Przegląd rozwiązania: Microsoft Defender for Endpoint 

Publish date:

Przegląd rozwiązania Microsoft Defender for Endpoint, znanego poprzednio jako Microsoft Defender Advanced Threat Protection

Tomasz Dahms, inżynier infrastruktury IT w Cloud Infrastructure Services w Capgemini 

Windows Defender znany z czasów kiedy to rozwiązanie było kupione od firmy GIANT i dodane do Windowsa XP oraz 2003 oficjalnie w 2006 przebył sporą drogę jako składnik systemu i we współczesnych systemach klienckich jak i serwerowych pełni już integralną rolę jako część zabezpieczeń. Czytając opinie na temat jego działania w Windows 10 wydaje się panować powszechna zgoda że powinien pozostawać włączony dla typowego użytkowania jeśli nie jest zainstalowane inne rozwiązanie. Microsoft wydaje się zgadzać z tym w pełni, ponieważ (w przeciwieństwie do systemów serwerowych) wyłącza część Defendera na Windows 10 jak tylko wykryje instalację innego rozwiązania antywirusowego czy też firewall. 

Licencja 

Obecnie znany jako Microsoft Defender otrzymał również rozszerzenie o funkcjonalność chmury: Microsoft Defender Advanced Threat Protection lub pod nową nazwą Microsoft Defender for Endpoint. Jest ono dostępne jako osobny składnik (w okolicach 17 złotych miesięcznie za klienta przy ilości minimum 50 licencji, zależnie od resellera) oraz jako składnik subskrypcji Microsoft 365 E5, Microsoft 365 E5 Security lub Windows 10 Enterprise E5 (są również dostępne osobne licencje dla szkół). 

Niestety na tym etapie doświadczenia miałem mieszane, mimo że Microsoft oferuje trial samego rozwiązania MDfE (Microsoft Defender for Endpoint) korzystając z formularza oraz kontaktując się z działem wsparcia okazało się że nie zostanie mi przyznane na 30 dni. Nie otrzymałem jasnego uzasadnienia, podejrzewam że jest to rozwiązanie kierowane dla kont które korzystają już z wielu produktów MicrosoftDział wsparcia polecił mi skorzystać z trial licencji Microsoft 365 E5. Można ją aktywować automatycznie z portalu Microsoft 365, bez potrzeby formularza oraz ograniczyć uprawnienia przypisanej licencji, korzystają z portalu Azure, gdzie dalej funkcjonuje pod starą nazwą. Należy mieć na uwadze, że między otrzymaniem uprawnień a samym dostępem może minąć doba. 

 Portal 

Można odczuć pewien brak spójności, ponieważ portal do zarządzania jest dostępny pod dwoma adresami: https://securitycenter.windows.com/ oraz https://securitycenter.microsoft.com/ a na to z pewnością każdy trafi jeśli będzie szukał więcej informacji o rozwiązaniu. 

Wstępna konfiguracja jest niezbędna i wymaga rozważenia, ponieważ w celu zmiany należy kompletnie usunąć rozwiązanie. 

Mając na uwadze typowego europejskiego klienta, a wiec będąc zgodnym z RODO można wybrać kontynentalną Europę jako miejsce przechowywania danych oraz czas retencji odpowiedni dla naszych wymagań 

Wdrożenie 

Kolejnym krokiem jest wdrożenie, będę skupiał się na współczesnych wersjach Windows 10, mimo że Microsoft oferuje również klientów dla Windows 7 SP1 i 8, Androida, iOSmacOS, serwerów Linuxowych oraz systemów Windows Server 2008 R2 SP1 i nowszych. Integracja ze starszymi systemami klienckimi oraz serwerami 2008 R2 do 2016 wymaga również dodatkowego agenta Microsoft Monitoring Agent. Dla systemów macOS poczynając od Cataliny (10.15) dodatkową komplikacją są rozszerzone zabezpieczania które wymagają akceptacji pełnego dostępu do dysku po stronie maszyny. Wymagania dla serwerów Linuxowych są też dość specyficzne i skupiają się głównie na wersjach z roku 2016 i nowszych. 

Dla Windows 10 oraz 2019 wdrożenie jest bardzo łatwe. Ręcznie można dokonać go za pomocą skryptu, a korzystając z GPO można w prosty sposób ten skrypt opublikować i wypychać go z każdym odświeżeniem polisy tak aby wszystkie urządzenia końcowe były skonfigurowane. Pozostając przy klasycznych metodach, GPO również oferuje spore możliwości konfiguracji polityk Defendera. 

Dla dodaktowych konfiguracji z GPO należy zwrócić szczególną uwagę na możliwości skonfigurowania ograniczenia powierzchni ataku w trybie audytu oraz blokowania. Wykonuje się to niestety nieco nieintuicyjnie, przeklejając GUID rozwiązań opublikowanych przez Microsoft do polityki  

Uważam, że lepszym rozwiązaniem byłoby grupowanie urządzeń w MDoF z GPO, a konfiguracja tej funkcjonalności powinna być robiona z poziomy portalu i tam mając pełny dostęp do najnowszych funkcji – w przeciwnym razie jesteśmy skazani na okresowe sprawdzanie czy pojawiły się nowe GUID w dokumentacji. 

Innymi metodami jest publikacja z użyciem SCCM lub Microsoft Endpoint Configuration Manager. Intune integruje się tak dobrze, że jedyne co wymaga to włączenie integracji, konfiguracja profilu i ustawień. 

Bardzo dobrym dodatkiem jest możliwość onboardingu systemów przed ich instalacją – może to być VDI, bądź dodanie MDfE do złotego obrazu systemu czyszcząc GUID urządzenia. 

Offboarding urządzeń przebiega bardzo podobnie, można wykonać go za pomocą skryptu bądź z użyciem polis czy MDM. 

Portal 

Sam portal, podobnie jak wszystkie współczesne chmurowe rozwiązania, pozostaje atrakcyjny i prezentuje różne dashoardy które swoją stylistyką wydają się replikować interface od lat znany z McAfee ePO, ale niestety w przeciwieństwie do niego brakuje tu dostosowania go do potrzeb użytkownika. 

Pozostałe opcje portalu pomagają dość dobrze zrozumieć znalezione zagrożenia i przeprowadzone analizy. Bardzo dobrym dodatkiem dla ekspertów jest sekcja Advanced hunting która pozwala na skorzystanie z funkcji narzędzia do analizy zachowań użytkowników i aplikacji. 

Możliwości analizy urządzeń 

Inspekcja urządzenia 

W sekcji Device inventory mamy do dyspozycji listę wszystkich urządzeń które zostały dodane do narzędzia. Wybierając konkretne urządzeniemamy wgląd w ostatnie zdarzenia i zagrożenia. Można rozpocząć od zbadania kto logował się przez ostatnie 30 dni, ale tu znacząca uwaga: jeśli MDoF nie umiał rozwiązać SID użytkownika który się logował, może nie pojawić się on w tym widoku! Wyświetlenie SID byłoby dużo lepszym rozwiązaniem. Po odpięciu urządzenia z domeny zostanie ono zduplikowane jako nowe, co również wydaje się niedopatrzeniem. 

Dla każdego urządzenia można dodawać tutaj tagi, sprawdzić podstawowe informacje o domenie, sieci oraz wersji systemu. Najbardziej atrakcyjnym elementem wydaje się Timeline, który prezentuje w szczególe wszystkie zdarzenia z urządzenia, nawet wywołania funkcji. W przykładach. 

Zdarzenie monitorowania schowka 

Wywołanie modułu dll 

Wykonanie komendy 

Inspekcja pojedynczego pliku 

Można w tym widoku go pobrać bez udziału maszyny (dzięki analizie chmurowej) oraz zobaczyć jak występował globalnie i w naszej organizacji. Może to pomóc w przypadku kierowanych ataków bądź nowych zagrożeń. 

Według mnie to najważniejsza funkcjonalność tego rozwiązania, ale wymaga eksperta który będzie umiał w pełni z tego korzystać. 

Pozostałe funkcje to sprawdzenie rekomendacji zabezpieczeń, zainstalowanego oprogramowania (wzorem SCCM), wykrytych znanych dziur w systemie oraz brakujących łatek. 

Widok ten pozwala również na wyizolowanie urządzenia z sieci na czas inspekcji (izolacja odbywa się z poziomu firewall Defendera), wyłączenia aplikacji nieopublikowanych przez Microsoft (zbliżone do trybu S Windows 10) oraz wymuszenie pełnego skanowania. 

Ostatnią funkcjonalnością jest zebranie tzw. investigation package, który składa się z informacji o systemie, konfiguracji sieciowej, usług, części rejestru oraz danych z folderu Prefetch systemu. Po kilku minutach można tą paczkę pobrać jako plik zip z poziomu portalu do dalszej analizy. 

Podsumowanie 

MDoF wydaje się w obecnych czasach minimum jakie powinniśmy wymagać od agenta zabezpieczeń. Niestety nie pozwala na bardzo elastyczną konfigurację, w szczególności jeśli są osobne działy od zabezpieczeń, administratorów systemu oraz administratorów MDM. Daje dobre, choć dość podstawowe narzędzie do analizy zachowań maszyn i użytkowników, wzorem zdalnego Process Monitora – na szczęście rozszerza tą funkcjonalność przez analizę chmurową i pomaga zidentyfikować podejrzane pliki dając globalne i statystyki naszej organizacji. 

W artykułach publikowanych przez Microsoft wydaje się przewodzić oczekiwanie, że nowa infekcja nie jest możliwa do zatrzymania, a ich algorytmy Deep Learning bazują na zainfekowaniu przynajmniej kilku końcówek i badaniu zdarzeń. 

Korzystając z tego rozwiązania należy mieć na uwadze że potrzebujemy ekspertów zabezpieczeń, którzy będą prowadzić ciągłą inspekcje. Wniosek taki wyciągam po wynikach autonomicznych testów Defendera, które opublikuje w następnym artykule. 

Powiązane posty

Projects & Consulting

My Way Capgemini – rozmowa z Wojciechem Kopyckim

Date icon 2021-06-16

Poznaj tajniki pracy architekta oprogramowania w Capgemini

Projects & Consulting

What benefits will the Cloud bring to your business?

Date icon 2021-06-01

Learn about the most important operational principles in a Cloud environment

Projects & Consulting

Jakie korzyści przyniesie chmura w biznesie?

Date icon 2021-06-01

Poznaj najważniejsze zasady operacyjne w środowisku chmurowym