Threat protection for Windows clients: Microsoft Defender ATP

Bedrohungsschutz für Windows-Clients:

Microsoft Defender ATP

Threat Protection for Windows Clients: Microsoft Defender ATP

Ich werde als Architekt für Modern-Workplace-Themen immer wieder von Kunden eingeladen, um die Microsoft ATP Suite vorzustellen. In diesem Blogbeitrag gehe ich etwas detaillierter auf den Bedrohungsschutz „Microsoft Defender ATP“ ein.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 1: Microsoft Defender ATP

Wie gut ist Microsoft Defender Antivirus?

Beginnen wir mit dem in Windows 10 integrierten Microsoft Defender Antivirus (AV). Dieses Antivirenprogramm hat nichts mehr gemein mit seinen Vorgängern aus dem Hause Microsoft, z.B. „Microsoft Security Essentials“. Unabhängige Institute belegen die eindrucksvolle AV-Leistung mit Bestnoten. Damit ist der Defender AV sozusagen Enterprise-ready.  Bestätigt wird das auch durch den Gartner Magic Quadranten für „Endpoint Protection Platforms“.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 2: Gartner Magic Quadrant "Endpoint Protection Platforms"

Stärken und Schwächen des Microsoft Defender AV

Es gibt noch weitere Vorteile, die für den Einsatz des Defender AV sprechen: Er ist kostenlos und als einzige AV-Lösung so tief ins Betriebssystem eingebunden, dass er völlig problemlos handhabbar bei den halbjährlichen Feature-Upgrades ist. Weiterhin lassen sich durch den Einsatz weitere Security-Features innerhalb von Windows 10 einsetzen:

  • Reduzierung der Angriffsoberfläche (Attack Surface Reduction), z.B. das Blockieren von ausführbaren Inhalten von E-Mail-Clients und webbasierten E-Mail-Diensten

  • Überwachter Ordnerzugriff (Controlled Folder Access), damit z.B. sämtliche Verschlüsselungstrojaner wie Petya keinen Zugriff auf die Bibliotheken der User erhalten und diese nicht verschlüsseln können.

Jedoch ist der eingebaute Microsoft Defender AV in der Regel nur pattern-basiert, was zur Folge hat, dass er Zero-Day-Exploits nur erkennt, wenn die Security Intelligence Updates diese auch bereits kennen.

 

Mehr Sicherheit durch die Cloud: Microsoft Defender ATP

Interessant und rund wird die Sache deswegen mit der Cloud-basierten Erweiterung des AV, Microsoft Defender ATP. Dafür hat Microsoft die AV-Engine um die sogenannte NextGen Protection Engine erweitert.


Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 3: Microsoft Defender ATP Next Generation Protection engines

Die Microsoft Defender ATP Next Generation Protection Engine ermöglicht der Microsoft Defender AV, den Client auch vor noch nicht erkannten bzw. bekannten Bedrohungen zu schützen. Dazu kommen Machine Learning- und Künstliche Intelligenz-Algorithmen, welche helfen sollen, neuartige und noch nicht entdeckte Bedrohungen zu identifizieren und zu eliminieren.


Ständig erweiterte Sicherheit: Threat Vulnerability Management (TVM)

Ein recht neues Modul innerhalb der Microsoft Defender ATP, die auf der Ignite 2019 im November vorgestellt wurde, ist TVM zur Bedrohungs- und Schwachstellenverwaltung. Es ist die erste Lösung, die die Brücke zwischen Security Operations (Sec Ops) und den IT-Admins schlägt. Dabei identifizieren die Sec Ops mithilfe des „Microsoft Intelligent Security Graph“ und der „Application Analytics Knowledge Base“ mögliche Schwachstellen innerhalb von Windows und Applikationen.


Wie funktioniert TVM? Ein Beispiel

Am Beispiel des VLC soll dies verdeutlicht werden. Zuerst wird Security Operations auf ein mögliches Update des VLC hingewiesen.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 4: Update-Hinweis des TVM

Nun kann ein Ticket eröffnet werden, damit VLC aktualisiert werden kann.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 5: Ticket kann nun eröffnet werden

Innerhalb des Microsoft Endpoint Managers (ehemals Intune) ist es nun möglich, das eröffnete Ticket als „Security Task“ zu bearbeiten und den VLC mit einem Update zu versehen.

Threat protection for Windows clients: Microsoft Defender ATP
Abbildung 6: Erstellung des Security Tasks

Diese Integration des TVM in den Microsoft Endpoint Manager bedeutet eine große Vereinfachung zur Beseitigung von Bedrohungen und Schwachstellen, sowohl was Windows Updates angeht als auch innerhalb von Applikationen.


Advanced Hunting – Einstieg in die digitale Forensik

Das meiner Meinung nach sowohl interessanteste als auch spannendste Modul ist jedoch das sogenannte „Advanced Hunting“. Damit ist es proaktiv möglich, rückwirkend bis zu 30 Tage abfragebasiert nach Bedrohungen innerhalb des Netzwerkes zu suchen und zu lokalisieren. Dafür kommt die „Kusto query language“ zum Einsatz, welche ähnlich bei SQL genutzt wird.  „Advanced Hunting“ bietet dadurch einem Security Operation Center (SOC) die Möglichkeit, sowohl vor als auch nach einem Befall den Weg einer Malware innerhalb des Netzwerkes und sogar den Ausgangspunkt zu identifizieren.


Fazit

Abschließend kann ich sagen, dass in der Gesamtschau die Microsoft Advanced-Threat-Protection-Produkte – unter anderem auch durch deren Integration in andere Sicherheits-Software wie den Endpoint Manager oder auch Azure Sentinel – nicht umsonst von Gartner als „Leader“ im Bereich der „Endpoint Protection Platforms“ genannt werden.

Weitere Informationen zu unseren IT-Security-Services und denen unserer Partner finden Sie auf unserer Website

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Jochen Berners

Modern Workplace Architekt

Verwandte Artikel

Hilfe für Ihr Unternehmen: Softwarekosten in turbulenten Zeiten reduzieren

Softwarekosten in turbulenten Zeiten reduzieren

Die Zeiten sind turbulent und Änderungen fast die Regel. Umso wichtiger ist es, gerade jetzt neben den technischen Herausforderungen, wie etwa den Remote-Arbeitsplätzen, das Cashflow-Management nicht zu vernachlässigen.

VIP sein bei Adobe: Was der Value Incentive Plan seinen Nutzern bringt

Vereinfachte Lizenzverwaltung inklusive: Adobe VIP ist das Lizenzprogramm von Adobe für Unternehmen jeder Unternehmensgröße.

CorelDRAW Graphics Suite 2020 – starke Grafik-Tools für viele Branchen

Eine Lösung auch für Enterprise-Unternehmen: was die CorelDRAW Suite 2020 alles kann