超级会员免费看
Windows Defender ATP:全面防护企业网络安全
1. Windows Defender ATP 简介
Windows Defender ATP 是一项基于云的订阅服务,通过分析多个端点上发生的事件来检测异常和已知攻击向量,提供高级保护。该解决方案主要由以下组件构成:
-
端点(Endpoints)
:收集和处理操作系统内置传感器(如内核、内存、注册表、文件和网络通信)的行为信号,并将这些传感器数据发送到 Windows Defender ATP 的私有、隔离云实例。目前支持 Windows 10,即将支持 Windows Server。
-
云安全分析(Cloud security analytics)
:利用大数据、机器学习以及微软在 Windows 生态系统(如微软恶意软件清除工具 MSRT)、企业云产品(如 Office 365)和在线资产(如 Bing 和 SmartScreen URL 信誉)方面的独特视角,将行为信号转化为洞察、检测结果和针对高级威胁的推荐响应。
-
威胁情报(Threat intelligence)
:由微软的威胁猎手和全球安全团队生成,并结合多个合作伙伴提供的威胁情报。它使 Windows Defender ATP 能够识别攻击者的工具、技术和程序,并在收集的传感器数据中观察到这些时生成警报。
-
ATP 门户(ATP portal)
:一个基于云的单一控制台,提供专业的安全操作,包括精确的可操作警报、威胁和事件调查工具以及整个组织的违规后响应行动。
Windows Defender ATP 可与端点上现有的 Windows 安全技术(如 Windows Defender、AppLocker 和 Device Guard)协同工作,也能与第三方安全解决方案和反恶意软件产品并行使用。它利用微软的技术和专业知识来检测复杂的网络攻击,独特的威胁情报知识库为每个基于威胁情报的检测提供攻击者详细信息和意图上下文,结合了第一方和第三方情报来源。基于行为的高级攻击检测能够发现攻击,并关联已知和未知对手试图在端点上隐藏其活动的警报。通过丰富的机器时间线调查任何机器上的违规范围或可疑行为,并使用深度收集和分析(引爆)对任何文件或 URL 获得更多洞察。
2. 规划 - 环境分析
在部署 Windows Defender ATP 服务时,需要考虑以下关键因素和建议:
2.1 客户端类型
- 端点应运行 Windows 10 版本 1706(创作者更新)。
- 确认标准构建配置正确,以确保服务运行时不影响设备性能。
- 运行测试以确保正确收集所有传感器信息(参考后续“采取响应行动”部分中关于收集调查包的详细信息)。
- 拥有足够的许可证并分配给用户和设备。
- 启用互联网连接,确保端点与 ATP 服务之间的通信,并为每天报告的客户端数量提供足够的带宽。
- 考虑哪些客户端处于高风险,可能需要更高的报告频率。
- 标记哪些客户端应排除在提交样本进行深度检查之外。
2.2 反恶意软件选择
| 反恶意软件类型 | 特点 |
|---|---|
| 兼容的第三方防病毒和安全解决方案 | 可与服务配合使用,但仅提供警报和调查功能,无响应行动 |
| Windows Defender 防病毒软件(AV) | 支持在整个组织内自动阻止文件,以及未来开发的其他响应行动 |
2.3 数据存储位置
数据仅存储在美国或欧盟的数据中心,需考虑哪个位置最适合您的组织,一旦租户部署,此选项无法更改。同时,考虑是否由同一团队管理所有端点的安全。对于全球部署,可能有多个团队需要访问 ATP 门户以查看警报和进行调查,这是否需要单独的租户,还是所有设备都向单个租户报告。
2.4 客户端和警报管理
- 决定使用哪种选项管理端点:组策略对象(GPO)、系统中心配置管理器(SCCM)或移动设备管理(MDM)。在概念验证、首次试点和一些自带设备(BYOD)部署期间,考虑使用手动脚本配置单个端点。
- 决定谁将管理门户的配置和监控警报。配置需要安全管理员角色,监控警报仅需要安全读者角色。
- 制定程序以确保警报得到适当的监控、分配、调查和解决。
3. 部署 - 服务激活
部署 Windows Defender ATP 服务以保护整个组织的用户和设备,需要完成以下活动:
3.1 注册并激活 Windows Defender ATP
服务依赖于您的 Azure 租户已激活并配置。您需要确保已获取适当的许可证并与您的订阅关联。
-
管理员权限
:管理员需要是安全管理员角色的成员,以启用服务、运行初始配置向导以及进行持续的支持和维护。全局管理员权限也可以,但不是必需的,因为这会提供过多权限。
-
首次运行向导
:分配许可证后,访问 https://securitycenter.windows.com 并使用具有全局管理员或安全管理员权限的账户登录到您的租户。向导将引导您完成以下步骤(大约 10 - 20 分钟):
1. 首先看到欢迎页面,如有需要,提供相关文章和信息的链接。
2. 选择数据存储位置,目前只有美国或欧洲两个选项,页面提供 Windows Defender ATP 指南中数据存储和隐私部分的链接。
3. 选择以下偏好设置:
- 数据保留期:从 30 到 180 天中选择。
- 选择组织规模:根据要监控的端点数量选择。
- 选择您的行业:这是一个多选选项,以确保服务可以配置为搜索特定行业的攻击。
- 预览体验:选择是否启用预览功能。
此时,您的选择将最终确定,云实例将创建,可能需要几分钟才能完成,之后您可以继续操作。配置完成后,将提供下载端点加入脚本的选项列表,这些脚本特定于您的环境,需要在设备和云服务之间创建安全通道和注册。最后,关闭向导并进入 Windows Defender ATP 门户以查看端点注册情况。
3.2 门户配置
首次登录 ATP 门户时,可以配置一些特定于门户使用的设置:
-
时区设置
:时间在评估和分析感知和实际网络攻击中很重要,确保系统反映正确的时区设置。当前时区设置显示在 Windows Defender ATP 菜单中,可在“设置”菜单中更改显示的时区。
-
抑制规则
:控制哪些警报被抑制,可基于特定机器或整个组织配置抑制警报,使某些活动不被标记为可疑。
-
许可证
:通过点击“设置”菜单中的许可证链接,可查看 Windows Defender ATP 的许可协议信息。
3.3 检查服务健康
可查看当前服务的健康状况,如有问题,将显示相关问题的详细信息和检测时间。更多详细信息请访问:https://docs.microsoft.com/en-us/windows/threat-protection/windows - defender - atp/service - status - windows - defender - advanced - threat - protection。
3.4 检查传感器状态
端点向 ATP 服务注册并定期提供传感器数据。如果存在通信错误或客户端长时间离线,此报告有助于识别有问题的机器并解决已知问题。未正确报告的两个主要原因如下:
-
非活动状态
:当端点停止向 ATP 服务报告超过七天时,需要确认这些端点在您的环境中仍然活跃,并解决影响客户端报告能力的任何服务问题。
-
配置错误
:当端点向 ATP 服务报告但检测到错误时,显示为配置错误,可能由于以下问题之一:
- 无传感器数据:未发送传感器数据,因此机器触发的警报有限。
- 通信受损:以下能力可能受损:发送文件进行深度分析、阻止文件和将机器与网络隔离。
更多详细信息请访问:https://docs.microsoft.com/en-us/windows/threat-protection/windows - defender - atp/check - sensor - status - windows - defender - advanced - threat - protection。
3.5 启用 SIEM 集成
如果组织已部署安全信息和事件管理(SIEM)系统,可使用 SIEM 连接器从 Windows Defender ATP 门户提取警报。多个供应商(如 Splunk 和 ArcSight)提供连接器,其他供应商可使用通用 API。更多详细信息请访问:https://docs.microsoft.com/en-us/windows/threat-protection/windows - defender - atp/enable - siem - integration - windows - defender - advanced - threat - protection。
3.6 加入端点
通过向每个端点部署配置包来实现。目前适用于 Windows 10 版本 1706(创作者更新),未来将支持 Windows Server 2016 和 Windows Server 2012 R2。可根据组织规模和复杂性选择以下方法和部署工具:
- 如果端点加入了 AD 域,可使用组策略部署脚本。
- 如果已部署 SCCM,可使用它将配置包部署到每个受管理的设备。
- 由 MDM(如 Microsoft Intune)管理的设备。
- 只要设备具有与 ATP 服务的互联网连接,可在每台单独的机器上手动运行脚本。
配置包特定于您的租户,可从 Windows Defender ATP 门户(https://securitycenter.windows.com)下载:
1. 转到导航窗格并点击“端点管理”。
2. 选择适当的选项,如组策略。
3. 点击“下载包”并保存 .zip 文件。
每个包提供不同的脚本和必要的附加文件:
| 部署方式 | 提供文件 |
| ---- | ---- |
| 本地脚本 | 单个 Windows 命令脚本 |
| 组策略 | Windows 命令脚本以及用于组策略管理控制台(GPMC)的 .admx 和 .adml 文件 |
| MDM | 可部署到目标机器的单个加入文件 |
| SCCM | 建议升级到版本 1606,提供可部署到目标机器的单个加入文件 |
端点收到配置包后,将尝试与 ATP 服务通信。为此,端点需要位于允许与多个 URL 进行 HTTP 通信的网络上。对于复杂和高度安全的网络,可能需要更改防火墙规则和代理设置以启用此通信。更多详细信息请访问:https://docs.microsoft.com/en-us/windows/threat-protection/windows - defender - atp/configure - proxy - internet - windows - defender - advanced - threat - protection。每个端点可能需要长达 30 分钟才能出现在控制台中。
3.7 配置传感器数据
目前,每个端点可以设置两种配置。例如,使用组策略配置客户端的步骤如下:
1. 下载组策略的配置包。
2. 导出文件内容。
3. 将 ADMX 文件复制到 %systemroot%\PolicyDefinitions\ 文件夹。
4. 将 ADML 文件复制到 %systemroot%\PolicyDefinitions\en - US 文件夹。
5. 启动组策略编辑器并为 Windows 10 客户端的适当组织单位(OU)创建新的组策略。
需要配置以下策略:
- 为确保每个端点向 ATP 服务注册,转到“计算机配置”|“首选项”|“控制面板设置”,并创建一个新的计划任务以运行 Windows Defender ATP 加入脚本。
- 配置延迟模式和样本收集设置,转到“计算机配置”|“策略”|“管理模板”|“Windows 组件”|“Windows Defender ATP”。客户端延迟模式可更改报告频率,对于高价值资产或高风险机器,可将频率提高到快速模式。启用此功能可能会影响客户端性能并增加网络流量,因此建议在少数端点上测试并监控影响后再广泛部署。更改样本收集设置,以启用或阻止在通过 Windows Defender ATP 门户请求进行深度分析时从端点收集样本。
3.8 其他配置
还有一些额外的配置需要注意,可能会影响服务的正常运行:
-
遥测和诊断设置
:在配置端点之前,必须确保组织内所有端点上的遥测和诊断服务已启用。默认情况下,此服务已启用,但最好进行检查以确保能从端点获取传感器数据。
-
Windows Defender 签名更新配置
:Windows Defender ATP 代理依赖于 Windows Defender 扫描文件并提供相关信息的能力。如果 Windows Defender 不是组织中的活动反恶意软件,可能需要配置签名更新。当 Windows Defender 不是组织中的活动反恶意软件且使用 Windows Defender ATP 服务时,Windows Defender 进入被动模式。
-
Windows Defender 早期启动反恶意软件(ELAM)驱动程序
:如果将 Windows Defender 作为端点上的主要反恶意软件产品运行,Windows Defender ATP 代理将成功加入。如果运行第三方反恶意软件客户端并使用 MDM 解决方案或 SCCM(当前分支)版本 1606,需要确保启用 Windows Defender ELAM 驱动程序。更多信息请访问:https://docs.microsoft.com/en-us/windows/threat-protection/windows - defender - atp/troubleshoot - onboarding - windows - defender - advanced - threat - protection#ensure - that - windows - defender - is - not - disabled - by - a - policy。有关进一步的故障排除建议,请访问:https://docs.microsoft.com/en-us/windows/threat-protection/windows - defender - atp/troubleshoot - onboarding - windows - defender - advanced - threat - protection。
4. 检测 - 使用 ATP 门户
登录到 ATP 门户后,首先看到的是仪表板视图,以下是其详细介绍:
4.1 仪表板导航概述
- 左侧导航窗格(1)
- 用于显示仪表板磁贴和详细信息的主门户窗口(2)
- 搜索、反馈、设置以及帮助和支持(3)
4.2 仪表板显示内容
| 显示内容 | 说明 |
|---|---|
| 最新活动警报 | 展示网络上的最新活动警报,最重要的警报会突出显示在顶部 |
| 每日报告机器数 | 显示每天主动报告的机器数量 |
| 处于风险的机器 | 显示风险最高的端点 |
| 处于风险的用户报告 | 可快速识别处于风险的用户 |
| 有活动恶意软件警报的机器 | 展示存在活动恶意软件警报的机器 |
| 传感器和服务健康状况 | 呈现传感器和服务的健康状态 |
4.3 警报队列
从导航窗格中选择“警报队列”,此视图将显示网络中端点标记的警报列表。可以通过点击列标题对警报进行排序和过滤。选择一个警报可查看更多详细信息,并将状态从“新”更改为“进行中”或“已解决”。还可以为警报指定分类,并在未分配的情况下将其分配给自己。若要管理多个警报,可使用 Ctrl 或 Shift 键选择多个警报,然后对每个警报应用相同的操作。警报根据其当前状态在多个队列中进行管理:
- 新
- 进行中
- 已解决
- 分配给我
使用以下指南了解如何使用各种选项,如警报进程树、事件图和警报时间线:https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-atp/investigate-alerts-windows-defender-advanced-threat-protection。
4.4 机器列表
从导航窗格中选择“机器列表”,此视图将显示已向 ATP 服务注册的所有端点。可以对列进行排序以快速获取洞察信息,也可以将其导出为 CSV 文件。可用的列包括:
- 机器名称
- 域
- 操作系统平台
- 健康状态
- 最后一次出现时间
- 内部 IP
- 活动警报
- 活动恶意软件检测
还可以根据以下选项过滤视图结果:
-
时间
:选择 1 天到 6 个月之间的范围
-
操作系统平台
:包含或排除特定的操作系统
-
健康状况
:包含或排除特定的健康状态,仅显示活动、非活动或配置错误的端点
-
恶意软件类别警报
:选择包含或排除以下恶意软件类型:
- 勒索软件
- 凭据窃取
- 漏洞利用
- 后门
- 一般恶意软件
- 潜在有害应用程序(PUA)
4.5 首选项设置
从导航窗格中选择“首选项设置”,包含以下内容:
-
常规
:可以在此处修改初始设置向导期间配置的一些设置,包括数据保留策略和行业选择,但数据存储位置和组织规模不能修改。
-
高级功能
:此部分提供需要与其他技术集成的功能:
-
阻止文件
:如果 Windows Defender 是活动的反恶意软件解决方案,并且启用了基于云的保护,则可以使用“阻止文件”功能在网络中阻止潜在的恶意文件,这将防止文件在向 ATP 注册的所有机器(在您的组织内)上被读取、写入或执行。
-
Office 365 威胁情报连接
:如果您有有效的 Office 365 E5 订阅(或威胁情报附加组件),可以将 Windows Defender ATP 连接到 Office 365 ATP,这将使安全调查能够跨越两个平台。更多信息请参考:https://support.office.com/en-us/article/Office-365-Threat-Intelligence-overview-32405DA5-BEE1-4A4B-82E5-8399DF94C512。
4.6 端点管理
从导航窗格中选择“端点管理”,此部分允许您根据部署和管理要求下载相关的配置文件。
4.7 整体流程总结
下面是 Windows Defender ATP 从规划到检测的整体流程 mermaid 流程图:
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
A(规划 - 环境分析):::process --> B(客户端类型评估):::process
A --> C(反恶意软件选择):::process
A --> D(数据存储位置确定):::process
A --> E(客户端和警报管理规划):::process
B --> F(部署 - 服务激活):::process
C --> F
D --> F
E --> F
F --> G(注册并激活服务):::process
F --> H(加入端点):::process
F --> I(配置传感器数据):::process
F --> J(其他配置):::process
G --> K(检测 - 使用 ATP 门户):::process
H --> K
I --> K
J --> K
K --> L(仪表板查看):::process
K --> M(警报队列管理):::process
K --> N(机器列表查看):::process
K --> O(首选项设置):::process
K --> P(端点管理):::process
综上所述,Windows Defender ATP 为企业提供了一套全面的网络安全防护解决方案,从规划部署到日常检测,各个环节紧密相连,企业可以根据自身的需求和环境进行灵活配置和管理,以确保网络安全。
扫一扫
292
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
