Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) è una piattaforma creata appositamente per prevenire, rilevare, analizzare e rispondere alle minacce avanzate. In questo articolo si riportano le funzionalità principali della soluzione, i relativi benefici e una panoramica del relativo portale.
Microsoft Defender ATP sfrutta le seguenti tecnologie per rendere i device più sicuri possibile:
- Sensori comportamentali: questi sensori, presenti nativamente su Windows 10, raccolgono ed elaborano attività comportamentali;
- Analisi della sicurezza cloud-based: utilizzando Big-data e machine-learning permette di identificare comportamenti malevoli;
- Threat Intelligence: consente ad ATP di identificare tool e tecniche di attacco in modo tale da generare avvisi quando questi vengono identificati.
Requisiti
Allo stato attuale, è possibile attivare tale funzionalità sui seguenti sistemi operativi:
- Windows 7 SP1 Enterprise
- Windows 7 SP1 Pro
- Windows 8.1 Enterprise
- Windows 8.1 Pro
- Windows 10 versione 1607 o successiva
- Windows 10 Enterprise
- Windows 10 Education
- Windows 10 Pro
- Windows 10 Pro Education
- Windows Server
- Windows Server 2008 R2 SP1
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- macOSX
- Linux
- Android
Inoltre, Microsoft Defender ATP richiede che venga associata una delle seguenti licenze Microsoft:
- Windows 10 Enterprise E5
- Windows 10 Education E5
- Microsoft 365 E5 (M365 E5) che include Windows 10 Enterprise E5
Al seguente link, è possibile consultare l’elenco completo dei requisiti minimi richiesti per l’attivazione ed il corretto funzionamento di tale funzionalità.
Microsoft Defender ATP prevede la creazione del portale Security Center (accessibile al seguente link) e relativo onboarding dei sistemi; durante la creazione del portale dedicato sarà necessario configurare i seguenti caratteristiche:
- Data Storage: Region dove verranno salvati i dati inviati dai sensori ATP;
- Retention policy: Numero di giorni;
- Preview features: Attivazione o Disattivazione delle funzionalità ancora in Preview.
Onboarding dei sistemi
L’onboarding dei sistemi varia sulla base del sistema operativo sorgente: per quanto riguarda sistemi Windows 7 e Windows 8.1 è necessario procedere con l’installazione della componente Microsoft Monitoring Agent mentre per sistemi con Windows 10, è possibile utilizzare le seguenti modalità:
- Group Policy;
- Microsoft Endpoint Configuration Manager;
- Microsoft Intune.
Una volta eseguito l’onboarding, il client sarà visibile sul portale dopo alcuni minuti:
Simulazione di attacco
Per verificare il corretto funzionamento della soluzione, Microsoft mette a disposizione (al seguente link) alcuni tool per simulare il comportamento di malware. Riportiamo qui sotto un esempio dell’esecuzione di operazioni malevoli identificate e raccolte dal portale ATP:
Una volta identificata la minaccia, Microsoft Defender ATP unitamente alla componente Windows Defender antivirus condurrà automaticamente delle operazioni di remediation per risolvere le varie anomalie:
Durante queste attività, all’utente verrà mostrato a video, attraverso apposita notifica sia su Action Center che attraverso una Toast Notification, la presenza di minacce che risultano essere state bloccate dalle impostazioni di sicurezza IT:
Al termine delle attività di remediation, tutte le segnalazioni verranno marcate come Remediated con rispettivo dettaglio delle attività condotte:
Riferimenti
Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:
Conclusioni
Microsoft Defender ATP è il prodotto di riferimento per la soluzione di Endpoint Protection; è importante sottolineare come nel 2019 Microsoft sia stata nominata da Gartner leader per le soluzioni Endpoint Protection Platforms.