Threat protection for Windows clients: Microsoft Defender ATP

Bedrohungsschutz für Windows-Clients:

Microsoft Defender ATP

Microsoft Defender ATP: Threat Protection For Windows Clients

Ich werde als Architekt für Modern-Workplace-Themen immer wieder von Kunden eingeladen, um die Microsoft ATP Suite vorzustellen. In diesem Blogbeitrag gehe ich etwas detaillierter auf den Bedrohungsschutz „Microsoft Defender ATP“ ein.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 1: Microsoft Defender ATP

Wie gut ist Microsoft Defender Antivirus?

Beginnen wir mit dem in Windows 10 integrierten Microsoft Defender Antivirus (AV). Dieses Antivirenprogramm hat nichts mehr gemein mit seinen Vorgängern aus dem Hause Microsoft, z.B. „Microsoft Security Essentials“. Unabhängige Institute belegen die eindrucksvolle AV-Leistung mit Bestnoten. Damit ist der Defender AV sozusagen Enterprise-ready.  Bestätigt wird das auch durch den Gartner Magic Quadranten für „Endpoint Protection Platforms“.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 2: Gartner Magic Quadrant "Endpoint Protection Platforms"

Stärken und Schwächen des Microsoft Defender AV

Es gibt noch weitere Vorteile, die für den Einsatz des Defender AV sprechen: Er ist kostenlos und als einzige AV-Lösung so tief ins Betriebssystem eingebunden, dass er völlig problemlos handhabbar bei den halbjährlichen Feature-Upgrades ist. Weiterhin lassen sich durch den Einsatz weitere Security-Features innerhalb von Windows 10 einsetzen:

  • Reduzierung der Angriffsoberfläche (Attack Surface Reduction), z.B. das Blockieren von ausführbaren Inhalten von E-Mail-Clients und webbasierten E-Mail-Diensten

  • Überwachter Ordnerzugriff (Controlled Folder Access), damit z.B. sämtliche Verschlüsselungstrojaner wie Petya keinen Zugriff auf die Bibliotheken der User erhalten und diese nicht verschlüsseln können.

Jedoch ist der eingebaute Microsoft Defender AV in der Regel nur pattern-basiert, was zur Folge hat, dass er Zero-Day-Exploits nur erkennt, wenn die Security Intelligence Updates diese auch bereits kennen.

 

Mehr Sicherheit durch die Cloud: Microsoft Defender ATP

Interessant und rund wird die Sache deswegen mit der Cloud-basierten Erweiterung des AV, Microsoft Defender ATP. Dafür hat Microsoft die AV-Engine um die sogenannte NextGen Protection Engine erweitert.


Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 3: Microsoft Defender ATP Next Generation Protection engines

Die Microsoft Defender ATP Next Generation Protection Engine ermöglicht der Microsoft Defender AV, den Client auch vor noch nicht erkannten bzw. bekannten Bedrohungen zu schützen. Dazu kommen Machine Learning- und Künstliche Intelligenz-Algorithmen, welche helfen sollen, neuartige und noch nicht entdeckte Bedrohungen zu identifizieren und zu eliminieren.


Ständig erweiterte Sicherheit: Threat Vulnerability Management (TVM)

Ein recht neues Modul innerhalb der Microsoft Defender ATP, die auf der Ignite 2019 im November vorgestellt wurde, ist TVM zur Bedrohungs- und Schwachstellenverwaltung. Es ist die erste Lösung, die die Brücke zwischen Security Operations (Sec Ops) und den IT-Admins schlägt. Dabei identifizieren die Sec Ops mithilfe des „Microsoft Intelligent Security Graph“ und der „Application Analytics Knowledge Base“ mögliche Schwachstellen innerhalb von Windows und Applikationen.


Wie funktioniert TVM? Ein Beispiel

Am Beispiel des VLC soll dies verdeutlicht werden. Zuerst wird Security Operations auf ein mögliches Update des VLC hingewiesen.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 4: Update-Hinweis des TVM

Nun kann ein Ticket eröffnet werden, damit VLC aktualisiert werden kann.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 5: Ticket kann nun eröffnet werden

Innerhalb des Microsoft Endpoint Managers (ehemals Intune) ist es nun möglich, das eröffnete Ticket als „Security Task“ zu bearbeiten und den VLC mit einem Update zu versehen.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 6: Erstellung des Security Tasks

Diese Integration des TVM in den Microsoft Endpoint Manager bedeutet eine große Vereinfachung zur Beseitigung von Bedrohungen und Schwachstellen, sowohl was Windows Updates angeht als auch innerhalb von Applikationen.


Advanced Hunting – Einstieg in die digitale Forensik

Das meiner Meinung nach sowohl interessanteste als auch spannendste Modul ist jedoch das sogenannte „Advanced Hunting“. Damit ist es proaktiv möglich, rückwirkend bis zu 30 Tage abfragebasiert nach Bedrohungen innerhalb des Netzwerkes zu suchen und zu lokalisieren. Dafür kommt die „Kusto query language“ zum Einsatz, welche ähnlich bei SQL genutzt wird.  „Advanced Hunting“ bietet dadurch einem Security Operation Center (SOC) die Möglichkeit, sowohl vor als auch nach einem Befall den Weg einer Malware innerhalb des Netzwerkes und sogar den Ausgangspunkt zu identifizieren.


Fazit

Abschließend kann ich sagen, dass in der Gesamtschau die Microsoft Advanced-Threat-Protection-Produkte – unter anderem auch durch deren Integration in andere Sicherheits-Software wie den Endpoint Manager oder auch Azure Sentinel – nicht umsonst von Gartner als „Leader“ im Bereich der „Endpoint Protection Platforms“ genannt werden.

Weitere Informationen zu unseren IT-Security-Services und denen unserer Partner finden Sie auf unserer Website

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Jochen Berners

Modern Workplace Architekt

Verwandte Artikel

Änderungen im Lizenzmodell bei Autodesk

Die Multi-User-Lizenz wird durch Named User Lizenzen ersetzt. Lesen Sie den Blogbeitrag zu den Änderungen im Lizenzmodell und entdecken Sie die Vorteile des Premium-Plans.

Announcing SoftwareONE as a Microsoft H1 Top Teams Partner

SoftwareONE wurde zum Microsoft H1 Top Teams Partner ernannt

SoftwareONE wurde als Microsoft H1 Teams Top Partner ausgezeichnet. Erfahren Sie mehr über die Leistungen, die uns hierher gebracht haben und was wir in Zukunft bieten können.

Auslaufende Kauflizenzen und neue Subscriptions für VMware Horizon

Durch den Wechsel von Kauflizenzen auf Subscriptions ergeben sich neue Beschaffungsoptionen, die Kosten sowohl steigern als auch senken können. Wir erklären die Abonnements und Upgradepfade.