近期微軟對於資安防護可說是相當積極,推出多款解決方案,像是Advanced Threat Analytics(ATA)、Cloud App Security等,而對於端點進階威脅偵防措施的強化,微軟在新發布的Windows 10企業版租賃方案中,添加了Windows Defender Advanced Threat Protection(WDATP),試圖透過端點電腦,強化企業對於進階威脅的防護。
就取得方式而言,WDATP必須基於Windows 10企業版E5授權取得,租用費用為每個使用者每月483元,換算成每年費用為5,796元,但每個使用者授權最多可在5臺電腦使用,在這個情況下,每臺端點電腦最低一年平均只要不到1,200元。這個價格,比起許多EDR產品的單價都來得便宜,形同買EDR送作業系統授權。
雖然WDATP必須隨著Windows 10企業版授權訂購,但原廠還是單獨提供試用版,申請流程需要大約一個星期的審核時間。一般人若要申請試用,假如填寫的電子郵件位址並非微軟認可的公司信箱,或是遇到原廠審核未通過等情況,仍需要透過經銷商協助。
搭配Windows 10作業系統企業版E5,微軟提供的專屬端點進階防護機制
值得注意的是,WDATP採用雲端主控臺架構,只要端點電腦能夠連接到網際網路,就能執行,但只有執行Windows 10特定版本的電腦(專業版、企業版、教育版,以及LTSB長期支援版),才能受到防護。
在部署的方式中,由於代理程式已經內建於新版Windows 10作業系統,因此只需下載指令檔,使用管理員權限在端點電腦執行後,這些電腦就受到WDATP的管理。而在上述從單機執行指令檔之外,WDATP也提供透過群組原則,或是針對System Center Configuration Manager(SCCM)、Intune等端點電腦管理工具部署的指令檔案,快速將企業列管的Windows 10端點電腦,納入WDATP的防護範圍。
WDATP主要的功能,是將可疑的執行記錄彙整成事件,接著,他們會整合到作業系統內建的Windows Defender特徵碼中,由防毒軟體執行自動阻擋機制。
然而,WDATP目前主要的遠端反制措施,像是封鎖端點電腦或是刪除有問題的檔案,還是必須額外搭配像是SCCM、Intune等端點控管軟體,才能達成。在2017年初的Windows 10 Creator Update新版本中,微軟計畫為WDATP加入相關的反制能力。
此外,對於來自ATA與Office 365 Advanced Threat Protection的威脅情資,下一代的WDATP也將能夠整合接收,藉此提供WDATP更多的偵察能力,找出像是來自電子郵件等社交攻擊的源頭。
儀表板可快速總覽重大警示與系統運作狀態的情形,以及惡意軟體的威脅情資
管理者只要登入WDATP的雲端主控臺,就能檢視所有企業端點電腦受到威脅的情形。在儀表板中,管理者可檢視系統事件警示、疑似有風險的端點電腦,並將警示通知的嚴重程度分成高、中、低等3種等級。
在警示通知之外,這裡也提供WDATP系統運作的狀態,以及端點電腦回報至主控臺的情況,管理者也可看到在30天之內,每天與主控臺連線的電腦數量。
值得一提的是,管理者也能在這個儀表板中,檢視列管的端點電腦裡,有那些較為活躍的惡意程式。不過,這個報表的情資,其實是來自Windows內建的防毒軟體Windows Defender運作的情形,因此端點電腦必須開啟這套防毒軟體,WDATP的儀表板才會顯示惡意程式相關資訊的報表。
同時呈現端點威脅情勢與系統運作狀態
在WDATP的儀表板中,主要提供事件警示的資訊,這裡主要以兩種類型指標顯示,包含處理的狀態(新進與處理中事件),與需要留意的端點電腦清單。此外,這裡也能檢視分析平臺與列管端點運作的狀態。
提供可疑行為各階段詳細資料,以利進階調查
在WDATP的管理平臺中,管理者可由儀表板警示的事件或端點電腦進行調查,主控臺可呈現詳細的事件發生步驟,並將多筆記錄彙整成為事件,提供管理者調查整個攻擊事件的源頭。
假如管理者以疑似發生問題的電腦進行調查,管理平臺首先呈現單一端點電腦的主要資料,包含電腦名稱、所屬網域、作業系統版本,以及內部與外部的IP位置,在同類型偵防產品中,像WDATP能同時提供這兩種IP位置的資料的產品並不多,而這樣的機制,或許更有利於事件源頭的追溯。
接著,WDATP列出了這臺電腦中的執行各種行為的記錄,包含執行的處理程序、受到修改的登錄檔與檔案等資訊,系統也會標示其中可能具有風險的行為,管理者就能從這些記錄加以調查。例如,WDATP發現發動攻擊的加密勒索軟體來源,可能是一個看起來沒有傷害性的檔案,但透過它了開通後門之後,駭客便將加密勒索軟體送到電腦並且執行。
在彙整相關事件記錄之餘,有別於大多數的同類型產品,WDATP提供進一步的相關說明,包含指出疑似攻擊的手法類型,描述公司受到此種攻擊會造成的影響,並提出排除問題的建議步驟,即使不具相關知識背景的管理人員,也能對事件進行回應。
WDATP特色總覽
針對可疑事件的呈現,WDATP能彙整端點和事件的關連,管理者可檢視端點電腦發生事件的狀態,並追查其中相關的行為記錄,以及針對指定的可疑處理程序,探索牽連到的電腦端點與檔案範圍。
以階層方式顯示事件發生的詳細過程
在事件記錄列表中,管理者針對其中的單一記錄,點選展開之後,WDATP主控臺便會用階層式的圖文並茂手法,提供其中的詳細資訊。以圖中記事中執行的SVCHOST.EXE來說,WDATP列出其雜湊值、檔案路徑,以及執行的指令等,供進一步調查之用。
提供端點電腦狀態摘要資訊
針對WDATP列管的電腦,主控臺不只顯示電腦名稱、網域與作業系統版本,也提供內部與外部IP位址等相關資訊,以利於管理者調查之用,但目前並無法顯示較為詳細的作業系統版本資訊,像是語系、細部版本資訊等進一步的內容。
以攻擊鏈呈現事件影響範圍,並提供逐步處理指南
針對疑似攻擊事件的彙整中,WDATP提供了攻擊類型的說明,與建議處置措施,讓管理者可依循指示,清除或是追查可能有問題的檔案。而這裡也以攻擊鏈呈現整起事件中,所有受到影響的端點電腦,以及其中的檔案,藉此縮小管理者需要調查的範圍。
產品資訊
微軟WDATP
● 原廠:微軟(02)3725-3888
● 建議售價:包含WDATP的Windows 10企業版E5方案,每人每月為483元
● 伺服器部署形式:雲端主控臺
● 管理功能:端點AD整合、警示通知
● 支援端點平臺:Win 10
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】