Bedrohungsschutz für Windows-Clients:

Microsoft Defender ATP

Ich werde als Architekt für Modern-Workplace-Themen immer wieder von Kunden eingeladen, um die Microsoft ATP Suite vorzustellen. In diesem Blogbeitrag gehe ich etwas detaillierter auf den Bedrohungsschutz „Microsoft Defender ATP“ ein.

Abbildung 1: Microsoft Defender ATP

Wie gut ist Microsoft Defender Antivirus?

Beginnen wir mit dem in Windows 10 integrierten Microsoft Defender Antivirus (AV). Dieses Antivirenprogramm hat nichts mehr gemein mit seinen Vorgängern aus dem Hause Microsoft, z.B. „Microsoft Security Essentials“. Unabhängige Institute belegen die eindrucksvolle AV-Leistung mit Bestnoten. Damit ist der Defender AV sozusagen Enterprise-ready.  Bestätigt wird das auch durch den Gartner Magic Quadranten für „Endpoint Protection Platforms“.

Abbildung 2: Gartner Magic Quadrant "Endpoint Protection Platforms"

Stärken und Schwächen des Microsoft Defender AV

Es gibt noch weitere Vorteile, die für den Einsatz des Defender AV sprechen: Er ist kostenlos und als einzige AV-Lösung so tief ins Betriebssystem eingebunden, dass er völlig problemlos handhabbar bei den halbjährlichen Feature-Upgrades ist. Weiterhin lassen sich durch den Einsatz weitere Security-Features innerhalb von Windows 10 einsetzen:

  • Reduzierung der Angriffsoberfläche (Attack Surface Reduction), z.B. das Blockieren von ausführbaren Inhalten von E-Mail-Clients und webbasierten E-Mail-Diensten

  • Überwachter Ordnerzugriff (Controlled Folder Access), damit z.B. sämtliche Verschlüsselungstrojaner wie Petya keinen Zugriff auf die Bibliotheken der User erhalten und diese nicht verschlüsseln können.

Jedoch ist der eingebaute Microsoft Defender AV in der Regel nur pattern-basiert, was zur Folge hat, dass er Zero-Day-Exploits nur erkennt, wenn die Security Intelligence Updates diese auch bereits kennen.

 

Mehr Sicherheit durch die Cloud: Microsoft Defender ATP

Interessant und rund wird die Sache deswegen mit der Cloud-basierten Erweiterung des AV, Microsoft Defender ATP. Dafür hat Microsoft die AV-Engine um die sogenannte NextGen Protection Engine erweitert.


Abbildung 3: Microsoft Defender ATP Next Generation Protection engines

Die Microsoft Defender ATP Next Generation Protection Engine ermöglicht der Microsoft Defender AV, den Client auch vor noch nicht erkannten bzw. bekannten Bedrohungen zu schützen. Dazu kommen Machine Learning- und Künstliche Intelligenz-Algorithmen, welche helfen sollen, neuartige und noch nicht entdeckte Bedrohungen zu identifizieren und zu eliminieren.


Ständig erweiterte Sicherheit: Threat Vulnerability Management (TVM)

Ein recht neues Modul innerhalb der Microsoft Defender ATP, die auf der Ignite 2019 im November vorgestellt wurde, ist TVM zur Bedrohungs- und Schwachstellenverwaltung. Es ist die erste Lösung, die die Brücke zwischen Security Operations (Sec Ops) und den IT-Admins schlägt. Dabei identifizieren die Sec Ops mithilfe des „Microsoft Intelligent Security Graph“ und der „Application Analytics Knowledge Base“ mögliche Schwachstellen innerhalb von Windows und Applikationen.


Wie funktioniert TVM? Ein Beispiel

Am Beispiel des VLC soll dies verdeutlicht werden. Zuerst wird Security Operations auf ein mögliches Update des VLC hingewiesen.

Abbildung 4: Update-Hinweis des TVM

Nun kann ein Ticket eröffnet werden, damit VLC aktualisiert werden kann.

Abbildung 5: Ticket kann nun eröffnet werden

Innerhalb des Microsoft Endpoint Managers (ehemals Intune) ist es nun möglich, das eröffnete Ticket als „Security Task“ zu bearbeiten und den VLC mit einem Update zu versehen.

Abbildung 6: Erstellung des Security Tasks

Diese Integration des TVM in den Microsoft Endpoint Manager bedeutet eine große Vereinfachung zur Beseitigung von Bedrohungen und Schwachstellen, sowohl was Windows Updates angeht als auch innerhalb von Applikationen.


Advanced Hunting – Einstieg in die digitale Forensik

Das meiner Meinung nach sowohl interessanteste als auch spannendste Modul ist jedoch das sogenannte „Advanced Hunting“. Damit ist es proaktiv möglich, rückwirkend bis zu 30 Tage abfragebasiert nach Bedrohungen innerhalb des Netzwerkes zu suchen und zu lokalisieren. Dafür kommt die „Kusto query language“ zum Einsatz, welche ähnlich bei SQL genutzt wird.  „Advanced Hunting“ bietet dadurch einem Security Operation Center (SOC) die Möglichkeit, sowohl vor als auch nach einem Befall den Weg einer Malware innerhalb des Netzwerkes und sogar den Ausgangspunkt zu identifizieren.


Fazit

Abschließend kann ich sagen, dass in der Gesamtschau die Microsoft Advanced-Threat-Protection-Produkte – unter anderem auch durch deren Integration in andere Sicherheits-Software wie den Endpoint Manager oder auch Azure Sentinel – nicht umsonst von Gartner als „Leader“ im Bereich der „Endpoint Protection Platforms“ genannt werden.

Weitere Informationen zu unseren IT-Security-Services und denen unserer Partner finden Sie auf unserer Website

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Jochen Berners

Modern Workplace Architekt

Verwandte Artikel

Namensänderung oder echter Wandel? Office 365 wird Microsoft 365

Abschied von Office 365 – Microsoft 365 ist die Antwort für den modernen Arbeitsplatz. Lesen Sie dazu unseren Blogbeitrag.

Oracle Installationen auf vSphere 7 – Was ist neu?

Welche Änderungen sich mit der neuen Generation von vSphere für Oracle ergeben und was zu beachten ist, wenn Oracle Produkte auf einer VMware Infrastruktur betrieben werden, erfahren Sie in unserem Blogbeitrag.

IT-Support – bedarfsgerecht und flexibel statt pauschaler Abrechnung

IT-Support über Dienstleister ist meist günstiger als Hersteller-Support und dabei flexibel und bedarfsgerecht. Wir erklären worauf es ankommt.