Microsoft har annonceret flere nye funktioner til Microsoft Defender. De nye funktioner vil beskytte enheder mod avancerede angreb og nye trusler, sagde virksomheden mandag.
Sikkerhed aktiveret som standard
Indbygget beskyttelse er generelt tilgængelig for alle enheder, der bruger Microsoft Defender for Endpoint, ifølge Microsoft.
Indbygget beskyttelse er et sæt standardsikkerhedsindstillinger for Microsofts endpoint-sikkerhedsplatform for at beskytte enheder mod ransomware-angreb og andre trusler. Sabotagebeskyttelse, som registrerer uautoriserede ændringer, der foretages i sikkerhedsindstillinger, er den første standardindstilling, der aktiveres, ifølge en Microsoft 365 videnbaseartikel. Sabotagebeskyttelse forhindrer uautoriserede brugere og ondsindede aktører i at foretage ændringer i sikkerhedsindstillingerne for realtids- og cloud-leveret beskyttelse, adfærdsovervågning og antivirus.
Microsoft aktiverede manipulationsbeskyttelse som standard for alle kunder med Defender for Endpoint Plan 2- eller Microsoft 365 E5-licenser sidste år.
Virksomhedsadministratorer har mulighed for at tilpasse indbygget beskyttelse, såsom at indstille manipulationsbeskyttelse for nogle, men ikke alle enheder, slå beskyttelse til eller fra på en individuel enhed og midlertidigt deaktivere indstillingen til fejlfindingsformål.
Zeek kommer til forsvarer
Microsoft samarbejdede også med Corelight for at tilføje Zeek integration til Defender for Endpoint, der hjælper med at reducere den tid, der kræves til at opdage netværksbaserede trusler. Med Zeek, et open source-værktøj, der overvåger netværkstrafikpakker for at afdække ondsindet netværksaktivitet, kan Defender scanne indgående og udgående trafik. Zeek-integrationen gør det også muligt for Defender at registrere angreb på ikke-standardporte, vise advarsler for spray-angreb med adgangskode og identificere forsøg på netværksudnyttelse såsom PrintNightmare.
"Integrationen af Zeek i Microsoft Defender for Endpoint giver en kraftfuld evne til at detektere ondsindet aktivitet på en måde, der forbedrer vores eksisterende endpoint-sikkerhedskapaciteter, samt muliggør en mere præcis og fuldstændig opdagelse af slutpunkter og IoT-enheder," sagde Microsoft.
Zeek vil ikke erstatte traditionel netværksdetektions- og responsteknologi, da den er designet til at fungere som en komplementær datakilde, der leverer netværkssignaler. "Microsoft anbefaler, at sikkerhedsteams kombinerer begge datakilder - slutpunkt for dybde og netværk for bredde - for at opnå fuld synlighed på tværs af alle dele af netværket," sagde virksomheden.
Opdag firmwaresårbarheder
Relateret, Microsoft har givet nogle flere detaljer om Microsoft Defender Vulnerability Management-tjenesten, som i øjeblikket er tilgængelig under offentlig forhåndsvisning. Når den bliver offentlig tilgængelig, sælges tjenesten som et selvstændigt produkt og som en tilføjelse til Microsoft Defender for Endpoint Plan 2.
Microsoft Defender Vulnerability Management kan nu vurdere sikkerhed for enhedens firmware og rapporter, hvis firmwaren mangler sikkerhedsopdateringer for at rette sårbarheder. IT-professionelle vil også få "afhjælpningsinstruktioner og anbefalede firmwareversioner at implementere," ifølge en Microsoft-artikel om sårbarhedshåndteringstjenesten.
Hardware- og firmwarevurderingen viser en liste over hardware og firmware i enheder på tværs af virksomheden; en opgørelse over anvendte systemer, processorer og BIOS; og antallet af svagheder og udsatte enheder, sagde Microsoft. Oplysningerne er baseret på sikkerhedsråd fra HP, Dell og Lenovo og vedrører kun processorer og BIOS.
