Microsoft heeft verschillende nieuwe mogelijkheden aangekondigd voor Microsoft Defender. De nieuwe functies zullen apparaten beschermen tegen geavanceerde aanvallen en opkomende bedreigingen, aldus het bedrijf maandag.
Beveiliging standaard ingeschakeld
Ingebouwde bescherming is over het algemeen beschikbaar voor alle apparaten die Microsoft Defender for Endpoint gebruiken, volgens Microsoft.
Ingebouwde bescherming is een set standaard beveiligingsinstellingen voor het eindpuntbeveiligingsplatform van Microsoft om apparaten te beschermen tegen ransomware-aanvallen en andere bedreigingen. Sabotagebeveiliging, die ongeoorloofde wijzigingen in beveiligingsinstellingen detecteert, is de eerste standaardinstelling die wordt ingeschakeld, volgens een artikel in de Microsoft 365-kennisbank. Sabotage bescherming voorkomt dat ongeautoriseerde gebruikers en kwaadwillende actoren wijzigingen aanbrengen in beveiligingsinstellingen voor realtime en cloud-geleverde bescherming, gedragsbewaking en antivirus.
Microsoft heeft afgelopen jaar sabotagebeveiliging standaard ingeschakeld voor alle klanten met Defender for Endpoint Plan 2- of Microsoft 365 E5-licenties.
Enterprise-beheerders hebben de mogelijkheid om de ingebouwde beveiliging aan te passen, zoals het instellen van sabotagebeveiliging voor sommige maar niet alle apparaten, het in- of uitschakelen van de beveiliging op een afzonderlijk apparaat en het tijdelijk uitschakelen van de instelling voor probleemoplossing.
Zeek komt naar verdediger
Microsoft werkte ook samen met Corelight om toe te voegen Zeek-integratie met Defender voor Endpoint, waardoor er minder tijd nodig is om netwerkbedreigingen te detecteren. Met Zeek, een open source-tool die netwerkverkeerspakketten controleert om kwaadaardige netwerkactiviteit te ontdekken, kan Defender inkomend en uitgaand verkeer scannen. De Zeek-integratie stelt Defender ook in staat om aanvallen op niet-standaardpoorten te detecteren, waarschuwingen weer te geven voor wachtwoordspray-aanvallen en pogingen tot netwerkexploitatie zoals PrintNightmare te identificeren.
"De integratie van Zeek in Microsoft Defender for Endpoint biedt een krachtig vermogen om kwaadaardige activiteiten te detecteren op een manier die onze bestaande endpoint-beveiligingsmogelijkheden verbetert, en maakt een meer accurate en volledige ontdekking van endpoints en IoT-apparaten mogelijk", aldus Microsoft.
Zeek zal de traditionele netwerkdetectie- en responstechnologie niet vervangen, omdat het is ontworpen om te fungeren als een aanvullende gegevensbron die netwerksignalen levert. "Microsoft raadt beveiligingsteams aan beide databronnen - endpoint voor diepte en netwerk voor breedte - te combineren om volledig inzicht te krijgen in alle delen van het netwerk", aldus het bedrijf.
Detecteer firmware-kwetsbaarheden
Gerelateerd: Microsoft heeft wat meer details gegeven over de Microsoft Defender Vulnerability Management-service, die momenteel beschikbaar is als openbare preview. Wanneer deze openbaar beschikbaar wordt, wordt de service verkocht als een op zichzelf staand product en als een add-on voor Microsoft Defender voor Endpoint Plan 2.
Het Microsoft Defender Vulnerability Management kan nu de beveiliging van de firmware van het apparaat en rapporteer of de firmware beveiligingsupdates mist om kwetsbaarheden op te lossen. IT-professionals krijgen ook "herstelinstructies en aanbevolen firmwareversies om te implementeren", aldus een Microsoft-artikel over de kwetsbaarheidsbeheerservice.
De hardware- en firmware-evaluatie toont een lijst met hardware en firmware in apparaten in de hele onderneming; een inventaris van gebruikte systemen, processors en BIOS; en het aantal zwakke punten en blootgestelde apparaten, zei Microsoft. De informatie is gebaseerd op beveiligingsadviezen van HP, Dell en Lenovo en heeft alleen betrekking op processors en BIOS.
