<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1908464336105901&amp;ev=PageView&amp;noscript=1">
Blogg med aktuelle nyheter, tips og triks

Blogginnlegg

Kategorier
Jon Alfred Smith
By
juni 17, 2021

Trussel- og sårbarhetsbehandling i Defender for Endpoint

Microsoft Defender for Endpoint er langt mer enn en tradisjonell signaturbasert antivirusløsning. Den omfatter flere komponenter. Trussel- og sårbarhetsbehandling sammen med Angrepsflatereduksjon følger føre-vâr-prinsippet og herder enhetene. Neste generasjons beskyttelse kombinerer heuristikk, atferdsanalyse og maskinlæring lokalt med detonasjonskamre, undersøkelse av stordata og kunstig intelligens i skyen. Endepunktsdeteksjon og -respons oppdager og svarer på avanserte angrep, noe som gir synlighet i hele sikkerhetsbruddet.

 

Automatisert undersøkelse og utbedring gransker varsler og utbedrer komplekse angrepstekniker i nær sanntid. Microsofts trussel-eksperter bringer dybdekunnskaper foruten proaktiv og reaktiv trusseljakt til virksomheten din. Defender for Endpoint er tett integrert med sikkerhetsmekanismene i Azure AD, Microsoft Endpoint Manager og de andre produktene i Microsoft 365 Defender, som er Defender for Identity, Cloud App Security og Defender for Office 365. Spørrespråket Kusto binder tjenestene sammen og kan avdekke hele anatomien i en cyberdrapskjede.

 

Microsoft 365 Defender

trussel1

Microsoft 365 Defender er det nye hjemmet for sikkerhet. Øverst på navigasjonsmenyen ligger funksjonene som er felles. Hjem lar deg organisere kort. Hendelser og varsler samler signalene fra alle sikkerhetstjenester. Handlingssenter viser pågående og avsluttede handlinger, som å starte et virusskann og plassere filer i karantene. Med Jakt kan du foreta spørringer på tvers av alle tjenester. Trusselanalyser gir en oversikt over aktive trusler og hvilke som rammer virksomheten din. Sikkerhetsvurdering foretar en analyse av tiltakene du har satt opp for å sikre organisasjonen din. Lærehub har koblinger til videoer og dokumentasjon.

 

Administrasjonen av Defender for Endpoint – Endepunkter – er allerede innlemmet i portalen. Det samme gjelder Exchange Online Protection og Defender for Office 365 – E-post og samarbeid. Andre produkter skal følge etter. Det vil gi en enkel glassrute (single pane of glass) for styringsverktøy som forener data og grensesnitt på tvers av de forskjellige kildene og presenterer dem i en enkelt visning. Dette er fortsatt ikke et dedikert system for sikkerhetsinformasjon og hendelseshåndtering (Security Information and Event Management – SIEM). Men du kommer mange skritt nærmere.

 

Dashbordet for Trussel- og sårbarhetsbehandling

trussel2

Menyene for Trussel- og sårbarhetsbehandling ligger under Håndtering av sikkerhetsproblemer. Instrumentbord gir en oversikt over enhetens tilstand, ikke fritt for innslag av gamification eller «spillifisering», med fremdriftsindikatorer som poeng og score. Konkurranseinstinktet og behovet for selvrealisering utfordres med å få ned poengsummen for eksponering og få den opp for enheter. Vær forberedt på at scoren beveger seg i bølgedaler. Du legger til nye enheter, Microsoft kommer med nye målekriterier. Samtidig er det programvare som må holdes oppdatert.

 

Toppanbefalingene kunne vi tatt med knusende ro om vi har satt opp oppdateringsringene for Windows, Office og Edge Chromium på en fornuftig måte. Men det er et varseltegn til høyre for Windows 10 som viser at én eller flere sårbarheter allerede utnyttes i angrep. Verktøyet for å behandle sårbarheter er risikobasert. Det prioriterer enheter som er utsatt for aktive trusler eller lagrer sensitive data. Sistnevnte er en følge av integrasjonen med Microsoft Information Protection og følsomhetsetiketter.

 

Sikkerhetsanbefalinger

trussel3

Neste menypunkt er Anbefalinger. Vi må få oppdatert én Windows 10-enhet med Windows, Office, Edge Chromium. På to Windows-maskiner bør vi slå på Defender Application Guard i administrert modus. Vi rådes til å sette minimum PIN-lengden for oppstart (BitLocker) til seks eller flere tegn. På en enhet er ikke Defender Credential Guard aktivert. I tillegg er det enkelte anvisninger for macOS vi burde følge, som å endre passordlengden og sikre hjemmemapper.

 

Application Guard er et maskinvarebasert endepunktforsvar som er innebygd i Edge Chromium. Det isolerer nettsteder som ikke er klarert, i en virtuell maskin (VM) for å hindre at ondsinnet aktivitet rammer verten. Credential Guard er en sikkerhetsfunksjon som holder påloggingsinformasjon atskilt fra resten av operativsystemet for å forhindre tyveri. Når du klikker på én av oppføringene, får du god informasjon om å utbedre svakheten – enten manuelt, via gruppepolicyer eller Intune.

 

trussel4

La oss se nærmere på oppdateringen av Windows 10, innbefattet innebygde applikasjoner. Du får en nærmere beskrivelse. CVE står for Common Vulnerabilities and Exposures (vanlige sårbarheter og eksponeringer), en referansemetode for offentlig kjente sikkerhetsproblemer. Du får opplysninger om eksponerte og installerte enheter, assosierte CVEer og utbedringsaktiviteter.

 

trussel5

Vi har klikket på Request remediation (Be om utbedring). Det gir oss muligheten til å åpne en billett i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling.

 

Utbedring

trussel6

Under Utbedring ser vi pågående og utførte aktiviteter. Oppdateringen av Windows 10 er allerede forfalt og avventer bekreftelse i Intune.

 

Programvarelager

trussel7

Programvarelager gir en fortegnelse over installerte programmer, med en vurdering av svakheter og en oversikt over eksponerte enheter.

 

Svakheter

trussel8

Svakheter lister opp alle sårbarheter basert på systemet for Common Vulnerabilities and Exposures. Her er det to sårbarheter som allerede utnyttes, hvorav én er kritisk.

 

Tidslinje for hendelser

trussel9

Tidslinjen for hendelser kan du gå 90 dager tilbake i tid.

 

Integrasjon med Microsoft Intune

trussel10

For å integrere Defender for Endpoint med Intune må du først velge Innstillinger i portalen for Microsoft 365 Defender. Velg Endepunkter, Advanced features. Slå på Microsoft Intune connection.

 

trussel11

Så må du inn i Endepunktbehandling. Klikk på Endpoint security, Microsoft Defender for Endpoint. Aktiver funksjonene for MDM-samsvar og appbeskyttelse som er aktuelle i din organisasjon. Ikke glem å lagre. Dermed har du opprettet en tjeneste-til-tjeneste-forbindelse mellom Microsoft Intune og Defender for Endpoint. Du kan bruke den til å rulle ut Defender for Endpoint til Windows 10 og macOS, sette opp samsvarspolicyer og bygge en bro mellom administrasjon av sikkerhet og IT.

 

Beskytte og sikre enheter

Fra Endpoint Security Overview i administrasjonssenteret for Microsoft Endpoint Manager beskytter og sikrer du enheter fra ett sted. Du aktiverer, konfigurerer og distribuerer Defender for Endpoint.

 

trussel12

 

Til høyre ser du Remediate endpoint weaknesses. Den lar deg utbedre sårbarheter rapportert av Trussel- og sårbarhetsbehandling. Det er et grønt merke for at tilkoblingen til Microsoft ATP er aktivert, det gamle navnet for Defender for Endpoint.

 

trussel13

Klikk på View security tasks. Oppgraderingen av Windows vises først som pending (pågående). Velg den og klikk på Accept. Da blir den aktiv.

 

Anbefalte og forenklede sikkerhetsinnstillinger

trussel14

Microsofts anbefalte grunnlinjer gir deg en flying start for å sikre Windows 10-enheter. Alternativt kan du tildele maskinene forenklede sikkerhetspolicyer for antivirus, diskkryptering, brannmur, Angrepsflatereduksjon, Endepunktdeteksjon og -respons (EDR) og kontobeskyttelse. Da får du opp poengsummen for enheter i betydelig grad.

 

Avsluttende ord

Defender for Endpoint er i seg selv en markedsledende løsning for å beskytte enheter mot ukjent skadelig programvare, såkalte nulldagstrusler – noe vi ser stadig mer av i angrep, og som signaturbasert antivirus ikke klarer å fange opp. Trussel- og sårbarhetsbehandling fungerer i denne sammenheng som vaksine som gjør virksomheter mer motstandsdyktig. Den avgjorte styrken er hvor tett alle disse sikkerhetsmekanismene er vevd inn i hverandre. Det gjør etter vår mening Defender for Endpoint til det beste valget for å beskytte enhetene i organisasjonen din.

 

 

Kontakt oss

Besøk vår hjemmeside

Abonner på bloggen

Serverfri
New call-to-action
Sikkerhet

Legg igjen en kommentar