Windows Defender Advanced Threat Protection — что это за программа и нужна ли она? (MsSense.exe)

Приветствую друзья!

Сегодня мы поговорим о программе Windows Defender Advanced Threat Protection — узнаем что она из себя представляет, зачем нужна. Поехали!

Windows Defender Advanced Threat Protection — что это?

Windows Defender Advanced Threat Protection (ATP) — агент защитника Windows, представляющий единую платформу превентивной защиты, обнаружения взломов, автоматического изучения и устранения (так понимаю угроз). Вот такая официальная информация содержится на сайте Майкрософт.

Если короткой — Windows Defender Advanced Threat Protection это некий компонент виндовского защитника, обеспечивающий дополнительную защиту.

Также на офф сайте сказано — этот агент защищает ваш бизнес от сложных угроз. Возможно данная защита больше направлена на коммерческие ПК, чем на домашние. Например этой защитой пользуются компании DB Schenker, Metro CSG, Emirates Airlines, MSC Mediterranean Shipping Company и другие компании. Разумеется все довольны, их отзывы есть на офф сайте Microsoft.

Основные возможности

Давайте попробуем понять основные возможности этой защиты — просто инфа в интернете как бы есть, но она раскидана и расплывчата. Я буду опираться на офф сайт Microsoft.

1. Установка не требуется, нет проблем с совместимостью, постоянное обновление, размещается в облаке. Видимо имеется ввиду что это облачный сервис, поддерживает все актуальные версии Windows, данные постоянно обновляются.
2. Функции мониторинга — позволяют детально изучить процесс защиты, угрозы, получить всю подробную информацию. Поддерживается взаимодействие с с Intelligent Security Graph (Microsoft).
3. Автоматическая защита — время от предупреждения до устранения угрозы может занимать считанные минуты. Все как бы хорошо, но мне кажется, что реакция должна быть быстрее, или не?
4. Синхронизация — поддерживается распространение информации в Microsoft 365 на все устройства, всем пользователям для ускорения ответных мер. Скорее всего это касается устройств/юзеров, которые подключены к одной сети, например корпоративной. Либо к одной какой-то сетевой группе.
5. Помогает защитить конечные точки от кибер-угроз, обнаруживает сложные атаки, утечки данных, автоматизирует процесс реагирования, повышает общую безопасность. Агент ATP сертифицирован в соответствии со стандартом ISO 27001.
6. Устраняет уязвимые области (в числе и уязвимость нулевого дня), тем самым предотвращая использование их вирусами и хакерами при атаках.
7. The Intelligent Security Graph (ISG) — обеспечивает данными, которые необходимы при защите от самых сложных видов угроз — вирусного ПО, бесфайловых и прочих видов атак.
8. Присутствует функция отслеживания поведения, использующая машинное обучение для обнаружения атак. В наличии инструмент SecOps для исследования угроз.
9. Поддержка системы репутации файлов и веб-сайтов. Хакерские сайты, мошеннические, и просто файлы, зараженные вирусом — будут обнаруживаться, пользователь будет предупрежден.
10. Антивирус на базе облачных технологий защищает от известных и неизвестных угроз.

Это только основные возможности. О всех писать нет смысла — не всем они будут понятны, разве что только системным администраторами. Смотря что умеет эта защита, можно делать вывод — она точно излишня для домашних, обычных юзеров. Вирусы, которым способна дать отпор данная защита — просто не водятся на обычных ПК.

Поддерживаемые операционки

Семейство	Название
Windows Servers	Windows Server 2016, Windows Server 2012 R2
Поддерживаемые версии Windows	Windows 10, Windows 8.1, Windows 7 SP1
Другие платформы (через партнеров)	Android, iOS, macOS, Linux

В общем ребята — не вижу смысла вас дальше грузить этой инфой. Думаю всем все понятно — Windows Defender Advanced Threat Protection это инструмент, направлен на обеспечение повышенной безопасности, которая нужна больше бизнесу, чем обычному домашнему ПК. Кроме бизнеса, может использовать думаю в:

• Организациях, например где проводятся финансовые операции.
• Банки, их филиалы, отделения.
• Учебные учреждения.
• В разных компаниях.

Снова вывод — используется там, где данные на ПК имеют особую ценность. То есть даже вы дома можете использовать эту защиту, если у вас.. например мега ценная инфа финансового характера.

Windows Defender Advanced Threat Protection — внешний вид

Давайте посмотрим на эту программу — ее внешний вид, интерфейс.

Вот собственно часть админки:

Видим, что есть много кнопок, функция, чтобы контролировать безопасность в реальном времени. Я так понимаю что на главной странице будет отображена самая важная инфа, вот на картинке выше пример — написано Malicious memory artifacts found, что означает — найдены вредоносные артефакты памяти.

Я так понимаю что всю аналитику, мониторинг, наблюдение — можно вести в интернете:

Видим графики, всякие диаграммы.. А вот само меню админки:

Как видим — полный отчет о действиях, всякие настройки, лог оповещений.. думаю для домашнего юзера это будет слишком сложным да и лишним делом.. все это следить, проверять..

Отключение

Оказывается существует служба — Windows Defender Advanced Threat Protection Service, сервисное/внутреннее название которой — Sense. Русское название такое — Служба Advanced Threat Protection в Защитнике Windows:

В описании так и сказано — помогает защитить от дополнительных угроз посредством наблюдения и отчетности о событиях.

На скриншоте видно — кнопка Запустить активна, меню Тип запуска — тоже активно. Не заблокировано. Значит можно в целях эксперимента эту службу отключить, если например эта защита вызывает нагрузку на ПК, либо компьютер просто тормозит.

Отключить службу просто:

1. Два раза нажимаем по службе.
2. Нажимаем кнопку Остановить.
3. В менюшке Тип запуска выбираем Отключена (чтобы она потом сама не запускалась).

Запустить окно со списком служб тоже просто:

1. Зажимаем Win + R, появится окошко Выполнить.
2. Пишем команду services.msc.
3. Откроется окно где будут перечислены все службы — как виндовские, так и сторонние.

Папка

Кстати, у меня оказалось тоже есть эта служба! И она у меня отключена:

Кстати работает служба под процессом MsSense.exe.

Но кроме службы также нашел папку эту:

C:\Program Files\Windows Defender Advanced Threat Protection

Внутри файлы, которые.. думаю используются защитой, по крайней мере вижу MsSense.exe, под которым работает служба. Файлы SenseSampleUploader.exe и SenseCncProxy.exe очень похожи на компоненты, связанные с обновлением и работой прокси.

Заключение

Мы сегодня пообщались немного о продвинутой защите, которая:

• Предназначена скорее всего для бизнеса, корпоративных компаний, где нужна повышенная защита данных.
• Обычным юзерам — вряд ли нужна.
• Опция отключения — доступна. Значит можно попробовать отключить. Думаю точку восстановления перед этим создавать необязательно.. хотя можно и создать — делов то на 1 сек..

Надеюсь информация пригодилась. Удачи и добра! До новых встреч!

Microsoft Defender для конечной точки Microsoft Defender for Endpoint

Область применения: Applies to:

Хотите испытать Microsoft Defender для конечной точки? Want to experience Microsoft Defender for Endpoint? Зарегистрився для бесплатной пробной. Sign up for a free trial.

Дополнительные сведения о возможностях и функциях Windows 10 Enterprise Edition см. в выпуске Windows 10 Enterprise. For more info about Windows 10 Enterprise Edition features and functionality, see Windows 10 Enterprise edition.

Microsoft Defender for Endpoint — это корпоративная платформа безопасности конечной точки, предназначенная для предотвращения, обнаружения, обнаружения, обнаружения и реагирования на расширенные угрозы. Microsoft Defender for Endpoint is an enterprise endpoint security platform designed to help enterprise networks prevent, detect, investigate, and respond to advanced threats.

Defender for Endpoint использует следующую комбинацию технологий, встроенных в Windows 10 и надежную облачную службу Майкрософт: Defender for Endpoint uses the following combination of technology built into Windows 10 and Microsoft’s robust cloud service:

Датчики поведения конечной точки. Встроенные в Windows 10, эти датчики собирают и обрабатывает поведенческие сигналы из операционной системы и отправляют эти данные датчика в частный изолированный облачный экземпляр Microsoft Defender для endpoint. Endpoint behavioral sensors: Embedded in Windows 10, these sensors collect and process behavioral signals from the operating system and send this sensor data to your private, isolated, cloud instance of Microsoft Defender for Endpoint.

Аналитика облачной безопасности: использование больших данных, обучения устройствам и уникальной оптики Microsoft в экосистеме Windows, корпоративных облачных продуктов (например, Office 365) и сетевых активов, поведенческие сигналы преобразуются в аналитические сведения, обнаружения и рекомендуемые ответы на расширенные угрозы. Cloud security analytics: Leveraging big-data, device-learning, and unique Microsoft optics across the Windows ecosystem, enterprise cloud products (such as Office 365), and online assets, behavioral signals are translated into insights, detections, and recommended responses to advanced threats.

Сведения об угрозах. Созданные охотниками Майкрософт, группами безопасности и дополненные сведениями об угрозах, предоставляемыми партнерами, сведения об угрозах позволяют Defender for Endpoint определять средства, методы и процедуры злоумышленника, а также создавать оповещения при их наблюдении в собранных данных датчиков. Threat intelligence: Generated by Microsoft hunters, security teams, and augmented by threat intelligence provided by partners, threat intelligence enables Defender for Endpoint to identify attacker tools, techniques, and procedures, and generate alerts when they are observed in collected sensor data.

Microsoft Defender для конечной точки

Microsoft Defender for Endpoint

Управление & уязвимостей Threat & Vulnerability Management	Уменьшение поверхности атаки Attack surface reduction	Защита следующего поколения Next-generation protection	Обнаружение конечных точек и реагирование Endpoint detection and response	Автоматическое расследование и исправление Automated investigation and remediation	Эксперты по угрозам Майкрософт Microsoft Threat Experts
Централизованная конфигурация и администрирование, API Centralized configuration and administration, APIs
Защита от угроз Майкрософт Microsoft Threat Protection

• Узнайте о последних улучшениях в Defender для конечной точки: что нового в Microsoft Defender для конечной точки. Learn about the latest enhancements in Defender for Endpoint: What’s new in Microsoft Defender for Endpoint.
• В недавней оценке MITRE Microsoft Defender for Endpoint продемонстрировала передовые в отрасли возможности оптики и обнаружения. Microsoft Defender for Endpoint demonstrated industry-leading optics and detection capabilities in the recent MITRE evaluation. Read: Insights from the MITRE ATT&CK-based assessment. Read: Insights from the MITRE ATT&CK-based evaluation.

Управление & уязвимостей Threat & Vulnerability Management
Эта встроенная возможность использует подход к обнаружению, приоритетизации и исправлению уязвимостей конечной точки и неправильной оценки с учетом изменения рисков на основе игры. This built-in capability uses a game-changing risk-based approach to the discovery, prioritization, and remediation of endpoint vulnerabilities and misconfigurations.

Сокращение направлений атак Attack surface reduction
Набор возможностей уменьшения поверхности атаки обеспечивает первую линию защиты в стеке. The attack surface reduction set of capabilities provides the first line of defense in the stack. Обеспечивая правильное настройку параметров конфигурации и применяя методы смягчения последствий, возможности сопротивляются атакам и эксплуатации. By ensuring configuration settings are properly set and exploit mitigation techniques are applied, the capabilities resist attacks and exploitation. Этот набор возможностей также включает защиту сети и веб-защиту,которые регулируют доступ к вредоносным IP-адресам, доменам и URL-адресам. This set of capabilities also includes network protection and web protection, which regulate access to malicious IP addresses, domains, and URLs.

Защита нового поколения Next-generation protection
Чтобы еще больше усилить периметр безопасности сети, Microsoft Defender для конечной точки использует защиту следующего поколения, предназначенную для улавливания всех типов возникающих угроз. To further reinforce the security perimeter of your network, Microsoft Defender for Endpoint uses next-generation protection designed to catch all types of emerging threats.

Обнаружение и устранение угроз на конечных точках Endpoint detection and response
Для обнаружения, расследования и реагирования на расширенные угрозы, которые могли оказаться за первыми двумя столпами безопасности, вложены возможности обнаружения конечных точек и их реагирования. Endpoint detection and response capabilities are put in place to detect, investigate, and respond to advanced threats that may have made it past the first two security pillars. Расширенный способ охоты предоставляет средство для поиска угроз на основе запросов, которое позволяет упреждающий поиск нарушений и создание настраиваемого обнаружения. Advanced hunting provides a query-based threat-hunting tool that lets you proactively find breaches and create custom detections.

Автоматическое исследование и защита Automated investigation and remediation
В сочетании с возможностью быстрого реагирования на расширенные атаки Microsoft Defender for Endpoint предлагает возможности автоматического расследования и устранения, которые помогают уменьшить объем оповещений в минутах масштабирования. In conjunction with being able to quickly respond to advanced attacks, Microsoft Defender for Endpoint offers automatic investigation and remediation capabilities that help reduce the volume of alerts in minutes at scale.

Defender for Endpoint включает microsoft Secure Score for Devices, чтобы помочь вам динамически оценить состояние безопасности корпоративной сети, определить незащищенные системы и принять рекомендуемые действия для повышения общей безопасности организации. Defender for Endpoint includes Microsoft Secure Score for Devices to help you dynamically assess the security state of your enterprise network, identify unprotected systems, and take recommended actions to improve the overall security of your organization.

Эксперты Майкрософт по угрозам Microsoft Threat Experts
Новая служба управляемой охоты на угрозы Microsoft Defender для конечной точки обеспечивает активную охоту, приоритеты и дополнительные сведения, которые расширяют возможности центров операций безопасности (SOCs) для быстрого и точного реагирования на угрозы. Microsoft Defender for Endpoint’s new managed threat hunting service provides proactive hunting, prioritization, and additional context and insights that further empower Security operation centers (SOCs) to identify and respond to threats quickly and accurately.

Защитник для клиентов конечных точек должен обратиться в службу управляемой охоты на угрозы microsoft Threat Experts для получения активных уведомлений о целевых атаках и для совместной работы с экспертами по запросу. Defender for Endpoint customers need to apply for the Microsoft Threat Experts managed threat hunting service to get proactive Targeted Attack Notifications and to collaborate with experts on demand. Эксперты по запросу — это служба надстройки. Experts on Demand is an add-on service. Целевые уведомления о атаке всегда включаются после того, как вы были приняты в службу управляемых угроз Microsoft Threat Experts. Targeted Attack Notifications are always included after you have been accepted into Microsoft Threat Experts managed threat hunting service.

Если вы еще не зарегистрированы и хотите испытать его преимущества, перейдите в параметры > Общие > расширенные функции > Microsoft Threat Experts для применения. If you are not enrolled yet and would like to experience its benefits, go to Settings > General > Advanced features > Microsoft Threat Experts to apply. После его 30-дневного использования вы получите преимущества целевых уведомлений об атаке и запустите 90-дневную пробную работу экспертов по запросу. Once accepted, you will get the benefits of Targeted Attack Notifications, and start a 90-day trial of Experts on Demand. Свяжитесь со своим представителем Майкрософт, чтобы получить полный список экспертов по подписке На запрос. Contact your Microsoft representative to get a full Experts on Demand subscription.

Централизованная конфигурация и администрирование, API Centralized configuration and administration, APIs
Интеграция Microsoft Defender для конечной точки в существующие процессы. Integrate Microsoft Defender for Endpoint into your existing workflows.

Интеграция с решениями Майкрософт Integration with Microsoft solutions
Defender for Endpoint напрямую интегрируется с различными решениями Майкрософт, в том числе: Defender for Endpoint directly integrates with various Microsoft solutions, including:

• Центр безопасности Azure Azure Security Center
• Azure Sentinel Azure Sentinel
• Intune Intune
• Microsoft Cloud App Security Microsoft Cloud App Security
• Microsoft Defender для удостоверений Microsoft Defender for Identity
• Microsoft Defender для Office Microsoft Defender for Office
• Skype для бизнеса Skype for Business

Microsoft 365 Defender Microsoft 365 Defender
С помощью Microsoft 365 Defender, Defender for Endpoint и различных решений безопасности Майкрософт формируется единый пакет корпоративной защиты до и после нарушения, который интегрируется в конечную точку, удостоверение, электронную почту и приложения для обнаружения, предотвращения, расследования и автоматического реагирования на сложные атаки. With Microsoft 365 Defender, Defender for Endpoint and various Microsoft security solutions form a unified pre- and post-breach enterprise defense suite that natively integrates across endpoint, identity, email, and applications to detect, prevent, investigate, and automatically respond to sophisticated attacks.