Windows Defender je antispywarový program, který chrání váš počítač před škodlivým a nežádoucím softwarem. Má dva provozní režimy: ochrana a skenování v reálném čase. Ochrana v reálném čase běží na pozadí a detekuje spyware pokouší se nainstalovat sám, zatímco skenování detekuje spyware již nainstalovaný v počítači. Windows Defender používá definiční soubory k aktualizaci podpisů spywaru a obsahuje funkci automatické aktualizace. Průzkumník softwaru je klíčovou součástí Windows Defender, protože sleduje stav všech spuštěných programů.

Klíčové body

1. Windows Defender je antispywarový program, který chrání váš počítač před škodlivým softwarem.

2. Režim ochrany v reálném čase detekuje Spyware, který se snaží nainstalovat sám, zatímco režim skenování detekuje spyware již nainstalovaný v počítači.

3. Spyware je detekován na základě svého podpisu, který zahrnuje způsob, jakým se snaží nainstalovat sám, soubory, které vytváří nebo modifikuje, a klíče registru, které modifikuje nebo vytváří.

4. Windows Defender používá definiční soubory k aktualizaci podpisů spywaru a obsahuje funkci automatické aktualizace.

5. Software Explorer sleduje stav všech spuštěných programů a pomáhá detekovat činnosti škodlivých programů.

Otázky a odpovědi

1. Může Windows Defender chránit můj počítač před škodlivým softwarem?

Ano, Windows Defender je antispywarový program, který chrání váš počítač před škodlivým a nežádoucím softwarem.

2. Jaké jsou dva provozní režimy obránce Windows?

Dva provozní režimy obránce Windows jsou ochrana a skenování v reálném čase.

3. Co dělá režim ochrany v reálném čase?

Režim ochrany v reálném čase detekuje spyware, který se snaží nainstalovat do vašeho počítače. Běží na pozadí, aby zajistil váš počítač.

4. Co dělá režim skenování?

Režim skenování se snaží najít spyware, který se již nainstaloval na vašem počítači. Může detekovat spyware, který mohl proklouznout kolem funkce ochrany v reálném čase.

5. Jak se Windows Defender rozpoznává spyware?

Windows Defender rozpoznává spyware svým podpisem, který zahrnuje způsob, jakým se snaží nainstalovat sám, soubory, které vytváří nebo modifikuje, a klíče registru, které modifikuje nebo vytváří.

6. Jak se Windows Defender zůstává aktuální s novým spywarem?

Windows Defender používá definiční soubory k udržení aktuálních informací o podpisech spywaru. Microsoft vytváří nové podpisy pro Windows Defender, aby čelil novému spywaru a zpřístupňuje tyto nové podpisy ke stažení.

7. Co je to softwarový průzkumník?

Průzkumník softwaru je klíčovou součástí obránce Windows. Sleduje stav všech programů, které jsou v současné době spuštěny v počítači, a pomáhá detekovat činnosti škodlivých programů.

8. Jak mohu přistupovat k obránce Windows?

Chcete -li získat přístup k Windows Defender, klikněte na Start, poté ovládejte panel, poté zabezpečení a nakonec Windows Defender.

9. Jak mohu povolit obránce Windows, pokud je vypnutý?

Pokud je obránce Windows vypnuto, uvidíte varovnou výzvu. Chcete -li jej povolit.

10. Jaké jsou různé stavy v Windows Defender?

Různé stavy v Windows Defender jsou zelené (normální), oranžové (varování) a červená (nebezpečí). Stav označuje aktuální stav zabezpečení vašeho počítače.

11. Jak mohu aktualizovat definice obránce Windows?

Definice Defender Windows můžete aktualizovat kliknutím na tlačítko „Zkontrolujte aktualizaci“ uvedené ve výzvě k varování, pokud jsou definice zastaralé.

12. Co dělá tlačítko dopředu/zpět na panelu nástrojů?

.

13. Co dělá tlačítko skenování?

Tlačítko skenování spustí rychlé skenování počítače a detekuje jakýkoli spyware.

14. Jak mohu určit typ skenování v Windows Defender?

Typ skenování můžete zadat jako rychlé skenování, úplné skenování nebo vlastní skenování pomocí možností skenování.

15. Jaké informace jsou k dispozici na stránce historie v Windows Defender?

Stránka historie obsahuje shrnutí všech aktivity obránce Windows, včetně detekovaných programů a přijatých akcí. Poskytuje také odkazy na rychlý přístup pro povolené položky a karanténní předměty.

Může Windows Defender detekovat malware

Chcete přeskočit preambuli? Na konci tohoto článku jděte přímo na Osquery SQL.

Představujeme obránce Windows

Všechny verze Windows Vista zahrnují obránce Windows. Windows Defender je antispywarový program, který chrání váš počítač před škodlivým a nežádoucím softwarem. Stejně jako veškerý antispywarový software se Windows Defender nejlépe používá s antivirovým softwarem. Společně antispywarový program a antivirový program mohou chránit váš počítač před většinou typů škodlivého softwaru.

Poznání obránce Windows Defender

  • Ochrana v reálném čase
  • Snímání

Ve výchozím nastavení je Windows Defender nakonfigurován tak, aby používal ochranu v reálném čase a doplňoval ji denní skenování. Při provozu v režimu ochrany v reálném čase běží Windows Defender na pozadí a pracuje na detekci spywaru, který se snaží nainstalovat sám. Při provozu v režimu skenování se Windows Defender snaží najít spyware, který se tajně nainstaloval na vašem počítači. Ochrana i skenování v reálném čase jsou naprosto nezbytné pro zajištění toho, aby byl počítač chráněn před spywarem. Ochrana v reálném čase může chránit počítač před známým spywarem. Skenování může detekovat spyware, který je již nainstalován v počítači nebo který by mohl proklouznout kolem funkce ochrany v reálném čase.

Windows Defender rozpoznává spyware způsobem, jak se snaží nainstalovat sám, soubory, které se snaží vytvořit nebo upravovat, klíče registru, které modifikuje nebo vytváří, nebo jakoukoli kombinaci těchto položek souhrnně označovaných jako spyware’s podpis. Spyware může někdy proklouznout ochranou v reálném čase, pokud spyware’S podpisem je’T je rozpoznáno, jak by se mohlo stát, kdyby byl spyware nedávno propuštěn nebo nedávno upraven tak, aby byl detekce obtoku.

Stejně jako antivirový software, Windows Defender používá definiční soubory k udržení aktuálních informací o podpisech spywaru. . Windows Defender obsahuje funkci automatické aktualizace, která pravidelně kontroluje aktualizace, a můžete také ručně zkontrolovat aktualizace.

Jednou z klíčových komponent v Windows Defender je softwarový průzkumník. Jak je popsáno v “Navigace vašeho počítače’spuštění, spuštění, běh a programy připojené k síti” Sekce v kapitole 6, Software Explorer sleduje stav všech programů, které jsou v současné době spuštěny v počítači. Můžete použít průzkumník softwaru k ukončení programu, blokování příchozích připojení k programu a k deaktivaci nebo odstranění programu. Windows Defender používá softwarový průzkumník k detekci činností škodlivých programů.

Spuštění a používání Windows Defender

Chcete -li získat přístup k Windows Defender, klikněte na Start a poté klikněte na ovládací panel. Na ovládacím panelu klikněte na Security a poté klikněte na Windows Defender. Pokud je obránce Windows vypnuto, vy’Místo toho uvidíme varovnou výzvu. Kliknutím na zapnutí a otevřete obránce Windows a povolte obránce Windows.

Domovská stránka Windows Defender poskytuje přehled aktuálního stavu. Vy’Viz tři stavy barevně označených:

Obrázek z knihy

  • Zelená (normální) Pokud Windows Defender’S definicemi jsou aktuální a v počítači není nainstalován žádný nežádoucí nebo škodlivý software, vy, vy’Viz zelený (normální) indikátor stavu podobný tomu, který je znázorněn na obrázku 13-18.
  • Pokud jsou definice obránce systému Windows zastaralé a v počítači není známo žádný nežádoucí nebo škodlivý software, vy’Viz indikátor stavu oranžového (varování), který vám říká, že definice obránce Windows je třeba aktualizovat. Vy’Být schopen načíst aktualizace přes internet z webu Microsoft a nainstalovat je automaticky kliknutím na tlačítko pro kontrolu aktualizace poskytnuté v rámci varování.
  • Červená (nebezpečí) Pokud je zabezpečení vašeho počítače pravděpodobně ohroženo nebo je v počítači nainstalován nežádoucí nebo škodlivý software nainstalován, vy’Viz červená indikátor stavu (nebezpečí), která vám říká, abyste podnikli opatření k ochraně vašeho počítače. Vy’Být schopen zahájit skenování nebo do karantény objevený spyware pomocí poskytnutých možností.

Na panelu nástrojů v horní části okna poskytuje přístup k hlavním prvkům v Windows Defender. Zleva doprava má panel nástrojů tato tlačítka:

  • Dopředu/zpět Tlačítka dopředu a zadních na levé straně panelu nástrojů vám umožňují navigovat umístění’už jsem navštívil. Podobně jako při procházení webu, umístění vám’.
  • Domov Zobrazí domovskou stránku Windows Defender, znázorněné na obrázku 13-18.
  • Skenovat Spustí rychlé skenování počítače a zobrazí stránku skenování počítače, která ukazuje průběh skenování.
  • Možnosti skenování Zobrazí seznam možností, který vám umožní určit typ skenování jako rychlé skenování, úplné skenování nebo vlastní skenování. Viz “Skenování počítače na spyware” Oddíl později v této kapitole pro více informací.
  • Dějiny Zobrazuje stránku historie. Tato stránka obsahuje shrnutí veškeré činnosti obránce Windows podle detekovaných programů a přijatých opatření. Odkazy na rychlý přístup jsou poskytovány pro povolené položky a položky v karanténě.
  • Nástroje Zobrazí stránka všech nastavení a nástrojů. Tato stránka umožňuje nakonfigurovat obecná nastavení, zobrazovat karanténní položky, Průzkumník přístupu k softwaru, zobrazit povolené položky a další.
  • Nápověda Windows Defender Zobrazuje dokumentaci nápovědy pro obránce Windows.
  • Možnosti nápovědy Windows Defender Zobrazí seznam možností, který vám umožní zobrazit další položky nápovědy, například index nápovědy a podpory Windows.

Sekce stavu v dolní části domovské stránky poskytuje podrobnosti o obecném stavu Windows Defender:

  • Zobrazuje datum a čas posledního skenování a typ skenování, jako je rychlé skenování nebo úplné skenování.
  • Plán skenování Ukazuje rozvrh automatických skenů, například denně ve 2:00.
  • Ochrana v reálném čase Ukazuje stav ochrany v reálném čase, například On.
  • Definice verze Zobrazuje verzi, čas a datum nejnovějšího souboru definic.

Když pracujete s obráncem Windows, hlavní akce vás’Chci provést provedení:

  • Konfigurace obecného nastavení.
  • Skenování počítače na spyware.
  • Kontrola aktualizací.
  • Prohlížení nebo obnovení karanténních položek.
  • Prohlížení nebo měnící se softwarové programy, které povolujete.
  • Vypnutí obránce Windows nebo zapnutí nebo zapnutí.

Konfigurace obecného nastavení

Obecná nastavení vám umožní vybrat, jak chcete, aby obránce Windows spustil. Obecná nastavení můžete nakonfigurovat podle těchto kroků:

Obrázek z knihy

  1. Otevřete Windows Defender.
  2. Klikněte na nástroje a poté klikněte na Možnosti.
  3. Na stránce Možnosti, znázorněné na obrázku 13-19, jsou uvedeny následující oddíly možností:
    • Automatické skenování Používá se pro správu možností automatického skenování a automatické aktualizace. . .
    • Výchozí akce Používá se k nastavení výchozí akce, která má být provedena na základě úrovně výstrahy detekovaného spywarového programu. Spyware s vysokou úrovní výstrahy je považován za nejnebezpečnější a má nejvyšší pravděpodobnost poškození počítače. . Spyware s nízkou výstražnou úrovní je považován za nízké nebezpečí a je především nepříjemností. Pokud povolíte aplikaci akcí na detekované položky po skenování při automatickém skenování, Windows Defender po dokončení automatického skenování provádí doporučenou akci. Položky označené ignorovány jsou ignorovány. Označené položky jsou odstraněny a karantény. Položky označené výchozí podpisy jsou řešeny podle výchozího nastavení v podpisu spojeném se spywarem. Ve většině případů znamená podpisové výchozí hodnoty, že jsou odstraněny vysoké a mírné výstražné položky.
    • Možnosti ochrany v reálném čase Používá se k zapnutí ochrany v reálném čase. Ochrana v reálném čase používá řadu bezpečnostních agentů k určení, které oblasti operačního systému a které komponenty dostávají ochranu v reálném čase. Každý z těchto bezpečnostních agentů může být povolen nebo deaktivován jednotlivě pomocí zaškrtnutých políčka. .
    • Pokročilé možnosti Používá se k konfiguraci pokročilých technik pro detekci spywaru. Tyto možnosti vám umožňují skenovat uvnitř archivů a detekovat podezřelé soubory. Povolení těchto možností je obzvláště důležité pro detekci nového spywaru, skrytého spywaru a softwaru, který provádí možná škodlivé akce.
    • Možnosti správce Slouží k určení, zda je Windows Defender zapnutý nebo vypnut. Pokud vymažete zaškrtnutí políčka pro použití Windows Defender, vyhrál Windows Defender’T poskytuje ochranu před spywarem. Používá se také k určení, zda normální uživatelé mohou provádět skenování a odstranit potenciálně nežádoucí software. Ve výchozím nastavení mohou uživatelé, kteří nemají práva správce, provádět skenování a odstranit potenciálně nežádoucí software. .
    1. Kliknutím na Uložit uložte všechny změny’VE VELKO KONFIGURACE.
      Obrázek 13-19: Konfigurace obecného nastavení v Windows Defender

Skenování počítače na spyware

Obránce Windows lze použít k provádění rychlých skenování, úplných skenování a vlastních skenů. Rychlé skenování a plné skenování lze snadno iniciovat:

  • Pro rychlé skenování kontrolují Windows Defender oblasti paměti, registru a systému souborů, o kterém je známo, že Spyware používá pro jakýkoli nežádoucí nebo potenciálně škodlivý software. Rychlé skenování můžete spustit kliknutím na tlačítko skenování na panelu nástrojů.
  • Pro úplné skenování provádí Defender Windows důkladnou kontrolu všech oblastí paměti, registru a souborového systému pro jakýkoli nežádoucí nebo potenciálně škodlivý software. Úplné skenování můžete spustit kliknutím na tlačítko Možnosti skenování na panelu nástrojů a výběrem úplného skenování.

Windows Defender ukazuje pokrok skenování hlášením:

  • Čas začátku skenování.
  • Celkové množství času stráveného dosud skenováním počítače (uplynulý čas).
  • Aktuálně zkoumaná poloha nebo položka.
  • Celkový počet naskenovaných souborů.

Po dokončení skenování poskytuje Windows Defender statistiky skenování, jak je znázorněno na obrázku 13-20.

Obrázek 13-20: Provádění skenování pomocí obránce Windows

Pro vlastní skenování kontroluje Windows Defender vybrané oblasti souborového systému pro jakýkoli nežádoucí nebo potenciálně škodlivý software. Svaznou skenování spustíte podle těchto kroků:

Obrázek z knihy

  1. Otevřete Windows Defender.
  2. Klikněte na tlačítko Možnosti skenování a poté vyberte vlastní skenování.
  3. Na stránce Možnosti Vybrat skenování klikněte na Vyberte.
  4. Vyberte jednotky a složky ke skenování, jak je znázorněno na obrázku 13-21, a poté klikněte na OK.
  5. V Windows Defender kliknutím na skenování nyní spusťte skenování.
    Obrázek 13-21: Výběr disků a složek ke skenování

Kontrola aktualizací

Definice Spywaru zastavení zastavení může ohrozit počítač. Ve výchozím nastavení Windows Defender automaticky kontroluje aktualizované definice spywaru před provedením automatického skenování. Pokud má počítač přístup k internetu nebo aktualizační server, Windows Defender aktualizuje definice spywaru. Pokud počítač ne’T mají přístup na internet nebo aktualizační server, Windows Defender nemůže aktualizovat definice spywaru.

Podle těchto kroků můžete kdykoli ručně aktualizovat definice spywaru:

  1. Klikněte na Start a poté klikněte na ovládací panel.
  2. Na ovládacím panelu klikněte na Security a poté klikněte na Zkontrolujte nové definice v rámci Windows Defender.
    Spropitné V Windows Defender můžete také zkontrolovat aktualizace kliknutím na tlačítko Možnosti nápovědy pro Windows Defender, výběrem About Windows Defender a poté kliknutím na Zkontrolujte aktualizace.

Prohlížení nebo obnovení karanténních položek

V karanténě jsou položky, které byly deaktivovány a přesunuty na chráněné místo v počítači, protože obhájce Windows má podezření, že jsou škodlivé nebo potenciálně nežádoucí software. Dokončením kroků můžete přistupovat a pracovat s karanténními položkami:

  1. Otevřete Windows Defender.
  2. Klikněte na nástroje a poté klikněte na karanténní položky.
  3. Pokud kliknete na položku v karanténě, můžete položku odstranit nebo obnovit.
    • Vyberte odstranění a trvale odstraňte položku z počítače.
    • Vyberte Obnovit a obnovit položku na její původní umístění tak, aby bylo možné ji použít a označit ji jako povolenou položku. Viz další část, “Prohlížení nebo měnící se softwarové programy, které povolujete,” Pro více informací.
    1. Pokud chcete odstranit všechny položky v karanténě, klikněte na Odebrat všechny.

    Prohlížení nebo měnící se softwarové programy, které povolujete

    Někdy ty’Nainstalovat programy, které provádějí akce, které Windows Defender považuje za potenciálně škodlivé nebo škodlivé. V tomto případě bude Windows Defender buď karanténní program automaticky, například pro položku s vysokou hrozbou, nebo vás upozorní na program, například pro položku mírné hrozby. Pokud jste si jisti, že karanténový program je bezpečný, můžete jej obnovit a Obrant Windows označí program jako povolenou položku. .

    Podle těchto kroků si můžete prohlédnout nebo měnit aktuálně povolené položky:

    1. Otevřete Windows Defender.
    2. Klikněte na nástroje a poté klikněte na Povolené položky. Na stránce Povolené položky jsou povolené položky uvedeny podle názvu s úrovní výstrahy a doporučením, jak by měl být program zpracován.
    3. Položku ze seznamu povolených položek můžete odebrat kliknutím na ni a poté vybrat odstranění.

    Vypnutí obránce Windows nebo zapnutí nebo zapnutí

    Podle těchto kroků můžete vypnout nebo zapnout Windows Defender nebo zapnout:

    1. Otevřete Windows Defender.
    2. Klikněte na nástroje a poté klikněte na Možnosti.
    3. Přejděte dolů na spodní část stránky možností.
    4. Teď můžeš:
      • Vymažte zaškrtněte políčko použijte Windows Defender pro deaktivaci a vypněte obránce Windows.
      • Zaškrtněte políčko použijte okno Windows Defender a otočte na Windows Defender.
      1. Klikněte na Uložit.

      Může Windows Defender detekovat malware?

      Ve světě online zabezpečení existuje spousta mýtů a mylných představ, které se vznášejí kolem. Jednou z nejběžnějších je víra, že obránce Windows, Microsoft’s vestavěný antivirový program není na úkol detekce a odstranění malwaru.

      Windows Defender je program, který je součástí operačního systému Windows. Je navržen tak, aby pomohl chránit váš počítač před malwarem a jiným nežádoucím softwarem.

      Přestože Defender nemusí být dostupný nejrobustnější bezpečnostní program, je více než schopen chránit váš počítač před malwarem.

      Nechat’S blíže se podívejte na to, jak Defender funguje a proč byste neměli’se bojíte se na to spoléhat, aby váš počítač byl v bezpečí.

      Je Windows Defender dost?

      Jak funguje Microsoft Defender?

      Na rozdíl od všeobecného přesvědčení je Windows Defender ve skutečnosti poměrně sofistikovaným softwarem. . Heuristika umožňuje obránce detekovat zbrusu nový malware, který’.

      Kromě toho Defender těží ze skutečnosti, že je integrován do operačního systému Windows; To mu dává úroveň přístupu, kterou mohou jiné bezpečnostní programy’t zápas.

      To vše znamená, že obránce je více než schopen detekce a odstranění malwaru z vašeho počítače. To však’je důležité si uvědomit, že žádný bezpečnostní program není dokonalý. Vždy se objeví nové hrozby, které se objevují’bylo vidět dříve a někdy tyto mohou proklouznout i ten nejlepší bezpečnostní software. Že’s proč to’je důležité mít zaveden plán zálohování, jako je dobrý antivirový program.

      Funkce Microsoft Defender

      Microsoft Defender je dodáván s několika funkcemi, které vám mohou pomoci detekovat malware. Mezi tyto funkce patří ochrana v reálném čase, ochrana založená na cloudu a detekce chování. Ochrana v reálném čase znamená, že Defender naskenuje váš počítač pro malware pokaždé, když se dostanete do souboru nebo programu.

      Cloudová ochrana používá Microsoft’S cloudová služba pro skenování souborů pro malware. Detekce chování monitoruje váš počítač’S chování pro známky infekce. Pokud obránce najde podezřelou činnost, bude podniknout kroky k odstranění malwaru.

      Microsoft Defender vám také může pomoci odstranit malware, který je již na vašem počítači. Chcete -li to provést, můžete spustit úplné skenování počítače. Úplné skenování zkontroluje všechny soubory v počítači na malware. Pokud obránce najde jakýkoli malware, odstraní jej z počítače. Kromě úplného skenování existují i ​​jiné možnosti skenování.

      Windows-Defender-Scan-Options

      Pro skenování konkrétních souborů nebo složek můžete také použít Microsoft Defender. Chcete-li to provést, klepněte pravým tlačítkem myši na soubor nebo složku a vyberte “Skenujte s obráncem Microsoft.” Obránce poté naskenuje vybraný soubor nebo složku pro malware.

      Složka skenujte s obráncem

      Jak se provádí obránce ve srovnání s jiným antimalwarem?

      Obecně platí, že obránce dělá dobrou práci při udržování lidí’s počítači bezpečné. V nedávných nezávislých AV-testech se ukázalo, že je účinný při detekci a odstraňování malwaru.

      Výsledek testu obránce AV

      Existují i ​​jiné antimalwarové programy, které dokážou dělat lepší práci než obránce. Některé z nich jsou zdarma a některé z nich musíte zaplatit. Pokud se obáváte o svůj počítač’Zabezpečení, možná budete chtít zvážit použití jednoho z těchto dalších programů.

      Nejlepší způsob, jak chránit počítač, je však udržet jej v aktuálním stavu s nejnovějšími bezpečnostními záplatami a být opatrný ohledně webových stránek, které navštívíte a soubory, které stahujete, protože ani nejlepší antimalware není dokonalý.

      Konečný verdikt

      Neexistuje žádná odpověď na otázku, zda obránce Windows může detekovat malware. Závisí to na mnoha faktorech, včetně toho, s jakým druhem malwaru se zabýváte a jak je aktuální instalace vašeho obránce. Obecně je však obránce dobrým nástrojem pro udržení bezpečného počítače před malwarem.

      ? Ano, určitě to může! ? Ne, ale ne’musí být; Pro většinu uživatelů poskytuje více než dostatečnou ochranu. Don’Věřte, že mýty a dezinformace se vznášejí kolem online; Pokud jde o online zabezpečení, můžete věřit Windows Defender.

      Může Windows Defender detekovat většinu virů?

      Ano, obránce může detekovat většinu virů. Existují však některé typy malwaru, se kterými není příliš dobrý v řešení.

      Potřebuji další antivirus, pokud mám obránce Windows?

      Přestože je Microsoft Defender dobrým nástrojem pro udržení bezpečného počítače, možná budete chtít zvážit použití jiného programu, pokud se obáváte o svůj počítač’S zabezpečení.

      Обнаруживает?

      Да, защитник Windows предназначен для обнаружения. Он предназначен для обнаружения rání, програм 16-шпионв, програ4 в и и и и и и и д д д д д д д д д д д д д д д д д д д д д д д д д д д р р р р р р р р и р д д р д д д д д д д д р р р р р и р и и и торые могут пытаться заразить.

      Защитник Windows – это антивирус програма от Microsoft, ключенная. Он исполззует комбинацию методов обнаружения на основе сооtnaоо– hodní и и и и и и— ммного обеспечения.

      Защитник Windows включает следующие фнкци для защиты компюютера от вредоносных програм`:::::::::::::::

      • защита в режим реального времени: эта фнкция отслежж коок в в ю ю а в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в в ует или удаляет.

      • проактивная защита: эта фнкция ыыввляет подозрительную активностьзызыоо kohort у® omění уâе у уазызыоо kohort уâых у— уâе уâ у уâе уâ у— уâет уое svírání гоо kohout у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у к у у у у к , и немедленно принимает.

      • поведенческаjní стных приложений и предпринимает действия, если они иděnívankce.

      .

      • облачная защита: эта фнкция иvoje облачную аналитï к к коос котоонос котооторые вотоотоототоонос потооноонотонотоононотоонотоонvět ы.

      Защитник Windows предназначен для защиты вашего компююера от в с с с с с с ďam о с ďam ож ь и lat оа и и с lat ож и и и он и и и с он и и и с с ог н и и с ог н и доносные програмы. Вот почему важно исполззовать дополнительные уровни защщ, т т т т как анvět пене ot п !! мауэр. Кроме того, важно подděрживать операционную систему и и и и и с с с с с со с с сччы с а сччы с с сччы с с сччч с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с аражения новыми угрозами.

      Чтобы ваш компюютер ыыл защищен от. Ы можете сделать это, нажав кнопкdé «Сканировать сейчас» вентре бопасности защитника Windows. Если будут обнаружены какие-либо подозрительные действия и д д д д д д д д д д д д д д д д д д д д д д д д у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у у.

      В целом защитник Windows преднназначен для обнаружения и удаленая в по н о о о п п п п п п п п п п о о о о о о о о о о о о н о н н о. ограммы. Важно исполззовать его в сочетани с другими мера4 б бзоме palště п п п п п п п п п п п п п п přátel к п přátel п п п п п п п п п п п п п п ауэры, чтобы обеспечить.

      Microsoft Defender

      Pokud jde o ochranu vaší technologie a digitálních aktiv’s prakticky nemožné se vyhnout virům bez nějaké formy ochranného softwaru. Pro software Windows (a někdy i software MacOS a iOS) jedno z nejlepších antivirových řešení pochází přímo z Microsoftu.

      Co je Microsoft Defender?

      Microsoft Defender, také známý jako Microsoft Defender Antivirus, je rodina produktů společnosti Microsoft, která poskytuje software pro detekci, ochranu a reakce anti malwaru pro osobní i komerční použití. Celkově jsou tyto programy navrženy tak, aby posílily vaše digitální systémy, zmírnily hrozby a měřítko bezpečnostních zdrojů pro podniky. Pro maximální zabezpečení tento program chrání identity (pouze USA), data a zařízení před online hrozbami.

      Značka Microsoft Defender nabízí více softwaru a služeb, včetně následujících:

      • Microsoft 365 Defender
      • Microsoft Defender pro cloud
      • Koncový bod Microsoft Defender
      • Microsoft Defender pro Office 365
      • Microsoft Defender pro identitu
      • Microsoft Defender pro cloudové aplikace
      • Správa zranitelnosti obránce Microsoft
      • Microsoft Defender pro inteligenci hrozby

      I když existuje mnoho softwaru, který může sloužit mnoha různým typům lidí nebo skupin, tento článek se více zaměří na podnikové produkty Microsoft Defender, jako je Microsoft 365 Defender, Microsoft Defender pro Cloud a Microsoft Defender pro koncový bod.

      Historie obránce Microsoft

      Microsoft Defender byl poprvé představen světu jako bezplatný stahovatelný anti-spywarový program pro Windows XP a Windows Server 2003. Anti-spyware provozovaný s bezpečnostními agenty v reálném čase, kteří sledovali určité společné prostory pro změny potenciálně způsobené spywarem. Umožnilo také uživatelům určit, které aplikace a programy by umožnily stahovat a nahlásit vše, co Spyware považují za Microsoft.

      Windows 8 udělal větší krok a přidal antivirový software, který používá stejný anti-malwarový motor a definice virů z Microsoft Security Essentials (MSE). Pro Windows 8 i Windows 10 je Windows Defender ve výchozím nastavení aktivní. V ERA Windows 10 bylo několik iterací Microsoft Defender, jako když se Microsoft pokusil sloučit oba Windows Defender’S GUI a Windows Security and Hearvage do sjednocené aplikace UWP s názvem Windows Defender Security Center (WDSC).

      Nakonec byl software přejmenován na antivirus Windows Defender Antivirus a nyní to běžně’S známý jako sbírka softwarových služeb pod cloudově orientovaným “Microsoft Defender” značka. V roce 2019 byl Microsoft Defender ATP představen pro podniky, které používají MAC zařízení, která byla od té doby rozšířena na nástroje Android a iOS, také. Software se vyvinul v plný antivirový program, který lze dokonce použít pro mobilní zařízení.

      Funkce Microsoft Defender

      I když existuje pravděpodobně několik softwaru Microsoft Defender, který se může hodit váš obchodní model, zde jsou hlavní tři funkce, které budou mít prospěch podniků zabývající se sítí zařízení, softwaru, aplikací atd.

      Microsoft 356 Defender

      Pokud používáte Windows, konkrétně 365 cloudové služby, Microsoft 365 Defender je skvělým zdrojem pro ochranu mnoha služeb společnosti Microsoft, které používáte pro každodenní operace. Některé z nejvýznamnějších vlastností obránce Microsoft 365 jsou následující:

      • Správa a zabezpečení hybridní identity
      • Přijímat data ve všech cloudových službách a aplikacích

      Microsoft Defender pro cloud

      Prostředí cloudového domova je na vzestupu, což znamená, že jsou také nové způsoby cílení a ochrany vašich aktiv. Microsoft Defender pro Cloud je jedním z inovativnějších softwaru, který pomáhá podnikům pracujícím v stále rostoucím cloudovém a hybridním prostředí. Mezi pozoruhodné atributy této služby přátelské k cloudu patří:

      • Snižte riziko s řízením držení kontextuálního zabezpečení
      • Pomozte předcházet, odhalit a rychle reagovat na moderní hrozby

      Microsoft Defender pro koncový bod

      Další výkonnou funkcí pro ochranu proti antiviru je Microsoft Defender pro koncový bod, což je holističtější přístup k vašim antivirovým a malwarovým řešením tím, že nabízí centralizovanou platformu pro správu pro zabezpečení koncových bodů. Microsoft Defender pro koncový bod má funkce jako:

      • Rychlá prevence hrozeb
      • Schopnost škálovat zabezpečení
      • Prodloužená detekce a odezva XDR

      Co hledat v antivirovém softwaru

      Při výběru antivirového softwaru pro vaši firmu existuje několik klíčových prvků, které je třeba hledat, aby vaše aktiva byla v bezpečí.

      • Konstantní ochrana. Útočníci, kteří ohrožují vaše obchodní zdroje, mají také pokročilé technologie’S běžná strategie zaměřená na podniky o víkendech a svátcích, zatímco nikdo aktivně sleduje vaše systémy. V důsledku toho můžete’T dovolit si, aby váš antivirový software byl něco menšího než konstantní, běh 24/7/65 – Don’T se spokojí s jakýmkoli manuálním skenováním!
      • Časté aktualizace. Jak vidíte z naší historické recenze Microsoft Defender, antivirový software se nadále vyvíjí s novými technologiemi a novým malwarem. Ujistěte se, že váš antivirový software je pravidelně aktualizován, a to jak z hlediska funkcí, tak z hlediska funkcí i funkcí.
      • Náklady. Při výběru nejlepšího softwaru musí samozřejmě všechny společnosti zvážit svůj rozpočet a spodní linii. Ty’Přesto se však chce příliš kompromitovat náklady a koupit nedostatečný program. Existuje spousta bezplatných antivirových možností, ale nabízejí pouze základní ochranu, která obvykle není’D dost na podnikové úrovni. Kolik zařízení je zakryto? Je váš e -mail chráněn? Jak dlouho vaše pokrytí trvá?

      Jakmile najdete program, který poskytuje nepřetržitou ochranu a časté aktualizace za cenově dostupnou cenu, musíte software implementovat a pochopit, jak jej nejlépe používat v měřítku v měřítku. Pro mnoho výhod, které program Microsoft Defender nabízí, může správa a vyladění těchto nástrojů k potřebám vaší firmy vytvořit zátaras. Pro některé organizace může být obtížné plně využívat bezpečnostní schopnosti Microsoft bez odborných znalostí a znalostí odborníka na kybernetickou bezpečnost, a proto mnoho společností používá spravované detekční a odezvy (MDR) služby.

      Jak může OnTinue pomoci

      Produkty společnosti Microsoft jsou investicí pro organizace a všechny investice musí být optimalizovány, spravovány a využívány naplno. Nejlepší způsob, jak maximalizovat své podnikání’ Investice zabezpečení je partnerství se značkou, která může poskytnout potřebnou odbornost.

      Ontinue je odborník Microsoft a může pomoci vašemu podniku plně využít bezpečnostní software Microsoft ke zmírnění hrozeb a maximalizaci hodnoty vaší investice. S platformou Ontinue Ion, která je vytvořena pro Microsoft, můžeme nakonfigurovat nástroje Microsoft Defender, aby lépe sloužily vaší digitální krajině, lépe reagovat na možné hrozby a lépe využít nástroje, za které již platíte. Požádejte o demo ještě dnes.

      Zjišťujeme a reagujeme na bezpečnostní hrozby. Rychle. S automatizací řízenou AI, která umožňuje chytřejší, rychlejší rozhodování a akci. Ale my’znovu také v oblasti prevence hrozeb-s vždy na ochranu, která neustále chodí. A učení. A zlepšení. Hodně kolem vaší předchozí definice zabezpečení.

      Severní Amerika HQ

      450 Maple Street
      Redwood City, CA 94063

      Je Windows Defender natolik, aby prošel SOC 2?

      Osquery je připraven vestavěný antivirus v systému Windows

      Jason Meller

      Tento článek je jen o zařízeních Windows. Chcete znát náš pohled na AV třetích stran pro MacOS? Překontrolovat “Do Mac potřebují antivirus třetích stran pro soulad SOC 2?.”

      Chcete přeskočit preambuli? Na konci tohoto článku jděte přímo na Osquery SQL.

      Detekce a prevence malwaru třetích stran (to, co jsme před deseti lety nazývali antivirem) není každý správce systému Windows’šálek čaje. Někteří mají větší ryby na smažení (e.G., získání viditelnosti koncového bodu, pro začátek); Pro ostatní jsou spokojeni s vestavěnými anti-malwarovými schopnostmi oken, a proto nemají v plánu nasadit AV na jeho zásluhách.

      Bohužel, SOC 2 a další podobné audity nutí oba typy oken, které administrátoři nakupují a nasazují antivirový software dříve a dříve v organizaci’S životním cyklem. Když se zeptám, administrátoři, kteří byli’T psychicky o nasazení AV, proč to stejně udělali, jejich odpovědi obecně spadají do dvou kbelíků:

      1. Oni’T Věřte, že Windows má dostatečné anti-malwarové možnosti pro absolvování auditu SOC2. 1
      2. Nemohou absolvovat audity dodržování předpisů, jako je Soc 2.

      ’LL zpochybňuje oba tyto předpoklady. A co je nejdůležitější, chci ukázat, že s nástroji s otevřeným zdrojovým kódem můžete projít auditem SOC2 s vestavěnými anti-malwarovými schopnostmi Windows (Windows Defender) a zároveň být schopni také “hájit” (Žádná hříčka nezamýšlela) Tato pozice pro vedoucí vedení a auditory. Za to, doufám, že’Odpovídám si mě, když jsem v tomto procesu trochu strčil průmysl AV třetích stran.

      V ideálním případě, než budete čelit auditu SOC 2, skutečně vám věříte’Ve zajištění zabezpečení vašich zařízení Windows s zdroji, které máte k dispozici. Například jako bezpečnostní praktik to dělám vlastně Věřte, že mnoho organizací se lépe spoléhá na vestavěné bezpečnostní schopnosti Windows Defender bez doplňku třetí strany. Jak to může být?

      No, pro začátek, nechte’s nejprve uznává, že nejzákladnější a nejběžnější výzkum AV AV třetích stran představuje hororovou show hmatatelných důsledků, které zahrnují: tanking koncového bodu’S výkon, pravidelně blokující legitimní software, bez rozdílu prodávající uživatele’ údaje nezveřejněným stranám a dokonce i samotný software se stal zdrojem hlavního kompromisu.

      Dobře, ale ne každý prodejce je těmito problémy stejně postižen, takže to tak’.

      Takže teď, nechte’mluví o tom, co myslíme “lepší.” Nejvíce krátkozraký a vadný způsob, jak zjistit kvalitu antivirového softwaru, je pouze měřit, jak dobré je zabránit špatným věcem. Tato měření zahrnují:

      • Jak rychle může AV detekovat romány/nové hrozby?
      • Kolik popravy špatných věcí v reálném čase se zastavilo?
      • Kolik nových oblastí viditelnosti může získat?

      To’S není divu, že společnosti AV bezpečnostní společnosti vytvářejí celé své hřiště na základě těchto měření. Tato měření bohužel nezohledňuje zaplacené náklady (obvykle koncovým uživatelem) za mezní vylepšení napříč těmito metrikami. Nebo dát jiným způsobem:

      Něco jako jak žárovka, která zapálí věci, je stále vysoce kvalitní, pokud změříte pouze lumen?

      – Tavis Ormandy (@taviso) 19. listopadu 2016

      Uzávěr koncového uživatele generovaného AV třetích stran je obvykle řešen pouze tehdy, když se stane tak závažným, že může být snadno propojen s významnou nepříznivou finanční událostí. Bída je neomezená pro všechno, co nedosahuje tohoto baru. Účtem toho musíme upravit, jak přesně měříme AV’S skutečný výkon.

      Zde je jeden způsob. Místo toho, aby hledal nejlepší antivirový výkon na žádný náklady, potřebujeme antivirový výkon na jednotku fuj, kde je Yuck definován jako kvalitativní degradace zařízení’Uživatelská zkušenost.

      Kdo je tedy lépe motivován, aby nám poskytl maximální výkon AV na Yuck? Podle mého názoru to’S Jasně dodavatelé OS (jako Microsoft), a zde jsou důvody, proč:

      1. Prodejci OS jsou finančně ovlivněni, pokud si uživatelé myslí, že jejich OS běží jako nevyžádanou. Na druhé straně jsou prodejci AV třetích stran motivováni k zobrazení dodavatele OS jako nekompetentního postavení jako jedinečných odborníků.
      2. Prodejci OS se spoléhají na prosperující ekosystém třetích stran užitečného a zábavného softwaru, který bude řídit přijetí samotného operačního systému. To znamená, že se musí hluboce starat o to, jak zabezpečení OS ovlivňuje životaschopnost softwaru. AV třetí strany nemá žádnou motivaci k péči o životaschopnost jiného softwaru, dokud si jejich zákazníci nevšimnou (a poté jej napraví pouhým přidáním do povoleného seznamu).
      3. Prodejci OS mohou používat vertikální integraci nebo partnerství s hardwarovými OEM k vývoji vysoce efektivních bezpečnostních systémů hluboko v jádru samotného OS a spoléhat se na existenci sofistikovaného bezpečnostního hardwaru, jako je TPM. Prodejci třetích stran se nemohou připojit na této hluboké úrovni (bezpečně) a nemohou se úspěšně obhajovat vyhrazený hardware v zařízení, který jejich technologie zlepšuje.

      Vzhledem k výše uvedené realitě’S snadno vidět, proč Microsoft investoval značné množství do Windows’ Vestavěné bezpečnostní schopnosti značně od dnů Windows XP v Yore.

      Windows Defender Antivirus, původně vydán v roce 2009 (pod názvem Microsoft Security Essentials), se vyvinul v plně vybavenou a uznávanou antivirovou aplikaci, která je zahrnuta do všech verzí Windows (včetně 10 a 11).

      Grafika zobrazující 5 klíčových vlastností Windows Defender

      Obránce Windows nabízí dostatečnou ochranu před malwarem, ransomwarem, adwarem, trojským a spywarem. Může blokovat vykořisťování, zabránit síťovým útokům a vlajkami phishingových webů. Má také pokročilé funkce, jako je ochrana hrozeb v reálném čase, aktualizace založené na cloudu, offline skenování a omezené periodické skenování.

      Snímek zobrazující několik klíčových nastavení Windows Defender

      Další komponenta s názvem SmartScreen podporuje zabezpečené internetové prohlížení na okraji a Microsoft rozšířil ochranu na jiné prohlížeče, jako je Chrome a Firefox.

      Microsoft Defender také uvádí detekované hrozby v bezpečnostních zprávách, které si můžete prohlédnout v aplikaci Windows Security.

      Snímek obrazovky aplikace Windows Security

      Bezpečnostní software navíc používá strojové učení, analytiku velkých dat, výzkum odporu ohrožení a další k ochraně koncových bodů před známými viry a útoky na nulovou den. Funkce jsou na par s placeným antivirovým softwarem, s další výhodou, že jsou součástí operačního systému’T musí dělat další práci na instalaci a údržbě aplikace.

      AV dodavatelé’ Běžné argumenty k ospravedlnění jejich produktů navzdory společnosti Microsoft’S komplexní vestavěná bezpečnost je o rozdělení chloupků kolem účinnosti detekce.

      Playbook obecně zahrnuje prodejce AV třetích stran, který ukazuje na konkrétní varianty malwaru, které jejich produkt může detekovat a že Microsoft nedokázal přidat do svých seznamů podpisů okamžitě (nebo vůbec).

      Podle mého názoru je to pošetilý argument. To’S snadno vyjmenuje mnoho úspěšných malwarových kampaní, které žádný antivirový prodejce nemohl včas zjistit. Vzhledem k tomu, že dokonalá detekce/prevence je nemožná, musíme zvážit náklady na důvěru, které chceme zaplatit za zaručenou degradaci výkonu, falešné pozitivy a další útočné povrchy, které mají získat okrajový vylepšení. Pokud uživatelé udržují těsnou loď, uplatňují aktualizace a neukazují UAC, což silně koreluje s velmi nízkou šancí, že tyto rozdíly v ochraně je ovlivňují.

      Rozšiřování myšlenky, že prevence nakonec selže, má smysl najít přiměřenou základní linii preventivního antiviru a zaměření a zdroje posunu a zdroje do budování plánu reakce na incidenty počítače. To znamená když (ne, pokud) Windows PC se zhoršuje, organizace může lépe reagovat na zmírnění potenciálně závažných dopadů tohoto kompromisu, který se nekontroluje. Hra prevence je jedna s klesajícími výnosy za utracené dolar. Na druhé straně je vývoj odpovědí na incidenty jednou z nejlepších investic do bezpečnosti, které můžete provést.

      Jak jsme viděli výše, Microsoft je motivován a provádí rozumnou práci, která chrání uživatele PC Windows před malwarem.

      Že’je skvělá zpráva! Ale tam’s jedním problémem.

      Stále musíte shromažďovat data, abyste sestavovali zprávy pro audit vašeho souladu. Microsoft nedělá’T nabízí způsob, jak dosáhnout této úrovně viditelnosti flotily bez zakoupení své sady pro správu koncových bodů a bezpečnostních nástrojů (v podstatě to samé, co byste dostali s AV třetí strany).

      Že’s kde osquery přichází na záchranu.

      Možná jste slyšeli o použití osquery k převzetí zásob zařízení, ale věděli jste to’s také šikovný nástroj pro sestavování dat pro splnění požadavků na podávání zpráv SOC 2?

      Osquery je nástroj s otevřeným zdrojovým kódem, který uživatelům umožňuje dotazovat operační systémy. Například může použít osquery k získání viditelnosti do zařízení MacOS, Windows a Linux.

      Osquery můžete použít ke kontrole všech zařízení ve flotile. To vám umožní zajistit, aby dodržovali pravidla specifická pro platformu založená na vaší společnosti’S Politika bezpečnosti dat a standardy dodržování předpisů (e.G., Šifrování disku, stav brány firewall, aktualizace OS atd.)

      Osquery může akumulovat a zaznamenávat údaje o dodržování předpisů na podporu hlášení SOC 2 a proces auditu. Můžete vidět agregované metriky nebo vrtat na specifika pomocí různých filtrů, abyste prokázali, že uživatelé’ Zařízení jsou v souladu s požadavky SOC 2.

      Grafika zobrazující, jak funguje Osquery

      ’S jednoduchý, spolehlivý a rozšiřitelný. Protože to funguje pro všechny tři operační systémy, můžete shromažďovat data na každém zařízení ve flotile bez použití různých nástrojů.

      Chcete -li projít auditem SOC 2, musíte vytvořit dokumentaci, abyste prokázali, že vaše systémy a procesy splňují specifické požadavky.

      Chcete -li ukázat, že máte příslušnou obranu proti malwaru a virům podle běžných kritérií 6.8, musíte vytvořit zprávu, která popisuje své procesy pro monitorování integrity souborů (FIM) a správu zabezpečení koncových bodů.

      Vaše dokumentace by měla prokázat, že:

      • Můžete sledovat aktualizace provedené podle softwarových a konfiguračních souborů a změn ve stavech a událostech ochrany koncových bodů.
      • Implementovali jste ovládací prvky, abyste zabránili, detekovali a jednali podle neoprávněného nebo škodlivého softwaru zavedeného do vaší infrastruktury.
      • Pouze autorizovaní jednotlivci mohou instalovat aplikace a software na zařízení připojená k vaší síti.
      • Máte procesy pro detekci změn, které by mohly naznačovat přítomnost neoprávněného nebo škodlivého softwaru.
      • Tam’S A Proces kontroly změn definovaný správou pro sledování implementace softwaru a aplikací.
      • Antivirový a anti-malwarový software je implementován a udržován k detekci a nápravě malwaru.
      • Sledujete postupy pro skenování informačních aktiv ve vazbě a detekujte malware a další neoprávněný software.

      Níže je uveden příklad dokumentace, kterou poskytujeme zákazníkům na požádání, abychom jim pomohli předat tato kritéria pro jejich soulad SOC 2 s Kolide a Microsoft Windows’ Vestavěná ochrana.

      Příklad dokumentace, kterou jsme použili k předávání těchto kritérií pro naše vlastní soulad SOC 2, s nástroji Kolide a Windows Tools

      .PDF).

      Microsoft Windows s Defender může splnit technické požadavky na certifikaci SOC 2 a vy’T je třeba použít antivirus třetích stran. Ale to’je výzva pro kompilaci dat zařízení a hlášení v měřítku. Zde přichází Osquery, aby poskytoval viditelnost vozového parku, sledování činností a shromažďování údajů, které potřebujete k prokázání dodržování flotily pro audit a hlášení SOC 2.

      Abychom zjistili, že celkový přístroj pro prevenci malwaru v oknech je funkční, musíme použít vestavěné hlášení, které přichází s samotným Windows, Zabezpečovací centrum Windows.

      Informace o bezpečnostním centru Windows vizualizované v Kolide

      API Windows Security Center, která je představena zpět v systému Windows XP SP2. Rychle vpřed téměř dvě desetiletí a tato API nám stále dávají nějaké nahlédnutí na vysoké úrovni, které potřebujeme.

      Naštěstí pro nás Kolide přispěl stolem k osquery, který nám umožňuje dotazovat toto API. To’s s názvem Windows_security_Center .

       * Z Windows_security_Center;; 

      Osquery> Vyberte * z Windows_security_Center; Firewall = Good Autoudate = dobrý antivirus = dobrý internet_settings = dobrý Windows_security_Center_Service = dobrý uživatel_account_control = dobrý

      I když nám to poskytuje jedinečnou zdravotní třídu pro ochranu antivirového i anti-spywaru na zařízení Windows, můžeme použít další Tabulka Osquery nazvala Windows_security_Products, aby získala ještě hlubší vzhled.

      VYBRAT * Z Windows_security_Products;; 

       typ = name firewall = Windows Firewall State = on State_timestamp = null remediation_path = %Windir %\ System32 \ Firewall.CPL Signatures_up_to_date = 1 Type = Antivirus Name = Microsoft Defender Antivirus State = On State_timestamp = SUN, 01. května 2022 04:33:50 GMT REMEMICE_PATH_PATH = WindowsDefender: // Signatures_up_to_date = 1

      Tato tabulka nám říká, které produkty jsou v současné době zodpovědné za antivirový i aplikační vrstvu Firewall a zda jsou zahrnuté podpisy aktuální.

      Jak vidíte výše, Osquery může pomoci shromažďovat základní podrobnosti o stavu vestavěného malwaru a virů Windows. Bohužel to jen’T dost informací. Například nám chybí informace o Windows Defender’S konfigurace a nemáme ponětí o výsledcích obránce’S skenování.

      Abychom tyto informace získali, musíme překročit vestavěné schopnosti osquery. Naštěstí Kolide’S open-source agent rozšiřuje osquery’S tak, aby mohla přemostit API pro správu systému Windows (WMI). To je přesně to, co potřebujeme k dokončení našeho příběhu o shromažďování dat.

      V API WMI API nabízí společnost Microsoft třídu MSFT_MPComputarStatus, což nám umožňuje chytit všechny příslušné podrobnosti o aktuálním stavu obránce Windows Defender.

      Zatímco dotaz WMI (který také používá SQL) bude vypadat něco jako Select * z MSFT_MPComputarTus s Kolide, musíme být trochu explicitnější:

      VYBRAT * Z Kolide_wmi KDE  = 'MSFT_MPCompusherStatus' A názvů = '\ rOot\ MICrosoft\ Windows\ DEfender ' A vlastnosti = 'ComputerID,ComputerState,AMProductVersion,AMServiceVersion,AntispywareSignatureVersion,AntispywareSignatureAge,AntispywareSignatureLastUpdated,AntivirusSignatureVersion,AntivirusSignatureAge,AntivirusSignatureLastUpdated,NISSignatureVersion,NISSignatureAge,NISSignatureLastUpdated,FullScanStartTime,FullScanEndTime,FullScanAge,LastQuickScanSource,LastFullScanSource,RealTimeScanDirection,QuickScanStartTime,QuickScanEndTime,QuickScanAge,AMEngineVersion,AMServiceEnabled,OnAccessProtectionEnabled,IoavProtectionEnabled,BehaviorMonitorEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,NISEngineVersion,NISEnabled' 

      +───zování zajímavostíjlétnostminělé provoletem příslušenství ──valištinělécomické pro+ lé+ ──valistickézování zdravého ~+ | Fullkey | klíč | rodič | Dotaz | hodnota | WhideClause | +───zování zajímadectvímlé příslušenství proleznete v seznamu ──valištinělé prow─ŮŽELIEM+ ──ŮČEKCOVI Avrostem A─konomické+ | 0/ComputarState | ComputerState | 0 | * | 0 | "" | | 0/AntispywareSignatureonsion | AntispywareSignaturevesion | 0 | * | 1.363.1657..450000+000 | "" | | 0/nisenabled | Nisenabled | 0 | * | Pravda | "" | | 0/AmServiceVersion | AmServiceVersion | 0 | * | 4.18.2203.5 | "" | | 0/AntispywareSignaturelastupdated | AntispywareSignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/AntivirusSignaturerations | AntivirusSignatureravesion | 0 | * | 1.363.1657.0 | "" | | 0/IOAVProtectionEnabled | IOAVProtectionEnabled | 0 | * | Pravda | "" | | 0/Antivirussignaturelastupdated | Antivirussignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/QuicksCanage | Quickscanage | 0 | * | 2 | "" | | 0/AntispywareEnabled | AntispywareEnabled | 0 | * | Pravda | "" | | 0/nissignaturelaresion | Nissignaturelaresion | 0 | * | 1.363.1657.0 | "" | | 0/nissignereage | Nissignereage | 0 | * | 0 | "" | | 0/FullScanage | FullScanage | 0 | * | '-1 | "" | | 0/nisengineversion | Nisengineversion | 0 | * | 1.1.19200.5 | "" | | 0/RealTimesCandirection | RealTimesCandirection | 0 | * | 0 | "" | | 0/AmServiceEnabled | AmServiceEnabled | 0 | * | Pravda | "" | | 0/počítač | Počítačový | 0 | * | 9802EC57-A4BB-4137-BB73-51516631CDF9 | "" | | 0/amproductversion | Amproductversion | 0 | * | 4.18.2203.5 | "" | | 0/behavioRoMonitorinebed | Behavioronitorinenabled | 0 | * | Pravda | "" | | 0/REALIMEPROTECTIONENABLED | RealtimeProtectionEnabled | 0 | * | Pravda | "" | | 0/Antivirussignaturereage | Antivirussignationatereage | 0 | * | 0 | "" | | 0/QuickScanStartTime | QuickscanStartTime | 0 | * | 20220507001822.844000+000 | "" | | 0/AMENGINEVERSION | AMENGINEVERSION | 0 | * | 1.1.19200.5 | "" | | 0/nissignaturelastupdated | Nissignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/LastQuickScanSource | LastQuickScanSource | 0 | * | 2 | "" | | 0/LastfullScanSource | LastfullScansource | 0 | * | 0 | "" | | 0/OnaccessProtectionEnabled | OnaccessProtectionEnabled | 0 | * | Pravda | "" | | 0/Antivirusenabled | Antivirusenabled | 0 | * | Pravda | "" | +───zování zajímadectvímlé příslušenství proleznete v seznamu ───────── Ale+───── Ale+

      I když to jsou data, která chceme,’není zcela ve formátu, který je snadno čitelný. Pomocí technik transformace EAV, které jsme se naučili z jiného blogového příspěvku, můžeme přepsat dotaz a získat jeden řádek obsahující každou vlastnost.

      S WMI_RAW TAK JAKO ( VYBRAT * Z Kolide_wmi KDE třída = 'MSFT_MPCompusherStatus' A názvů = '\ rOot\ MICrosoft\ Windows\ DEfender ' A vlastnosti = 'ComputerID,ComputerState,AMProductVersion,AMServiceVersion,AntispywareSignatureVersion,AntispywareSignatureAge,AntispywareSignatureLastUpdated,AntivirusSignatureVersion,AntivirusSignatureAge,AntivirusSignatureLastUpdated,NISSignatureVersion,NISSignatureAge,NISSignatureLastUpdated,FullScanStartTime,FullScanEndTime,FullScanAge,LastQuickScanSource,LastFullScanSource,RealTimeScanDirection,QuickScanStartTime,QuickScanEndTime,QuickScanAge,AMEngineVersion,AMServiceEnabled,OnAccessProtectionEnabled,IoavProtectionEnabled,BehaviorMonitorEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,NISEngineVersion,NISEnabled' ), Microsoft_windows_defender_config TAK JAKO ( VYBRAT Max(POUZDRO KDYŽ klíč = 'Amgnegineversion' PAK hodnota KONEC) TAK JAKO am_engine_version, Max(POUZDRO KDYŽ klíč = „Amproductversion“ PAK hodnota KONEC) TAK JAKO am_product_version, Max(POUZDRO KDYŽ klíč = 'AmServiceEnabled' PAK hodnota KONEC) TAK JAKO am_service_enabled, Max(POUZDRO KDYŽ klíč = 'AmserviceVersion' PAK hodnota KONEC) TAK JAKO am_service_version, Max(POUZDRO KDYŽ klíč = „Antispywareenabled ' PAK hodnota KONEC) TAK JAKO antispyware_enabled, Max(POUZDRO KDYŽ klíč = „Antispywaresignereage“ PAK hodnota KONEC) TAK JAKO antispyware_signature_age, Max(POUZDRO KDYŽ klíč = „AntispywareSignaturelastupdated“ PAK hodnota KONEC) TAK JAKO antispyware_signature_last_updated, Max(POUZDRO KDYŽ klíč = „Antispywaresignaturesion“ PAK hodnota KONEC) TAK JAKO antispyware_signature_version, Max(POUZDRO KDYŽ klíč = 'Antivirusenabled' PAK hodnota KONEC) TAK JAKO antivirus_enabled, Max(POUZDRO KDYŽ klíč = „Antivirussignationage“ PAK hodnota KONEC) TAK JAKO antivirus_signature_age, Max(POUZDRO KDYŽ klíč = „Antivirussignaturelastupdated“ PAK hodnota KONEC) TAK JAKO antivirus_signature_last_updated, Max(POUZDRO KDYŽ klíč = „AntivirusSignaturesion“ PAK hodnota KONEC) TAK JAKO antivirus_signature_version, Max(POUZDRO KDYŽ klíč = 'Behavioronitorinebed' PAK hodnota KONEC) TAK JAKO chování_monitor_enabled, Max(POUZDRO KDYŽ klíč = „Počítačový“ PAK hodnota KONEC) TAK JAKO počítač_id, Max(POUZDRO KDYŽ klíč = 'ComputerState' PAK hodnota KONEC) TAK JAKO počítač_state, Max(POUZDRO KDYŽ klíč =  PAK hodnota KONEC) TAK JAKO full_scan_age, Max(POUZDRO KDYŽ klíč  'IOAVProtectionEnabled' PAK hodnota KONEC) TAK JAKO ioav_protection_enabled, Max(POUZDRO KDYŽ klíč = 'LastQuickScansource' PAK hodnota KONEC) TAK JAKO last_quick_scan_source, Max(POUZDRO KDYŽ klíč = 'LastfullScansource' PAK hodnota KONEC) TAK JAKO last_full_scan_source, Max(POUZDRO KDYŽ klíč = 'Nisenabled' PAK hodnota KONEC) TAK JAKO nis_enabled, Max(POUZDRO KDYŽ klíč = 'Nisengineversion' PAK hodnota KONEC) TAK JAKO nis_engine_version, Max(POUZDRO KDYŽ klíč = 'Nissignationage' PAK hodnota KONEC) TAK JAKO nis_signature_age, Max(POUZDRO KDYŽ klíč = 'Nissignaturelastupdated' PAK hodnota KONEC) TAK JAKO nis_signature_last_updated, Max(POUZDRO KDYŽ klíč = 'Nissignaturelaresion' PAK hodnota KONEC) TAK JAKO nis_signature_version, Max(POUZDRO KDYŽ klíč = 'OnaccessProtectionEnabled' PAK hodnota KONEC) TAK JAKO on_access_protection_enabled, Max(POUZDRO KDYŽ klíč = 'Quickscanage' PAK hodnota KONEC) TAK JAKO rychlý_scan_age, Max(POUZDRO KDYŽ klíč = 'QuickscanendTime' PAK hodnota KONEC) TAK JAKO rychlý_scan_end_time, Max(POUZDRO KDYŽ klíč = 'QuickscanStartTime' PAK hodnota KONEC) TAK JAKO Quick_scan_start_time, Max(POUZDRO KDYŽ klíč = „RealtimeProtectionEnabled“ PAK hodnota KONEC) TAK JAKO real_time_protection_enabled, Max(POUZDRO KDYŽ klíč = 'RealTimesCandirecretion' PAK hodnota KONEC) TAK JAKO real_time_scan_direction Z WMI_RAW SKUPINA PODLE rodič ) VYBRAT * Z Microsoft_windows_defender_config;; 

      +───zování zajímavosti A───zováním Závěrem+─zování+──────zováním Zájmem Zástupy+─zování Zájmem+Avro+Avro+Avro +® konomilé ─ příslušní Avro+Avalistické ─tnost ~ ───zování zajímadectvímlýchvalikonovou silou+lé+lé+lé+─────zováním Zájmem Zájmem Zájmem Avro® Avrovem Avrostem A─ïï────vrotí +®─van příslušníciper příslušní ───zování zajímadectvímlýchvalikonomické provojeně+lé+lé+lé+──────zováním Zájmem Zájmem Záhlém Avro+Avro+A─van příslušní ─ příslu ───zování zajímadectvímlé příslušenství proleznete v seznamu ───zování+────zováníJtnostem Zánětem prolezením+───zování+─vanŮ─ konomilé příslušnících Záhlé Alé příslušní ─+─────zovánímlé provolací příslušníkynělé příslušné ──van Alekonovou příslušenství proleznictví+────zovánímentázovánímlé příslušenství prolez am_engine_version | am_product_version | am_service_enabled | am_service_version | antispyware_enabled |antispyware_signature_age | antispyware_signature_last_updated | antispyware_signature_version | antivirus_enabled | antivirus_signature_age | antivirus_signature_last_updated | antivirus_signature_version | chování_monitor_enabled | počítač_id | počítač_state | full_scan_age | ioav_protection_enabled | last_full_scan_source | last_quick_scan_source | nis_enabled | nis_engine_version | nis_signature_age | nis_signature_last_updated | nis_signature_version | on_access_protection_enabled | rychlý_scan_age | rychlý_scan_end_time | Quick_scan_start_time | real_time_protection_enabled | real_time_scan_direction |+───zování zajímavosti A────zováním+────zovánímlé provozování ───zování zajímadectvímlýchvalikonomické provola ─zování+lé+lé+─────Ů Ale Ehlíslo ───zování zajímadectvímlé příslušenství proleznete v seznamu ───zování zajímadectvímlé příslušenství prolezení ───zování+──ŮČEKVEMKŮČEKCEKCEKCEVICKÉHO ──+─────ŮČEMEÁLIKCOVIKCOVÉMEMECKÉMEKLAMIKCE A───zování Záhlého+─ příslušníci Zále+─ příslušní ──valištinělétnostmi Avalistické Ale Zájmem Zástupy+────zování Aletno+0.──zování+───── Alekonovu A───covat Alekonovím+|+| 1.1.19200.5 | 4.18.2203.5 | Pravda | 4.18.2203.5 | Pravda | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Pravda | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Pravda | 08FB414B-6118-4183-B65E-3FBA345670EF | 0 | '-1 | Pravda | 0 | 2 | Pravda | 1.1.19200.5 | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Pravda | 6 | 20220502134713.979000+000 | 20220502134622.525000+000 | Pravda | 0 | +───zování zajímavosti A────zováním+────zovánímlé provozování ───zování zajímadectvímlýchvalikonomické provola ─zování+lé+lé+─────Ů Ale Ehlíslo ───zování zajímadectvímlé příslušenství proleznete v seznamu ───zování zajímadectvímlé příslušenství prolezení ───zování+──ŮČEKVEMKŮČEKCEKCEKCEVICKÉHO ──+─────ŮČEMEÁLIKCOVIKCOVÉMEMECKÉMEKLAMIKCE A───zování Záhlého+─ příslušníci Zále+─ příslušní ───zování zajímavosti Alé skutečné+

      Existuje další důležitá data, která potřebujeme, Defender Windows detekoval jakékoli hrozby na mých zařízeních? Opět je zde třída WMI s názvem MSFT_MPTHTHREATDETECTION (DOCS), na kterou můžeme využít pomocí Kolide’s WMI na Osquery Bridge.

      Rozšiřování všeho, co jsme’VE ZÍSKEJTE V poslední sekci, můžeme dotazovat tuto třídu WMI stejným způsobem a vytvořit jediný řádek pro každou nově detekovanou hrozbu.

      Zde je poslední SQL:

      S WMI_RAW TAK JAKO ( VYBRAT *, ROZDĚLIT(rodič, '/', 0) TAK JAKO unikátní ID Z Kolide_wmi KDE třída = 'MSFT_MPTHTREATDETICE' A názvů = '\ rOot\ MICrosoft\ Windows\ DEfender ' A vlastnosti = „Detektiv, hrozba, název procesu, domainuser, detectionSourCeTypeId, zdroje, InitialDectionTime, PoslednímstatusChangetime, RemediationTime, Aktuální útvarStatusid, ThreatStatusID, ThreatStatuSerrorCode, CleaningactionId, AmprodussVersion, Actionsccess“ ), microsoft_windows_defender_thereats TAK JAKO ( VYBRAT Max(POUZDRO KDYŽ klíč = „Detektiv“ PAK hodnota KONEC) TAK JAKO detekce_id, Max(POUZDRO KDYŽ  = „Hrozí“ PAK hodnota KONEC) TAK JAKO hrozba_id, Max(POUZDRO KDYŽ klíč = 'ProcessName' PAK hodnota KONEC) TAK JAKO Process_name, Max(POUZDRO KDYŽ klíč = 'Domaniser' PAK hodnota KONEC) TAK JAKO domain_user, Max(POUZDRO KDYŽ klíč = 'DetectionSourceTypeId' PAK hodnota KONEC) TAK JAKO detekce_source_type_id, Group_concat(POUZDRO KDYŽ Fullkey JAKO '%Zdroje%' PAK hodnota KONEC, ',') TAK JAKO zdroje, Max( KDYŽ klíč = 'InitialDectionTime' PAK hodnota KONEC) TAK JAKO Initial_Detection_time, Max(POUZDRO KDYŽ klíč = 'Poslednítreatstatuschangetime' PAK hodnota KONEC) TAK JAKO last_thereat_status_change_time, Max(POUZDRO KDYŽ klíč = 'Remediationtime' PAK hodnota KONEC) TAK JAKO Remediation_time, Max(POUZDRO KDYŽ klíč = „AktuálnítheatexecutionStatusID“ PAK hodnota KONEC) TAK JAKO současný_thereat_execution_status_id, Max(POUZDRO KDYŽ klíč = 'ThreatStatusid' PAK hodnota KONEC) TAK JAKO HRETIRE_STATUS_ID, Max(POUZDRO KDYŽ klíč = 'ThreatStatuserrorCode' PAK  KONEC) TAK JAKO HRETIRE_STATUS_ERROR_CODE, Max(POUZDRO KDYŽ klíč = 'CleaningactionId' PAK hodnota KONEC) TAK JAKO čištění_action_id, Max(POUZDRO KDYŽ klíč = „Amproductversion“ PAK hodnota KONEC) TAK JAKO am_product_version, Max(POUZDRO KDYŽ klíč = 'Actionsccess' PAK hodnota KONEC) TAK JAKO action_success, Max(POUZDRO KDYŽ klíč = 'APLERTACTSBITMASK' PAK hodnota KONEC) TAK JAKO další_actions_bit_mask Z WMI_RAW SKUPINA PODLE unikátní ID) VYBRAT * Z microsoft_windows_defender_thereats;; 

      +───zování zajímadectvímlé příslušenství protestuje+────zování Aletno+──── Jaké® Zálepéňové prole +Ůvro+~ ───zování zajímavé+lé+lé+──van Alekonomické příslušníkynělé proleznictví+0.─meritím+─van příslušní ───zování zajímadectvímlýchvalikonovou silou Zánětujícím+─vanŮČEKVEK─ŮČEMK─ŮŽEMEÁLNÍMECOVÝMIKCOVÝM+─Ůzováním pro+─Ůzování®─konomilé příslušní++─vanrobůže příslušenstná+ ───zování zajímadectvímlé příslušenství proleznete v seznamu ───── Ale+ | action_success | další_actions_bit_mask | am_product_version | čištění_action_id | současný_thereat_execution_status_id | detekce_id | detekce_source_type_id | domain_user | Initial_Detection_time | last_thereat_status_change_time | Process_name | Remediation_time | Zdroje | hrozba_id | HRETIVE_STATUS_ERROR_CODE | hrozba_status_id |+───zování zajímadectvímlé příslušenství pros .®+────zování zdravé protestva+─vanŮM+0.───covatzováním provalilé příslušní ───zování zajímadectvím®vali®+──────zováníminělé provinění ───zování zajímadectvímlé příslušenství proleznete v seznamu ───zování zajímadectvímlé příslušenství proleznete v seznamu ───── Ale+ | Pravda | 0 | 4.18.2203.5 | 9 | 0 | | 1 | Desktop-2HFBS8U \ Jason | 20220430211822.148000+000 | 20220501044223.930000+000 | Neznámé | 20220501044223.930000+000 | "Soubor: _c: \ Users \ Jason \ Downloads \ EICAR (1).com, soubor: _c: \ Users \ Jason \ Downloads \ Eicar.com "| 2147519003 | 0 | 106 | | True | 0 | 4.18.2203.5 | 2 | 0 | | 2 | NT Authority \ System | 20220501043200.985000+000 | 20220501043227.380000+000 | Neznámé | 20220501043227.380000+000 | "Soubor: _c: \ Users \ Jason \ Downloads \ EICAR (1).com, soubor: _c: \ Users \ Jason \ Downloads \ Eicar.com "| 2147519003 | 0 | 3 |+──vanŮzovánímvalilé kterou provolní+────ŮČI─Ů─ŮČEMK─Ůzováním+Avro+Avro+Avro+A───Ůzováním provali Záhlé Ahlé Zále. ─Ůvro ───zování zajímadectvímlé příslušenství proleznete v seznamu ────+──ŮČEKÁMKCOVIKCOVÉMEKCOVÉMEM ─zováním provinizi+──Ůzováním Zájmem Zájmem Zájmem .──ïrob+─vanvanspo ───zování Aletnolnate Záněty prolezeno ────kle+─────zováním+

      Nyní se stává otázkou, jak nejlépe agregujete data shromážděná prostřednictvím Osquery a ukážete je auditorům?

      Osquery mimo krabici emituje protokoly, které lze agregovat pomocí třetích stran a agregačních nástrojů protokolu. Pomocí jejich nativních funkcí hlášení můžete vytvořit řídicí panel, který vás dostane prostřednictvím vašeho auditu a poskytne vám neuvěřitelnou viditelnost.

      Pokud ne’Chci to všechno postavit sám, Kolide vás může rychle dostat do provozu. Kolide’S produktem s automaticky poskytuje nativní instalační pracovníci pro Mac, Windows a Linux, které nainstalují osquery. Jakmile agent spustí, Kolide automaticky shromažďuje všechny příslušné informace, agreguje je a vizualizuje je. Během několika minut se můžete dívat na takový panel:

      Kolide’S Inventář automaticky agreguje informace, které potřebujete k zobrazení auditorů pro SOC2.

      Kolide vám navíc může poskytnout přístup API a úplnou dokumentaci o datech, která shromažďuje.

      Další otázka vanilla osquery’má odpověď na nápravu. Například, pokud zjistíte, že je zabezpečený boot Windows zakázán (což pomáhá zajistit integritu podkladového systému obránce), jak jej opravíte? Jedním z přístupu je koupit produkt pro správu zařízení Windows a použít zásady k tomu, aby tato nastavení vynutila. I když to může fungovat, ne všechno může být automatizováno tímto způsobem. Neexistuje způsob, jak povolit zabezpečenou spuštění bez uživatele’s pomáhá vzdáleně.

      Kolide může opět spustit kontroly proti vašemu počítači se systémem Windows, aby se ověřilo, že tyto služby jsou povoleny. Pokud nejsou’T, Kolide se integruje s Slackem, aby pošle koncové uživatele a nasměroval je na to, jak tyto funkce znovu povolit (a vysvětlit, proč jsou důležité, aby je udrželi takto).

      Snímek kolidu

      Aplikace Kolide Slack se může přímo obrátit na koncového uživatele, aby jim dala vědět, že zabezpečená bota byla vypnuta a pomohla jim ji co nejdříve dostat zpět.

      Oznámení o koncovém uživateli jsou součástí naší filozofie poctivé bezpečnosti. Věříme, že výuka koncových uživatelů, jak udržet svá zařízení zabezpečená sítě lepší a úplnější zabezpečení jednoduše zamknout stroj.

      Vyzkoušejte Kolide zdarma, abyste viděli, jak vám můžeme pomoci snadněji dosáhnout dodržování předpisů SOC 2.

      1. Auditoři dodržování předpisů jsou naštvaní, když používáte binární termíny jako “složit” nebo “selhat” popsat výsledek auditu. Místo toho používají podmínky jako “upraveno” nebo “kvalifikovaný”. Když používám slovo “složit” V tomto článku mám na mysli, že jste získali zprávu SOC 2 bez negativní kvalifikace. ↩