Windows Defender Advanced Threat Protection (ATP)

Windows Defender Advanced Threat Protection (ATP)

 

Kurumsal müşterilerde son kullanıcı bilgisayarları kaynaklı gelişmiş ve güncel atakların tespit edilmesi, araştırılması ve buna karşın aksiyon alınması için çözüm üreten yeni bir Microsoft servisidir.

Windows 10 işletim sistemi ile beraber çalışan bu servis sayesinde şirket ağı içerisinde bulunan Windows 10 son kullanıcı bilgisayarları üzerindeki tüm anormal hareketlilikleri merkezi olarak izleyebilir ve olası tehditlere karşı aksiyon alabilirsiniz.

Windows 10 Windows Insider Preview Build number 14332 ve sonrasında yer alan client-end-point behavioral sensor sayesinde güvenlik olayları ve davranışları takip edilebilmektedir.

Toplanan bu veriler Cloud security analytics service ismini verdiğimiz bulut temelli bir alt yapı sayesinde yorumlanmaktadır. Bulut temelli bu servis üzerinde pek çok atak tipi geçmişe dönük bir şekilde saklanmaktadır. Bu sayede istemcilerden toplanan verilerin yorumlanması son derece hızlı ve kesin sonuçlanmaktadır.

Bunlara ek olarak Microsoft içerisindeki güvenlik uzmanları da gerçek zamanlı olarak ataklar üzerinde çalışmakta olup olası yeni saldırı tipleri içinde güncelleme bilgisi paylaşmaktadır.

Bu çok yönlü koruma sayesinde son kullanıcılarınızdaki tüm hareketliliğin şirketiniz için nasıl bir tehdit oluşturduğunuz hızlı bir şekilde raporlayabilirsiniz.

Windows’a entegre bir servis olduğu için ekstra bir yükleme veya altyapısal işlem gerektirmemektedir. Davranış odaklı, bulut teknolojisi ile güçlendirilmiş olduğundan dolayı klasik anti virüs ve benzeri çözümlere göre daha geniş kapsamlı koruma sağlamaktadır. Bulut tabanlı analizleri kullandığı için zero-day konusunda da koruma sağlamaktadır. Oluşan tehditleri gerçek zamanlı ve geçmiş tarihsel olarak raporlamaktadır. Yine pek çok Microsoft bulut çözümünde olduğu gibi son derece kolay anlaşılır ve özellikle güvenlik ürünlerinde görülmemiş bir sadelikteki rapor ekranları sayesinde oluşan bir atağın tüm hareketlerini ve sonuçlarını rahat bir şekilde takip edebilirsiniz.

 

Windows-Defender-Advanced-Threat-Protection-01

Yukarıda gördüğünüz gibi aslında çok başarılı tasarlanmış bir mimari yapıya sahiptir. Özellikle Microsoft Threat intelligence olarak geçen bölüm gerçekten zero day ataklar için önemli bir kaynaktır.

Ürün şu anda public preview konumunda olup aşağıdaki adres üzerinden sizde ürünü inceleyebilirsiniz

https://www.microsoft.com/en-us/WindowsForBusiness/Windows-ATP

Eğer denemek istiyorsanız yukarıdaki link üzerinden başvuru yapabilirsiniz. Eğer başvurunuz kabul edilir ise aşağıdaki gibi bir mail size ulaştırılacaktır

 

Windows-Defender-Advanced-Threat-Protection-02.jpg

Buradaki yönergeleri takip edelim. Öncelikle Windows Insider programına giriş yapalım;

 

Windows-Defender-Advanced-Threat-Protection-03.jpg

Daha sonra mevcut işletim sistemimiz eğer ilgili sürümde değil ise aşağıdaki link üzerinden Windows insider için yükleme yapmamız gerekmektedir.

https://insider.windows.com/

Yukarıdaki link üzerinden masa üstü bilgisayarı seçelim, en azından ben masa üstü sürümü için yükleme yapacağım.

Kısa bir yükleme işleminden sonra işletim sisteminin kapanıp açılacaktır ve insider için gerekli olan sürüme yükseltilmiş olacaktır. Benim sürüm bilgim aşağıdaki gibidir;

 

Windows-Defender-Advanced-Threat-Protection-04.jpg

Bu işlemin ardından Windows Defender ATP portal’ a giriş yapalım

http://SecurityCenter.Windows.Com

Kullanıcı adı ve şifre size gönderilen mailde bulunmaktadır.

 

Windows-Defender-Advanced-Threat-Protection-05.jpg

Burada hazır bir demo bilgisayar bulunmaktadır, isterseniz bunu inceleyebilir isterseniz daha gerçekçi olması için kendi Windows 10 makinelerinizi local script, GPO, SCCM gibi araçlar ile ATP ye dahil edebilirsiniz. Benim makale için hazırlanmış tek bir Windows 10 makinem olduğu için local script ile makinemi ATP’ ye bağlayacağım.

Bunun için Endpoint management sekmesine geliyoruz;

 

Windows-Defender-Advanced-Threat-Protection-06.jpg

Ben local script diyerek indirdiğim bat dosyasını run as admin ile çalıştırıyorum

 

Windows-Defender-Advanced-Threat-Protection-07.jpg

 

Windows-Defender-Advanced-Threat-Protection-08.jpg

Ve başarılı bir şekilde ATP ye bağlanmış oldum. Birazdan panel üzerinde makinemi göreceğim. Eğer bu işlem sırasında hata alırsanız olası çözümler için aşağıdaki linki inceleyebilirsiniz

https://technet.microsoft.com/itpro/windows/keep-secure/configure-endpoints-script-windows-defender-advanced-threat-protection

Veya SCCM benzeri araçlar ile birden çok W10 makineyi ATP içerisine alabilirsiniz.

Eğer makinelerinizi ATP den koparmak isterseniz yine aynı bölümdeki offboarding dosyalarını kullanabilirsiniz.

Windows-Defender-Advanced-Threat-Protection-09.jpg

 

Evet, bir süre bekledikten sonra benimde W10 makinemi ana ekranda görebiliyorum;

 

Windows-Defender-Advanced-Threat-Protection-10.jpg

Hatta hızlı bir şekilde makinemde neler oluyor göz atabiliyorum;

 

Windows-Defender-Advanced-Threat-Protection-11.jpg

Son olarak lisanslama kısmından da bahsetmek istiyorum. Windows 10 Enterprise E5; Windows Enterprise 10 E3 ve Windows Defender Advanced Threat Protection (WDATP) içerir.

E5 kullanıcı veya cihaz başına lisanslama seçenekleriyle ve geleneksel Yazılım Güvencesi faydalarıyla MPSA ve EA programlarında mevcuttur.

E5, E3‘e ek (add-on) olarak veya tek başına tekliften satın alınabilir

ATP yi kullanabileceğiniz W10 sürümleri aşağıdaki gibidir;

Windows 10 Enterprise

Windows 10 Enterprise for Education

Windows 10 Pro

Windows 10 Pro Education

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

Kaynak

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-advanced-threat-protection

PAYLAŞ