הסיכונים במרחב הסייבר הולכים ומתעצמים כל העת ומביאים עמם מתקפות מתקדמות וחדשות. כתוצאה מכך דורשים מאיתנו להתחדש באופן קבוע בכדי להגן מפני אותם סיכונים. הגישה של מיקרוסופט לאבטחת מידע בענן (Microsoft Cloud Security) כוללת מתודולוגיה וכלים אשר מבוססים על בין היתר פלטפורמות, טכנולוגיות וצוותי מחקר.
בנוסף לכך, ישנן שתי נקודות נוספות שמעצבות את הפתרון ההוליסטי והן - חדשנות ושילוב של טכנולוגיות שונות בכדי לתת מענה לסיכונים השונים, החל מהגנה על זהויות עם Azure AD, דרך הגנה על תחנות קצה עם Windows Defender ATP ועד הפלטפורמות השונות של Enterprise Mobility and Security וכן Office 365 Security and Compliance.
הפלטפורמות השונות לאבטחת מידע בענן מביאות יתרונות שונים, אך השילוב בינן הוא נדרש ומביא עמו בכל פעם הסתכלות אחרת על אופן ההגנה וכמובן מענה טוב יותר. ואם ניקח לדוגמה את השילוב בין Office ATP ובין Windows Defender ATP ובין Azure ATP והיכולת לתת מענה Kill Chain החל מרגע הגעת המייל, דרך מענה לניסיון תקיפה בתחנת הקצה ועד ניסיון לקיחת הרשאות מול Active Directory.
המטרה של Microsoft בכל אותן פלטפורמות של אבטחת מידע היא לתת פתרון הוליסטי והגנה על המידע בדרכים שונות ואחת הדרכים החדשות היא שילוב של Windows Defender ATP עם Intune Conditional Access .
אם לוקחים את הטכנולוגיות הדומיננטיות שהם Windows Defender ATP למענה לתחנות קצה והרובד של Intune Conditional Access למענה של גישה מבוססת על תנאים, ומחברים אותם יחד התוצאה היא רובד הגנה מתקדם יתר ממה שהיה לנו עד כה.
ניקח תרחיש לדוגמא - משתמש אשר מקבל או מוריד קובץ שמכיל קוד זדוני לתחנת קצה, ע”י כך מאפשר לתוקף לקחת שליטה על תחנת הקצה והחל מאותו רגע זה רק ענין של זמן עד שהתוקף יגיע לנכסים החשובים בארגון.
בתרחיש זה, הפתרון ההוליסטי של Microsoft אשר משלב את Windows Defender ATP ואת Intune Conditional Access ביחד מונע את הגישה של תחנת הקצה לארגון, שם את אותה תחנת קצה בהחרגה ומונע הגעה אל הנכסים החשובים בארגון וכל זאת מתבצע ע”י השילוב הבא:
• Windows Defender ATP אשר מבצע זיהוי כל אותן פעולות חשודות ובמקרה הזה הורדת קובץ זדוני והפעלת code injection
• Intune שמוגדר עם Compliance Policy מול תחנות הקצה עם הגדרת machine-risk
באמצעות שילוב הטכנולוגיות הבאות כאשר תחנת קצה מבצעת פעולה חשודה, אותה פעולה מזוהה ע”י Windows Defender ATP ומדווחת על הפעולה לאותה Policy ברמת Intune שמסווג את התחנה במצב non-compliant ולאחר מכן Azure AD Conditional Access מבצע פעולת מנע ע”י חסימת תחנת הקצה.
למעשה בשילוב הטכנולוגיות הנ”ל קיבלנו מענה של Protect, Detect, Respond
דרישות והגדרת יכולות:
דרישות
• Intune
• Azure Active Directory (AD) Premium
• Windows Defender Advanced Threat Protection (WDATP)
• תחנות קצה מבוססות Windows 10
בכדי להגדיר את Windows Defender Advanced Threat Protection עם Intune Conditional Access יש לבצע את הפעולות הבאות:
הגדרת קונקטור מתוך Intune
בשירות Intune נגדיר התממשקות מול Windows Defender ATP ע”י גישה אל Device Compliance ולאחר מכן בחירה באפשרות Configuring Windows Defender ATP
לאחר מכן יפתח ממשק Windows Defender ATP ונבחר את האפשרות של Microsoft Intune Connection (להעביר למצב Enable)
לאחר מכן נחזור לממשק intune ונוודא את ההגדרות הבאות:
• מצב חיבור קונקטור תקין
• העברת Block unsupported OS versions למצב Enable
מאת: אלי שלמה, MVP Security
הסיכונים במרחב הסייבר הולכים ומתעצמים כל העת ומביאים עמם מתקפות מתקדמות וחדשות. כתוצאה מכך דורשים מאיתנו להתחדש באופן קבוע בכדי להגן מפני אותם סיכונים. הגישה של מיקרוסופט לאבטחת מידע בענן (Microsoft Cloud Security) כוללת מתודולוגיה וכלים אשר מבוססים על בין היתר פלטפורמות, טכנולוגיות וצוותי מחקר.
בנוסף לכך, ישנן שתי נקודות נוספות שמעצבות את הפתרון ההוליסטי והן - חדשנות ושילוב של טכנולוגיות שונות בכדי לתת מענה לסיכונים השונים, החל מהגנה על זהויות עם Azure AD, דרך הגנה על תחנות קצה עם Windows Defender ATP ועד הפלטפורמות השונות של Enterprise Mobility and Security וכן Office 365 Security and Compliance.
הפלטפורמות השונות לאבטחת מידע בענן מביאות יתרונות שונים, אך השילוב בינן הוא נדרש ומביא עמו בכל פעם הסתכלות אחרת על אופן ההגנה וכמובן מענה טוב יותר. ואם ניקח לדוגמה את השילוב בין Office ATP ובין Windows Defender ATP ובין Azure ATP והיכולת לתת מענה Kill Chain החל מרגע הגעת המייל, דרך מענה לניסיון תקיפה בתחנת הקצה ועד ניסיון לקיחת הרשאות מול Active Directory.
המטרה של Microsoft בכל אותן פלטפורמות של אבטחת מידע היא לתת פתרון הוליסטי והגנה על המידע בדרכים שונות ואחת הדרכים החדשות היא שילוב של Windows Defender ATP עם Intune Conditional Access .
אם לוקחים את הטכנולוגיות הדומיננטיות שהם Windows Defender ATP למענה לתחנות קצה והרובד של Intune Conditional Access למענה של גישה מבוססת על תנאים, ומחברים אותם יחד התוצאה היא רובד הגנה מתקדם יתר ממה שהיה לנו עד כה.
ניקח תרחיש לדוגמא - משתמש אשר מקבל או מוריד קובץ שמכיל קוד זדוני לתחנת קצה, ע”י כך מאפשר לתוקף לקחת שליטה על תחנת הקצה והחל מאותו רגע זה רק ענין של זמן עד שהתוקף יגיע לנכסים החשובים בארגון.
בתרחיש זה, הפתרון ההוליסטי של Microsoft אשר משלב את Windows Defender ATP ואת Intune Conditional Access ביחד מונע את הגישה של תחנת הקצה לארגון, שם את אותה תחנת קצה בהחרגה ומונע הגעה אל הנכסים החשובים בארגון וכל זאת מתבצע ע”י השילוב הבא:
• Windows Defender ATP אשר מבצע זיהוי כל אותן פעולות חשודות ובמקרה הזה הורדת קובץ זדוני והפעלת code injection
• Intune שמוגדר עם Compliance Policy מול תחנות הקצה עם הגדרת machine-risk
באמצעות שילוב הטכנולוגיות הבאות כאשר תחנת קצה מבצעת פעולה חשודה, אותה פעולה מזוהה ע”י Windows Defender ATP ומדווחת על הפעולה לאותה Policy ברמת Intune שמסווג את התחנה במצב non-compliant ולאחר מכן Azure AD Conditional Access מבצע פעולת מנע ע”י חסימת תחנת הקצה.
למעשה בשילוב הטכנולוגיות הנ”ל קיבלנו מענה של Protect, Detect, Respond
דרישות והגדרת יכולות:
דרישות
• Intune
• Azure Active Directory (AD) Premium
• Windows Defender Advanced Threat Protection (WDATP)
• תחנות קצה מבוססות Windows 10
בכדי להגדיר את Windows Defender Advanced Threat Protection עם Intune Conditional Access יש לבצע את הפעולות הבאות:
הגדרת קונקטור מתוך Intune
בשירות Intune נגדיר התממשקות מול Windows Defender ATP ע”י גישה אל Device Compliance ולאחר מכן בחירה באפשרות Configuring Windows Defender ATP
לאחר מכן יפתח ממשק Windows Defender ATP ונבחר את האפשרות של Microsoft Intune Connection (להעביר למצב Enable)
לאחר מכן נחזור לממשק intune ונוודא את ההגדרות הבאות:
• מצב חיבור קונקטור תקין
• העברת Block unsupported OS versions למצב Enable
מאת: אלי שלמה, MVP Security
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
