Служба Advanced Threat Protection у Програмі Windows defender

На початку лютого ми розповідали вам про виявлення злочинців з допомогою служби ATP у Програмі Windows defender. В коментарях з'явилися різні питання, щодо роботи служби, тому ми вирішили поділитися докладним описом її функціоналу.



Якщо говорити коротко, то Служба ATP у Програмі Windows defender — це служба безпеки, за допомогою якої можна виявляти в своїх мережах загрози безпеки, дослідити їх і приймати відповідні заходи. Служба працює на основі вбудованої в Windows 10 комбінації технологій та хмарної служби Microsoft. До таких технологій відносяться:

  • Датчики поведінки на хостах. Ці датчики, вбудовані в Windows 10. Вони збирають і обробляють сигнали операційної системи про поведінку (наприклад, про взаємодію процесів, реєстру, файлів і мережі) і відправляють дані у ваш приватний, ізольований хмарний примірник служби ATP.
  • Хмарний аналіз безпеки. По суті дає можливість перетворювати поведінкові сигнали в аналітичні дані для виявлення загроз, а також допомагає з рекомендаціями щодо їх усунення.
  • Аналітика загроз. У Microsoft є окремі фахівці та відділи безпеки даних, в доповненні до цього використовуються аналітичні дані про погрози від партнерів. Це дозволяє службі ATP ідентифікувати засоби, технології і методи атаки. Сповіщати користувачів при виявленні відповідних ознак у зібраних даних.
Схематично ці компоненти служби представлені нижче.



Можливості служби по дослідженню хостів дозволяють отримати докладні оповіщення, зрозуміти характер та масштаб можливого вторгнення.

Служба ATP у Програмі Windows defender працює з різними технологіями Windows по забезпеченню безпеки:

  • Захисник Windows
  • AppLocker
  • Device Guard
Вона також може паралельно працювати і зі сторонніми рішеннями щодо забезпечення безпеки.

Огляд порталу Advanced Threat Protection у Програмі Windows defender
Для моніторингу і дій у відповідь на загрози можна використовувати портал ATP. Він вирішує наступні завдання:

  • Перегляд, сортування та класифікація сповіщень від хостів.
  • Пошук додаткової інформації, пов'язаної з виявленими індикаторами. Це можуть бути конкретні файли або IP – адреси.
  • Зміна різних налаштувань служби: часовий пояс та правила сповіщень.
Інтерфейс порталу включає в себе чотири основні робочі області:
  • (1) Область Налаштувань
  • (2) Область навігації
  • (3) Основною портал
  • (4) Пошук


З настройками все цілком очевидно.

У Панелі навігації доступні такі вистави як:

  • Інформаційна панель (сам дашборд, на якому відображається основна інформація);
  • Чергу сповіщень (Нові, В процесі, Дозволені і так далі).

Розділ комп'ютери відображає перелік комп'ютерів, які захищає служба ATP, і деякі відомості про них.

Налаштування пріоритетів дозволяє налаштовувати повідомлення по email або політику зберігання даних (іншими словами – скільки дані будуть зберігатися в тенанте).


У розділі управління хостами можна завантажити пакет для підготовки машин до роботи з ATP.

Служба ATP і використовує такі умовні позначення:

Оповіщення — повідомлення про активності, яка корелює з атаками підвищеної складності.

Виявлення — ознака виявленої загрози шкідливого програмного забезпечення.

Активна загроза — загрози, які активно виконувалися на момент виявлення.

Усунуто — загроза видаляється з комп'ютера.

Не усунуто — загроза не видаляється з комп'ютера.
У загальному вигляді підхід до дослідження проломи в системі безпеки за допомогою ATP можна розбити на наступні етапи:

  1. Перегляд оповіщення на інформаційній панелі або в черзі повідомлень.
  2. Аналіз індикаторів компрометації (IOC) або атаки (IOA).
  3. Аналіз часової шкали сповіщень, поведінки і подій комп'ютера.
  4. Керування оповіщеннями, розуміння загрози або потенційного злому, збір інформації для визначення необхідних дій і обробки оповіщення.


Перегляд інформаційної панелі служби Advanced Threat Protection у Програмі Windows defender
Так як роботу з ATP ми починаємо з аналізу даних на інформаційній панелі, розглянемо її більш детально. Дані про сповіщення і комп'ютерах дозволяють швидко встановити факт, місце і час підозрілої активності в мережі — це дає необхідний контекст для розуміння ситуації. Тут також відображається зведення даних про події, що допомагає ідентифікувати значущі події або поведінку на комп'ютері. Також можна відкрити докладні відомості про події та індикаторах на більш низькому рівні. Активні плитки дають візуальні підказки, що дозволяють оцінити загальний стан систем безпеки. При клацанні по такій плитці відкривається докладне подання відповідного компонента.

Оповіщення служби ATP

Якщо клацнути по плитці Оповіщення ATP відображається загальна кількість активних повідомлень служби ATP в мережі за останні 30 днів. Оповіщення розподілені на дві групи: Нові і Виконуються.



Кожна група має підкатегорії за рівнями серйозності. Клацнувши по числу всередині кожного можна вивести подання черги відповідної категорії.

Комп'ютери, що піддаються ризику

На цій плитці показаний список комп'ютерів з найбільшою кількістю активних повідомлень. Загальна кількість сповіщень для кожного комп'ютера показано в колі поруч з ім'ям комп'ютера. З протилежного боку плитки представлено кількість повідомлень, згрупованих за рівнями серйозності. Не складно здогадатися, що темний колір це більш небезпечні, а більш світлий – менше.



Плитка Статус містить інформацію про те, активна служба і є проблеми, а також про кількість комп'ютерів, які надсилали звіти в службу протягом останніх 30 днів.

Плитка Звіти від комп'ютерів містить гістограму, на якій представлено кількість комп'ютерів, що надсилали оповіщення по днях. Побачити точне число комп'ютерів, що надсилали оповіщення в певний день, можна навівши курсор на окремі стовпці гістограми.

Комп'ютери з виявленими активними шкідливими програмами

Плитка Комп'ютери з виявленими активними шкідливими програмами відображається, лише якщо у ваших кінцевих точках використовується Захисник Windows. Під активною шкідливою програмою розуміються загрози, які активно виконувалися на момент виявлення. Навівши курсор миші на кожен з рядків, ви можете побачити кількість виявлених активних шкідливих програм і кількість хостів, на яких протягом останніх 30 днів була виявлена хоча б одна активна шкідлива програма.



У схемі представлено п'ять категорій шкідливого ПЗ:

  • Програма для крадіжки паролів — загрози, спрямовані на крадіжку облікових даних.
  • Програма-шантажист — загрози, спрямовані на блокування доступу користувача до комп'ютера або файлів і вимагання грошей для відновлення доступу.
  • Експлойт — загрози, що використовують уразливості програмного забезпечення для зараження комп'ютерів.
  • Загроза — всі інші загрози, не відносяться до категорій програм для крадіжки паролів, програм-шантажистів і експлойтів. До цієї категорії відносяться трояни, черв'яки, бекдори («чорні ходи») і віруси.
  • Низький рівень серйозності — загрози з низьким рівнем серйозності, включаючи програми для показу реклами і потенційно небажані програми, наприклад модифікатори браузера.
Загрози вважаються активними, якщо існує дуже висока ймовірність, що шкідлива програма виконувалася у вашій мережі, а не просто була локально збережена на диску.

Клацнувши по будь-якій з цих категорій, можна перейти до поданням Комп'ютери, де дані будуть відфільтровані для відповідної категорії. Так можна отримати докладні відомості про те, на яких комп'ютерах виявлені активні шкідливі програми і скільки погроз зареєстровано на кожному з них.

Перегляд і впорядкування черги повідомлень Advanced Threat Protection
Керувати оповіщеннями служби ATP у Програмі Windows defender можна в рамках регулярних щоденних завдань. Оповіщення шикуються в черги у відповідності з поточним статусом.За замовчуванням оповіщення в черзі сортуються від останніх до найстарішим.В наступній таблиці та на знімку екрана наведено основні області Черги повідомлень.

Виділена область

Назва області

Опис

(1) Чергу сповіщень Виберіть показ Нових, Виконуються або Дозволених попереджень
(2) Сповіщення Кожне оповіщення містить наступні дані:
  • Рівень серйозності оповіщення у вигляді кольорового стовпця.
  • Короткий опис оповіщення, включаючи ім'я суб'єкта загрози (у випадках, коли атрибуція можлива).

  • Останній випадок відправки оповіщення будь-яким з комп'ютерів.
  • Скільки днів оповіщення знаходиться в черзі.
  • Рівень серйозності оповіщення.
  • Загальна категорія типу сповіщення або етап процесу усунення оповіщення.
  • Уражений комп'ютер (якщо їх кілька, відображається кількість уражених комп'ютерів).
  • Значок меню керування оповіщеннями, яка дозволяє оновлювати статус оповіщення і додавати коментарі.
При клацанні по оповіщенню розкривається додаткова інформація про загрозу, а на часовій шкалі виконується перехід до дати створення оповіщення.
(3) Сортування і фільтри повідомлень Сортування повідомлень можлива за такими параметрами:
  • Найновіші (за датою останнього появи загрози у вашій мережі).
  • Час у черзі (по тривалості знаходження загрози в черзі).

  • Серйозність.
Крім того, відображаються оповіщення можна відфільтрувати за параметрами:
  • Серйозність.
  • Період часу.
Чергу сповіщень можна фільтрувати та сортувати (зробити зведення), щоб виявити необхідні оповіщення на основі певних критеріїв. Для цього доступні три механізми:
  1. Сортування черзі з допомогою розкривного меню в полі Сортування з вибором одного з зазначених нижче параметрів:

    • Найновіші — сортування повідомлень по даті останньої появи в кінцевих точках.
    • Час у черзі — сортування повідомлень за тривалістю знаходження в черзі.
    • Серйозність — сортування за рівнем серйозності.
  2. Для фільтрації оповіщення за рівнем серйозності можна встановити один або декілька прапорців у розкривному меню в полі Фільтрувати:

    • Високий (червоний): загрози, зазвичай пов'язані з постійними погрозами підвищеної складності (APT). Такі оповіщення вказують на високий ризик із-за серйозності збитку, який може бути нанесений хостам.
    • Середній (помаранчевий): рідко виникаючі загрози, наприклад, аномальні зміни реєстру, виконання підозрілих файлів і поведінка характерна для різних етапів атак.
    • Низький (жовтий): загрози, пов'язані з поширеними шкідливими програмами і засобами для злому, які не вказують на наявність загрози підвищеної складності.

  3. Видиму частину черзі можна обмежити різними заданими періодами з допомогою розкривного меню в полі діапазону дат за промовчанням вибрано значення 6 місяців).
Для зміни порядку сортування (наприклад, показу першими найстаріших сповіщень замість самих нових) можна клацнути значок порядку сортування.

Аналіз сповіщень Advanced Threat Protection у Програмі Windows defender
Щоб приступити до аналізу, та отримати докладну інформацію потрібно клацнути по оповіщенню в будь-якій черзі.

Докладні відомості про оповіщення включають наступне:

  • Дата і час останнього створення оповіщення.
  • Опис оповіщення.
  • Рекомендовані дії.
  • Граф інциденту.
  • Індикатори, які призвели до створення оповіщення.
Для сповіщень, які були співвіднесені з діями зловмисника або суб'єкта, відображається кольорова плитка з ім'ям суб'єкта.

Клацнувши по імені суб'єкта, можна переглянути профіль аналітики загроз для нього, включаючи короткий огляд суб'єкта, відомості про його інтересах або цілях, тактиці, методах і процедурах, а також інформацію про його активності по всьому світу. Також з'явиться набір рекомендованих дій.




Граф інциденту включає візуальне подання місця виникнення оповіщення, подій, які призвели до його створення, і інших комп'ютерів, на які вплинуло це подія. На графі показано вплив оповіщення на вихідному комп'ютері, а також як ця подія вплинула на спрацювання сповіщень на інших комп'ютерах.

Можна клацнути гурток на графі інциденту, щоб розгорнути вузли і переглянути події або файли, які пов'язані з оповіщенням.



Нагадуємо, що сервіс ATP у Програмі Windows defender вбудований в ядро Windows 10 Корпоративна, його роботу можна оцінити безкоштовно.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.