Defender ATP

Für die einen ist es der "feuchte Traum des Innenministers", für den anderen das Schreckgespenst einer Orwellschen Totalüberwachung. Mit Windows Defender kann jeder Windows PC recht gut gegen Viren geschützt werden. Sobald aber die Zusatzfunktion "Defender ATP" aktiviert wurde, mutiert das Modul zu einer umfangreichen Analyse, Report und Schutzfunktion.

Was kommt dazu?

Die Basisfunktion des Virenschutz bleibt natürlich erhalten. Aber schon bei den Pattern-Updates, die wie bisher per Windows Update kommen, sehen Sie ein Unterschied in der Benennung:

Der Name "Security Intelligence" ist ein Hinweis darauf, dass hier nicht nur der einfache "Defender" seine Arbeit tut. Im Hintergrund überwacht Defender ATP nicht nur Dateisysteme auf Viren sondern.

  • Analysiert den Start von Prozessen
  • Erfasst Netzwerkübertragungen
  • Kann Netzwerkübertragungen blocken

Auswerten

Die Daten der Clients werden zu Microsoft übertragen und sind über unterschiedliche URLs zu erreichen. Über die Cloud App Security unter https://portal.cloudappsecurity.com/#/dashboard erreichen Sie den Einstiegpunkt. Die Daten sind natürlich auch in anderen Portalen wie https://securitycenter.windows.com/. Links sehe Sie die Vorfilterung nach Apps, IP-Adresse, Benutzer oder Computer. Das Dashboard zeigt einen Überblick über alle Clients.

Wenn Sie dann z.B. über "Machines" einen bestimmten Computer auswählen, sehen Sie sehr genau, welcher Datenmengen übertragen wurden.

Über "Apps" können sie auch die Ziele analysieren. Microsoft liefert hier sogar einen "Score" zu den verschiedenen Cloud-Diensten mit. Schließlich ist dies auch eine Möglichkeit gegen eine "Schatten IT" vorzugehen. Es gibt durchaus Gründe, warum Benutzer verschiedene Dienste nicht verwenden dürfen:

Über die Aktionen kann der Administrator hier auch direkt eine App verbieten.

Beachten Sie, dass das englische "Sanctioned" nicht mit dem deutschen "sanktionieren" verwechselt werden darf. Die Bedeutung ist gerade umgekehrt "Sanctioned" bedeutet "heiligen", d.h. zulassen.

Einschätzung

Zwei Herzen schlagen in meiner Brust. Jede Erfassung von Daten hilft natürlich bei der Suche nach Fehlern und Missbrauch und unterstützen bei Einbrüchen die Verfolgung von Spuren und Eingrenzung der betroffenen Systeme. In gewissen Umfeldern sind solche Protokolle sogar zwingend. Aber selbst eine "normale" Firma hat durch "Defender ATP" und die Cloud neue Möglichkeiten, die bislang allein aufgrund dem Aufwand für eigene Server und den Betrieb nicht umgesetzt wurden.

Es bleibt aber die Herausforderung genau zu steuern, wer diese Werkzeuge denn anwendet. Microsoft nutzt diese Daten im Verbindung mit dem Security Center um auf Probleme und Events mit entsprechenden Details aufwarten zu können. Es bedarf aber schon speziell geschulter und unterwiesener Personen, damit die Daten nicht falsch verwendet werden. Ich bin sicher, dass auch Mitbestimmungsorgane nicht nicht außenvorgelassen werden.

Aus meiner Sicht ist Defender ATP kein Spielzeug sondern ein effektives und erforderliches Arbeitsmittel, um die Sicherheit eines Netzwerk besser zu erreichen. Es funktioniert ohne Mithilfe von Switches, Routern, Firewall auch i Homeoffice und kleinen Niederlassungen

Aber aus meiner Sicht fehlt noch eine wichtige Funktion, die mit Office 365 und anderen Cloud-Diensten sehr nützlich wäre Es reicht nicht nur die Dienste, IP-Adressen und das Volumen zu erfassen. Mich würde insbesondere die Latenzzeit interessieren, d.h. wie lange sind die Daten zur Cloud unterwegs sind. So könnte man "langsame" Verbindungen und Standorte viel einfacher ermitteln.

Weitere Links

BSI: Die Lage der IT-Sicherheit in Deutschland 2018
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf?__blob=publicationFile&v=6