Windows Defender ATP Windows 10 Fall Creators Update: Public Preview jetzt verfügbar!

  • Article

Im heutigen Beitrag möchten wir Ihnen die umfangreichen neuen Sicherheitsfunktionen für den Windows Defender ATP-Dienst vorstellen. Die Neuerungen erstrecken sich auf die Bereiche Prävention, Erkennung, Untersuchung, Reaktion und Verwaltung, um für Ihre Windows-Endpunkte durchgängigen, zuverlässigen Schutz zu bieten. All diese neuen Funktionen sind im Windows Defender ATP (WDATP) Windows 10 Fall Creators Update enthalten, das jetzt als Public Preview zur Verfügung steht.

Mit den neuen, zielgerichteten Microsoft-Sicherheitsinvestitionen wird das Beste aus Windows Defender ATP und dem Windows-Sicherheitsstack für größtmöglichen Schutz vereint. Wir haben nicht nur die neuen Präventionstechnologien von Windows 10 integriert und die Sensoren im Dienst selbst erweitert und verbessert, um skriptbasierten Angriffen schneller auf die Spur zu kommen, sondern auch neue Optionen und Funktionen für effiziente Reaktionen und leistungsstarke Analytics ergänzt.

Im Folgenden stellen wir Ihnen einige Funktionen detaillierter vor:

  • Windows-Sicherheitsfunktionen, die Hand in Hand arbeiten: Profitieren Sie von mehr Transparenz bei den Sicherheitswarnungen, die Ihnen die Produktkombination aus Endpoint Detection and Response (EDR), Windows Defender Antivirus (AV), Windows Defender Firewall, Windows Defender SmartScreen, Windows Defender Device Guard und Windows Defender Exploit Guard liefert. Beobachten und verfolgen Sie Ereignisse, die durch die gesamte Produktpalette berichtet werden, und zwar in der Chronik jedes einzelnen Computers. Einige Beispiele für die Möglichkeiten mit Security Operations (SecOps):
    • Anzeige von Alarmen und Ereignissen aus Windows Defender SmartScreen, die darauf hinweisen, dass ein Mitarbeiter im Unternehmen eine bestimmte URL angeklickt/geöffnet hat, obwohl er eine Warnmeldung erhalten hatte
    • Anzeige von Windows Defender Device Guard-Ereignissen, die auch ein versuchtes Ausführen von nicht autorisierten Anwendungen umfassen, deren Nutzung auf Organisationsebene gesperrt worden ist
    • Anzeige von Anwendungen, die durch die Schutzregeln in Windows Defender Exploit Guard blockiert oder auditiert worden sind
    • Anzeige von aufgefundenen Elementen in Windows Defender Antivirus und Windows Defender Firewall-Blockaden
    • Anzeige von Informationen zu Sicherheitsereignissen und Alarmen für aktive Sessions in isolierten Containern von Windows Defender Application Guard (Abbildung 1)

Darüber hinaus bieten wir eine zentralisierte und vereinfachte Verwaltungsumgebung in System Center Configuration Manager (SCCM) ab der Version 1710 und Microsoft Intune, um die einzelnen Produkte des Windows-Sicherheitsstacks zu administrieren.

[caption id="attachment_505" align="alignnone" width="1024"] Abb. 1: Detektion von Ereignissen mit Application Guard[/caption]

  • Bessere Erkennung, erweiterte Alarme und mehr Macht für das SoC: Unsere Erkennungsfunktionen werden kontinuierlich erweitert und verbessert, um mehr Einblicke in dynamische skriptbasierte Angriffe, die Ausforschung von Netzwerken sowie Keylogger-Vorfälle zu erhalten. Wir haben auch unsere Warnungsfunktionen erweitert, sodass diese jetzt mehr Daten anzeigen, um bei den IT-Sicherheitsteams für ein tiefer gehendes Verständnis des jeweiligen Angriffs zu sorgen (Abbildung 2). Zudem gibt es nun eine automatische Korrelation bei aufgedeckten Vorfällen sowie eine Gruppierung von zusammenhängenden Alarmen. Darüber hinaus ist es möglich, wichtige Komponenten von hohem Wert mithilfe von Tags und Gruppierungsfunktionen zu verwalten. Auf der Basis des Feedbacks unserer Kunden haben wir auch die Funktionen im Bereich Reaktion erweitert. So können Computer jetzt nach detaillierteren Kriterien isoliert werden. Auch ist es möglich, einen Computer auf die reine Ausführung von vertrauenswürdigen Binarys zu beschränken sowie Windows Defender AV-Updates und Scans zu initiieren.

[caption id="attachment_515" align="alignnone" width="1024"] Abb. 2: Erweiterte Warnungsansicht[/caption]

  • Sicherheitsanalysen: Eine neue Dashboardansicht (Abbildung 3), die für eine Bewertung des individuellen Sicherheitsrisikos einer Organisation im Vergleich zu den für Windows empfohlenen Basiswerten konzipiert wurde, schlüsselt potenzielle Schwachstellen und Probleme auf und bietet aussagekräftige Empfehlungen für Maßnahmen, mit denen die Sicherheit verbessert werden kann. Dieses Dashboard deckt zudem Konfigurationsprobleme auf und zeigt Informationen zu Computern an, bei denen die Sicherheitsfunktionen entweder fehlerhaft konfiguriert worden sind oder einfach veraltet sind. IT-Sicherheitsteams können damit jetzt das Sicherheitsrisiko, dem ihre Organisation ausgesetzt ist, für eine breite Palette von Produkten im Windows-Sicherheitsstack bewerten, und zwar im Hinblick auf die reale Nutzung und Berichtsergebnisse von den Endpunkten. Das Dashboard bietet zudem Einblicke in wichtige Computer, die die Compliance-Kriterien nicht erfüllen – sortiert nach der Anzahl bestehender Probleme und mit Empfehlungen zu geeigneten Gegenmaßnahmen.

[caption id="attachment_525" align="alignnone" width="1024"] Abb. 3: Dashboard für Sicherheitsanalysen[/caption]

  • Individuelles Reporting: Organisationen können nun schnell einen Power BI-Bericht erstellen (Abbildung 4), mit der sich der Status von Computern, Warnungen und Untersuchungen interaktiv analysieren lässt. Dieser Bericht bietet Einblicke in Alarme (zum Beispiel Schweregrad und Zeitaufwand für die Behebung eines Vorfalls) sowie Details auf Ebene einzelner Computer (zum Beispiel Sensorzustand, Betriebssystemplattform und Domäne).

[caption id="attachment_535" align="alignnone" width="1024"] Abb. 4: Power BI-Bericht[/caption]

  • Zugriff auf Ihre Daten über APIs: Windows Defender ATP stellt einen Großteil der verfügbaren Daten und Aktionen mithilfe eines Sets programmatischer APIs bereit, die Teil des Microsoft Intelligence Security Graph sind. Diese APIs ermöglichen Ihnen, basierend auf den Windows Defender ATP-Funktionen Ihre Workflows zu automatisieren und neu zu gestalten.
  • Mehr Windows-Sockets: Wir erweitern unsere Endpunktabdeckung und bieten zusätzliche Unterstützung für Windows Server 2012R2- und 2016-Endpunkte (Abbildung 5). Zudem wird erweiterte VDI-Unterstützung für Organisationen angeboten, die ihre Desktop-Virtualisierungsumgebung absichern möchten.

[caption id="attachment_545" align="alignnone" width="1024"] Abb. 5: Windows Server Machine-Ansicht[/caption]

Unser Tipp: Probieren Sie all diese neuen, leistungsstarken Funktionen einfach selbst aus – mit unserer kostenlosen 90-tägigen Testversion. Jetzt registrieren und loslegen.