Microsoft Defender for Business z modułem EDR – zabezpieczenie Enterprise dla małych firm

14 marca, 2024

Opisywane poniżej rozwiązanie ochronne firmy Microsoft zapewnia „podstawowe” wsparcie urządzeniom w firmach o niemal każdej wielkości, które chcą korzystać z integracji całego ekosystemu Microsoft i zabezpieczać infrastrukturę oraz aplikacje zainstalowane w systemach Windows, macOS, Linux, iOS i Android. Microsoft Defender for Business już w podstawowym planie oferuje naprawdę dużo za nieduże pieniądze. Cennik SRP zaczyna się od niecałych 3 euro w rozliczeniu miesięcznym za jednego użytkownika, który może chronić na swoim koncie aż 5 różnych urządzeń.

Różnice w planie Microsoft Defender for Business vs. Microsoft 365 Business Premium
Różnice w planie Microsoft Defender for Business vs. Microsoft 365 Business Premium

Jakiego rodzaju zabezpieczenia ma Microsoft Defender for Business?

Natychmiast po zalogowaniu się do konsoli widzimy, że możemy korzystać prawie z tych samych funkcjonalności, które są dostępne w pakiecie wyższym – Microsoft 365 Business Premium. To, czego najbardziej nam brakuje, to tzw. Threat Hunting, czyli zaawansowane wyszukiwanie wskaźników zagrożeń, dzięki któremu osoby zajmujące się bezpieczeństwem w firmie otrzymują wyszukiwanie interesujących detali, artefaktów by tworzyć niestandardowe reguły lub mieć jeszcze bardziej szczegółowy wgląd w łańcuch ataków i tego, co dzieje się w systemach.

Agent antywirusowy instalowany na końcówkach to znany Microsoft Defender. Jednakże w rozwiązaniu dla firm, dzięki dodatkowym funkcjonalnościom, oferuje wyższy poziom ochrony niż program antywirusowy dla Windows10/11 na komputerach użytkowników indywidualnych.

Oprócz tak oczywistych funkcji jak integracja z domenami Microsoft lub Microsoft Intune w chmurze, możliwe jest dostosowanie konfiguracji polityk dla komputerów na podstawie graficznego kreatora dla modułów antywirusa oraz zapory sieciowej, co może być szczególnie przydatne podczas wdrożenia zabezpieczenia w niewielkich sieciach, które są zarządzane przez jednego czy dwóch administratorów.

Będąc już w panelu administratora jest on podzielony jest na intuicyjne zakładki. Jedną z bardziej interesujących są „Incidents”.

Microsoft Defender for Business w konfiguracji używanej przez AVLab do testów.
Microsoft Defender for Business w konfiguracji używanej przez AVLab do testów.

W tej zakładce mamy podgląd na wszystkie incydenty z sieci dotyczące urządzeń, na których zainstalowany jest antywirus Microsoft Defender zarządzany zdalnie. Z tego miejsca ów incydenty mogą być od razu rozwiązywane lub każdy z osobna może być przypisany do konkretnej osoby ds. technicznych celem dogłębnej analizy, przeglądu. Mamy też możliwość ręcznego przesłania podejrzanych plików do laboratorium Microsoft. Jest też wgląd na wskaźnik infekcji dzięki integracji z VirusTotal. W niektórych przypadkach mamy też informację na temat technik i procedur (TTP & MITRE) używanych przez złośliwe oprogramowanie.

W skrócie – dzięki modułowi EDR zapewniona jest pełna szczegółowość każdego potencjalnego ataku i zachowania potencjalnie złośliwego oprogramowania, skryptu itp.

Graficzna korelacja incydentu z podzialem na urzadzenia uzytkownikow pliki linki oraz procesy
Graficzna korelacja incydentu z podziałem na urządzenia, użytkowników, pliki, linki oraz procesy.

Jedną z fajniejszych funkcjonalności są grafy przedstawiające skorelowane zdarzenia z konkretnym urządzeniem i użytkownikiem. Klikając w poszczególne incydenty, jako administratorzy jesteśmy w stanie wyśledzić, co było początkowym wektorem ataku, jaką szkodliwą stronę uruchomiono, jaki plik i z której lokalizacji został zdetonowany, prześledzimy szczegółowo command line dla malware itp. Tak naprawdę otrzymujemy podstawową formę polowania na zagrożenia (ang. Threat Hunting) – podstawową, ponieważ w tym planie nie możemy ręcznie wyszukiwać wskaźników kompromitacji z użyciem tzw. „search query”.

Podgląd na jedno z wielu malware przy próbie zdetonowania w kontrolowanym środowisku.
Podgląd na jedno z wielu malware przy próbie zdetonowania w kontrolowanym środowisku.

Zarządzanie podatnościami w Microsoft Defender for Business

Kolejną ciekawą i szalenie przydatną funkcją jest automatyczna ocena bezpieczeństwa i zarządzanie podatnościami, za które w produktach konkurencyjnych zwykle się płaci.

W zakładce „Vulnerability management” (zarządzanie podatnościami) otrzymuje szczegółowe informacje na temat stanu aktualizacji wszystkich systemów oraz zainstalowanych na komputerach aplikacji. Za pomocą kilku kliknięć możemy zaplanować w dogodnym czasie zbiorczą aktualizację systemu Windows 11 lub na przykład przeglądarki Chrome, czy też innego oprogramowania.

Wgląd w aktualizację Windows 11.
Wgląd w indywidualną aktualizację Windows 11.

Moduł ten utworzy także listę oprogramowania dostępnego w całej infrastrukturze. Przygotowanie do audytowania pod kątem np. licencji staje się jeszcze łatwiejsze (zakładka „Inventories”).

Możliwy jest eksport listy aplikacji do pliku CSV.
Możliwy jest eksport listy aplikacji do pliku CSV.

Dla kogo jest Microsoft Defender for Business?

Microsoft Defender for Business to nowoczesne rozwiązanie ochronne. Będziemy je systematycznie testować w serii badań pt. „Advanced In-The-Wild Malware Test”. Pierwsze wyniki pojawią się po zakończeniu edycji w marcu 2024. Już wcześniej testowaliśmy wersję dla użytkowników indywidualnych i skomentuję to tak, że poziom ochrony delikatnie odbiega od średniej pozostałych producentów. Z modułem EDR powinno być lepiej, ale o tym przekonamy się już po publikacji najnowszych wyników. Dodatkowo rozpoczęliśmy test rozwiązań klasy EDR-XDR, gdzie także zamierzamy podzielić się naszą analizą z przeglądu EDR w pakiecie Microsoft Defender for Business.

Podsumowując prawidłowo skonfigurowane rozwiązanie może na wysokim poziomie zabezpieczać małe i średnie firmy do 300 użytkowników. W zamian odwdzięczy się wysoką automatyzacją i szczegółowością oraz fajnymi funkcjami wspomagającymi przegląd bezpieczeństwa całej infrastruktury: powiadomi w razie wystąpienia alarmu/incydentu, automatycznie naprawi problem z zagrożeniem, zaproponuje dodatkowe środki naprawcze, wskaże podatności systemowe, ujawni słabą konfigurację kont użytkowników i systemów, pozwoli szybko i intuicyjnie zarządzać podatnościami i wiele więcej. A to wszystko z jednej konsoli dostępnej przez przeglądarkę.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]