Fejlett technológiák a Microsoft Defender Víruskereső középpontjában
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
- Végponthoz készült Microsoft Defender 1. csomag
- Microsoft Defender víruskereső
- Microsoft Defender egyéni felhasználók számára
Microsoft Defender víruskereső és a motor, amely a fejlett észlelési és megelőzési technológiákhoz vezet a háttérben, hogy több ponton észlelje és megállítsa a fenyegetések és a támadó technikák széles körét, ahogy az alábbi ábrán látható:
Ezen motorok közül sok be van építve az ügyfélbe, és fejlett védelmet nyújt a legtöbb fenyegetés ellen valós időben.
Ezek a következő generációs védelmi motorok az iparág legjobb észlelési és blokkolási képességeit biztosítják, és biztosítják, hogy a védelem a következő legyen:
- Pontos: A gyakori és a kifinomult fenyegetések is észlelhetők és blokkolva vannak, amelyek közül sok a védelem átcsúszására lett kialakítva.
- Valós idejű: A fenyegetések nem jutnak be az eszközökre, első látásra valós időben leállnak, vagy a lehető legkevesebb idő alatt (általában néhány ezredmásodpercen belül) észlelik és orvosolják a fenyegetéseket.
- Intelligens: A felhő, a gépi tanulás (ML) és a Microsoft iparágvezető optikája révén a védelem ki van bővítve, és még hatékonyabbá válik az új és ismeretlen fenyegetések ellen.
Hibrid észlelés és védelem
Microsoft Defender víruskereső hibrid észlelést és védelmet végez. Ez azt jelenti, hogy az észlelés és a védelem először az ügyféleszközön történik, és a felhővel együttműködve új fenyegetéseket fejleszt, ami gyorsabb, hatékonyabb észlelést és védelmet eredményez.
Ha az ügyfél ismeretlen fenyegetéseket észlel, metaadatokat vagy magát a fájlt küldi el a felhővédelmi szolgáltatásnak, ahol a fejlettebb védelem menet közben megvizsgálja az új fenyegetéseket, és több forrásból származó jeleket integrál.
| Az ügyfélen | A felhőben |
|---|---|
|
Gépi tanulási (ML) motor A könnyű gépi tanulási modellek készlete ezredmásodpercben hoz döntést. Ezek a modellek speciális modelleket és funkciókat tartalmaznak, amelyek a támadók által gyakran használt fájltípusokhoz készültek. Ilyenek például a hordozható végrehajtható (PE-) fájlokhoz, a PowerShellhez, az Office-makrókhoz, a JavaScripthez, a PDF-fájlokhoz és egyebekhez készült modellek. |
Metaadat-alapú gépi tanulási motor A speciális gépi tanulási modellek, amelyek fájltípus-specifikus modelleket, funkcióspecifikus modelleket és támadó által edzett monoton modelleket tartalmaznak, elemzik az ügyfél által küldött gyanús fájlok jellemzős leírását. A halmozott együttes osztályozók az ezekből a modellekből származó eredményeket kombinálva valós idejű ítéletet hozhatnak a fájlok előzetes végrehajtásának engedélyezéséhez vagy letiltásához. |
|
Viselkedésfigyelési motor A viselkedésfigyelő motor figyeli a végrehajtás utáni lehetséges támadásokat. Megfigyeli a folyamat viselkedését, beleértve a futásidőben történő viselkedésütemezést, hogy előre meghatározott szabályok alapján azonosítsa és letiltsa bizonyos típusú tevékenységeket. |
Viselkedésalapú gépi tanulási motor A gyanús viselkedéssorozatokat és a speciális támadási technikákat a rendszer eseményindítóként figyeli az ügyfélen a folyamatfa viselkedésének valós idejű felhőalapú gépi tanulási modellek használatával történő elemzéséhez. A monitorozott támadási technikák kiterjednek a támadási láncra, a biztonsági résektől, a magasságtól és az állandóságtól egészen az oldalirányú mozgásig és a kiszivárgásig. |
|
Memóriavizsgálati motor Ez a motor megvizsgálja a futó folyamat által használt memóriaterületet, hogy felfedje a kódfedés által elrejthető rosszindulatú viselkedést. |
Antimalware Scan Interface (AMSI)-párosított ML-motor Az ügyféloldali és a felhőoldali modellek párjai fejlett elemzést végeznek a szkriptelési viselkedés végrehajtás előtti és utáni viselkedéséről, hogy elkapják az olyan speciális fenyegetéseket, mint a fájl nélküli és a memóriabeli támadások. Ezek a modellek mindegyik érintett szkriptelési motorhoz tartalmaznak modellpárokat, beleértve a PowerShellt, a JavaScriptet, a VBScriptet és az Office VBA-makrókat. Az integráció magában foglalja a dinamikus tartalomhívásokat és/vagy a viselkedés kialakítását a szkriptelési motorokon. |
|
AMSI integrációs motor Az alkalmazáson belüli mély integrációs motor lehetővé teszi a fájl nélküli és memórián belüli támadások észlelését az AMSI-vel, így legyőzve a kódfedezetet. Ez az integráció blokkolja a szkriptek ügyféloldali rosszindulatú viselkedését. |
Fájlbesorolási ML-motor A többosztályos, mély neurális hálózati osztályozók teljes fájltartalmat vizsgálnak, további védelmi réteget biztosítanak a több elemzést igénylő támadásokkal szemben. A gyanús fájlokat a rendszer futás közben tartja, és besorolás céljából beküldi a felhővédelmi szolgáltatásnak. A teljes tartalommal rendelkező mélytanulási modellek másodpercek alatt létrehoznak egy besorolást, és válaszolnak az ügyfélnek a fájl engedélyezéséhez vagy letiltásához. |
|
Heurisztikus motor A heurisztikus szabályok azonosítják azokat a fájljellemzőket, amelyek hasonlóak az ismert kártékony jellemzőkkel az új fenyegetések vagy az ismert fenyegetések módosított verzióinak elfogásához. |
Detonációs alapú gépi tanulási motor A gyanús fájlok egy tesztkörnyezetben robbannak fel. A mélytanulási osztályozók a megfigyelt viselkedéseket elemzik a támadások blokkolásához. |
|
Emulációs motor Az emulációs motor dinamikusan csomagolja ki a kártevőket, és megvizsgálja, hogyan viselkednének futásidőben. A tartalom dinamikus emulációja és az emuláció alatti viselkedés és a memóriatartalom vizsgálata az emuláció végén legyőzi a kártevőcsomagolókat, és felfedi a polimorf kártevők viselkedését. |
Hírnév ML motor A Microsoft tartományszakértői hírnevének forrásait és modelljeit a rendszer lekérdezi a rosszindulatú vagy gyanús URL-címekhez, tartományokhoz, e-mailekhez és fájlokhoz kapcsolódó fenyegetések blokkolása érdekében. A források közé tartozik a Windows Defender SmartScreen URL-hírnévmodellekhez és Office 365-höz készült Defender az e-mail mellékletekkel kapcsolatos szakértői ismeretekhez, többek között a Microsoft Intelligent Security Graphon keresztüli Microsoft-szolgáltatásokhoz. |
|
Hálózati motor A rendszer megvizsgálja a hálózati tevékenységeket, hogy azonosítsa és megakadályozza a rosszindulatú tevékenységeket a fenyegetésektől. |
Intelligens szabályok motorja A szakértő által megírt intelligens szabályok a fenyegetéseket a kutatói szakértelem és a fenyegetések kollektív ismerete alapján azonosítják. |
|
CommandLine-ellenőrző motor Ez a motor a végrehajtás előtt megvizsgálja az összes folyamat parancsvonalait. Ha egy folyamat parancsvonala rosszindulatúnak tűnik, akkor a rendszer blokkolja a végrehajtást. |
CommandLine ML-motor Több fejlett gépi tanulási modell vizsgálja a gyanús parancsvonalakat a felhőben. Ha egy parancsvonal rosszindulatúnak talál, a felhő jelzést küld az ügyfélnek, hogy blokkolja a megfelelő folyamat indítását. |
További információ: A Microsoft 365 Defender 100%-os védelmi lefedettséget mutat be a 2023-ban a MITRE Engenuity ATT&CK® Evaluations: Enterprise című cikkben.
A következő generációs védelem működése más Végponthoz készült Defender-képességekkel
A támadási felület csökkentése mellett, amely olyan fejlett képességeket tartalmaz, mint a hardveralapú elkülönítés, az alkalmazásvezérlés, a biztonsági rés kiaknázása elleni védelem, a hálózatvédelem, a szabályozott mappahozzáférés, a támadásifelület-csökkentési szabályok és a hálózati tűzfal, a következő generációs védelmi motorok Végponthoz készült Microsoft Defenderaz előzetes elérési képességek, a támadások leállítása, mielőtt beszivároghatnak az eszközökbe és veszélyeztethetik a hálózatokat.
A Microsoft mélységi védelmi megoldásának részeként ezeknek a motoroknak a kiemelkedő teljesítménye az egységes végpontvédelem Végponthoz készült Microsoft Defender, ahol a víruskereső észlelések és más következő generációs védelmi képességek gazdagítják a végpontészlelést és -reagálást, az automatizált vizsgálatot és szervizelést, a fejlett veszélyforrás-keresést, Veszélyforrás- és biztonságirés-kezelés, felügyelt veszélyforrás-keresési szolgáltatás és egyéb képességek.
Ezeket a védelmet tovább erősíti Microsoft Defender XDR, a Microsoft átfogó, teljes körű biztonsági megoldása a modern munkahely számára. A Microsoft biztonsági technológiáiban a jelmegosztás és a szervizelés vezénylése révén Microsoft Defender XDR biztosítja az identitásokat, a végpontokat, az e-maileket és az adatokat, az alkalmazásokat és az infrastruktúrát.
Memóriavédelem és memóriavizsgálat
Microsoft Defender víruskereső (MDAV) különböző motorokkal biztosít memóriavédelmet:
| Ügyfél | Felhő |
|---|---|
| Viselkedésfigyelés | Viselkedésalapú gépi tanulás |
| Kártevőirtó vizsgálati felület (AMSI) integrációja | AMSI-párosított gépi tanulás |
| Emuláció | Detonáció-alapú gépi tanulás |
| Memóriavizsgálat | – |
A memóriaalapú támadások megelőzésének további rétege a Támadásifelület-csökkentés (ASR) szabály használata – Az Office-alkalmazások más folyamatokba való kódbeszúrásának letiltása. További információ: Az Office-alkalmazások nem adhatnak be kódot más folyamatokba.
Gyakori kérdések
Hány kártevő fenyegetést Microsoft Defender víruskereső havonta?
Havonta ötmilliárd fenyegetést jelent az eszközökön.
Hogyan segít Microsoft Defender víruskereső memóriavédelem?
A Windows Defender for Endpoint használatával történő tükröző DLL-betöltés észlelése című cikkből megtudhatja, hogyan segíthet Microsoft Defender víruskereső memóriatámadás elleni védelem.
Mindannyian egy adott földrajzi területre összpontosítják az észleléseket/megelőzéseket?
Nem, minden földrajzi régióban (Amerikában, EMEA-ban és APAC-ben) vagyunk.
Önök csak bizonyos iparágakra összpontosítanak?
Minden iparágra koncentrálunk.
Az észleléshez/védelemhez szükség van emberi elemzőre?
A tesztelés során azt kell követelnie, hogy ahol nincsenek emberi elemzők az észlelés/védelem területén, ellenőrizze, hogy a víruskereső motor (előzetes verzió) hatékonysága valóban mennyire hatékony, és egy külön, ahol az emberi elemzők is részt vesznek. Az SOC bővítéséhez hozzáadhat Microsoft Defender XDR-szakértők egy felügyelt kiterjesztett észlelési és válaszszolgáltatást.
Az egyes motorok folyamatos iteratív fejlesztése , hogy egyre hatékonyabbak legyenek a kártevők és a támadási módszerek legújabb törzseinek elfogására. Ezek a fejlesztések az iparági tesztekben konzisztens csúcspontszámban jelennek meg, de ami még fontosabb, a fenyegetések és a leállt kártevő-kitörések , valamint az ügyfelek védelmének növelése.