היום נדבר על MDATP - פלטפורמה מאוחדת המספקת הגנה ומניעת אירועי אבט"מ, גילוי וזיהוי האיומים, חקירה ותגובה אוטומטית לאותם איומים.
MDATP משתמש ב-3 רכיבים עיקריים:
• Endpoint behavioral sensors: Embedded in Windows 10, these sensors collect and process behavioral signals from the operating system and sends this sensor data to your private, isolated, cloud instance of Microsoft Defender ATP.
• Cloud security analytics: Leveraging big-data, machine-learning, and unique Microsoft optics across the Windows ecosystem, enterprise cloud products (such as Office 365), and online assets, behavioral signals are translated into insights, detections, and recommended responses to advanced threats.
• Threat intelligence: Generated by Microsoft hunters, security teams, and augmented by threat intelligence provided by partners, threat intelligence enables Microsoft Defender ATP to identify attacker tools, techniques, and procedures, and generate alerts when these are observed in collected sensor data.
MDATP מבצע בתוכו מס' פעולות והם:
Threat & Vulnerability Management
This built-in capability uses a game-changing risk-based approach to the discovery, prioritization, and remediation of endpoint vulnerabilities and misconfigurations.
Attack surface reduction
The attack surface reduction set of capabilities provide the first line of defense in the stack. By ensuring configuration settings are properly set and exploit mitigation techniques are applied, these set of capabilities resist attacks and exploitations.
Next generation protection
To further reinforce the security perimeter of your network, Microsoft Defender ATP uses next generation protection designed to catch all types of emerging threats.
Endpoint detection and response
Endpoint detection and response capabilities are put in place to detect, investigate, and respond to advanced threats that may have made it past the first two security pillars. You can also do advanced hunting to create custom threat intelligence and use a powerful search and query tool to hunt for possible threats in your organization.
Automated investigation and remediation
In conjunction with being able to quickly respond to advanced attacks, Microsoft Defender ATP offers automatic investigation and remediation capabilities that help reduce the volume of alerts in minutes at scale.
Note
Secure score is now part of Threat & Vulnerability Management as Configuration score. The secure score page will be available for a few weeks. View the Secure score page.
Microsoft Defender ATP includes a secure score to help you dynamically assess the security state of your enterprise network, identify unprotected systems, and take recommended actions to improve the overall security of your organization.
Microsoft Defender ATP's new managed threat hunting service provides proactive hunting, prioritization, and additional context and insights that further empower Security operation centers (SOCs) to identify and respond to threats quickly and accurately.
Integrate Microsoft Defender Advanced Threat Protection into your existing workflows.
Microsoft Defender ATP is part of the Microsoft Threat Protection solution that helps implement end-to-end security across possible attack surfaces in the modern workplace. Bring the power of Microsoft threat protection to your organization.
למידע נוסף לחצו כאן
Microsoft Defender Security Center Portal
על מנת לראות את האיומים בזמן אמת ניתן לגשת אל ממשק בניהול שנקרא Microsoft Defender Security Center Portal שעוזר לנו לנהל את ההתראות על האיומים וגם לתת תגובה אוטומטית .
ניתן להשתמש בפורטל לדברים הבאים :
• View, sort, and triage alerts from your endpoints.
לראו תהראות ולנהל את התחנות והשרתים שלנו .
• Search for more information on observed indicators such as files and IP Addresses
חיפוש מידע נוסף לפי הקטגוריות של כתובות IP וקבצים.
• Change Microsoft Defender ATP settings, including time zone and review licensing information.
שינוי הגדרות כולל אזור זמן ופרטי אודות רישוי .
כך נראה הפורטל :
למידע נוסף והסבר על היכולות בפורטל לחצו כאן
מצרף את יכולות אבט"מ בWindows 10 בכל הגרסאות אל מול MDATP :
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2O8jv
• MDATP מבצע Remediations לכל מה שקשור בעדכוני אבטחה עבור מע' הפעלה לשרתים ותחנות קצה.
• MDATP יודע להתחבר לאפליקציות צד שלישי שמבצעות ניטור על שרתים, לדוגמה Sentinel One. , Symantec SEP וכו' .
• יודע להתממשק מבחינת API לשאר מערכות Azure AD כולל Microsoft Cloud App Security , Azure AIP ,Intune וכו' .
• ניתן לראות בממשק הניהול את תקינות מצב השירות של MDATP .
• התראות ותיוגם לפי רמת סיכון .
• חיפוש מתקדם - Advanced Hunting .
• חיבור למערכת SIEM ע"י הפעלת SIEM Connector .
• ניתן לשלוט ברמת Data Retention - לכמה ימים המידע יישמר המקסימום הוא 180 ימים.
• חיבור אל שירות Power BI לטובת הפקת דוחות .
• יצירת קבוצת מכונות לטובת ניהול ההתראות .
• ניתוח תוכן קבצים וסוגי קבצים כמו ps1 וכו' .
• בצים וסוגי קבצים כמו ps1 וכו' .
• הקמת מעבדה לבדיקות והרצת סימולציות לתיקפות ואיומי אבט"מ .
Microsoft Defender Security Center Portal – On \Off Boarding Process
כדי להוסיף או להסיר תחנת Windows 10 יש לבצע את התהליך על פי ההוראות מטה :
• ישנן מס' צורות הטמעה לתהליך זה הכולל סקריפט מקומי , תהליך זה מותאם גם לשאר מע' ההפעלה לשרתים , תחנות Win 7 +8.1 , Linux , macOS + Android .
• ניתן לבצע הפצה של MDATP דרך GPO , SCCM גרסאות CB + גרסאות קודמות, סקיפט מותאם לסביבת VDI , Intune .
• הרצת Detection Test ע"י פקודת CMD מאפשרת לנו לבדוק תקינות השרת אל מול פורטל MDATP .
Minimum requirements for Microsoft Defender ATP
MDATP דורש את הרישויים הבאים על מנת שיעבוד בצורה תקינה על גבי הTenant שלנו :
• Windows 10 Enterprise E5
• Windows 10 Education E5
• Microsoft 365 E5 (M365 E5) which includes Windows 10 Enterprise E5
Browser requirements
• Microsoft Edge
• Internet Explorer version 11
• Google Chrome
Hardware and software requirements
Supported Windows versions
• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Enterprise
• Windows 8.1 Pro
• Windows 10, version 1607 or later
o Windows 10 Enterprise
o Windows 10 Education
o Windows 10 Pro
o Windows 10 Pro Education
• Windows server
o Windows Server 2008 R2 SP1
o Windows Server 2012 R2
o Windows Server 2016
o Windows Server 2016, version 1803
o Windows Server 2019
Other supported operating systems
• macOSX
• Linux
• Android
נלקח מתוך Microsoft Docs : https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/minimum-requirements
ההכרזה הרשמית בתמיכה של MDATP עבור מחשבי Mac - לחצו כאן
מאת : עידן נפתלי | יועץ וארכיטקט תשתיות מחשוב , פתרונות ענן ,אבטחת מידע וסייבר | U-BTech Solutions
היום נדבר על MDATP - פלטפורמה מאוחדת המספקת הגנה ומניעת אירועי אבט"מ, גילוי וזיהוי האיומים, חקירה ותגובה אוטומטית לאותם איומים.
MDATP משתמש ב-3 רכיבים עיקריים:
• Endpoint behavioral sensors: Embedded in Windows 10, these sensors collect and process behavioral signals from the operating system and sends this sensor data to your private, isolated, cloud instance of Microsoft Defender ATP.
• Cloud security analytics: Leveraging big-data, machine-learning, and unique Microsoft optics across the Windows ecosystem, enterprise cloud products (such as Office 365), and online assets, behavioral signals are translated into insights, detections, and recommended responses to advanced threats.
• Threat intelligence: Generated by Microsoft hunters, security teams, and augmented by threat intelligence provided by partners, threat intelligence enables Microsoft Defender ATP to identify attacker tools, techniques, and procedures, and generate alerts when these are observed in collected sensor data.
MDATP מבצע בתוכו מס' פעולות והם:
Threat & Vulnerability Management
This built-in capability uses a game-changing risk-based approach to the discovery, prioritization, and remediation of endpoint vulnerabilities and misconfigurations.
Attack surface reduction
The attack surface reduction set of capabilities provide the first line of defense in the stack. By ensuring configuration settings are properly set and exploit mitigation techniques are applied, these set of capabilities resist attacks and exploitations.
Next generation protection
To further reinforce the security perimeter of your network, Microsoft Defender ATP uses next generation protection designed to catch all types of emerging threats.
Endpoint detection and response
Endpoint detection and response capabilities are put in place to detect, investigate, and respond to advanced threats that may have made it past the first two security pillars. You can also do advanced hunting to create custom threat intelligence and use a powerful search and query tool to hunt for possible threats in your organization.
Automated investigation and remediation
In conjunction with being able to quickly respond to advanced attacks, Microsoft Defender ATP offers automatic investigation and remediation capabilities that help reduce the volume of alerts in minutes at scale.
Note
Secure score is now part of Threat & Vulnerability Management as Configuration score. The secure score page will be available for a few weeks. View the Secure score page.
Microsoft Defender ATP includes a secure score to help you dynamically assess the security state of your enterprise network, identify unprotected systems, and take recommended actions to improve the overall security of your organization.
Microsoft Defender ATP's new managed threat hunting service provides proactive hunting, prioritization, and additional context and insights that further empower Security operation centers (SOCs) to identify and respond to threats quickly and accurately.
Integrate Microsoft Defender Advanced Threat Protection into your existing workflows.
Microsoft Defender ATP is part of the Microsoft Threat Protection solution that helps implement end-to-end security across possible attack surfaces in the modern workplace. Bring the power of Microsoft threat protection to your organization.
למידע נוסף לחצו כאן
Microsoft Defender Security Center Portal
על מנת לראות את האיומים בזמן אמת ניתן לגשת אל ממשק בניהול שנקרא Microsoft Defender Security Center Portal שעוזר לנו לנהל את ההתראות על האיומים וגם לתת תגובה אוטומטית .
ניתן להשתמש בפורטל לדברים הבאים :
• View, sort, and triage alerts from your endpoints.
לראו תהראות ולנהל את התחנות והשרתים שלנו .
• Search for more information on observed indicators such as files and IP Addresses
חיפוש מידע נוסף לפי הקטגוריות של כתובות IP וקבצים.
• Change Microsoft Defender ATP settings, including time zone and review licensing information.
שינוי הגדרות כולל אזור זמן ופרטי אודות רישוי .
כך נראה הפורטל :
למידע נוסף והסבר על היכולות בפורטל לחצו כאן
מצרף את יכולות אבט"מ בWindows 10 בכל הגרסאות אל מול MDATP :
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2O8jv
• MDATP מבצע Remediations לכל מה שקשור בעדכוני אבטחה עבור מע' הפעלה לשרתים ותחנות קצה.
• MDATP יודע להתחבר לאפליקציות צד שלישי שמבצעות ניטור על שרתים, לדוגמה Sentinel One. , Symantec SEP וכו' .
• יודע להתממשק מבחינת API לשאר מערכות Azure AD כולל Microsoft Cloud App Security , Azure AIP ,Intune וכו' .
• ניתן לראות בממשק הניהול את תקינות מצב השירות של MDATP .
• התראות ותיוגם לפי רמת סיכון .
• חיפוש מתקדם - Advanced Hunting .
• חיבור למערכת SIEM ע"י הפעלת SIEM Connector .
• ניתן לשלוט ברמת Data Retention - לכמה ימים המידע יישמר המקסימום הוא 180 ימים.
• חיבור אל שירות Power BI לטובת הפקת דוחות .
• יצירת קבוצת מכונות לטובת ניהול ההתראות .
• ניתוח תוכן קבצים וסוגי קבצים כמו ps1 וכו' .
• בצים וסוגי קבצים כמו ps1 וכו' .
• הקמת מעבדה לבדיקות והרצת סימולציות לתיקפות ואיומי אבט"מ .
Microsoft Defender Security Center Portal – On \Off Boarding Process
כדי להוסיף או להסיר תחנת Windows 10 יש לבצע את התהליך על פי ההוראות מטה :
• ישנן מס' צורות הטמעה לתהליך זה הכולל סקריפט מקומי , תהליך זה מותאם גם לשאר מע' ההפעלה לשרתים , תחנות Win 7 +8.1 , Linux , macOS + Android .
• ניתן לבצע הפצה של MDATP דרך GPO , SCCM גרסאות CB + גרסאות קודמות, סקיפט מותאם לסביבת VDI , Intune .
• הרצת Detection Test ע"י פקודת CMD מאפשרת לנו לבדוק תקינות השרת אל מול פורטל MDATP .
Minimum requirements for Microsoft Defender ATP
MDATP דורש את הרישויים הבאים על מנת שיעבוד בצורה תקינה על גבי הTenant שלנו :
• Windows 10 Enterprise E5
• Windows 10 Education E5
• Microsoft 365 E5 (M365 E5) which includes Windows 10 Enterprise E5
Browser requirements
• Microsoft Edge
• Internet Explorer version 11
• Google Chrome
Hardware and software requirements
Supported Windows versions
• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Enterprise
• Windows 8.1 Pro
• Windows 10, version 1607 or later
o Windows 10 Enterprise
o Windows 10 Education
o Windows 10 Pro
o Windows 10 Pro Education
• Windows server
o Windows Server 2008 R2 SP1
o Windows Server 2012 R2
o Windows Server 2016
o Windows Server 2016, version 1803
o Windows Server 2019
Other supported operating systems
• macOSX
• Linux
• Android
נלקח מתוך Microsoft Docs : https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/minimum-requirements
ההכרזה הרשמית בתמיכה של MDATP עבור מחשבי Mac - לחצו כאן
מאת : עידן נפתלי | יועץ וארכיטקט תשתיות מחשוב , פתרונות ענן ,אבטחת מידע וסייבר | U-BTech Solutions