Microsoft Defender ATP

Schwachstellen- und Bedrohungs-Management

Auf den Endpunkten wird eine Software-Inventarisierung durchgeführt. Diese Informationen werden dazu verwendet, Schwachstellen und Sicherheitslücken in Zusammenhang mit den installierten Anwendungen zu erkennen, ebenso wie fehlende Sicherheitsupdates. Darüber hinaus erfolgt eine Priorisierung dieser Schwachstellen.

Verringerung der Angriffsfläche

Hierbei wird überprüft, ob die Konfigurationen der Systeme richtig festgelegt sind. Netzwerkschutz und Webschutz sorgen dafür, dass der Zugriff auf schädliche IP-Adressen, Domänen und URLs reglementiert ist. Die Anwendungssteuerung kümmert sich darum, dass nicht mehr alle Anwendungen als vertrauenswürdig gelten, sondern nur vertrauenswürdige Applikationen ausgeführt werden dürfen.

Schutzmechanismen der nächsten Generation

Hierbei führt Defender ATP kontinuierliche Scans durch, um Bedrohungen zu erkennen und zu blockieren. Dazu gehört ein verhaltensbasierter, heuristischer und Echtzeit-Virenschutz für Windows 10, Windows Server 2016 und Windows Server 2019.

Endpunkteerkennung und -reaktion (Endpoint Detection and Response, EDR)

Dabei werden von Defender ATP Benachrichtigungen beziehungsweise Vorfälle gruppiert, wenn die gleichen Angriffsmethoden erkannt werden. Diese Art der Aggregation erleichtert Sicherheitsexperten die Priorisierung, Untersuchung und Reaktion auf Bedrohungen.

Automatische Untersuchung und Problembehebung

Endpunkte im Netzwerk erzeugen unter Umständen eine Vielzahl von Sicherheitswarnungen. Windows Defender ATP nutzt eine Funktion, um diese Anzahl zu reduzieren und die wirklich relevanten Warnungen herauszufiltern. Wenn eine Benachrichtigung als relevant ausgelöst wird, kann eine automatische Untersuchung erfolgen. Wird beispielsweise eine böswillige Datei entdeckt, überprüft die automatische Untersuchung auch, ob diese Datei auf anderen Rechnern vorhanden ist. Wenn dem so ist, werden diese Rechner der Untersuchung hinzugefügt. Das Beheben des Problems kann dann von den Admins in verschiedenen Abstufungen geregelt werden.

Secure Score

Windows Defender ATP bewertet die aktuelle Sicherheitskonfiguration und erstellt daraus einen Konfigurationswert. Dabei erhalten Administratoren Hinweise, wie sie diese Sicherheitsbewertung verbessern können.

Microsoft Bedrohungsexperten (Microsoft Threat-Experten)

Dieser verwaltete Suchdienst kann Unternehmen dabei unterstützen Angriffe zu erkennen und zu priorisieren. Hier wird quasi ein Security Operations Center (SOC) mit Überwachung und Analyse auf Expertenebene bereitgestellt. Anwenderunternehmen können je nach Einrichtung Sicherheitsexperten von Microsoft einbinden.

Verwaltung und APIs

Für viele der Funktionen von Windows Defender ATP sind APIs (Programmierschnittstellen) verfügbar, um die Lösung in die Abläufe des eigenen Unternehmens zu integrieren. Wird beispielsweise eine SIEM-Lösung (Security Information and Event Management) eingesetzt, kann diese über eine API auf Ergebnisse von Windows Defender ATP zugreifen.

Integration mit anderen Microsoft-Produkten

Windows Defender ATP arbeitet mit anderen Microsoft-Sicherheitslösungen zusammen beziehungsweise lässt sich integrieren, als da wären: Azure Security Center, Azure ATP, Office 365 ATP, Intune, Skype for Business und Microsoft Cloud App Security.