Threat Protection for Windows Clients: Microsoft Defender ATP

Ich werde als Architekt für Modern-Workplace-Themen immer wieder von Kunden eingeladen, um die Microsoft ATP Suite vorzustellen. In diesem Blogbeitrag gehe ich etwas detaillierter auf den Bedrohungsschutz „Microsoft Defender ATP“ ein.

Beginnen wir mit dem in Windows 10 integrierten Microsoft Defender Antivirus (AV). Dieses Antivirenprogramm hat nichts mehr gemein mit seinen Vorgängern aus dem Hause Microsoft, z.B. „Microsoft Security Essentials“. Unabhängige Institute belegen die eindrucksvolle AV-Leistung mit Bestnoten. Damit ist der Defender AV sozusagen Enterprise-ready.  Bestätigt wird das auch durch den Gartner Magic Quadranten für „Endpoint Protection Platforms“.

Es gibt noch weitere Vorteile, die für den Einsatz des Defender AV sprechen: Er ist kostenlos und als einzige AV-Lösung so tief ins Betriebssystem eingebunden, dass er völlig problemlos handhabbar bei den halbjährlichen Feature-Upgrades ist. Weiterhin lassen sich durch den Einsatz weitere Security-Features innerhalb von Windows 10 einsetzen:

• Reduzierung der Angriffsoberfläche (Attack Surface Reduction), z.B. das Blockieren von ausführbaren Inhalten von E-Mail-Clients und webbasierten E-Mail-Diensten

• Überwachter Ordnerzugriff (Controlled Folder Access), damit z.B. sämtliche Verschlüsselungstrojaner wie Petya keinen Zugriff auf die Bibliotheken der User erhalten und diese nicht verschlüsseln können.

Die Microsoft Defender ATP Next Generation Protection Engine ermöglicht der Microsoft Defender AV, den Client auch vor noch nicht erkannten bzw. bekannten Bedrohungen zu schützen. Dazu kommen Machine Learning- und Künstliche Intelligenz-Algorithmen, welche helfen sollen, neuartige und noch nicht entdeckte Bedrohungen zu identifizieren und zu eliminieren.

Ständig erweiterte Sicherheit: Threat Vulnerability Management (TVM)

Ein recht neues Modul innerhalb der Microsoft Defender ATP, die auf der Ignite 2019 im November vorgestellt wurde, ist TVM zur Bedrohungs- und Schwachstellenverwaltung. Es ist die erste Lösung, die die Brücke zwischen Security Operations (Sec Ops) und den IT-Admins schlägt. Dabei identifizieren die Sec Ops mithilfe des „Microsoft Intelligent Security Graph“ und der „Application Analytics Knowledge Base“ mögliche Schwachstellen innerhalb von Windows und Applikationen.

Wie funktioniert TVM? Ein Beispiel

Am Beispiel des VLC soll dies verdeutlicht werden. Zuerst wird Security Operations auf ein mögliches Update des VLC hingewiesen.

Nun kann ein Ticket eröffnet werden, damit VLC aktualisiert werden kann.

Innerhalb des Microsoft Endpoint Managers (ehemals Intune) ist es nun möglich, das eröffnete Ticket als „Security Task“ zu bearbeiten und den VLC mit einem Update zu versehen.

Diese Integration des TVM in den Microsoft Endpoint Manager bedeutet eine große Vereinfachung zur Beseitigung von Bedrohungen und Schwachstellen, sowohl was Windows Updates angeht als auch innerhalb von Applikationen.

Advanced Hunting – Einstieg in die digitale Forensik

Das meiner Meinung nach sowohl interessanteste als auch spannendste Modul ist jedoch das sogenannte „Advanced Hunting“. Damit ist es proaktiv möglich, rückwirkend bis zu 30 Tage abfragebasiert nach Bedrohungen innerhalb des Netzwerkes zu suchen und zu lokalisieren. Dafür kommt die „Kusto query language“ zum Einsatz, welche ähnlich bei SQL genutzt wird.  „Advanced Hunting“ bietet dadurch einem Security Operation Center (SOC) die Möglichkeit, sowohl vor als auch nach einem Befall den Weg einer Malware innerhalb des Netzwerkes und sogar den Ausgangspunkt zu identifizieren.

Fazit

Abschließend kann ich sagen, dass in der Gesamtschau die Microsoft Advanced-Threat-Protection-Produkte – unter anderem auch durch deren Integration in andere Sicherheits-Software wie den Endpoint Manager oder auch Azure Sentinel – nicht umsonst von Gartner als „Leader“ im Bereich der „Endpoint Protection Platforms“ genannt werden.

Weitere Informationen zu unseren IT-Security-Services und denen unserer Partner finden Sie auf unserer Website.