Es ist Zeit für die ultimative Microsoft Defender for Endpoint-Serie. Wir schauen uns detailliertere Informationen zur Angriffsflächenreduzierung und zusätzlichen Schutzschichten von Defender for Endpoint.

Einführung

Microsoft Defender Antivirus ist die „Schutzkomponente der nächsten Generation“ von Microsoft Defender für Endpoint , die maschinelles Lernen, Bedrohungsanalyse und die Cloud-Infrastruktur von Microsoft kombiniert, um Geräte umfassender zu schützen. Zusätzlich zu den Grundeinstellungen von Defender AntiVirus stehen weitere Schutzfunktionen zur Verfügung. In einer einfachen Übersicht sind die folgenden Konfigurationen verfügbar.

Reduzierung der Angriffsfläche

Teil 1:

Teil 2: (wird noch veröffentlicht)

Teil 3: (wird noch veröffentlicht)

 

Zusätzlicher Defender-Schutz

Teil 4: (wird noch veröffentlicht)

Defender for Endpoint enthält mehrere Funktionen, um die Angriffsflächen zu reduzieren und die Schutzfunktionen zu erhöhen. Attack Surface Reduction (ASR) ist der Name und enthält mehrere Funktionen.

Attack Surface Reduction (ASR)-Regeln

Attack Surface Reduction (ASR) ist der Name, den Microsoft einer Sammlung von Regeln gegeben hat, die gängige Malware und Exploit-Techniken einschränken. ASR-Regeln sind Teil der Steuerelemente in Defender.

Sehen Sie ASR als Oberbegriff für alle integrierten und Cloud-basierten Sicherheitsfunktionen.

Regeln zur Reduzierung der Angriffsfläche sind wichtig und helfen, viele der häufig von Malware und Ransomware verwendeten Angriffspunkte zu schließen. Mit der Verwendung von ASR wird der Angriff von der ersten Aktivität an blockiert.

Beispiel:

Was sind die Voraussetzungen für die Aktivierung von ASR-Regeln?

ASR-Regeln können für Geräte aktiviert werden, auf denen Defender Antivirus im aktiven Modus ausgeführt wird. ASR funktioniert nicht, wenn Defender im passiven Modus läuft. Einige der Regeln erfordern von der Cloud bereitgestellten Schutz, dessen Aktivierung immer empfohlen wird.

ASR-Staaten

Bei Verwendung der Managementmethoden kann ASR mit folgenden Zuständen konfiguriert werden:

WICHTIG: ASR im Auditmodus generiert nur Ereignisse für Einblicke. Es gibt keinen blockierenden Aktionsteil des Audit-Zustands.

Empfehlung: Starten Sie die Regeln im Auditmodus und überprüfen Sie Ereignisse über Defender Reporting oder Advanced Hunting.
Auch wenn ich kein Fan bin von dem Erlauben des Zugriffes, weil die Benutzer wahrscheinlich einen infizierten Anhang, wenn diese durchgekommen ist auch anklicken, nur hat sich im Produktivbetrieb gezeigt, das es deutlich komfortabler ist das erst zu untersuchen  und nachher zu blockieren.

Empfehlung: Es wird empfohlen, immer den standardmäßigen Schutzsatz von ASR zu aktivieren. Das Stehlen von Block-anmeldeinformationen verursacht viel Lärm im MDE-Portal; Nach meiner Erfahrung sind 99 % falsch positiv.
Einsatzplan
Es wird empfohlen, alle ASR-Regeln im Auditmodus zu aktivieren, um mögliche Auswirkungen anzuzeigen, und den Blockiermodus „geplant“ zu aktivieren.

Daraus ergibt sich folgender Plan:

Wichtig: Ausschlüsse könnten möglicherweise die Ausführung unsicherer Dateien ermöglichen. Verwenden Sie Ausschlüsse nur bei Bedarf. Es ist besser zu verstehen, warum der Benutzer die Aktionen ausführt, und mit Alternativen zu helfen, um den Angriffsfaktor zu reduzieren und gängigere/neuere Techniken anzuwenden.