Defender ATP 1: Attack Surface Reduction

Ez egy olyan post sorozat lesz, ahol bemutatom a Defender ATP központosított konfigurációs lehetőségeit az Microsoft Endpoint Manager admin centeren belül az Endpoint Security segítségével, valamint érinteni fogom az Azure Sentinelt, ahol részletesen nyomon követhetjük és elemezhetjük a különböző endpoint támadásokat, a KQL (Kusto Query Language) segítségével pedig összetett log lekérdezéseket tudunk létrehozni. Na vágjuk bele.

Nagyon sok támadási felület van, amiket valamely módon védenünk kell. Ezek közül az egyik a kliensek/szerverek. Erre a Microsoft-os megoldás a Defender ATP, ami egy felhős szolgáltatás a központosított kliens/szerver védelem felügyeletére. Adott Windowsokon beépítve találjuk a klineseket, más platformon külön kell telepítenünk (pl. Linux, macOS, Windows Servers)

Windows 10 (1909) esetében a beépített kliens védelmi szolgáltatásokat az alábbi képen láthatjuk.

Régen sok kritikát kapott a Windows-os “ingyenes” kliens/server védelmi szolgáltatás és adott teszteken nem igazán jó eredményeket ért el. De mi a helyzet most? Nézzünk egy sokak által elismert/ismert AVtest-et.

https://www.av-test.org

Az AV test három fő szempont szerint osztályoz:
– Védelem
– Teljesítmény
– Használhatóság

Nézzünk egy 2015 februári tesztet:

Nem túl szép 😦

2020 Áprilisi teszt:

Persze itt nem teljesen ugyanazt hasonlítjuk össze, mert 2015-ben még nem volt igazi nagyvállalati megoldása a Microsoft-nak végpontvédelemre, de azért így is szépen látszódik a fejlődés.

Csak összehasonlításképpen nézzük az AVAST és az AVG-t, akik nem most kezdték a védelmi megoldásainak fejlesztését és elég népszerűek, ők vajon mennyi pontszámot értek el? Lássuk:

Kimondhatjuk, hogy a Defender felnőtt a feladathoz 🙂

Na kanyarodjunk vissza az eredeti témához, hogyan tudjuk a Defendert központosítottan szabályozni? (A post sorozatban nem térek ki, hogy mely módokon tudjuk bekötni a klienseket a Defender ATP-be, erről itt található útmutatás:
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/onboard-configure )

Elsőnek vizsgáljuk meg milyen lehetőségeket kínál a “Attack Surface Reduction”. Lépjünk be az Intune adott részének új felületére (https://endpoint.microsoft.com) és az “Endpoint Security-n” belül kattintsunk a “Attack surface reduction” lehetőségre.

Itt különböző szabályokat tudunk létrehozni. Hozzuk létre az első szabályunkat, kattintsunk a “Create Policy-re”, majd adjuk meg az alap adatokat.

Jelenleg még “csak” Windows 10 platform érhető el. A Profile-nál adjunk egy nevet és javasolt egy leírást hozzáadni.

A “Next” gombra kattintva megjelennek az elérhető szabályok, amiket konfigurálni tudunk.
Fontos! Nem minden szabálynál, de alapértelmezetten négy konfigurálási lehetőség érhető el:
– not configured (Mint a nevében is benne van, nincs konfigurálva, tehát nem szabályozzuk központilag)
User defined (A felhasználó dönt az adott beállításról)
– Enable/block (Bekapcsolásra kerül az adott védelem vagy blokkolja a tevékenységet)
Audit mode (Az adott tevékenység logolásra kerül)

Miket tudunk szabályozni. Nézzünk egy példát. Telepítve van az Office valamely csomagja és ugye tudjuk, hogy például egy word dokumentum megnyitásával elindulhatnak olyan folyamatok, amik kártékony kódot tartalmazhatnak. Ezt blokkolni szeretnénk és erre vannak különböző szabályok:

De mi van akkor, hogyha valóban vannak olyan “gyermek” folyamatok, amiket a cégünk fejlesztett az office-hoz és ezért ezt nem szeretnénk blokkolni? Ezért ajánlott, hogy elsőnek mindeképp az adott szabályokat audit módba állítsuk, hogy lássuk, hogy vállalaton belül ehhez kapcsolódóan milyen tevékenységek zajlanak anélkül, hogy blokkolnánk a vállalat elvárt működését.

A következő ablakon a scope-ot tudjuk beállítani, de ami fontosabb az az, hogy mely csoportokra legyen érvényes az adott policy. Itt tudunk egyedi csoportot megadni vagy a képen látható előre meghatározott csoportokat.

A végén pedig összesíti az általunk választott beállításokat.

A szabályok létrehozása és érvényesítése után értesítés keletkezik a központi felügyeleti rendszeren és a kliens oldalon.

Ezzel pedig létre hoztuk az első olyan szabályt, amivel módosítani tudjuk a defender kliens oldali működést.

Folytatás következik 🙂

üdv.:
NLB

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s