WDATP--微软端点侦防系统透过云端平台提供Win10进阶防护

微软WDATP能彙整端点和可疑事件的关连，协助管理者检视端点电脑发生事件的状态，并追查行为记录，以及针对指定的可疑处理程序，探索牵连到的电脑端点与档案范围。

近期微软对于资安防护可说是相当积极，推出多款解决方案，像是Advanced Threat Analytics（ATA）、Cloud App Security等，而对于端点进阶威胁侦防措施的强化，微软在新发布的Windows 10企业版租赁方案中，添加了Windows Defender Advanced Threat Protection（WDATP），试图透过端点电脑，强化企业对于进阶威胁的防护。

就取得方式而言，WDATP必须基于Windows 10企业版E5授权取得，租用费用为每个使用者每月483元，换算成每年费用为5,796元，但每个使用者授权最多可在5台电脑使用，在这个情况下，每台端点电脑最低一年平均只要不到1,200元。这个价格，比起许多EDR产品的单价都来得便宜，形同买EDR送作业系统授权。

虽然WDATP必须随著Windows 10企业版授权订购，但原厂还是单独提供试用版，申请流程需要大约一个星期的审核时间。一般人若要申请试用，假如填写的电子邮件位址并非微软认可的公司信箱，或是遇到原厂审核未通过等情况，仍需要透过经销商协助。

搭配Windows 10作业系统企业版E5，微软提供的专属端点进阶防护机制

值得注意的是，WDATP採用云端主控台架构，只要端点电脑能够连接到网际网路，就能执行，但只有执行Windows 10特定版本的电脑（专业版、企业版、教育版，以及LTSB长期支援版），才能受到防护。

在部署的方式中，由于代理程式已经内建于新版Windows 10作业系统，因此只需下载指令档，使用管理员权限在端点电脑执行后，这些电脑就受到WDATP的管理。而在上述从单机执行指令档之外，WDATP也提供透过群组原则，或是针对System Center Configuration Manager（SCCM）、Intune等端点电脑管理工具部署的指令档案，快速将企业列管的Windows 10端点电脑，纳入WDATP的防护范围。

WDATP主要的功能，是将可疑的执行记录彙整成事件，接著，他们会整合到作业系统内建的Windows Defender特徵码中，由防毒软体执行自动阻挡机制。

然而，WDATP目前主要的远端反制措施，像是封锁端点电脑或是删除有问题的档案，还是必须额外搭配像是SCCM、Intune等端点控管软体，才能达成。在2017年初的Windows 10 Creator Update新版本中，微软计画为WDATP加入相关的反制能力。

此外，对于来自ATA与Office 365 Advanced Threat Protection的威胁情资，下一代的WDATP也将能够整合接收，藉此提供WDATP更多的侦察能力，找出像是来自电子邮件等社交攻击的源头。

仪表板可快速总览重大警示与系统运作状态的情形，以及恶意软体的威胁情资

管理者只要登入WDATP的云端主控台，就能检视所有企业端点电脑受到威胁的情形。在仪表板中，管理者可检视系统事件警示、疑似有风险的端点电脑，并将警示通知的严重程度分成高、中、低等3种等级。

在警示通知之外，这裡也提供WDATP系统运作的状态，以及端点电脑回报至主控台的情况，管理者也可看到在30天之内，每天与主控台连线的电脑数量。

值得一提的是，管理者也能在这个仪表板中，检视列管的端点电脑裡，有那些较为活跃的恶意程式。不过，这个报表的情资，其实是来自Windows内建的防毒软体Windows Defender运作的情形，因此端点电脑必须开启这套防毒软体，WDATP的仪表板才会显示恶意程式相关资讯的报表。

同时呈现端点威胁情势与系统运作状态

在WDATP的仪表板中，主要提供事件警示的资讯，这裡主要以两种类型指标显示，包含处理的状态（新进与处理中事件），与需要留意的端点电脑清单。此外，这裡也能检视分析平台与列管端点运作的状态。 

提供可疑行为各阶段详细资料，以利进阶调查

在WDATP的管理平台中，管理者可由仪表板警示的事件或端点电脑进行调查，主控台可呈现详细的事件发生步骤，并将多笔记录彙整成为事件，提供管理者调查整个攻击事件的源头。

假如管理者以疑似发生问题的电脑进行调查，管理平台首先呈现单一端点电脑的主要资料，包含电脑名称、所属网域、作业系统版本，以及内部与外部的IP位置，在同类型侦防产品中，像WDATP能同时提供这两种IP位置的资料的产品并不多，而这样的机制，或许更有利于事件源头的追溯。

接著，WDATP列出了这台电脑中的执行各种行为的记录，包含执行的处理程序、受到修改的登录档与档案等资讯，系统也会标示其中可能具有风险的行为，管理者就能从这些记录加以调查。例如，WDATP发现发动攻击的加密勒索软体来源，可能是一个看起来没有伤害性的档案，但透过它了开通后门之后，骇客便将加密勒索软体送到电脑并且执行。

在彙整相关事件记录之馀，有别于大多数的同类型产品，WDATP提供进一步的相关说明，包含指出疑似攻击的手法类型，描述公司受到此种攻击会造成的影响，并提出排除问题的建议步骤，即使不具相关知识背景的管理人员，也能对事件进行回应。

WDATP特色总览 

针对可疑事件的呈现，WDATP能彙整端点和事件的关连，管理者可检视端点电脑发生事件的状态，并追查其中相关的行为记录，以及针对指定的可疑处理程序，探索牵连到的电脑端点与档案范围。

以阶层方式显示事件发生的详细过程

在事件记录列表中，管理者针对其中的单一记录，点选展开之后，WDATP主控台便会用阶层式的图文并茂手法，提供其中的详细资讯。以图中记事中执行的SVCHOST.EXE来说，WDATP列出其杂凑值、档案路径，以及执行的指令等，供进一步调查之用。

提供端点电脑状态摘要资讯

针对WDATP列管的电脑，主控台不只显示电脑名称、网域与作业系统版本，也提供内部与外部IP位址等相关资讯，以利于管理者调查之用，但目前并无法显示较为详细的作业系统版本资讯，像是语系、细部版本资讯等进一步的内容。

以攻击链呈现事件影响范围，并提供逐步处理指南

针对疑似攻击事件的彙整中，WDATP提供了攻击类型的说明，与建议处置措施，让管理者可依循指示，清除或是追查可能有问题的档案。而这裡也以攻击链呈现整起事件中，所有受到影响的端点电脑，以及其中的档案，藉此缩小管理者需要调查的范围。

 产品资讯 

微软WDATP

●　原厂：微软(02)3725-3888

●　建议售价：包含WDATP的Windows 10企业版E5方案，每人每月为483元

●　伺服器部署形式：云端主控台

●　管理功能：端点AD整合、警示通知

●　支援端点平台：Win 10

 

其他信息：

https://docs.microsoft.com/zh-cn/azure/security-center/security-center-wdatp

https://www.microsoft.com/zh-cn/microsoft-365/windows/microsoft-defender-atp?rtc=1

微软推出WDATP强化企业终端威胁防护

http://biz.zol.com.cn/624/6241354.html