微软WDATP能彙整端点和可疑事件的关连,协助管理者检视端点电脑发生事件的状态,并追查行为记录,以及针对指定的可疑处理程序,探索牵连到的电脑端点与档案范围。
近期微软对于资安防护可说是相当积极,推出多款解决方案,像是Advanced Threat Analytics(ATA)、Cloud App Security等,而对于端点进阶威胁侦防措施的强化,微软在新发布的Windows 10企业版租赁方案中,添加了Windows Defender Advanced Threat Protection(WDATP),试图透过端点电脑,强化企业对于进阶威胁的防护。
就取得方式而言,WDATP必须基于Windows 10企业版E5授权取得,租用费用为每个使用者每月483元,换算成每年费用为5,796元,但每个使用者授权最多可在5台电脑使用,在这个情况下,每台端点电脑最低一年平均只要不到1,200元。这个价格,比起许多EDR产品的单价都来得便宜,形同买EDR送作业系统授权。
虽然WDATP必须随著Windows 10企业版授权订购,但原厂还是单独提供试用版,申请流程需要大约一个星期的审核时间。一般人若要申请试用,假如填写的电子邮件位址并非微软认可的公司信箱,或是遇到原厂审核未通过等情况,仍需要透过经销商协助。
搭配Windows 10作业系统企业版E5,微软提供的专属端点进阶防护机制
值得注意的是,WDATP採用云端主控台架构,只要端点电脑能够连接到网际网路,就能执行,但只有执行Windows 10特定版本的电脑(专业版、企业版、教育版,以及LTSB长期支援版),才能受到防护。
在部署的方式中,由于代理程式已经内建于新版Windows 10作业系统,因此只需下载指令档,使用管理员权限在端点电脑执行后,这些电脑就受到WDATP的管理。而在上述从单机执行指令档之外,WDATP也提供透过群组原则,或是针对System Center Configuration Manager(SCCM)、Intune等端点电脑管理工具部署的指令档案,快速将企业列管的Windows 10端点电脑,纳入WDATP的防护范围。
WDATP主要的功能,是将可疑的执行记录彙整成事件,接著,他们会整合到作业系统内建的Windows Defender特徵码中,由防毒软体执行自动阻挡机制。
然而,WDATP目前主要的远端反制措施,像是封锁端点电脑或是删除有问题的档案,还是必须额外搭配像是SCCM、Intune等端点控管软体,才能达成。在2017年初的Windows 10 Creator Update新版本中,微软计画为WDATP加入相关的反制能力。
此外,对于来自ATA与Office 365 Advanced Threat Protection的威胁情资,下一代的WDATP也将能够整合接收,藉此提供WDATP更多的侦察能力,找出像是来自电子邮件等社交攻击的源头。
仪表板可快速总览重大警示与系统运作状态的情形,以及恶意软体的威胁情资
管理者只要登入WDATP的云端主控台,就能检视所有企业端点电脑受到威胁的情形。在仪表板中,管理者可检视系统事件警示、疑似有风险的端点电脑,并将警示通知的严重程度分成高、中、低等3种等级。
在警示通知之外,这裡也提供WDATP系统运作的状态,以及端点电脑回报至主控台的情况,管理者也可看到在30天之内,每天与主控台连线的电脑数量。
值得一提的是,管理者也能在这个仪表板中,检视列管的端点电脑裡,有那些较为活跃的恶意程式。不过,这个报表的情资,其实是来自Windows内建的防毒软体Windows Defender运作的情形,因此端点电脑必须开启这套防毒软体,WDATP的仪表板才会显示恶意程式相关资讯的报表。
同时呈现端点威胁情势与系统运作状态
在WDATP的仪表板中,主要提供事件警示的资讯,这裡主要以两种类型指标显示,包含处理的状态(新进与处理中事件),与需要留意的端点电脑清单。此外,这裡也能检视分析平台与列管端点运作的状态。
提供可疑行为各阶段详细资料,以利进阶调查
在WDATP的管理平台中,管理者可由仪表板警示的事件或端点电脑进行调查,主控台可呈现详细的事件发生步骤,并将多笔记录彙整成为事件,提供管理者调查整个攻击事件的源头。
假如管理者以疑似发生问题的电脑进行调查,管理平台首先呈现单一端点电脑的主要资料,包含电脑名称、所属网域、作业系统版本,以及内部与外部的IP位置,在同类型侦防产品中,像WDATP能同时提供这两种IP位置的资料的产品并不多,而这样的机制,或许更有利于事件源头的追溯。
接著,WDATP列出了这台电脑中的执行各种行为的记录,包含执行的处理程序、受到修改的登录档与档案等资讯,系统也会标示其中可能具有风险的行为,管理者就能从这些记录加以调查。例如,WDATP发现发动攻击的加密勒索软体来源,可能是一个看起来没有伤害性的档案,但透过它了开通后门之后,骇客便将加密勒索软体送到电脑并且执行。
在彙整相关事件记录之馀,有别于大多数的同类型产品,WDATP提供进一步的相关说明,包含指出疑似攻击的手法类型,描述公司受到此种攻击会造成的影响,并提出排除问题的建议步骤,即使不具相关知识背景的管理人员,也能对事件进行回应。
WDATP特色总览
针对可疑事件的呈现,WDATP能彙整端点和事件的关连,管理者可检视端点电脑发生事件的状态,并追查其中相关的行为记录,以及针对指定的可疑处理程序,探索牵连到的电脑端点与档案范围。
以阶层方式显示事件发生的详细过程
在事件记录列表中,管理者针对其中的单一记录,点选展开之后,WDATP主控台便会用阶层式的图文并茂手法,提供其中的详细资讯。以图中记事中执行的SVCHOST.EXE来说,WDATP列出其杂凑值、档案路径,以及执行的指令等,供进一步调查之用。
提供端点电脑状态摘要资讯
针对WDATP列管的电脑,主控台不只显示电脑名称、网域与作业系统版本,也提供内部与外部IP位址等相关资讯,以利于管理者调查之用,但目前并无法显示较为详细的作业系统版本资讯,像是语系、细部版本资讯等进一步的内容。
以攻击链呈现事件影响范围,并提供逐步处理指南
针对疑似攻击事件的彙整中,WDATP提供了攻击类型的说明,与建议处置措施,让管理者可依循指示,清除或是追查可能有问题的档案。而这裡也以攻击链呈现整起事件中,所有受到影响的端点电脑,以及其中的档案,藉此缩小管理者需要调查的范围。
产品资讯
微软WDATP
● 原厂:微软(02)3725-3888
● 建议售价:包含WDATP的Windows 10企业版E5方案,每人每月为483元
● 伺服器部署形式:云端主控台
● 管理功能:端点AD整合、警示通知
● 支援端点平台:Win 10
其他信息:
https://docs.microsoft.com/zh-cn/azure/security-center/security-center-wdatp
https://www.microsoft.com/zh-cn/microsoft-365/windows/microsoft-defender-atp?rtc=1
微软推出WDATP强化企业终端威胁防护
http://biz.zol.com.cn/624/6241354.html