Microsoft Defender Virüsten Koruma'nın merkezinde gelişmiş teknolojiler
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender Planı 2
- İş için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 1
- Microsoft Defender Virüsten Koruma
- Bireyler için Microsoft Defender
Microsoft Defender Virüsten Koruma ve aşağıdaki diyagramda gösterildiği gibi birden çok noktada çok çeşitli tehditleri ve saldırgan tekniklerini algılamak ve durdurmak için arka planda gelişmiş algılama ve önleme teknolojilerine yol açan birden çok motor:
Bu altyapıların çoğu istemcide yerleşiktir ve çoğu tehdide karşı gerçek zamanlı olarak gelişmiş koruma sağlar.
Bu yeni nesil koruma altyapıları endüstrinin en iyi algılama ve engelleme özelliklerini sağlar ve korumanın şu şekilde olmasını sağlar:
- Doğru: Hem yaygın hem de gelişmiş tehditler, çoğu korumalardan geçmeyi denemek için tasarlanmıştır, algılanır ve engellenir.
- Gerçek zamanlı: Tehditlerin cihazlara alışması, ilk bakışta gerçek zamanlı olarak durdurulması veya mümkün olan en kısa sürede (genellikle birkaç milisaniye içinde) algılanıp düzeltilmesi engellenir.
- Akıllı: Bulutun, makine öğrenmesinin (ML) ve Microsoft'un sektör lideri optiklerinin gücü sayesinde koruma zenginleştirilir ve yeni ve bilinmeyen tehditlere karşı daha da etkili hale gelir.
Hibrit algılama ve koruma
Microsoft Defender Virüsten Koruma karma algılama ve koruma yapar. Bunun anlamı, algılama ve koruma önce istemci cihazında gerçekleşir ve yeni geliştirilen tehditler için bulutla birlikte çalışır ve bu da daha hızlı, daha etkili algılama ve koruma sağlar.
İstemci bilinmeyen tehditlerle karşılaştığında, meta verileri veya dosyanın kendisini bulut koruma hizmetine gönderir; burada daha gelişmiş korumalar yeni tehditleri anında inceler ve birden çok kaynaktan gelen sinyalleri tümleştirir.
| İstemcide | Bulutta |
|---|---|
|
Makine öğrenmesi (ML) altyapısı Bir dizi hafif makine öğrenmesi modeli milisaniye içinde bir karara varıyor. Bu modeller, saldırganlar tarafından yaygın olarak kötüye kullanılan belirli dosya türleri için oluşturulmuş özel modelleri ve özellikleri içerir. Taşınabilir yürütülebilir dosya (PE) dosyaları, PowerShell, Office makroları, JavaScript, PDF dosyaları ve daha fazlası için oluşturulmuş modeller örnek olarak verilebilir. |
Meta veri tabanlı ML altyapısı Dosya türüne özgü modeller, özelliğe özgü modeller ve saldırgan sağlamlaştırılmış monoton modelleri içeren özelleştirilmiş ML modelleri, istemci tarafından gönderilen şüpheli dosyaların öne çıkan bir açıklamasını analiz eder. Yığılmış grup sınıflandırıcıları bu modellerden elde edilen sonuçları birleştirerek dosyaların önceden yürütülmesine izin vermek veya bunları engellemek için gerçek zamanlı bir karar verir. |
|
Davranış izleme altyapısı Davranış izleme altyapısı, yürütme sonrasında olası saldırıları izler. Önceden belirlenmiş kurallara göre belirli etkinlik türlerini tanımlamak ve engellemek için çalışma zamanındaki davranış dizisi de dahil olmak üzere işlem davranışlarını gözlemler. |
Davranış tabanlı ML altyapısı Şüpheli davranış dizileri ve gelişmiş saldırı teknikleri, istemcide gerçek zamanlı bulut ML modelleri kullanılarak işlem ağacı davranışını analiz etmek için tetikleyici olarak izlenir. İzlenen saldırı teknikleri, saldırı zincirini açıklardan, yükselmeden ve kalıcılıktan yanal hareket ve sızdırmaya kadar yayıyor. |
|
Bellek tarama altyapısı Bu altyapı, kod gizleme yoluyla gizlenebilecek kötü amaçlı davranışları ortaya çıkarmak için çalışan bir işlem tarafından kullanılan bellek alanını tarar. |
Kötü amaçlı yazılımdan koruma tarama arabirimi (AMSI) ile eşleştirilmiş ML altyapısı İstemci tarafı ve bulut tarafı model çiftleri, dosyasız ve bellek içi saldırılar gibi gelişmiş tehditleri yakalamak için yürütme öncesi ve sonrası betik oluşturma davranışının gelişmiş analizini gerçekleştirir. Bu modeller, PowerShell, JavaScript, VBScript ve Office VBA makroları dahil olmak üzere kapsanan betik altyapılarının her biri için bir çift model içerir. Tümleştirmeler, betik altyapılarında hem dinamik içerik çağrılarını hem de/veya davranış izlemesini içerir. |
|
AMSI tümleştirme altyapısı Derin uygulama içi tümleştirme altyapısı, kod belirsizleştirmeyi yenerek AMSI aracılığıyla dosyasız ve bellek içi saldırıların algılanmasına olanak tanır. Bu tümleştirme, istemci tarafında betiklerin kötü amaçlı davranışlarını engeller. |
Dosya sınıflandırma ML altyapısı Çok sınıflı, derin sinir ağı sınıflandırıcıları tam dosya içeriğini inceler, daha fazla analiz gerektiren saldırılara karşı ek bir savunma katmanı sağlar. Şüpheli dosyaların çalıştırılması bekletilir ve sınıflandırma için bulut koruma hizmetine gönderilir. Saniyeler içinde tam içerikli derin öğrenme modelleri bir sınıflandırma oluşturur ve dosyaya izin vermek veya dosyayı engellemek için istemciyi yanıtlar. |
|
Buluşsal altyapı Buluşsal kurallar, yeni tehditleri veya bilinen tehditlerin değiştirilmiş sürümlerini yakalamak için bilinen kötü amaçlı özelliklerle benzerlikleri olan dosya özelliklerini tanımlar. |
Patlama tabanlı ML altyapısı Şüpheli dosyalar korumalı alanda patlatılır. Derin öğrenme sınıflandırıcıları saldırıları engellemek için gözlemlenen davranışları analiz eder. |
|
Öykünme altyapısı Öykünme altyapısı, kötü amaçlı yazılımları dinamik olarak açar ve çalışma zamanında nasıl davranacaklarını inceler. İçeriğin dinamik öykünmesi ve hem öykünme sırasındaki davranış hem de öykünme sonundaki bellek içeriği, kötü amaçlı yazılım paketleyicilerini yener ve çok biçimli kötü amaçlı yazılımın davranışını ortaya çıkarır. |
İtibar ML altyapısı Kötü amaçlı veya şüpheli URL'lere, etki alanlarına, e-postalara ve dosyalara bağlı tehditleri engellemek için Microsoft genelinde etki alanı uzmanı saygınlığı kaynakları ve modelleri sorgulanır. Kaynaklar arasında URL saygınlığı modelleri için Windows Defender SmartScreen ve Microsoft Intelligent Security Graph aracılığıyla diğer Microsoft hizmetlerinin yanında e-posta eki uzmanı bilgisi için Office 365 için Defender yer alır. |
|
Ağ altyapısı Ağ etkinlikleri, tehditlere karşı kötü amaçlı etkinlikleri tanımlamak ve durdurmak için incelenir. |
Akıllı kurallar altyapısı Uzman tarafından yazılmış akıllı kurallar, araştırmacı uzmanlığına ve tehditlere ilişkin kolektif bilgiye göre tehditleri tanımlar. |
|
CommandLine tarama altyapısı Bu altyapı, yürütülmeden önce tüm işlemlerin komut satırlarını tarar. Bir işlemin komut satırının kötü amaçlı olduğu tespit edilirse yürütmesi engellenir. |
CommandLine ML altyapısı Birden çok gelişmiş ML modeli, buluttaki şüpheli komut satırlarını tarar. Bir komut satırının kötü amaçlı olduğu tespit edilirse bulut, istemciye ilgili işlemin başlamasını engellemek için bir sinyal gönderir. |
Daha fazla bilgi için bkz. Microsoft 365 Defender, 2023 MITRE Engenuity ATT&CK® Değerlendirmeleri: Enterprise'da yüzde 100 koruma kapsamını gösterir.
Yeni nesil koruma diğer Uç Nokta için Defender özellikleriyle nasıl çalışır?
Donanım tabanlı yalıtım, uygulama denetimi, yararlanma koruması, ağ koruması, kontrollü klasör erişimi, saldırı yüzeyi azaltma kuralları ve ağ güvenlik duvarı gibi gelişmiş özellikleri içeren saldırı yüzeyi azaltma ile birlikte, yeni nesil koruma altyapıları Uç Nokta için Microsoft Defender'nin prebreach özellikleri, cihazlara sızmadan önce saldırıları durdurma ve ağları tehlikeye atması.
Microsoft'un derinlemesine savunma çözümünün bir parçası olarak, bu altyapıların üstün performansı, virüsten koruma algılamalarının ve diğer yeni nesil koruma özelliklerinin uç nokta algılama ve yanıtını, otomatik araştırma ve düzeltmeyi, gelişmiş avcılığı zenginleştirdiği Uç Nokta için Microsoft Defender birleşik uç nokta korumasına tahakkuk eder. Tehdit ve Güvenlik Açığı Yönetimi, yönetilen tehdit avcılığı hizmeti ve diğer özellikler.
Bu korumalar, Microsoft'un modern çalışma alanı için kapsamlı, uçtan uca güvenlik çözümü olan Microsoft Defender XDR ile daha da güçlendirilir. Microsoft'un güvenlik teknolojileri genelinde sinyal paylaşımı ve düzeltmenin düzenlemesi aracılığıyla kimliklerin, uç noktaların, e-postanın ve verilerin, uygulamaların ve altyapının güvenliğini Microsoft Defender XDR.
Bellek koruması ve bellek taraması
Microsoft Defender Virüsten Koruma (MDAV), farklı altyapılarla bellek koruması sağlar:
| İstemci | Bulut |
|---|---|
| Davranış İzleme | Davranış Tabanlı Makine Öğrenmesi |
| Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI) tümleştirmesi | AMSI eşleştirilmiş Makine Öğrenmesi |
| Öykünme | Patlama tabanlı Machine Learning |
| Bellek taraması | Yok |
Bellek tabanlı saldırıları önlemeye yardımcı olacak ek bir katman, Saldırı Yüzeyi Azaltma (ASR) kuralını kullanmaktır– Office uygulamalarının diğer işlemlere kod eklemesini engelleyin. Daha fazla bilgi için bkz. Office uygulamalarının diğer işlemlere kod eklemesini engelleme.
Sık sorulan sorular
Virüsten Koruma Microsoft Defender ayda kaç kötü amaçlı yazılım tehdidini engeller?
Her ay cihazlarda beş milyar tehdit var.
Microsoft Defender Virüsten Koruma bellek koruması nasıl yardımcı olur?
Virüsten koruma bellek saldırısı korumasının yardımcı Microsoft Defender tek bir yol hakkında bilgi edinmek için bkz. Uç Nokta için Windows Defender ile yansıtıcı DLL yüklemesini algılama.
Algılamalarınıza/önlemelerinize belirli bir coğrafi bölgede odaklanıyor musunuz?
Hayır, tüm coğrafi bölgelerdeyiz (Amerika, EMEA ve APAC).
Belirli sektörlere odaklanıyor musunuz?
Her sektöre odaklanıyoruz.
Algılama/korumanız için bir insan analisti gerekiyor mu?
Kalem testi yaparken, gerçek virüsten koruma altyapısının (prebreach) etkinliğinin gerçekte nasıl olduğunu ve insan analistlerin etkileşime geçtiği ayrı bir etkinliği görmek için algılama/koruma konusunda hiçbir insan analistinin çalışmadığını talep etmelisiniz. SOC'nizi artırmak için yönetilen bir genişletilmiş algılama ve yanıt hizmeti XDR için Microsoft Defender Uzmanları ekleyebilirsiniz.
Bu altyapıların her birinin kötü amaçlı yazılımların ve saldırı yöntemlerinin en son türlerini yakalamada giderek daha etkili olması için sürekli yinelemeli geliştirme . Bu geliştirmeler endüstri testlerinde tutarlı en yüksek puanlarda gösterilir, ancak daha da önemlisi, durdurulan tehditlere ve kötü amaçlı yazılım salgınlarına vedaha fazla müşterinin korunmasına neden olur.