Defender pro koncové body: Nyní ZDARMA s M365 E3
Společnost Microsoft nedávno oznámila, Microsoft Defender pro koncová zařízení P1. cenově výhodnější plán ochrany koncových bodů, který poskytuje prevenci hrozeb a ochranu pro jakékoli koncové body – včetně těch, které běží na systémech Windows, macOS, Android a iOS. Nový plán ochrany bude zdarma součástí SKU Microsoft 365 E3/A5.
Současný produkt Microsoft Defender for Endpoints SKU je v současné době součástí Windows E5 a Microsoft 365 E5 a brzy se stane plánem Defender for Endpoints 2.
Podle společnosti Microsoft toto nové řešení „usnadní většímu počtu bezpečnostních týmů po celém světě nákup a přijetí nejlepších základů Microsoft Defender pro koncové body.“ Kromě toho bude nový plán poskytovat ochranu generací, kontrolu zařízení, firewall pro koncové body, ochranu sítě, filtrování webového obsahu a mnoho dalšího.
Proč právě teď?
Koncové body, které jsou jedním z nejčastěji napadaných míst, je třeba chránit před novým a sofistikovaným malwarem a ransomwarem, které zůstávají rozšířenými hrozbami bez náznaku zpomalení. Ransomware stále přetrvává a vyvíjí se, což má za následek nárůst finančních škod a dopadů, které se projevují v mnoha odvětvích.
Během posledních 18 měsíců Microsoft zjistil více než 120% nárůst počtu organizací, které zažily útok ransomwarem. Microsoft jako takový se snaží poskytovat řešení „zabezpečení pro všechny“ – jen několik dní po závazku prezidenta Bidena investovat v příštích pěti letech do bezpečnosti více než 20 miliard eur.
Obrázek ze stránek Microsoft Security
Společnost Microsoft poskytuje multiplatformní a multi-cloudové zabezpečení pro velké množství organizací po celém světě. Integrovaná sada služeb zabezpečení, ochrany před hrozbami a nápravy bude podporovat organizace prostřednictvím zjednodušené a komplexní ochrany, jejímž cílem je předcházet narušením a zároveň umožnit zákazníkům inovovat a rozvíjet jejich činnost podnikání.
V rámci toho společnost Microsoft uvádí, že „s potěšením nabízí základní sadu našich špičkových funkcí zabezpečení koncových bodů pro systémy Windows, macOS, Android a iOS za nižší cenu, a to v novém řešení nazvaném „Microsoft Defender for Endpoint Plan (P1), které bude součástí služby Microsoft 365 E3“ bez dalších nákladů.
Ceny licencí
Kromě toho bude nový „Plán 1“ k dispozici také jako levný doplněk pro ostatní SKU. Microsoft 365 E5/A5 bude i nadále obsahovat Defender pro koncová zařízení „Plán 2“.
Plán je v současné době ve fázi veřejné revize, a proto je možné jej vyzkoušet po dobu 90 dnů po registraci. Po zkušební verzi si budete moci plán zakoupit u svého poskytovatele služeb Microsoft CSP nebo licenčního partnera. Ti, kteří již jsou zákazníky služby Microsoft 365 E3/A5, ji získají bez dalších nákladů, jakmile bude během příštích 90 dnů uvolněna pro všeobecnou dostupnost.
Jak nakupovat Defender pro koncové body Plán 1
Srovnání plánu 1 a plánu 2
Služby ochrany před hrozbami a nápravy, které nabízí Microsoft Defender pro koncové body (C) Microsoft
Plán 1 se snaží pomoci organizacím, které se zaměřují na nalezení především ochrany koncových bodů (EPP), kde se nacházejí nejlepší základy prevence a ochrany všech klientských koncových bodů. Plán zahrnuje ochranu nové generace, kontrolu zařízení, ochranu sítě, filtrování webového obsahu, pravidla pro snížení plochy příloh, řízený přístup ke složkám, podmíněný přístup na základě zařízení, rozhraní API a konektory a také možnost přinést vlastní TI.
plán umožňuje přístup ke službě Microsoft 365 Defender zkušenosti se zabezpečením, které umožňují zobrazovat výstrahy a incidenty, ovládací panely zabezpečení, inventář zařízení a provádět vyšetřování a ruční reakce na události ochrany nové generace.
Plán 2 je určen pro větší podniky, které potřebují kompletní detekci koncových bodů a reakci na ně (EDR). Tento plán navazuje na plán 1 a poskytuje kompletní funkce EDR, které dále zabraňují narušením, zkracují dobu nápravy a navíc minimalizují rozsah útoků prostřednictvím správy zranitelností, ochrany koncových bodů, automatizované nápravy a hloubkových informací o nejnovějších kampaních malwaru a hrozbách.
Srovnání možností Plánu 1 a Plánu 2: Obrázek (c) Microsoft
Přečtěte si blog společnosti Microsoft, kde naleznete podrobnější informace o výše uvedeném a také návod k nastavení. Kromě toho se v případě zájmu můžete přihlásit k náhledu plánu zde.
Začínáme
Defender pro Office 365 poskytuje mnoho možností konfigurace a prahových hodnot, které lze přizpůsobit tak, aby vyhovovaly zásadám vaší organizace a požadavky. Při začátcích je snadné ztratit se v moři zaškrtávacích políček a tlačítek.
Společnost Microsoft naštěstí poskytla v této souvislosti několik skvělých pokynů prostřednictvím Doporučení pro EOP a Defender pro Office 365. Tuto stránku byste měli použít jako průvodce počátečním nastavením, abyste se ujistili, že můžete dodržet doporučené postupy společnosti Microsoft.
Při procházení dokumentace a aktualizaci konfigurace podle poskytnutých pokynů je třeba vynaložit spoustu ruční práce. Příjemný způsob, jak získat rychlou zprávu o stavu konfigurace Defender pro Office 365 je spuštění nástroje ORCA (Office 365 Advanced Threat Protection Recommended Configuration Analyzer).
ORCA
Tony Akers zde publikoval skvělý článek o používání nástroje ORCA, který vřele doporučuji prostudovat co nejdříve.
Cílem nástroje ORCA je pomoci správcům porovnat jejich konfiguraci s doporučeními a provést analýzu nedostatků oproti jejich reálnému nastavení. Společnost Microsoft nyní tuto činnost ještě více usnadnila tím, že funkci ORCA přímo integrovala do bezpečnostního portálu Microsoft 365.
Tato integrace má dvě podoby: Přednastavené zásady zabezpečení a Analyzátor konfigurace. Později v tomto článku se podívám na to, jak používat jednotlivé nástroje, aby byla konfigurace Defenderu pro Office 365 jednodušší.
Přednastavené zásady zabezpečení
Přednastavené zásady zabezpečení jsou užitečné pro organizace, které nechtějí trávit spoustu času a úsilí úpravou nastavení a vystačí si s poskytnutými doporučeními. Zásady lze nalézt v části „Zásady hrozeb“ na portálu zabezpečení Microsoft 365 a nabízejí dvě „příchutě“ ochrany: Standardní a Přísná.
Zásady odpovídají úrovním Standard a Strict definovaným v doporučující dokumentaci společnosti Microsoft a po jejich konfiguraci není třeba provádět žádné přizpůsobení.
Zásady lze přiřadit uživatelům, skupinám nebo poštovním doménám, podobně jako u všech zásad Defenderu pro Office 365. Stačí vybrat základní linii, kterou chcete použít, jak je znázorněno na obrázku 1, vybrat přiřazení pro nastavení EOP a Defender for Office 365 a je hotovo!
Je důležité si uvědomit, že přísné zásady budou mít vždy přednost před standardními zásadami a uživatelské Defender budou mít přednost před přednastavenými zásadami.
Seznamte se s obránci
O MDI, MDO a MDE jsme se podrobněji rozepsali zde M365 Dojo, ale pochopení toho, co každá z nich dělá, je zásadní pro pochopení toho, jak je Microsoft 365 Defender spojuje dohromady.
MDI je cloudová služba, která monitoruje vaši on-premises Active Directory pro specifické indikátory kompromitovaných identit a operací útočníka. Kdykoli útočník získá oporu ve vaší organizaci, jedním z jeho prvních cílů je postoupit dále a zvýšit oprávnění, nejlépe dosáhnout doménové nadvlády. Tato poslední fáze, kdy je celá vaše lokální infrastruktura identit zcela pod kontrolou zločince, trvá v průměru 48 hodin.
MDI se spoléhá na agenty na řadičích domény (DC), nebo pokud to váš bezpečnostní tým nemůže zvládnout, na členský server, který přijímá předaná data protokolu událostí z každého DC a zachycuje síťový provoz pomocí zrcadlení portů. MDO zachytí aktivitu útočníků během pěti fází: Průzkum, Kompromitace pověření, Boční pohyb, Ovládnutí domény a Exfiltrace.
Protože se MDI laserově zaměřuje na službu AD (a službu AD Federation Services ADFS, po útocích společnosti Solarwinds), vytváří vysoce věrná upozornění s velmi specifickými údaji, která umožňují zachytit a zadržet záškodníky ve vaší síti. Mezi příklady zjištěných útoků patří průzkum sčítáním účtů, AS-REP Roasting, krádež identity (pass-the-hash), útok Skeleton Key, exfiltrace dat přes SMB a mnoho, mnoho dalších.
MDO je především o poskytování pokročilé ochrany pro pracovní zátěže Office Online. Příchozí e-maily a přílohy jsou skenovány pomocí AV mechanismu Exchange Online Protection (EOP), aby byla zajištěna základní úroveň ochrany, a pokud příloha nebyla nikdy předtím viděna, bude otevřena ve virtuálním počítači a zkontrolována, zda se v ní nenachází škodlivé chování, aby se zachytily útoky typu zero-day.
MDO také kontroluje každou adresu URL v e-mailech, zda nevede na kompromitované weby, o kterých společnost Microsoft ví. Poskytuje také skenování v době kliknutí, protože útočníci často kompromitují neškodné webové stránky, rozesílají své e-maily s odkazy, které při doručování nevyvolají varování (protože stránky v tomto okamžiku nezobrazují škodlivé indikace), a pak aktivují škodlivý náklad na webových stránkách.
Díky kontrole odkazu v okamžiku, kdy na něj skutečně kliknete, může MDO nabídnout silnou ochranu před škodlivými adresami URL. MDO se dodává ve dvou variantách, plán 1 pokrývá výše uvedené funkce, zatímco plán 2 přidává Threat Trackers (zpravodajství o aktuálních útocích ve volné přírodě), Threat Explorer (známý také jako Průzkumník, zobrazuje nedávné hrozby ve vašem nájemci), Automated Investigation and Response (AIR) a trénink simulace útoků (pro trénink uživatelů v rozpoznávání phishingových e-mailů).
MDE je naopak plnohodnotné řešení EDR a anti-malware pro vaše koncové body, včetně systémů Windows, MacOS, Android, iOS a Linux. V systému Windows není třeba nasazovat žádného agenta, jde jen o aktivaci bitů již obsažených v operačním systému prostřednictvím onboardingu, a to buď pomocí skriptu, nebo správce konfigurace, Intune či zásad skupiny ve velkém měřítku. Kromě lokálních a cloudových modelů strojového učení (ML) pro identifikaci nových hrozeb nabízí MDE také AIR a kompletní řešení pro správu hrozeb a zranitelností (TVM).
Přístrojový panel pro správu hrozeb a zranitelností
TVM inventarizuje veškerý software nainstalovaný na koncových bodech (Windows 8.1, 10 (1709), 11 a Windows Server 2008R2, MacOS a Linux) a porovnává se známými zranitelnostmi softwaru. Pomocí signálů, jako je riziko zneužití zranitelnosti, počet zařízení v organizaci, kde je nainstalována, a využití aplikace, vám poskytne seznam programů, které je třeba upgradovat podle priorit. Vzhledem k tomu, že se často jedná o úkol pro tým koncových bodů/desktopů spíše než pro tým zabezpečení, je k dispozici vestavěná funkce pro vytvoření úkolu v Intune s odkazy na příslušné aktualizace atd.
Donedávna existovala pouze jedna verze MDE, ale v srpnu 2021 společnost Microsoft oznámila novou verzi s názvem Plan 1, zatímco plnohodnotnou verzí se stal Plan 2. Plán 1 je v předběžném náhledu a přináší ochranu nové generace (antimalware/virus), zmenšení plochy útoku, ruční reakční akce, centralizovanou správu, bezpečnostní zprávy a přístup k rozhraní API. Plán 2 přidává zjišťování zařízení, TVM, jak je uvedeno výše, AIR, pokročilý lov, plnou EDR a odborníky na hrozby společnosti Microsoft (MTE). Poslední z nich je řízená služba SOC od společnosti Microsoft, která vám poskytuje dvě služby, a to cílená oznámení o útocích v případě, že analytici identifikovali probíhající útok ve vašem prostředí, a přístup k odborníkům na vyžádání, kteří pomohou vaší službě SOC, pokud je budete potřebovat.
Na konferenci Ignite 2021 se k těmto dvěma sourozencům (Plán 1 Plán 2) připojil bratranec, Microsoft Defender pro Business který bude (je „coming to preview soon“) chránit vaše koncové body Windows, macOS, iOS a Android až pro 300 uživatelů v rámci business. Na rozdíl od plánu 1 obsahuje TVM, AIR a plnou EDR, takže chybí pouze podpora Linuxu, MTE a pokročilý lov. Bude k dispozici jako součást služby Microsoft 365 Business Premium nebo jako samostatná licence za cenu 3 na uživatele měsíčně. Bude také integrován s Microsoft 365 Lighthouse.
Microsoft 365 Defender
MDE míval svůj vlastní portál, oddělený od ostatních bezpečnostních produktů (securitycenter.Windows.com) a i když tam stále je, je opatřen bannerem, který důrazně doporučuje přesměrovat uživatele na hlavní M365 Defender portál (security.microsoft.com). Předchozí portál MDI je zcela vyřazen z provozu a jeho funkce byly přesunuty do portálu Defender pro portál Cloud Apps již před delší dobou a MDO je již umístěn v portálu Obránce M365 portál. Práce na integraci MDI do hlavního systému Microsoft 365 Defender portálu je rozsáhlá a pravděpodobně bude nějakou dobu trvat. Integrace není jen o jednom portálu, i když i ten je dobrým začátkem.
Pokud používáte systém MCAS, můžete jeho telemetrii integrovat do služby Microsoft 365 Defender.
Za prvé, existuje jednotná fronta upozornění, takže nemusíte na jednom místě hledat hrozbu e-mailu, která mohla proklouznout filtrováním pošty, a na jiném místě koncové body, kde mohla být otevřena stejná příloha e-mailu, vše je na jednom místě. Totéž platí pro jednotnou stránku uživatele, uživatelský účet je objekt v MDI (AD), ale také entita v MDO (má poštovní schránku, OneDrive pro Business úložiště atd.) a samozřejmě objekt v MDE na jakémkoli zařízení, ke kterému jsou přihlášeni.
Jednotná stránka pro vyšetřování je mým oblíbeným nástrojem, možnost zobrazit podrobnosti o automatických akcích (AIR) spolu s možnostmi dalšího vlastního vyšetřování je velmi silná, zejména proto, že zahrnuje všechny různé nástroje Defenders. Na základě oblíbeného požadavku je k dispozici také stránka s e-mailovými entitami, která vám umožní prozkoumat podezřelé e-maily, včetně jejich náhledu, pokud jsou uloženy v online poštovní schránce Exchange.
Existují dva způsoby řízení přístupu k M365 Defender dat pomocí RBAC, a to buď pomocí vestavěných rolí Azure AD, nebo pokud chcete řídit přístup velmi granulárně v rozsáhlém prostředí, pomocí vlastních přístupových rolí.
Nemusíte mít povoleny všechny různé funkce Defenders, abyste mohli využívat výhod M365 Defenderu, jakmile povolíte jednu pracovní zátěž, funguje to, jakmile přidáte další služby, rozsvítí se další části portálu.
Rádi lovíte?
Největší výhodou integrace je však možnost provádět pokročilý lov napříč všemi daty, která proudí do aplikace Microsoft 365 Defender. To je znakem vyspělé bezpečnostní organizace, kde nejde jen o řešení výstrah a incidentů vyvolaných bezpečnostními systémy, ale kde je také čas na to, aby si analytik řekl: „Zajímalo by mě, jestli ten útok na společnost podobnou té naší z minulého týdne mohl zasáhnout i nás – vezmu si indikátory kompromitace (IOC) a projdu naše logy.“. Všechny bezpečnostní produkty společnosti Microsoft se při prohledávání velkého množství dat bezpečnostních protokolů spoléhají na jazyk Kusto Query Language (KQL) se syntaxí podobnou jazyku SQL a možnost prohledávat v jednom dotazu data e-mailů (MDO), data identit (MDI), procesy a akce koncových bodů (MDE) i protokoly cloudových služeb třetích stran (MCAS) je neuvěřitelně výkonná.
Nedávno bylo vydáno nové uživatelské rozhraní Advanced Hunting, které nabízí karty pro každý dotaz, s nímž pracujete, a zpětnou vazbu o výkonu každého spuštěného dotazu.
Zde hledám, zda byla v posledních 7 dnech spuštěna nějaká podezřelá aktivita prostředí PowerShell do 30 minut od přijetí známého škodlivého e-mailu.
Pokročilý lov v aplikaci Microsoft 365 Defender
Pokud při vyhledávání najdete zajímavé události, můžete je nyní použít k vytvoření incidentu nebo je přidat jako upozornění k již existujícímu incidentu. Do loveckých dotazů můžete vnášet i externí data ze seznamů IP adres, účtů atd.
Microsoft 365 Defender také nabízí skóre zabezpečení všech identit, zařízení a aplikací, které vám poskytne přehled o tom, kde máte zavedené silné kontroly a kde můžete zlepšit celkové zabezpečení nájemce.
Microsoft 365 Defender Secure Score
K dispozici je také jednotné zobrazení výstrah a incidentů, akcí provedených systémem AIR a přehledů pro koncové body, e-maily, identity a celkové zabezpečení.
Ceny produktu Microsoft Defender pro koncové body
Společnost Microsoft nabízí licenci Microsoft Defender pro koncová zařízení na uživatele a měsíc. Toto licencování nabízí pokrytí až pěti souběžných zařízení pro daného uživatele.
Organizace mohou přidat program Microsoft Defender pro jakékoli koncové zařízení včetně počítačů Mac, Windows (7,8,10) a dalších bez ohledu na to, zda jsou tato zařízení firemní, nebo v osobním vlastnictví.
Microsoft Defender for Endpoint lze zakoupit v několika různých cenových plánech od 10 na uživatele/měsíc až po 57 na uživatele/měsíc. Z těchto plánů mohou těžit společnosti, které využívají zásady přenášení vlastních zařízení.
Microsoft Defender For Endpoint a Microsoft Defender Antivirus
Pokud chcete, aby zařízení vaší organizace měla co nejkvalitnější ochranu a zabezpečení, je klíčové spárovat Microsoft Defender for Endpoint s Microsoft Defender Antivirus.
Microsoft Defender Antivirus se bezproblémově integruje se softwarem Microsoft Defender for Endpoints a nabízí novou generaci zabezpečení koncových bodů. V kombinaci získáte lepší ochranu a silnější jednotnou platformu díky sdílení signálu antiviru. To poskytuje smysluplnější přehled o vašem zabezpečení a možnostech jeho zlepšení, například přidané podrobnosti a akce pro zablokovaný malware.
Závěr
Microsoft Defender for Endpoint je robustní a ucelená forma ochrany koncových bodů, ideální pro organizace všech velikostí. Defender for Endpoint bude neustále provádět akce pro zajištění bezpečnosti, od proaktivních akcí pro posílení zabezpečení až po nápravu v případě zjištění malwaru. Ve spojení s antivirovým programem Microsoft Defender můžete mít lepší ochranu, smysluplnější přehled a silnější jednotnou platformu.
I když existují určité licenční a operační systémy požadavky, Defender for Endpoint lze používat na většině operačních systémů a lze jej zakoupit jako samostatnou licenci, pokud již není součástí vámi vlastněných licencí. Celkově lze říci, že díky svým základním funkcím a výhodám je tato ochrana koncových bodů vynikající volbou pro každou organizaci.
Kontaktujte nás ještě dnes, abyste se dozvěděli více informací o produktu Microsoft Defender a zahájili bezplatnou zkušební verzi!