跳過主内容

Microsoft Defender Antivirus:12個您需要它的原因

Detect and Response Team (DART)

若要制定正確的網路安全策略,您需要在防護和便利性之間取得微妙的平衡。若著重其中一側,則會造成失衡。在安全性的領域,多半可能因為業務操作性與效率目的,導致平衡偏向於便利性。不幸的是,過於重視便利性可能會導致大規模的安全事件和資料外洩。

Microsoft Detection and Response Team(DART)希望組織在處理客戶安全事件和違規時,避免犯下常見錯誤和問題。在此部落格文章中,我們希望能分享在端點安全性常見的不足中所汲取的教訓和學習。了解這些能夠幫助您確定安全性控制和流程的優先順序。

注意:

我們推薦管理員(如安全架構施、支援人員和領導者等處理安全解決方案者)閱讀本文中的資訊。將這些建議納入考慮,並決定是否應用,或是否有任何充分原因不採用這些建議。

瞭解第三方防毒軟體與 Microsoft Defender Antivirus 併用可能帶來的影響

在Windows 10裝置上,Microsoft Defender Antivirus 為作業系統的一部分,且預設為啟用狀態。但是,在受到非 Microsoft 防毒(AV)或防惡意軟體應用程式保護於同一端點上,Microsoft Defender 防毒將自動停用。確認現有的AV解決方案與備案支援,對於瞭解您目前的防護等級、開啟並積極保護組織的解決方案相當重要。當 DART 抵達現場時,客戶提出的第一個問題通常是:「為什麼 Defender 沒有阻止這一切?」Microsoft Defender Antivirus 擁有整個團隊致力於威脅情報更新,即時分析和偵測支援。次要支援則會使 Microsoft Defender Antivirus 與相關支援遭到停用(請參考您應該將Microsoft Defender防病毒軟體與Microsoft Defender for Endpoint併用的11個原因。)

已註冊 Microsoft Defender for Endpoint,並將非 Microsoft 防毒解決方案作為主要 AV 的 Windows 10 客戶端裝置,Microsoft Defender Antivirus 將以被動模式運行,讓主要AV可以進行即時防護。重要:當 Microsoft Defender Antivirus 處於被動模式時,不會進行即​​時防護和修復威脅。即使 Microsoft Defender 防毒通過安全情報更新和產品更新處於被動模式,客戶仍應保持最新狀態。這樣做的原因有很多,其中之一是若攻擊者設法停用主要的第三方防毒軟體,則 Defender 防毒軟體可能會偵測到主要防毒軟體已經遺失,並自行啟動以保護系統。它的作用為備用的防毒軟體。Defender for Endpoint的Endpoint Detection and Response (EDR) 將執行隔離和補救功能。實際上,大多數調查都是從 EDR 開始的,因為端點上的可疑活動已通過沙箱,並允許安全操作人員進行分析。AV 僅能阻止已知威脅,但基於行為的威脅則需要 EDR 技術提供的進階防禦功能。

在Windows Server 2016 或 2019 版本中,若您安裝了第三方防毒產品,Microsoft Defender Antivirus 將不會自動進入被動模式。若您在 Windows Server 上安裝了第三方防毒產品,您應手動將 Microsoft Defender Antivirus 設定為被動模式,以防止在一台裝置上安裝多個防毒產品而引發的問題。在系統上具有多個防毒解決方案,可能會佔用大量資源,並導致系統效能問題。

 您能夠從 Microsoft Defender Antivirus 與 Defender for Endpoint 獲得什麼

儘管客戶可以選擇將非 Microsoft 防毒解決方案與 Defender for Endpoint 結合使用,但若合併使用 Defender Antivirus 和 Defender for Endpoint,可以透過以下功能強化端點防護,並最大化地提高投資報酬率:

  1. 回饋迴路阻攔:回饋攔阻又稱為快速防護,是 Microsoft Defender for Endpoint 中行為阻止和遏制功能的一部分。 當 Microsoft Defender Antivirus 偵測到可疑行為或文件時,會將其資訊送至多個分類器。快速防護環引擎會調查和連結資訊與其他信號,以決定是否阻止這個文件。檢查和分類發生的速度很快。它可以迅速封鎖已確認的惡意軟體,並在整個生態系統中提供防護。您組織中的裝置能透過回饋環的阻止,避免遭受攻擊。
  2. 網路防護:網路保護是一項功能,讓客戶可以手動或透過威脅情報允許或阻止特定的URL和IP位置。它有助於防止應用程式存取惡意網域。若您未啟用我們的防毒功能,則無法使用此功能。您可以在 Microsoft Defender Security Center 中取得更多關於網路防護活動與阻止的資訊,安全團隊也可以在此運行進階搜尋,採取更主動的安全性方式。
  3. 第一次看見時封鎖:第一次看見時封鎖提供一種在幾秒鐘內偵測,並阻止新型惡意軟體的方法。當Microsoft Defender Antivirus 遇到可疑但未被偵測到的文件時,會在雲端防護後端進行查詢。雲端後端對文件應用啟發式、機器學習和自動分析,以確定文件是否為惡意或威脅。當符合特定先決條件時,這項功能與其設定預設為啟用,但若沒有 Microsoft Defender Antivirus 將無法使用。
  4. 偵測並阻止潛在有害的應用程式:非必要的應用程式(PUA)並不被視為病毒、惡意軟體或其他類型的威脅,但是它們可能在端點上造成不利的影響。PUA也可能是因為其不良行為,被 Microsoft Defender for Endpoint 評估為較差名譽的應用程式。此功能由 Microsoft Defender SmartScreen 運作。Microsoft Defender Antivirus 會阻止偵測到的 PUA 文件以及任何下載、移動、運行或安裝它們的行為。受到阻止的PUA 文件將接著被移至隔離區。
  5. 減少攻擊面、控制資料夾存取、SmartScreen:若沒有 Microsoft Defender AV,預防性封鎖功能(如減少攻擊面規則、控制資料夾存取和 SmartScreen 警報)將無法使用。啟用 SmartScreen 的 Microsoft Defender AV 提供 Defender for Endpoint 豐富的攻擊情資以及攻擊鏈發生的告警通知。這包括如 LSASS 潛在認證竊取、低信譽評等的文件被執行、潛在勒索軟體執行等事件。
  6. 稽核紀錄:您必須了解,若沒有 Microsoft Defender Antivirus,稽核事件將無法獲得適當紀錄。若沒有適當的紀錄 ,管理員將無法使用基本管理功能,例如追蹤哪些使用者電腦具有最新的病毒定義檔。 我們也遇到了一個稽核日誌不正確的案例,因此導致網域入侵事件發生 。攻擊者破壞了一般使用者的裝置並在執行下載惡意軟體。當攻擊者重複使用已知的惡意軟體時,Microsoft Defender Antivirus 可以記錄並建立報告。沒有適當的紀錄機制時,此類報告將不會引起管理員的注意。攻擊者能夠因此繼續測試各種惡意軟體,直到發現防毒軟體無法偵測該惡意軟體時,則攻擊者開始使用這惡意軟體攻擊於其他裝置。
  7. 針對遭封鎖惡意軟體提供詳細資訊:當文件被 Microsoft Defender Antivirus 封鎖時,將記錄警報、裝置風險評估以及整個組織採取的措施。這提供了責任和回溯性。直接從 Microsoft Defender for Endpoint 允許或封鎖文件的功能目前已可供使用。這也包括要求下載或收集文件的管理功能。若第三方解決方案封鎖了惡意軟體,組織的可見性將大幅降低,可用的回應也會更少。
  8. 裝置的Microsoft Secure Score:Microsoft Secure Score 是評估組織安全狀況的一種衡量標準,數字越大代表您需要執行更多的強化措施。許多要件都需要 Microsoft Defender Antivirus 來收集基礎系統資料。若沒有 Microsoft Defender Antivirus,許多功能將受到限制,這將大幅減少可用的詳細資訊。例如,若使用了第三方防毒解決方案,則「暴露在風險中的裝置」資訊可能不準確。Microsoft Defender Antivirus 提供了詳細資訊,例如此裝置上次進行惡意軟體掃描的時間,以及防毒軟體更新時間。當您使用 Microsoft Defender Antivirus 時,此類資訊提供了更豐富的細節與背景,並透過 Secure Score 對組織的安全狀況進行更好的評估。
  9. 合規性和地理位置:Microsoft Defender Antivirus,包括 Defender for Endpoint、Microsoft Defender 中的元件和資料的地理位置,均符合 ISO 27001 的合規性。使用 Defender for Endpoint 平台時,您將獲得與地理主權(geo sovereignty)、ISO 合規性和資料保留相關的資料。您可以避免使用具有不同合規性級別的第三方供應商,或需要驗證第三方供應商合規性的潛在風險。
  10. 更佳的威脅情報:Microsoft Defender Antivirus 可以透過我們跨組件的深度整合,從 Defender EDR 偵測中學習,反之亦然。使用 Microsoft Defender Antivirus,您可以收集可疑文件,並將其發送至 Microsoft 進行分析。Microsoft 產品可以在整個企業和全球範圍內共享信號,進而成為更強大的單一平台。
  11. 篡改防護:許多惡意攻擊行為會試圖停用包括防毒保護在內的安全功能,進一步加速其惡意活動。我們在竄改防護方面的投資,有助於系統抵禦這些類型的攻擊。Microsoft Defender Antivirus 與Microsoft Defender for Endpoint 讓安全團隊能夠偵測和管理端點上的篡改意圖。Microsoft Defender Security Center 會發出篡改警報,為安全團隊提供額外資料以了解攻擊,及調查和解決這些意圖的能力。
  12. 領先業界的端點安全性:組織正在尋求使用最佳解決方案,同時精簡其安全性。Microsoft Defender for Endpoint已被業界分析人員認可為領先的端點安全產品,我們對 MITER ATT&CK 評估相關產品的性能和涵蓋範圍結果感到自豪。此外,Microsoft Defender 的防毒軟體功能在獨立的 AV 測試(如AV-TEST,AV-Comparatives和SE-Labs)中始終獲得高分

在最近的 DART 事件回應方案中,客戶使用了第三方防毒解決方案,並正在著手使用 Windows 7 進行Defender for Endpoint 的概念驗證。幾天來,一直沒有偵測到嚴重的警報。某天,Defender for Endpoint 偵測到一個著名的認證竊取工具的警告,客戶隨即展開調查。在調查過程中,我們可以明顯知道認證竊取工具是以特定方式編寫,並儲存在一個例外排除資料夾中以避開第三方防毒軟體。追蹤結果顯示,第三方防毒軟體針對最初被感染的工作站發佈了多個警報。但由於警報沒有被發送至任何地方,且 Microsoft Defender Antivirus 處於被動模式,因此未觀察到警報。攻擊者最終能建立躲避防毒偵測的工具,並設法竊取高權限帳戶認證,進而導致資料外洩。只有在環境中建立了 Windows 10 裝置,並啟用 Microsoft Defender Antivirus,並在裝置上安裝了 Microsoft Defender for Endpoint 時,才會觸發整個調查。Defender 能夠根據惡意行為快速偵測到惡意軟體。

Defender for Endpoint 感應器是設計來作為解決方案的一部分,會與其他 Microsoft 安全產品積極共享資料。導入非 Microsoft 感應器,可能會影響警報和事件情報的價值。如本文所述,結合 Microsoft Defender Antivirus 和 Defender for Endpoint 共同使用能帶來多項優點。希望上述討論所有關鍵點,值得您花時間回顧組織目前的網路安全防毒和 EDR 解決方案。

我多次從客戶的營運和管理員那裡得知,他們不知道內部在使用什麼 AV 產品、如何配置其AV解決方案、如何對AV解決方案進行故障排除以及他們支援多少不同的 AV 解決方案等等。因為擁有過多的 AV 供應商可能會導致操作風險,請考慮減少組織的AV供應商數量。

如果您仍未同時運行Microsoft Defender Antivirus和Microsoft Defender for Endpoint的價值,依舊可以在封鎖模式下的EDR獲得額外的防護層。封鎖模式下的EDR是用來在封鎖在入侵後期,可能被主要防毒解決方案遺漏的惡意行為。您可以在我們的文件或近期的部落格文章中閱讀關於此功能的更多資訊。

如果您尚未體驗到Microsoft Defender for Endpoint業界領先的安全能見度和偵測力所帶來的優勢,我們建議您立即註冊免費試用。謝謝。

參考資料

Microsoft Defender for Endpoint

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/microsoft-defen…

更多關於Windows 10Windows Server 2016Windows Server 2019中新一代防護的資訊

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-antivirus/microsoft

Microsoft Defender Antivirus相容性

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-antivirus/microsoft…

竄改防護

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-antivirus/prevent-c…

行為封鎖與遏制:將可視性轉換為防護力

https://www.microsoft.com/security/blog/2020/03/09/behavioral-blocking-and-containment-transforming-…

回饋環封鎖

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/feedback-loop-b…

封鎖模式中的端點偵測與回應

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/edr-in-block-mo…

第一次看見時封鎖

Enable block at first sight to detect malware in seconds – Windows security | Microsoft Docs

若欲瞭解原文,請至微軟官方部落格參考。