой программы остановлена, вам необходимо как можно скорее решить эту проблему, так как ваш компьютер находится в уязвимом состоянии. Полное сообщение:

Служба этой программы остановлена. Вы можете запустить сервис вручную или перезагрузить компьютер, чтобы выполнить запуск автоматически. (Код ошибки: 0x800106ba)

Если вы используете более старую версию Windows, вы можете увидеть другую формулировку, но проблема та же.

Эта программа отключена. Если вы используете другую программу, которая проверяет наличие вредоносного или нежелательного программного обеспечения, используйте Центр действий, чтобы проверить статус этой программы.

Вам может быть предложено включить Защитник. Однако в большинстве случаев проблема сохраняется даже после включения Защитника Windows вручную или перезапуска компьютера.

Служба этой программы остановлена, Код ошибки 0x800106ba

Вы можете попробовать эти рекомендации по поиску и устранению неисправностей:

Отключите сторонние антивирусные программы

Эта проблема возникает, главным образом, при установке на компьютер другого антивирусного программного обеспечения. Хотя Защитник Windows должен останавливается после получения сигнала от других антивирусных программ, иногда эта проблема может возникнуть из-за некоторой внутренней ошибки. В этом случае вы должны отключить стороннее приложение и проверить, сохраняется или нет эта проблема. Если проблема решена, вам может потребоваться переустановить стороннее антивирусное ПО.

Включите службу Windows Defender

Теперь посмотрите статус следующих служб:

Проверьте и при необходимости исправьте, «Тип запуска» для всех этих служб должен быть установлен как «Автоматически», и она должна Выполнятся. Если это не так, вам нужно включить эту службу. Для этого дважды кликните соответствующую службу и выберите «Автоматически» в качестве типа запуска. Затем нажмите кнопку «Запустить» в разделе «Состояние». Наконец, нажмите «Применить».

Перерегистрируйте DLL-файлы Защитника Windows

Иногда повторная регистрация соответствующих DLL-файлов может помочь решить эту проблему. Чтобы начать работу, откройте PowerShell с правами администратора и выполните следующие команды одну за другой:

После этого откройте Защитник Windows и проверьте, устранена проблема или нет.

Проверьте параметры редактора групповых политик.

Затем перейдите по этому пути:

Конфигурация компьютера → Административные Шаблоны → Компоненты Windows → Антивирусная программа Защитник Windows

С правой стороны найдите опцию «Выключить антивирусную программу Защитник Windows». Дважды кликните на ней и проверьте, что установлен параметр «Не задано». Если для этого параметра установлено значение «Включено», вам необходимо изменить его на «Не задано».

Проверьте настройку редактора реестра

Если есть подозрение что какое-либо вредоносное ПО внесло изменения ключи реестра Защитника, вам необходимо, чтобы устранить эту проблему.

Откройте редактор реестра и перейдите к этому местоположению:

С правой стороны, посмотрите есть ли какой-либо параметр с именем DisableAntiSpyware. Вы можете удалить его, либо установить его значение равным (ноль).

Источник

Устранение неполадок в Microsoft Defender для проблем с бортовой точкой конечной точки

Область применения:

При проблемах может потребоваться устранить неполадки в процессе бортового процесса Microsoft Defender для конечной точки. На этой странице подробно описаны действия по устранению неполадок, которые могут возникнуть при развертывании с помощью одного из средств развертывания, а также распространенные ошибки, которые могут возникнуть на устройствах.

Устранение неполадок с помощью средств бортовой связи

Если вы завершили процесс подключения и не видите устройства в списке Устройств через час, это может указывать на проблемы с подключением или подключением.

Устранение неполадок при развертывании с помощью групповой политики

Развертывание с групповой политикой делается путем запуска сценария onboarding на устройствах. Консоль групповой политики не указывает, удалось ли развертывание или нет.

Если вы завершили процесс бортовой обработки и не видите устройства в списке Устройств через час, вы можете проверить выход скрипта на устройствах. Дополнительные сведения см. в таблице Устранение неполадок приразвертывании с помощью скрипта.

Если сценарий успешно завершается, см. в таблице Устранение неполадок на устройствах для устранения дополнительных ошибок, которые могут возникнуть.

Устранение неполадок при развертывании с помощью Microsoft Endpoint Configuration Manager

При накладных устройствах с помощью следующих версий Configuration Manager:

Развертывание с указанными выше версиями диспетчера конфигурации происходит с помощью скрипта onboarding на устройствах. Вы можете отслеживать развертывание в консоли Диспетчер конфигурации.

В случае сбой развертывания можно проверить выход скрипта на устройствах.

Если бортовая надстройка успешно завершена, но устройства не отображаются в списке Устройств через час, см. в рубке Устранение неполадок на устройстве для устранения дополнительных ошибок, которые могут возникнуть.

Устранение неполадок при развертывании с помощью скрипта

Проверьте результат скрипта на устройстве:

Нажмите кнопку Начните, введите viewer событий и нажмите кнопку Ввод.

Перейдите Windows > журналов.

Посмотрите событие из источника событий WDATPOnboarding.

Если сценарий сбой и событие является ошибкой, вы можете проверить ID события в следующей таблице, чтобы помочь вам устранить проблему.

Следующие ID-события специфика только для сценария на борту.

Устранение неполадок при использовании Microsoft Intune

Вы можете Microsoft Intune для проверки кодов ошибок и устранения неполадок.

Если вы настроили политики в Intune и они не распространяются на устройствах, может потребоваться настроить автоматическую регистрацию MDM.

Используйте следующие таблицы, чтобы понять возможные причины проблем во время работы с бортом:

Если ни один из журналов событий и действий по устранению неполадок не работает, скачайте сценарий Local из раздела управление устройствами портала и запустите его в командной подсказке.

Microsoft Intune коды и OMA-URIs

Известные проблемы с несоблюдением

В следующей таблице приводится информация о проблемах с несоответствием требованиям и о том, как можно решить эти проблемы.

Журналы событий управления мобильными устройствами (MDM)

Просмотр журналов событий MDM для устранения неполадок, которые могут возникнуть при входе в систему:

Имя журнала: MicrosoftWindowsDeviceManagement-EnterpriseDiagnostics-Provider

Устранение неполадок с бортовой проблемой на устройстве

Если используемые средства развертывания не указывают на ошибку в процессе бортовой обработки, но устройства по-прежнему не отображаются в списке устройств в течение часа, ознакомьтесь со следующими разделами проверки, чтобы проверить, произошла ли ошибка с агентом Microsoft Defender для конечной точки.

Просмотр ошибок входа агента в журнал событий устройства

Нажмите кнопку Начните, введите viewer событий и нажмите кнопку Ввод.

В области Просмотра событий (Local) расширьте журналы приложений и служб > Microsoft > Windows > SENSE.

SENSE — это внутреннее имя, используемое для обозначения поведенческого датчика, который работает с Microsoft Defender для конечной точки.

Выберите Оперативный для загрузки журнала.

В области Действия нажмите кнопку Фильтр текущего журнала.

На вкладке Фильтр, на уровне события: выберите критические, предупреждающие и ошибки и нажмите кнопку ОК.

События, которые могут указывать на проблемы, будут отображаться в области Operational. Вы можете попытаться устранить их на основе решений в следующей таблице: