Bộ bảo vệ Microsoft dành cho điểm cuối – Bảo vệ mối đe dọa cấp doanh nghiệp

Bởi

• Alexander S. Gillis, Nhà văn và Biên tập viên kỹ thuật
• Brien Posey

Đã xuất bản:ngày 13 tháng 4 năm 2023

Bộ bảo vệ Microsoft dành cho điểm cuối -- trước đây là Tính năng chống mối đe dọa nâng cao của Bộ bảo vệ Microsoft hoặc ATP của Bộ bảo vệ Windows -- là một nền tảng bảo mật điểm cuối được thiết kế để giúp các tổ chức cấp doanh nghiệp ngăn chặn, phát hiện và ứng phó với các mối đe dọa bảo mật.

Bộ bảo vệ dành cho điểm cuối có thể giúp tổ chức ứng phó với các mối đe dọa tiềm ẩn, chẳng hạn như phần mềm độc hại hoặc phần mềm tống tiền, bằng cách sử dụng các công cụ được tích hợp trong dịch vụ Windows 10 và Azure. Những công cụ này cung cấp các tính năng điều tra, phát hiện và phản hồi bảo mật tự động, ngăn ngừa và sau vi phạm.

Defender for Endpoint trước đây được gọi là Tính năng chống mối đe dọa nâng cao của Microsoft Defender nhưng đã được đổi tên vào năm 2019 cùng với các sản phẩm khác dưới thương hiệu Defender.

Tính năng và khả năng

Bộ bảo vệ Microsoft dành cho Điểm cuối cung cấp các tính năng và khả năng bảo mật sau:

• Quản lý mối đe dọa và lỗ hổng. Việc kiểm kê phần mềm được thực hiện trên các điểm cuối trong thời gian thực. Thông tin này được dùng để phát hiện, ưu tiên và giảm thiểu các lỗ hổng bảo mật liên quan đến các ứng dụng đã cài đặt và các bản vá bị thiếu.
• Giảm bề mặt tấn công. Bề mặt tấn công tổng thể của hệ thống được giảm thiểu thông qua cách ly phần cứng và kiểm soát ứng dụng. Dữ liệu kiểm tra ứng dụng được theo dõi và loại trừ được thêm vào cho các ứng dụng cần thiết. Quy tắc giảm bề mặt tấn công cũng được sử dụng.
• Bảo vệ thế hệ tiếp theo. Defender for Endpoint thực hiện quét liên tục để phát hiện và chặn các mối đe dọa. Tính năng này sử dụng tính năng Chống vi-rút của Bộ bảo vệ Microsoft cũng như tính năng bảo vệ chống vi rút dựa trên hành vi và tính năng bảo vệ do đám mây cung cấp.
• Phát hiện và phản hồi điểm cuối. Defender for Endpoint nhóm các cuộc tấn công liên quan đến sự cố. Kiểu tổng hợp này giúp các chuyên gia bảo mật ưu tiên, điều tra và ứng phó với các mối đe dọa.
• Điều tra và khắc phục tự động. Nếu không được chọn, các điểm cuối mạng có thể tạo ra vô số cảnh báo bảo mật. Tính năng Điều tra tự động kiểm tra và giải quyết các cảnh báo, cho phép các chuyên gia bảo mật tập trung vào các nhiệm vụ khác.
• Điểm số an toàn. Defender for Endpoint sử dụng điểm bảo mật để xếp hạng cấu hình bảo mật hiện tại. Điểm này dựa trên các hạng mục bao gồm ứng dụng, hệ điều hành, mạng, tài khoản và các biện pháp kiểm soát bảo mật.
• Tấn công điểm cuối. Trước đây là các Chuyên gia về mối đe dọa của Microsoft -- Thông báo tấn công có mục tiêu, Tấn công điểm cuối là một dịch vụ săn tìm được quản lý nhằm phát hiện và ưu tiên các cuộc tấn công, bao gồm cả keylogger hoặc các cuộc tấn công mạng.
• Quản lý và API. Một tập hợp các API tích hợp Defender for Endpoint vào quy trình làm việc của tổ chức.
• Dữ liệu được chia sẻ. Bộ bảo vệ dành cho điểm cuối chia sẻ dữ liệu với các sản phẩm khác của Microsoft, bao gồm Azure Active Directory Identity Protection, Microsoft Defender dành cho Endpoint, Microsoft Defender dành cho Office 365, Microsoft Defender dành cho ứng dụng đám mây và Microsoft Defender dành cho danh tính.
• Cảm biến hành vi điểm cuối. Những cảm biến này thu thập và xử lý các hành vi từ Windows 10.
• Hỗ trợ nền tảng. Defender for Endpoint cung cấp dịch vụ bảo mật cho các hệ điều hành Windows, Linux, macOS, iOS và Android.

Người bảo vệ cho kế hoạch Điểm cuối

Windows Defender for Endpoint cung cấp hai gói chính -- Gói 1 (P1) và Gói 2 (P2). P1 là phiên bản cơ sở và P2 cung cấp mọi thứ mà P1 cung cấp nhưng bổ sung thêm một số tính năng.

P1 cung cấp các tính năng sau:

• API, thông tin bảo mật và trình kết nối quản lý sự kiện.
• Kiểm soát ứng dụng.
• Quyền truy cập thư mục được kiểm soát.
• Quyền truy cập có điều kiện dựa trên thiết bị.
• Điều khiển thiết bị như USB.
• Tường lửa điểm cuối.
• Bảo vệ mạng.
• Phần mềm chống phần mềm độc hại thế hệ tiếp theo.
• Các công cụ bảo mật thống nhất với khả năng quản lý tập trung.
• Kiểm soát web và chặn URL được phân loại.

P2 bao gồm tất cả các tính năng được đề cập trước đó, cộng thêm những tính năng sau:

• Điều tra và khắc phục tự động.
• Khả năng quản lý lỗ hổng bảo vệ.
• Phát hiện điểm cuối và phản hồi.
• Hộp cát.
• Đe dọa thông tin tình báo thông qua phân tích.

Defender for Endpoint cũng cung cấp phiên bản Defender for Business độc lập. Phiên bản này đi kèm với các tính năng quản lý mối đe dọa và lỗ hổng, giảm bề mặt tấn công, phát hiện và phản hồi điểm cuối cũng như điều tra và phản hồi tự động. Tuy nhiên, nó có tính năng lọc nội dung web và hỗ trợ đa nền tảng hạn chế.

Microsoft Defender for Business có sẵn dưới dạng đăng ký người dùng độc lập dành cho các doanh nghiệp vừa và nhỏ hoặc là một phần của Microsoft 365 Business Premium.

Bộ bảo vệ Microsoft dành cho Điểm cuối P1 được cung cấp dưới dạng giấy phép đăng ký độc lập dành cho khách hàng thương mại và giáo dục. Nó cũng được đưa vào như một phần của một số gói Microsoft 365 nhất định.

Bộ bảo vệ Microsoft dành cho Điểm cuối P2 cũng có sẵn dưới dạng giấy phép độc lập hoặc là một phần của một số phiên bản nhất định của Windows 10 và 11 Enterprise cũng như một số phiên bản nhất định của Microsoft 365.

Microsoft cung cấp bản dùng thử miễn phí cả phiên bản P1 và P2 của Microsoft Defender cho Endpoint.

Tích hợp bổ sung

Windows Defender for Endpoint có thể được tích hợp với phần mềm khác của Microsoft, bao gồm:

• Bảo vệ thông tin Azure.
• Truy cập có điều kiện.
• Microsoft Intune.
• Bộ bảo vệ Microsoft dành cho đám mây.
• Bộ bảo vệ Microsoft dành cho ứng dụng đám mây.
• Bộ bảo vệ danh tính của Microsoft.
• Bộ bảo vệ Microsoft dành cho Office.
• Microsoft Sentinel.
• Skype dành cho doanh nghiệp.

Điểm mạnh và điểm yếu

Một trong những điểm mạnh lớn nhất của Microsoft Defender dành cho Endpoint là danh sách tính năng của nó. Nó cũng có thể tạo dòng thời gian tấn công đồ họa bằng cách sử dụng dữ liệu liên quan đến một cuộc tấn công nhất định. Công cụ này cũng tương thích với các hệ điều hành khác, bao gồm Windows, Linux, macOS, iOS và Android.

Nhưng việc triển khai Defender for Endpoint của Microsoft cũng có một số điểm yếu. Ví dụ:sản phẩm sẽ tự động vô hiệu hóa phần mềm chống phần mềm độc hại khác cũng như phần mềm phát hiện và phản hồi điểm cuối hiện có trên điểm cuối. Điều này có nghĩa là tùy thuộc vào cấu hình, việc cài đặt Defender for Endpoint có thể làm suy yếu tình hình bảo mật của tổ chức nếu tổ chức đó đã cài đặt các công cụ bảo mật trước đó.

Bên ngoài môi trường Windows, Defender for Endpoint có thể gặp khó khăn khi triển khai, chẳng hạn như trên các thiết bị macOS cũ hơn. Tương tự như vậy, các hệ thống Linux có thể gặp phải tình trạng sử dụng bộ nhớ cao đối với các tác nhân điểm cuối.

Tội phạm mạng có nhiều cách để phát tán phần mềm độc hại. Tìm hiểu xem các tệp lưu trữ sử dụng định dạng ZIP và RAR đã trở thành cách phổ biến nhất để phát tán phần mềm độc hại đến máy của người dùng cuối như thế nào.

Tiếp tục đọc Giới thiệu về Microsoft Defender cho Endpoint (trước đây là Windows Defender ATP)

• So sánh các công cụ EDR dành cho Windows Server

• ATP của Bộ bảo vệ Microsoft khai thác vào đám mây để tăng cường khả năng bảo vệ

• Một số tính năng trong Microsoft Defender ATP là gì?

• Có vấn đề gì với Microsoft Defender dành cho Android và iOS?

• Microsoft mở rộng ô Defender sang Google Cloud Platform

Tìm hiểu sâu hơn về bảo mật ứng dụng và nền tảng

• 

  Kết xuất bài kiểm tra cơ bản của Microsoft 365 kết xuất MS-900

  

  Bởi:Cameron McKenzie

• 

  Cách tính chi phí Windows Hello for Business

  

  Bởi:Gary Olsen

• 

  Mật mã đường cong elip (ECC) là gì?

  

  Bởi:Rahul Awati

• 

  Tổng kiểm tra là gì?

  

  Bởi:Rahul Awati