Rate this post

Windows Defender ATP – новый функционал активного обнаружения, который выявляет и блокирует вредоносную активность[3]. В отличие от других сервисов ит безопасности, которые анализируют наличие сигнатур вирусов, он контролирует функционирования системы и ищет то, что не попадает под стандартные шаблоны. Таким образом, Windows Defender ATP выявляет подозрительную активность системы.Проактивная защита от вирусовnnМодель работы основана на прогнозировании, машинном обучении, прикладном изучении и искусственном интеллекте[2]. Система может блокировать практически всю вредоносную деятельность по первому сигналу в течение миллисекунд[2].nnПримеры такой деятельности:n

  • Необычное удаленное подключение с нетипичного IP.
  • Выполнение нетипичных команд.
  • Частое выполнение команд с определенного направления.
  • Подключение необычных пользователей.
  • Подозрительный рост подключений.

WDATP включен по умолчанию и оптимизирован для поддержки различных ролей сервера[3].n

Реализация

Windows Defender ATP – это не дискретное, а глубоко встроенное приложение, которое работает вместе со всеми ролями системы. В каждой роли есть свой кусочек Windows Defender ATP, чтобы обеспечить высокую степень интеграции. Анализ подозрительной деятельности основывается на использовании локального и облачного машинного обучения[2]. Более миллиона подозрительных файлов выполняется в песочнице облака. Windows Defender ATP анализирует их поведение и использует данные в защите[1].n

Совместимость

Windows Defender ATP не требует отключения себя, чтобы подключить другой движок безопасности. Он нормально работает параллельно с другими движками и нормально на них реагирует. Поэтому, если вы не считаете, что Windows Defender ATP потребляет излишнее количество ресурсов, отключать его не обязательно. Вы можете выбрать возможность использования двух движков одновременно. Может быть конфликт, если второй движок устаревший. Windows Defender ATP реагировать не будет, но могут быть проблемы со стороны устаревшего движка.n

Работа с event

В случае если активность определяется как подозрительная, Windows Defender ATP создает event. Реагирование на возникающие event может быть сконфигурировано. В случае если появляется event, но вы считаете поведение нормальным, можно настроить ответ. Так же доступна возможность интеллектуального планирования. Система может принимать решения самостоятельно на основании ваших действий на конкретный event.n

Итог

Windows Defender ATP без сомнения прогрессивный продукт компании Microsoft. Его внедрение показывает отличные результаты (ссылка) по данным Microsoft. Отличной чертой является глубокая интеграция, совместимость с другими движками и расширенная обработка ошибок.nn1 http://www.oszone.net/28979nn2 https://cloudblogs.microsoft.com/nn3 https://docs.microsoft.com/nn