Microsoft Defender получает новые средства защиты

Microsoft анонсировала несколько новых возможностей Microsoft Defender. Новые функции защитят устройства от продвинутых атак и новых угроз, заявила компания в понедельник.

Безопасность включена по умолчанию

Встроенная защита обычно доступна для всех устройств, использующих Microsoft Defender for Endpoint, по данным Microsoft.

Встроенная защита — это набор параметров безопасности по умолчанию для платформы Microsoft Endpoint Security для защиты устройств от атак программ-вымогателей и других угроз. Согласно статье базы знаний Microsoft 365, защита от несанкционированного изменения, которая обнаруживает несанкционированные изменения в настройках безопасности, является первой включенной настройкой по умолчанию. Защита от саботажа не позволяет неавторизованным пользователям и злоумышленникам вносить изменения в параметры безопасности для защиты в реальном времени и в облаке, мониторинга поведения и защиты от вирусов.

В прошлом году Microsoft включила защиту от несанкционированного доступа по умолчанию для всех клиентов с лицензиями Defender for Endpoint Plan 2 или Microsoft 365 E5.

Администраторы предприятия могут настраивать встроенную защиту, например устанавливать защиту от несанкционированного доступа для некоторых, но не для всех устройств, включать или выключать защиту на отдельном устройстве и временно отключать этот параметр для устранения неполадок.

Зик становится защитником

Microsoft также заключила партнерское соглашение с Corelight, чтобы добавить Интеграция Zeek с Defender for Endpoint, помогая сократить время, необходимое для обнаружения сетевых угроз. С помощью Zeek, инструмента с открытым исходным кодом, который отслеживает пакеты сетевого трафика для выявления вредоносной сетевой активности, Защитник может сканировать входящий и исходящий трафик. Интеграция с Zeek также позволяет Defender обнаруживать атаки на нестандартные порты, отображать предупреждения об атаках с распылением паролей и выявлять попытки эксплуатации сети, такие как PrintNightmare.

«Интеграция Zeek в Microsoft Defender для конечной точки обеспечивает мощную возможность обнаружения вредоносной активности таким образом, который расширяет наши существующие возможности безопасности конечных точек, а также позволяет более точно и полностью обнаруживать конечные точки и устройства IoT», — заявила Microsoft.

Zeek не заменит традиционную технологию сетевого обнаружения и реагирования, поскольку он предназначен для работы в качестве дополнительного источника данных, обеспечивающего сетевые сигналы. «Microsoft рекомендует группам безопасности объединить оба источника данных — конечную точку для глубины и сеть для широты — чтобы получить полную видимость во всех частях сети», — говорится в сообщении компании.

Обнаружение уязвимостей прошивки

В связи с этим Microsoft предоставила дополнительные сведения о службе управления уязвимостями Microsoft Defender, которая в настоящее время доступна в общедоступной предварительной версии. Когда сервис станет общедоступным, он будет продаваться как отдельный продукт и как дополнение к Microsoft Defender для конечной точки, план 2.

Microsoft Defender Vulnerability Management теперь может оценивать безопасность прошивки устройства и сообщать, если в прошивке отсутствуют обновления безопасности для устранения уязвимостей. ИТ-специалисты также получат «инструкции по исправлению и рекомендуемые версии прошивки для развертывания». Статья Microsoft о службе управления уязвимостями.

Оценка аппаратного и микропрограммного обеспечения будет отображать список аппаратного и микропрограммного обеспечения в устройствах по всему предприятию; перечень используемых систем, процессоров и BIOS; и количество уязвимых мест и незащищенных устройств, сообщает Microsoft. Информация основана на рекомендациях по безопасности от HP, Dell и Lenovo и относится только к процессорам и BIOS.