Windows Defender Advanced Threat Protection

Il primo marzo 2016 nel post Announcing Windows Defender Advanced Threat Protection era stato annunciato un nuovo servizio di protezione da attacchi informatici denominato appunto Windows Defender Advanced Threat Protection  (Windows Defender ATP) che va ad aggiungere

un nuovo layer di protezione allo stack di sicurezza di Windows 10.

Windows Defender ATP combina Windows Defender in Windows 10 con un servizio Cloud al fine di rilevare threats e fornire informazioni proattive per l’investigazione degli entpoint e raccomandazioni di sicurezza.

Scendendo maggiormente in dettaglio, come riportato nella sezione di Technet dedicata a

Windows Defender Advanced Threat Protection, vengono sfruttate la combinazione delle seguenti tecnologie:

  • Endpoint behavioral sensors: sensori presenti in Windows 10 che raccolgono e processano segnali comportamentali provenienti dal sistema operativo come processi, registro, file e comunicazioni di rete, i dati telemetrici raccolti da tali sensori sono inviati nelle propria istanza cloud privata e isolata di Windows Defender ATP.
  • Cloud security analytics: tramite l’utilizzo di big-data, machine-learning e fonti dati provenienti da servizi Microsoft relativi all’ecosistema Windows (come Microsoft Malicious Software Removal Tool), ai prodotti cloud di classe enterprise (come Office 365), ai servizi online (come Bing e SmartScreen URL reputation) i segnali comportamentali vengono tradotti in informazioni, rilevamenti e raccomadazioni in risposta a threat di sicurezza avanzati.
  • Threat intelligence generata hunters Microsoft, team di sicurezza, informazioni di sicurezza fornite da partner consente a Windows Defender ATP di indentificare tool, tecniche e procedure di attacco e di generare allarmi quando questi ultimi vengono rilevati nei dati telemetrici raccolti.

Di seguito lo schema dell’architettura di Windows Defender ATP

image

Windows Defender ATP mette a disposizione il portale https://securitycenter.windows.com/ tramite cui è possibile:

  • Visualizzare, ordinare e valutare gli avvisi generati dagli endpoint
  • Cercare altre informazioni sugli indicatori osservati, ad esempio file e gli indirizzi IP
  • Modificare le impostazioni di Windows Defender ATP, inclusi il fuso orario e le regole di eliminazione degli avvisi

Si noti che come è ragionevole attendersi i rilevamenti del malware vengono visualizzati solo se gli endpoint usano Windows Defender come antimalware in tempo reale, per informazioni sull’uso del portale si veda Use the Windows Defender Advanced Threat Protection portal.

Windows Defender ATP supporta anche strumenti di gestione di eventi e informazioni di sicurezza (SIEM) ed espone gli avvisi mediante un endpoint HTTPS endpoint ospitato in Azure. Tale endpoint può essere configurato per recuperare gli avvisi dal tenant aziendale in Azure Active Directory (AAD) mediante il protocollo di autenticazione OAuth 2.0 per un’applicazione AAD che rappresenta il connettore SIEM specifico installato nell’ambiente. Al momento Windows Defender ATP supporta i seguenti SIEM (per maggiori informazioni si veda Configure security information and events management (SIEM) tools to consume alerts):

  • Splunk
  • HP ArcSight

Per utilizzate Windows Defender ATP è necessario disporre dei client-end-point behavioral sensor disponibili in Windows 10 anniversary update o Windows Insider Preview Build number 14332 e successivi, a riguardo si veda What’s new in Windows 10, version 1607.

La configurazione di Windows Defender ATP può essere eseguita tramite uno dei seguenti metodi (a riguardo si veda Configure Windows Defender ATP endpoints):

  • Group Policy
  • System Center Configuration Manager
  • Mobile Device Management (including Microsoft Intune)
    Local script

Per la gestione di Windows Defender ATP tramite System Center Configuration Manager si veda la sezione Docs \ Enterprise Mobility + Security \ Configuration Manager \ Protect data and infrastructure \ Windows Defender Advanced Threat Protection.

Pe quanto riguarda l’utilizzo di Windows Defender ATP è disponibile tramite Windows 10 Enterprise E5, la nuova offerta per i clienti che desiderano sfruttare l’offerta completa di Windows 10 Enterprise E3 con l’aggiunta di Windows Defender Advanced Threat Protection (Windows 10 Enterprise E3 è invece il nuovo nome della offerta tradizionale di Windows Enterprise con SA) a riguardo di veda Come acquistare.

Nella sezione Technet Minimum requirements for Windows Defender ATP viene comunque riportato che è supportato sulle seguenti edizioni di Windows 10:

  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education

Mentre gli Endpoints che eseguono versioni Windows Server mobile di Windows non sono supportati

Concludendo Windows Defender ATP è che al momento non offre una remediation all’attacco, ma un’analisi completa dello stesso utilizzabile dal personale IT per mettere in sicurezza l’infrastruttura, nella documentazione.