防御者ATP现在有一个新的安全分析仪表板来评估一个组织的总体安全与微软的推荐基线。
随着最近全球勒索软件如WannaCry和Petya的爆发,微软一直在准备更好的工具来帮助IT安全操作或SecOps检测和包含恶意软件,使其通过防御。
防御者高级威胁保护(ATP)是微软提供给企业客户的一套工具,用于检测高级威胁,以及清除和包含恶意软件后,发生了违反。
这是一个Windows 10企业版的特性,在这个世界里,人们认为你会在某个时刻被攻破。最新版本涵盖预防、侦测、调查、回应及管理。
客户现在可以调整设置,预览微软捆绑在服务中的最新功能。用户需要在导航窗格的首选项设置下切换预览体验。秋季创造者更新版本的后卫ATP是可作为一个免费的三个月的试用。
对防御者ATP的更新构成了Windows 10秋季开发者更新的大部分安全更新,预计将于本月发布。
正如ZDNet早前报道的那样,这次更新引入了Windows卫士应用程序警卫(WDAG),它使用基于硬件的隔离来保护数据和系统服务,即使Windows或内核受到损害。
WDAG允许管理员定义受信任和不受信任的站点。对于不受信任的站点,Edge将在隔离的容器中打开,防止攻击者获取用户的凭证。
它还具有Windows卫士利用防护——以前称为增强缓解体验工具包——与Intune和系统中心配置管理器、Windows设备防护和改进的安全分析的集成。
微软今天概述了防御者ATP将如何提高SecOps在组织中关键事件的可见性。
公司现在可以在每台机器的时间轴上看到来自终端检测和响应(EDR)、Windows防御杀毒(AV)、Windows防御防火墙、Windows防御智能屏幕、Windows防御设备防护和Windows防御漏洞防护的安全警报。
例如,智能屏幕会显示员工是否在看到警告信息后仍然点击了链接。设备保护将标记试图运行任何未经授权的应用程序。
管理员还可以看到应用程序被Windows防御者阻止利用守卫的保护规则,以及从Windows防御者防病毒和防火墙检测。
设备保护和应用程序保护的警报可以从Windows防御安全中心查看。控制台显示了发生在应用程序保护隔离容器中的事件和警报的详细信息。
微软表示,他们已经改进了防御者ATP显示警告的方式,以便为SecOps提供更好的攻击背景信息,比如键盘记录、网络探测和恶意脚本。该服务现在自动关联和分组这些攻击的警报。
为了帮助SecOps快速响应检测到的攻击,管理员现在还可以使用组机器和标记来提高对高价值资产的保护。他们还可以从机器上下载调查包,以查看它们的当前状态并研究攻击者使用的工具和技术。
微软还提供了更渐进的机器隔离,能够在机器上设置受信任二进制文件的白名单,并远程启动Windows Defender杀毒扫描,即使机器运行的是第三方杀毒程序。
防御者ATP现在有了一个新的安全分析仪表板来评估组织的整体安全,与微软的推荐基线相比,并且有了一个新的功能来创建自定义报告,以帮助分析机器,警报和调查状态。
最后,防御者ATP已经扩展到不只是桌面,还有Windows Server 2012R2和Windows Server 2016,以及对虚拟桌面的支持。
期待什么从Windows 10秋季创作者更新
Windows 10的第四个功能更新计划在10月份发布。它包含了各种各样的新和改进的功能,包括一些新的安全选项,旨在阻止零日漏洞和勒索软件。
Windows 10的安全性:在卡巴斯基之战之后,微软为“防御者”辩护
微软说,Windows 7电脑大多不受保护,因为它们没有运行任何杀毒软件。