Microsoft Defender Advanced Threat Protection (ATP)
Microsoft Defender ATP, in der Vergangenheit auch als Windows Defender ATP (Advanced Threat Protection) geführt, ist ein Cloud-Dienst, der IT-Abteilungen in die Lage versetzen soll, Angriffe auf das eigene Netzwerk möglichst früh zu erkennen.
Bei der Einführung war Defender Advanced Threat Protection zunächst auf Systeme mit Windows 10 (Pro, Education und Enterprise bestimmt). Im Laufe der Zeit wurde die Unterstützung auf Clients mit Windows 7, Windows 8.1 und auch macOS ausgedehnt. Die optimale Unterstützung bietet Windows 10, da Windows Defender ATP die im Betriebssystem integrierten Sensoren optimal nutzen kann. Die Verwaltung von Windows Defender ATP erfolgt über ein webbasiertes Dashboard. Dieses kann über Microsoft Edge, Internet Explorer 11 oder Chrome genutzt werden.
Welche Funktionen bietet Microsoft Defender Advanced Threat Protection?
Microsoft Defender ATP bietet eine Reihe grundsätzlicher Sicherheitsfunktionen:
Schwachstellen- und Bedrohungs-Management. Auf den Endpunkten wird eine Software-Inventarisierung durchgeführt. Diese Informationen werden dazu verwendet, Schwachstellen und Sicherheitslücken in Zusammenhang mit den installierten Anwendungen zu erkennen, ebenso wie fehlende Sicherheitsupdates. Darüber hinaus erfolgt eine Priorisierung dieser Schwachstellen.
Verringerung der Angriffsfläche. Hierbei wird überprüft, ob die Konfigurationen der Systeme richtig festgelegt sind. Netzwerkschutz und Webschutz sorgen dafür, dass der Zugriff auf schädliche IP-Adressen, Domänen und URLs reglementiert ist. Die Anwendungssteuerung kümmert sich darum, dass nicht mehr alle Anwendungen als vertrauenswürdig gelten, sondern nur vertrauenswürdige Applikationen ausgeführt werden dürfen.
Schutzmechanismen der nächsten Generation. Hierbei führt Defender ATP kontinuierliche Scans durch, um Bedrohungen zu erkennen und zu blockieren. Dazu gehört ein verhaltensbasierter, heuristischer und Echtzeit-Virenschutz für Windows 10, Windows Server 2016 und Windows Server 2019.
Endpunkteerkennung und -reaktion (Endpoint Detection and Response, EDR). Dabei werden von Defender ATP Benachrichtigungen beziehungsweise Vorfälle gruppiert, wenn die gleichen Angriffsmethoden erkannt werden. Diese Art der Aggregation erleichtert Sicherheitsexperten die Priorisierung, Untersuchung und Reaktion auf Bedrohungen.
Automatische Untersuchung und Problembehebung. Endpunkte im Netzwerk erzeugen unter Umständen eine Vielzahl von Sicherheitswarnungen. Windows Defender ATP nutzt eine Funktion, um diese Anzahl zu reduzieren und die wirklich relevanten Warnungen herauszufiltern. Wenn eine Benachrichtigung als relevant ausgelöst wird, kann eine automatische Untersuchung erfolgen. Wird beispielsweise eine böswillige Datei entdeckt, überprüft die automatische Untersuchung auch, ob diese Datei auf anderen Rechnern vorhanden ist. Wenn dem so ist, werden diese Rechner der Untersuchung hinzugefügt. Das Beheben des Problems kann dann von den Admins in verschiedenen Abstufungen geregelt werden.
Secure Score. Windows Defender ATP bewertet die aktuelle Sicherheitskonfiguration und erstellt daraus einen Konfigurationswert. Dabei erhalten Administratoren Hinweise, wie sie diese Sicherheitsbewertung verbessern können.
Microsoft Bedrohungsexperten (Microsoft Threat-Experten). Dieser verwaltete Suchdienst kann Unternehmen dabei unterstützen Angriffe zu erkennen und zu priorisieren. Hier wird quasi ein Security Operations Center (SOC) mit Überwachung und Analyse auf Expertenebene bereitgestellt. Anwenderunternehmen können je nach Einrichtung Sicherheitsexperten von Microsoft einbinden.
Verwaltung und APIs. Für viele der Funktionen von Windows Defender ATP sind APIs (Programmierschnittstellen) verfügbar, um die Lösung in die Abläufe des eigenen Unternehmens zu integrieren. Wird beispielsweise eine SIEM-Lösung (Security Information and Event Management) eingesetzt, kann diese über eine API auf Ergebnisse von Windows Defender ATP zugreifen.
Integration mit anderen Microsoft-Produkten. Windows Defender ATP arbeitet mit anderen Microsoft-Sicherheitslösungen zusammen beziehungsweise lässt sich integrieren, als da wären: Azure Security Center, Azure ATP, Office 365 ATP, Intune, Skype for Business und Microsoft Cloud App Security.
Welche Voraussetzungen sind für Windows Defender ATP erforderlich?
Auf den Rechnern, die überwacht werden sollen, werden folgende Windows-Versionen unterstützt: Windows 7 SP1 (Pro und Enterprise), Windows 8.1 (Pro und Enterprise), Windows 10 (ab Version 1607, Pro, Enterprise und Education). Folgende Windows-Server werden von Windows Defender ATP unterstützt: Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server Version 1803 und Windows Server 2019.
Zudem werden von Microsoft noch macOS, Linux und Android unterstützt. Hier gilt es im Einzelfall zu überprüfen, welche exakten Versionen mit Windows Defender ATP kompatibel sind.
Welche Lizenzen sind für Microsoft Defender Advanced Threat Protection (ATP) erforderlich?
Die folgenden Microsoft-Volumen-Lizenzen erlauben den Einsatz von Microsoft Defender ATP: Windows 10 Enterprise E5, Windows 10 Education a5, Microsoft 365 E5 (M365 E5), welches Windows10 Enterprise E5 umfasst und Microsoft 365 A5 (M365 a5).
