Время на прочтение7 мин
Количество просмотров18K
В начале февраля мы рассказывали вам про обнаружение преступников с помощью службы ATP в Защитнике Windows. В комментариях появились различные вопросы, относительно работы службы, поэтому мы решили поделиться подробным описанием её функционала.
Если говорить коротко, то Служба ATP в Защитнике Windows — это служба безопасности, с помощью которой можно обнаруживать в своих сетях угрозы безопасности, исследовать их и принимать ответные меры. Служба работает на основе встроенной в Windows 10 комбинации технологий и облачной службы Microsoft. К таким технологиям относятся:
- Датчики поведения на хостах. Эти датчики встроены в Windows 10. Они собирают и обрабатывают сигналы операционной системы о поведении (например, о взаимодействиях процессов, реестра, файлов и сети) и отправляют данные в ваш частный, изолированный облачный экземпляр службы ATP.
- Облачный анализ безопасности. По сути дает возможность преобразовывать поведенческие сигналы в аналитические данные для выявления угроз, а также помогает с рекомендациями по их устранению.
- Аналитика угроз. В Microsoft есть отдельные специалисты и отделы безопасности данных, в дополнении к этому используются аналитические данные об угрозах от партнеров. Это позволяет службе ATP идентифицировать средства, технологии и методы атаки. Оповещать пользователей при обнаружении соответствующих признаков в собираемых данных.
Схематично эти компоненты службы представлены ниже.
Возможности службы по исследованию хостов позволяют получить подробные оповещения, понять характер и масштаб возможного вторжения.
Служба ATP в Защитнике Windows работает с различными технологиями Windows по обеспечению безопасности:
- Защитник Windows
- AppLocker
- Device Guard
Она также может параллельно работать и со сторонними решениями по обеспечению безопасности.
Обзор портала Advanced Threat Protection в Защитнике Windows
Для мониторинга и ответных действий на угрозы можно использовать портал ATP. Он решает следующие задачи:
- Просмотр, сортировка и классификация оповещений от хостов.
- Поиск дополнительной информации, связанной с обнаруженными индикаторами. Это могут быть конкретные файлы или IP – адреса.
- Изменение различных настроек службы: часовой пояс и правила оповещений.
Интерфейс портала включает в себя четыре основные рабочие области:
- (1) Область Настроек
- (2) Область навигации
- (3) Основной портал
- (4) Поиск
С настройками всё вполне очевидно.
В Панели навигации доступны такие представления как:
- Информационная панель (сам дашборд, на котором отображается основная информация);
- Очередь оповещений (Новые, В процессе, Разрешённые и так далее).
Раздел компьютеры отображает перечень компьютеров, которые защищает служба ATP, и некоторые сведения о них.
Настройка приоритетов позволяет настраивать уведомления по email или политику хранения данных (другими словами – сколько данные будут храниться в тенанте).
В разделе управление хостами можно скачать пакет для подготовки машин к работе с ATP.
Служба ATP и использует следующие условные обозначения:
Оповещение — сообщение об активности, которая коррелирует с атаками повышенной сложности.
Обнаружение — признак обнаруженной угрозы вредоносного программного обеспечения.
Активная угроза — угрозы, которые активно исполнялись на момент обнаружения.
Устранено — угроза удалена с компьютера.
Не устранено — угроза не удалена с компьютера.
В общем виде подход к исследованию бреши в системе безопасности при помощи ATP можно разбить на следующие этапы:
- Просмотр оповещения на информационной панели или в очереди оповещений.
- Анализ индикаторов компрометации (IOC) или атаки (IOA).
- Анализ временной шкалы оповещений, поведения и событий компьютера.
- Управление оповещениями, понимание угрозы или потенциального взлома, сбор информации для определения необходимых действий и обработки оповещения.
Просмотр информационной панели службы Advanced Threat Protection в Защитнике Windows
Так как работу с ATP мы начинаем с анализа данных на информационной панели, рассмотрим её более подробно. Данные об оповещениях и компьютерах позволяют быстро установить факт, место и время подозрительной активности в сети — это дает необходимый контекст для понимания ситуации. Здесь также отображается сводка данных о событиях, помогающая идентифицировать значимые события или поведение на компьютере. Также можно открыть подробные сведения о событиях и индикаторах на более низком уровне. Активные плитки дают визуальные подсказки, позволяющие оценить общее состояние систем безопасности. При щелчке по такой плитке открывается подробное представление соответствующего компонента.
Оповещения службы ATP
При щелчке по плитке Оповещения ATP отображается общее количество активных оповещений службы ATP в сети за последние 30 дней. Оповещения распределены на две группы: Новые и Выполняющиеся.
Каждая группа имеет подкатегории по уровням серьёзности. Щелкнув по числу внутри каждого можно вывести представление очереди соответствующей категории.
Компьютеры, подвергающиеся риску
На этой плитке показан список компьютеров с наибольшим количеством активных оповещений. Общее число оповещений для каждого компьютера показано в круге рядом с именем компьютера. С противоположной стороны плитки представлено количество оповещений, сгруппированных по уровням серьёзности. Не сложно догадаться, что темный цвет это более опасные, а более светлый – менее.
Плитка Статус содержит информацию о том, активна ли служба и имеются ли проблемы, а также о количестве компьютеров, которые направляли отчеты в службу в течение последних 30 дней.
Плитка Отчёты от компьютеров содержит гистограмму, на которой представлено количество компьютеров, отправлявших оповещения, по дням. Увидеть точное число компьютеров, отправлявших оповещения в определенный день, можно наведя курсор на отдельные столбцы гистограммы.
Компьютеры с обнаруженными активными вредоносными программами
Плитка Компьютеры с обнаруженными активными вредоносными программами отображается, только если в ваших конечных точках используется Защитник Windows. Под активной вредоносной программой понимаются угрозы, которые активно исполнялись на момент обнаружения. Наведя курсор мыши на каждый из столбцов, можно увидеть количество обнаруженных активных вредоносных программ и количество хостов, на которых в течение последних 30 дней была обнаружена хотя бы одна активная вредоносная программа.
В схеме представлено пять категорий вредоносного ПО:
- Программа для кражи паролей — угрозы, направленные на кражу учётных данных.
- Программа-шантажист — угрозы, направленные на блокировку доступа пользователя к компьютеру или файлам и вымогательство денег для восстановления доступа.
- Эксплойт — угрозы, использующие уязвимости программного обеспечения для заражения компьютеров.
- Угроза — все остальные угрозы, не относящиеся к категориям программ для кражи паролей, программ-шантажистов и эксплойтов. К этой категории относятся трояны, черви, бэкдоры («черные ходы») и вирусы.
- Низкий уровень серьёзности — угрозы с низким уровнем серьёзности, включая программы для показа рекламы и потенциально нежелательные программы, например модификаторы браузера.
Угрозы считаются активными, если существует очень высокая вероятность, что вредоносная программа выполнялась в вашей сети, а не просто была локально сохранена на диске.
Щёлкнув по любой из этих категорий, можно перейти к представлению Компьютеры, где данные будут отфильтрованы для соответствующей категории. Так можно получить подробные сведения о том, на каких компьютерах обнаружены активные вредоносные программы и сколько угроз зарегистрировано на каждом из них.
Просмотр и упорядочение очереди оповещений Advanced Threat Protection
Управлять оповещениями службы ATP в Защитнике Windows можно в рамках регулярных ежедневных задач. Оповещения выстраиваются в очереди в соответствии с текущим статусом.По умолчанию оповещения в очереди сортируются в порядке от последних к самым старым.В следующей таблице и на снимке экрана приведены основные области Очереди оповещений.
Выделенная область |
Название области |
Описание |
|---|---|---|
| (1) | Очередь оповещений | Выберите показ Новых, Выполняющихся или Разрешённых предупреждений |
| (2) | Оповещения | Каждое оповещение содержит следующие данные:
При щелчке по оповещению раскрывается дополнительная информация об угрозе, а на временной шкале выполняется переход к дате создания оповещения. |
| (3) | Сортировка и фильтры оповещений | Сортировка оповещений возможна по следующим параметрам:
Кроме того, отображаемые оповещения можно отфильтровать по параметрам:
|
Очередь оповещений можно отфильтровать и отсортировать (сделать сводку), чтобы выявить необходимые оповещения на основе определенных критериев. Для этого доступны три механизма:
- Сортировка очереди с помощью раскрывающегося меню в поле Сортировка по с выбором одного из указанных ниже параметров:
- Самые новые — сортировка оповещений по дате последнего появления в конечных точках.
- Время в очереди — сортировка оповещений по продолжительности нахождения в очереди.
- Серьезность — сортировка по уровню серьёзности.
- Для фильтрации оповещения по уровню серьёзности можно установить один или несколько флажков в раскрывающемся меню в поле Фильтровать по:
- Высокий (красный): угрозы, обычно связанные с постоянными угрозами повышенной сложности (APT). Такие оповещения указывают на высокий риск из-за серьезности ущерба, который может быть нанесен хостам.
- Средний (оранжевый): редко возникающие угрозы, например, аномальные изменения реестра, выполнение подозрительных файлов и поведение характерное для различных этапов атак.
- Низкий (желтый): угрозы, связанные с распространенными вредоносными программами и средствами для взлома, которые не указывают на наличие угрозы повышенной сложности.
- Отображаемую часть очереди можно ограничить различными заданными периодами с помощью раскрывающегося меню в поле диапазона дат (по умолчанию выбрано значение 6 месяцев).
Для изменения порядка сортировки (например, показа первыми самых старых оповещений вместо самых новых) можно щелкнуть значок порядка сортировки.
Анализ оповещений Advanced Threat Protection в Защитнике Windows
Чтобы приступить к анализу, и получить подробную информацию нужно щёлкнуть по оповещению в любой очереди.
Подробные сведения об оповещении включают следующее:
- Дата и время последнего создания оповещения.
- Описание оповещения.
- Рекомендуемые действия.
- Граф инцидента.
- Индикаторы, которые привели к созданию оповещения.
Для оповещений, которые были соотнесены с действиями злоумышленника или субъекта, отображается цветная плитка с именем субъекта.
Щёлкнув по имени субъекта, можно просмотреть профиль аналитики угроз для него, включая краткий обзор субъекта, сведения об его интересах или целях, тактике, методах и процедурах, а также информацию о его активности по всему миру. Также отобразится набор рекомендуемых ответных действий.
Граф инцидента включает визуальное представление места возникновения оповещения, событий, которые привели к его созданию, и других компьютеров, на которые повлияло это событие. На графе показано влияние оповещения на исходном компьютере, а также как это событие повлияло на срабатывание оповещений на других компьютерах.
Можно щёлкнуть кружок на графе инцидента, чтобы развернуть узлы и просмотреть события или файлы, которые связаны с оповещением.
Напоминаем, что сервис ATP в Защитнике Windows встроен в ядро Windows 10 Корпоративная, его работу можно оценить бесплатно.
Written By
published
March 1, 2016
We designed Windows 10 from the very beginning to be our most secure platform ever. With features like Credential Guard, Device Guard, Windows Hello, and Enterprise Data Protection, Windows 10 offers unique defenses from attacks. Windows Defender, our free anti-malware service, provides protection to almost 300 million devices – every day. And Windows continues to raise the defenses in the system every month as any security issues are investigated and proactively updated through Windows Update.
This ongoing commitment to security has led to strong demand from enterprise customers. From the Department of Defense, which is adopting Windows 10 across all branches of service, starting this year with 4 million devices – to NASCAR to Virgin Atlantic to schools all over the world – we’re excited to see customers with the most demanding requirements move to Windows 10 faster than ever before.
Today, we announce the next step in our efforts to protect our enterprise customers, with a new service, Windows Defender Advanced Threat Protection.
https://www.youtube.com/watch?v=h9xS7mhi1BA&feature=youtu.be
Cyber Attacks Are Increasing in Sophistication
We’re seeing increasingly brazen cyberattacks. Cybercriminals are well organized with an alarming emergence of state-sponsored attacks, cyber-espionage and cyber terror. Even with the best defense, sophisticated attackers are using social engineering and zero-day vulnerabilities to break-in to corporate networks. Thousands of such attacks were reported in 2015 alone. We’ve found it currently takes an enterprise more than 200 days to detect a security breach and 80 days to contain it. During this time, attackers can wreak havoc on a corporate network, stealing data, breaching privacy, and destroying the trust of customers. These attacks are incredibly expensive, costing organizations an average of $12 million per incident with broader impact to a company’s reputation.
As the attackers’ approaches have evolved and become more sophisticated, so too must our approach to provide security to our enterprise customers. And, our customers agree, as 90% of surveyed IT Directors said they need a full-fledged advanced threat protection solution that identifies attacks quicker with comprehensive intelligence, and provides actionable remediation.
Windows Defender Advanced Threat Protection will Help Detect, Investigate and Respond to Attacks
To help protect our enterprise customers, we are developing Windows Defender Advanced Threat Protection, a new service that will help enterprises to detect, investigate, and respond to advanced attacks on their networks. Building on the existing security defenses Windows 10 offers today, Windows Defender Advanced Threat Protection provides a new post-breach layer of protection to the Windows 10 security stack. With a combination of client technology built into Windows 10 and a robust cloud service, it will help detect threats that have made it past other defenses, provide enterprises with information to investigate the breach across endpoints, and offer response recommendations.
Windows Defender Advanced Threat Protection:
1) Detects Advanced Attacks provides key information on who, what, and why the attack happened. Sophisticated threat intelligence enables attack detection, informed by the world’s largest array of sensors and expert advanced threat protection, including a team of experts at Microsoft and expert security partners.
Windows Defender Advanced Threat Protection is powered by a combination of Windows behavioral sensors, cloud based security analytics, threat intelligence, and by tapping into Microsoft’s intelligent security graph. This immense security graph provides big-data security analytics that look across aggregate behaviors to identify anomalies – informed by anonymous information from over 1 billion Windows devices, 2.5 trillion indexed URLs on the Web, 600 million reputation look-ups online, and over 1 million suspicious files detonated every day.
This data is then augmented by expertise from world-class security experts and advanced threat protection Hunters from across the globe, who are uniquely equipped to detect attacks.
2) Response Recommendations. The service’s security operations data provides an easy way to investigate alerts, explore the entire network for signs of attacks, examine attacker actions on specific devices, and get detailed file footprints from across the organization to recommend responses.
With time travel-like capabilities, Windows Defender Advanced Threat Protection examines the state of machines and their activities over the last six months to maximize historical investigation capabilities and provides information on a simple attack timeline. Simplified investigation tools replace the need to explore raw logs by exposing process, file, URL and network connection events for a specific machine or across the enterprise.
And, a cloud-based detonation service enables files and URLs to be submitted to isolated virtual machines for deep examination. In the future, Windows Advanced Threat Protection will also offer remediation tools for affected endpoints.
3) Complements Microsoft Advanced Threat Detection Solutions. Because Windows Defender Advanced Threat Protection is being built into Windows 10, it will be kept continuously up-to-date, lowering costs, with no deployment effort needed. Powered by a cloud backend, no on premise server infrastructure or ongoing maintenance is required. It complements email protection services from Office 365 Advanced Threat Protection and Microsoft Advanced Threat Analytics.
Already Protecting 500,000 Endpoints
Just like we developed Windows 10 with feedback from millions of Windows Insiders, we worked with our most advanced enterprise customers to address their biggest security challenges, including attack investigations and day-to-day operations, to test our solution in their environments. Windows Defender Advanced Threat Protection is already live with early adopter customers that span across geographies and industries, and the entire Microsoft network, making it one of the largest running advanced threat protection services.
Here is a sampling of feedback we’re hearing from some of our early adopter customers:
“Cyber security is my biggest concern and securing all endpoints in my organization is my current priority. Windows Defender Advanced Threat Protection is unique in that it can see exactly what’s going on across every endpoint, which other solutions are failing to address.” Greg Petersen, Senior Director, IT Security, Avanade
“You need to have several layers of defenses, and Windows Defender Advanced Threat Protection adds to our defense strategy. The worldwide sampling that only Microsoft can offer helps find questionable behavior on our computers and alerts us in a timely manner, making our computers and network safer.” Fran De Hann, Senior Security Advisor, Pella Windows
“Deploying Windows Defender Advanced Threat Protection gave us incredible awareness about several critical security vulnerabilities in our network, which we’ve already taken immediate action to address, along with updating our security policies.” Henrik Pedersen, IT Manager, TDC Hosting, Denmark
We encourage our customers to upgrade to Windows 10 for our most advanced security protection, with the opportunity to take advantage of Windows Defender Advanced Threat Protection when it becomes available more broadly this year. We are excited to offer this service to protect our customers.
Terry
Windows Defender Advanced Threat Protection provides users of Windows with a unified security platform. It has many features, such as hardware-based isolation, antivirus, and others. Threat detection, analytics, and automated responses are the main goals of Windows Defender ATP to both identify potential breaches before they happen and be able to react to breaches as quickly as possible once they do. There are three levels of service. It protects against host intrusions, fileless and file-based attacks, and attempts to manage programs on the top layer. All of this is made possible by Microsoft’s next-generation antimalware technology.
What is Microsoft Defender Advanced Threat Protection
Enterprise networks can prevent, detect, investigate, and respond to sophisticated attacks with the aid of Microsoft Defender Advanced Threat Protection. The following technology from Windows 10 and Microsoft’s cloud service are combined. The primary activities of Microsoft Defender ATP are Threat intelligence, Cloud security analytics, and Endpoint behavioral sensors. Because it is hosted in the cloud, Microsoft Defender ATP is agentless and doesn’t need to be deployed or have any infrastructure. The method makes use of «endpoint behavioral sensors,» which are found in each device’s operating system. Windows sensors continuously gather data and send it back to your company’s own Microsoft Defender cloud instance. The behavior of the programs running on the machines in your company is then examined by Microsoft Defender ATP to see if anything appears to pose a threat.
How to Set up Microsoft Defender Advanced Threat Protection
With Microsoft Defender Advanced Threat Protection, you can leverage the power of the cloud to defend against threats that are becoming more sophisticated and prevalent. With a cloud security system that can handle the most demanding analytical workloads, you can identify and investigate security occurrences within your company. The information needed to set up Microsoft Defender Advanced Threat Protection is provided below.
Step 1. Search on Google as Microsoft Endpoint Manager as (https://endpoint.microsoft.com).
Step 2. Then click on «Endpoint security > Antivirus.» Using the Microsoft Defender Antivirus profile type, choose an «existing policy» or create a «new policy.»
Step 3. For Threat History, click «Report file.» You can eliminate any threat if you locate it.
Step 4. You must confirm that the configurations are turned on as, Set Microsoft Defender Antivirus Extended Timeout in Second to «50,» Cloud-delivered Protection Level to «High,» and Turn on Cloud-delivered Protection to «Yes.»
Conclusion
In a nutshell, Windows Defender ATP is a third-party anti-virus compatible cloud-based threat management and protection solution for Windows 10 that does not require the deployment of agents (since they are inbox features).
Microsoft markets ATP to businesses but considering that it integrates with its other products and is entirely hosted in the cloud, it ought to be available to everyone.
An emphasis on Advanced Threat Protection is necessary in today’s cybersecurity landscape. Cybersecurity is becoming one of the most globally-recognized pressures that organizations will face going forward. With major brand names like Accenture, Equifax, Verizon, Deloitte, and Uber ending up in news headlines for data breaches, it’s no secret that cybersecurity is a topic that’s high on the list of priorities for many organizations.
Many people ask how to protect their organization from cybercriminals as businesses become increasingly digitized and technology continues to advance.
With the introduction of Windows 10 a few years ago, and an annual $1 billion spend on security, Microsoft has emerged as a leader in protecting businesses from cybersecurity threats. In this blog, we’ll look at the three types of Advanced Threat Protection, including their features and benefits that make them a great choice for organizations to implement.
What is Azure Advanced Threat Protection?
Azure Advanced Threat Protection (Azure ATP), now recognized as Microsoft Defender for Identity, helps to detect and investigate advanced attacks and insider threats across on-premises, Cloud, and hybrid environments, stopping attackers from gaining access to your system. By taking information from multiple data sources, like the logs and events in your network, Azure ATP learns the behaviour of your users and other entities within your organization and builds a behavioural profile about them. Then, when suspicious activity is detected, it alerts you via the Azure ATP workspace portal, so you can see those suspicious activities and confirm whether it is a potential attack or not.
Source
Why Use Azure ATP
- 🔎 Malicious Activity Identifying/Tracking: Azure ATP helps you to identify and track any malicious activities in your environment, including Pass-the-Ticket, Pass-the-Hash, horizontal or vertical brute force attacks, DNS reconnaissance, unusual protocols, malicious service creation, and others.
- 🛡️ Protection from Attack Vectors: Azure ATP protects your organization from both known and unknown attack vectors before they cause damage to your organization.
- 🕵🏼♂️ Detects Multiple Suspicious Activities: Azure ATP focuses on several phases of the cyber-attack kill chain, including reconnaissance, lateral movement cycle, and domain dominance, and detects advanced attacks and insider threats before they can cause damage to your organization.
- ☑️ Implement Honeytoken Accounts: Azure ATP allows you to install honeytoken accounts – decoy accounts that are set up for the sole purpose of identifying and tracking malicious activity – within your network.
What is Windows Defender Advanced Threat Protection?
Windows Defender Advanced Threat Protection, now recognized as Microsoft Defender for Endpoint, integrates with Azure ATP to detect and protect against malicious activity, but its focus is on the end points – the actual devices being used. Working with existing Windows security technologies, like Windows Defender Antivirus, AppLocker, and Windows Defender Device Guard, Windows Defender ATP detects sophisticated cyber-attacks by providing Cloud-powered, behaviour-based advanced attack detection.
Why Use Windows Defender ATP
- 🔐 Next-Gen Threat Protection: Windows Defender ATP has next-gen threat protection and post-breach detection built right into the Windows 10 Operating System, so you don’t need to worry about installing a new agent.
- 🖥️ Adapt, Deploy, Orchestrate: Windows Defender ATP adapts to changing threats, can deploy new defenses, and can orchestrate any remediation that is required.
- ☁️ Smart & Connected Threat Protection: Windows Defender ATP uses the power of the Cloud, behaviour analytics, and machine learning to provide you with smart and connected threat protection.
- 🔍 Faster Detection and Response: With Windows Defender ATP’s comprehensive monitoring tools, you can detect any abnormalities and respond to any attacks much faster.
- 📋 Recommendations: Windows Defender ATP lets you track your overall security posture and gives you recommendations on how to further reduce your organization’s attack surface.
- 🗄️ Access to Historical Data: Windows Defender ATP enables you to search and explore up to six months of historical data across your endpoints in an instant.
-
Check out the short video below to learn what is Advanced Threat Protection — Microsoft (ATP):
What is Office 365 Advanced Threat Protection?
Office 365 Advanced Threat Protection, now recognized as Microsoft Defender for Office 365, protects your email, files, and Office 365 applications against potential attacks such as unsafe attachments and malicious links.
Why use Office 365 ATP
- 🔒 Real-Time Protection from Sophisticated Attacks: Office 365 ATP protects your mailboxes, online storage, files, and other applications you’re using against any new, sophisticated attacks in real time.
- 🛡️ Protection Against Unsafe Attachments: Using Safe Attachments, Office 365 ATP protects against unsafe attachments and provides you with a malware-free, cleaner inbox.
- 👁️ Visibility into Potential Targets: Office 365 ATP lets you see who might be targeted in your organization, and what kinds of attacks you might be facing.
- 🚫 Unsafe Link Blocking: Office 365 ATP blocks users from clicking on unsafe links. If a link they click on is unsafe, the user is either informed that the site’s been blocked, or warned not to visit it.
- 🔗 URL Trace Capabilities: Office 365 ATP provides URL trace capabilities that lets you track what individual has clicked malicious links in the messages they’ve received.
With Microsoft Office 365 & Azure, BCG secured a reliable and productive IT infrastructure.
Key Benefits:
Increased Scalability: BCG now has the opportunity for future growth, which its old system didn’t allow for.
Growth Supported: Azure environment allows for onboarding of BCG’s new customers without any net new capital costs.
Better Cost Management: BCG’s IT expenses are now paid monthly and can be predicted with adds and deletions of users on a monthly basis. These make it easy to manage IT costs.
Read more case studies >>
Keep Your Organization Secure with Advanced Threat Protection
From protecting your emails, files, applications, and devices, using any (or all) of these Advanced Threat Protection solutions is a smart way to ensure that you are protected against advanced attacks, malware threats and data breaches. Not using Advanced Threat Protection (or not sure how to use it to its full potential)? Drop us a line and let us help you!
ProServeIT Corporation is a Toronto-based, leading IT solutions provider with over 20 years of experience helping businesses across various industries leverage technology to drive growth, enhance efficiency, and boost productivity. The blog and articles are authored by ProServeIT’s team of seasoned experts, sharing their insights and knowledge to help businesses stay ahead in the fast-changing tech landscape.
-
Home
-
Knowledge Base
- An Introduction to Microsoft Defender Advanced Threat Protection
By Daisy | Follow |
Last Updated
If you want to learn some information about Microsoft Defender Advanced Threat Protection, you come to the right place. You can know what it is and how it works. Now, you can continue to read this post to get more details about it.
What Is Microsoft Defender Advanced Threat Protection
Microsoft Defender Advanced Threat Protection (ATP) is a Microsoft security product designed to help enterprise-level organizations detect and respond to security threats. ATP is a preventive and post-detection survey response function for Windows Defender.
Tip: If you want to learn more information about Windows Defender, you can go to the MiniTool official website.
Microsoft was previously known as Windows Defender ATP (or WDATP) and renamed the product to reflect that it is now also available for other operating systems (OS), such as macOSX, Linux, and Android.
What Does Microsoft Defender Advanced Threat Protection Do?
Microsoft Defender ATP (MDATP) automatically detects and repairs advanced attacks on endpoints. It investigates the scope and potential impact of each threat, provides reports on various threats to the organization’s machines, and enables you to mitigate and eliminate threats quickly and easily using advanced tools and automation.
You need to notice that Microsoft Defender ATP is not an antivirus (AV) product. Microsoft Defender is not Microsoft Defender ATP. Microsoft Defender provides anti-malware and anti-virus functions for the Windows 10 operating system, and the ATP product is a post-invasion solution complementary to Microsoft Defender AV.
How Does Microsoft Defender ATP Work?
Microsoft Defender ATM is agentless and requires no deployment or infrastructure since it is cloud-hosted. This technology uses “endpoint behavior sensors” located in the operating system of each device.
These sensors in Windows continuously collect data and feed it back to the organization’s own Microsoft Defender cloud instance. Microsoft Defender ATP then analyzes the behavior of the code running on the organization’s computers and determines whether there is anything that appears to be a threat.
Also see:
- Windows Defender ATP Improves Threat Protection Ability
- Windows Defender ATP Supports USB & Removable Devices
Features of Microsoft Defender ATP
The following are the main features of Microsoft Defender Advanced Threat Protection.
- Threat and Vulnerability Management – Real-time software inventory execution on endpoints. This information is used to detect, prioritize, and mitigate security vulnerabilities related to installed applications and missing patches.
- Microsoft Threat Protection – ATP is designed to work with other components in the Microsoft Threat Protection solution to achieve end-to-end security. Some other layers of protection include Azure Advanced Threat Protection, Azure Security Center, Azure Information Protection, Conditional Access, Microsoft Cloud Application Security, and Office 365 Advanced Threat Protection.
- Reduce the attack surface – reduce the overall attack surface of the system through hardware isolation and application control. By default, applications are no longer considered trusted, and only trusted applications are allowed to run.
- Automated investigation and repair – If not checked, network endpoints may generate a large number of security alerts. Windows Defender ATP uses automated investigations to check for alarms and eliminate “noise” alarms. This allows security professionals to focus on more relevant alerts.
- Next-generation protection – ATP performs continuous scanning to detect and stop threats. Machine learning and security maps are used to discover emerging threats.
- Endpoint detection and response – ATP groups related attacks into incidents. This type of aggregation makes it easier for security professionals to prioritize, investigate, and respond to threats.
- Safety Score – ATP uses safety scores to evaluate the current safety configuration. Provide prescriptive guidance to help safety professionals improve safety scores.
- Microsoft Threat Experts – Microsoft Threat Experts is a managed hunting service that uses artificial intelligence to detect and prioritize attacks.
- Management and API – The API collection allows Windows Defender ATP to be integrated into the workflow of the organization.
Minimum Requirements
There are some minimum requirements for adding devices to the software.
The software requires one of the following licensing options: Windows 10 Enterprise E5, Windows 10 Education A5, Microsoft 365 E5, Microsoft 365 E5 Security, or Microsoft 365 A5.
If your want to use the software on a Windows server, you must also have one of the following licensing options on the device: Azure Security Center with Azure Defender enabled or Endpoint for Servers (one for each covered server). According to the Microsoft website, you also need Google Chrome, Internet Explorer 11, or Microsoft Edge.
Final Words
Here is all information about Windows Defender ATP. You can know what it is and how it works. Besides, you can know the functions and features of Microsoft Defender for Endpoint.
About The Author
Position: Columnist
Having been an editor at MiniTool since graduating college as an English major, Daisy specializes in writing about data backups, disk cloning, and file syncing as well as general computer knowledge and issues. In her free time, Daisy enjoys running and going with friends to the amusement park.