微软宣布了 Microsoft Defender 的多项新功能。 该公司周一表示,新功能将保护设备免受高级攻击和新出现的威胁。
默认启用安全性
内置保护普遍可用 据微软称,适用于所有使用 Microsoft Defender for Endpoint 的设备。
内置保护 是 Microsoft 端点安全平台的一组默认安全设置,用于保护设备免受勒索软件攻击和其他威胁。 根据 Microsoft 365 知识库文章,防篡改功能可检测对安全设置进行的未经授权的更改,是第一个启用的默认设置。 防篡改 防止未经授权的用户和恶意行为者更改安全设置,以实现实时和云交付的保护、行为监控和防病毒。
默认情况下,Microsoft 去年为所有拥有 Defender for Endpoint Plan 2 或 Microsoft 365 E5 许可证的客户启用了篡改保护。
企业管理员可以自定义内置保护,例如为部分而非所有设备设置篡改保护、在单个设备上打开或关闭保护,以及临时禁用设置以进行故障排除。
Zeek 来到 Defender
微软还与 Corelight 合作添加 Zeek 与 Defender for Endpoint 的集成,有助于减少检测基于网络的威胁所需的时间。 借助 Zeek(一种监控网络流量数据包以发现恶意网络活动的开源工具),Defender 可以扫描入站和出站流量。 Zeek 集成还允许 Defender 检测对非默认端口的攻击,显示密码喷射攻击警报,并识别 PrintNightmare 等网络利用企图。
微软表示:“将 Zeek 集成到 Microsoft Defender for Endpoint 中,可以提供强大的检测恶意活动的能力,从而增强我们现有的端点安全功能,并能够更准确、更完整地发现端点和物联网设备。”
Zeek 不会取代传统的网络检测和响应技术,因为它旨在充当提供网络信号的补充数据源。 该公司表示:“微软建议安全团队结合两种数据源——深度端点和广度网络——以获得对网络所有部分的全面可见性。”
检测固件漏洞
与此相关的是,微软提供了有关 Microsoft Defender 漏洞管理服务的更多详细信息,该服务目前在公共预览版下可用。 当它公开可用时,该服务将作为独立产品出售,并作为 Microsoft Defender for Endpoint Plan 2 的附加组件出售。
Microsoft Defender 漏洞管理现在可以评估 设备固件的安全性 并报告固件是否缺少安全更新以修复漏洞。 IT 专业人员还将获得“补救说明和建议部署的固件版本”, Microsoft 关于漏洞管理服务的文章.
硬件和固件评估将显示整个企业设备中的硬件和固件列表; 使用的系统、处理器和 BIOS 的清单; 以及弱点和暴露设备的数量,微软表示。 这些信息基于 HP、Dell 和 Lenovo 的安全建议,并且仅与处理器和 BIOS 相关。
