Resumen

Windows Defender es un programa antispyware que protege su computadora del software dañino y no deseado. Tiene dos modos de operación: protección y escaneo en tiempo real. La protección en tiempo real se ejecuta en segundo plano y detecta el spyware que intenta instalarse por sí misma, mientras que escanear detecta el spyware ya instalado en la computadora. Windows Defender usa archivos de definición para actualizar las firmas de spyware e incluye una función de actualización automática. Software Explorer es un componente clave de Windows Defender, ya que rastrea el estado de todos los programas en ejecución.

Puntos clave

1. Windows Defender es un programa antispyware que protege su computadora del software dañino.

2. El modo de protección en tiempo real detecta el spyware que intenta instalarse por sí mismo, mientras que el modo de escaneo detecta el spyware ya instalado en la computadora.

3. Spyware se detecta en función de su firma, que incluye la forma en que intenta instalarlo, archivos que crea o modifica, y las teclas de registro modifican o crean.

4. Windows Defender usa archivos de definición para actualizar las firmas de spyware e incluye una función de actualización automática.

5. Software Explorer rastrea el estado de todos los programas en ejecución y ayuda a detectar las actividades de los programas maliciosos.

Preguntas y respuestas

1. ¿Puede el defensor de Windows proteger mi computadora del software dañino??

Sí, Windows Defender es un programa antispyware que protege su computadora del software dañino y no deseado.

2. ¿Cuáles son los dos modos operativos del defensor de Windows??

Los dos modos de operación de Windows Defender son protección en tiempo real y escaneo.

3. ¿Qué hace el modo de protección en tiempo real??

El modo de protección en tiempo real detecta un spyware que está tratando de instalarlo en su computadora. Se ejecuta en segundo plano para salvaguardar su computadora.

4. ¿Qué hace el modo de escaneo??

El modo de escaneo intenta localizar spyware que ya se ha instalado en su computadora. Puede detectar spyware que puede haber pasado por la función de protección en tiempo real.

5. ¿Cómo reconoce el defensor de Windows Spyware??

Windows Defender reconoce el spyware por su firma, que incluye la forma en que intenta instalarlo, archivos que crea o modifica, y las teclas de registro modifican o crean.

6. ¿Cómo se mantiene actualizado con Windows Defender con el nuevo spyware??

Windows Defender usa archivos de definición para mantener información actualizada sobre las firmas de spyware. Microsoft crea nuevas firmas para el defensor de Windows para contrarrestar el nuevo spyware y hace que estas nuevas firmas estén disponibles para descargar.

7. ¿Qué es el explorador de software??

Software Explorer es un componente clave del defensor de Windows. Hace un seguimiento del estado de todos los programas que se ejecutan actualmente en la computadora y ayuda a detectar las actividades de los programas maliciosos.

8. ¿Cómo accedo al defensor de Windows??

Para acceder al defensor de Windows, haga clic en Inicio, luego el panel de control, luego la seguridad y finalmente el defensor de Windows.

9. ¿Cómo puedo habilitar el defensor de Windows si está apagado??

Si el defensor de Windows está apagado, verá un mensaje de advertencia. Haga clic en “Encienda y abra el defensor de Windows” para habilitarlo.

10. ¿Cuáles son los diferentes estados en el defensor de Windows??

Los diferentes estados en el defensor de Windows son verdes (normales), naranja (advertencia) y rojo (peligro). El estado indica el estado actual de la seguridad de su computadora.

11. ¿Cómo puedo actualizar las definiciones de Windows Defender??

Puede actualizar las definiciones de Windows Defender haciendo clic en el botón “Verificar para actualizar” proporcionado en el mensaje de advertencia si las definiciones están desactualizadas.

12. ¿Qué hace el botón Forward/Back en la barra de herramientas??

Los botones de avance/retroceso le permiten navegar en las ubicaciones que ya ha visitado dentro del defensor de Windows.

13. ¿Qué hace el botón de escaneo??

El botón de escaneo inicia un escaneo rápido de su computadora para detectar cualquier spyware.

14. ¿Cómo puedo especificar el tipo de escaneo en Windows Defender??

Puede especificar el tipo de escaneo como escaneo rápido, escaneo completo o escaneo personalizado utilizando las opciones de escaneo.

15. ¿Qué información está disponible en la página del historial en Windows Defender??

La página del historial contiene un resumen de toda la actividad de defensor de Windows, incluidos los programas detectados y las acciones tomadas. También proporciona enlaces de acceso rápido para artículos permitidos y artículos en cuarentena.

¿Puede el defensor de Windows detectar malware?

Quiero omitir el preámbulo? Vaya directamente al Osquery SQL al final de este artículo.

Introducir el defensor de Windows

Todas las versiones de Windows Vista incluyen Windows Defender. Windows Defender es un programa antispyware que protege su computadora del software dañino y no deseado. Como todo el software Antispyware, Windows Defender se usa mejor con el software antivirus. Juntos, un programa antispyware y un programa antivirus pueden proteger su computadora de la mayoría de los tipos de software malicioso.

Conocer al defensor de Windows

Similar al software antivirus, Windows Defender tiene dos modos de operación:

  • Protección en tiempo real
  • Exploración

Por defecto, Windows Defender está configurado para usar la protección en tiempo real y para complementar esto con escaneos diarios. Cuando se opera en modo de protección en tiempo real, Windows Defender se ejecuta en segundo plano y funciona para detectar spyware que está tratando de instalarlo por sí mismo. Al operar en modo de escaneo, Windows Defender intenta localizar spyware que se ha instalado en secreto en su computadora. Tanto la protección en tiempo real como el escaneo son absolutamente esenciales para garantizar que una computadora esté protegida del spyware. La protección en tiempo real puede salvaguardar la computadora del spyware conocido. El escaneo puede detectar spyware que ya está instalado en la computadora o que podría haber pasado más allá de la función de protección en tiempo real.

El defensor de Windows reconoce el spyware por la forma en que intenta instalarse, los archivos que intenta crear o modificar, las teclas de registro que modifica o crea, o cualquier combinación de estos elementos denominados colectivamente el spyware’s firma. Spyware a veces puede deslizarse por protección en tiempo real si el spyware’s firma isn’T reconocido, como podría suceder si el spyware se lanzó recientemente o se modificó recientemente para omitir la detección.

Al igual que el software antivirus, Windows Defender utiliza archivos de definición para mantener información actualizada sobre las firmas de spyware. Microsoft crea nuevas firmas para el defensor de Windows para contrarrestar los nuevos programas de software espía y malicioso y hace que estas nuevas firmas estén disponibles para descargar. Windows Defender incluye una función de actualización automática que verifica las actualizaciones periódicamente, y también puede verificar las actualizaciones manualmente.

Uno de los componentes clave en Windows Defender es Software Explorer. Como se describe en el “Navegando por su computadora’S Programas de inicio, ejecución y conectado a la red” Sección En el Capítulo 6, Software Explorer rastrea el estado de todos los programas que se ejecutan actualmente en la computadora. Puede usar Software Explorer para finalizar un programa, bloquear las conexiones entrantes a un programa y deshabilitar o eliminar un programa. Windows Defender utiliza Software Explorer para ayudar a detectar las actividades de los programas maliciosos.

Comenzar y usar Windows Defender

Para acceder al defensor de Windows, haga clic en Inicio y luego haga clic en el panel de control. En el panel de control, haga clic en Seguridad y luego haga clic en Windows Defender. Si el defensor de Windows está apagado,’Verá un mensaje de advertencia en su lugar. Haga clic en activar y abra el defensor de Windows para habilitar Windows Defender.

La página de inicio del defensor de Windows proporciona una descripción general del estado actual. Tú’Verá tres estados codificados por colores:

Imagen del libro

  • Verde (normal) Si el defensor de Windows’Las definiciones S están actualizadas y no hay un software no deseado o dañino conocido instalado en la computadora, usted’Va un indicador de estado verde (normal) similar al que se muestra en la Figura 13-18.
    Figura 13-18: Estado de visualización en Windows Defender
  • Naranja (advertencia) Si las definiciones del defensor de Windows están desactualizados y no hay un software no deseado o dañino conocido instalado en la computadora, usted’Va un indicador de estado de naranja (advertencia) que le indica que las definiciones del defensor de Windows deben actualizarse. Tú’Podré recuperar actualizaciones a través de Internet desde el sitio web de Microsoft e instalarlas automáticamente haciendo clic en el botón Verificar para actualizar proporcionados como parte de la advertencia.
  • Rojo (peligro) Si la seguridad de su computadora está posiblemente comprometida o se conoce un software no deseado o dañino instalado en la computadora, usted’Verá un indicador de estado rojo (peligro) que le indica que tome medidas para proteger su computadora. Tú’podrá iniciar un escaneo o al spyware descubierto en cuarentena utilizando las opciones proporcionadas.

La barra de herramientas en la parte superior de la ventana proporciona acceso a las características principales del defensor de Windows. De izquierda a derecha, la barra de herramientas tiene estos botones:

  • Hacia adelante/retroceder Los botones hacia adelante y hacia atrás en el extremo izquierdo de la barra de herramientas le permiten navegar en las ubicaciones’ya he visitado. Similar a cuando está navegando por la web, las ubicaciones que’he visitado se almacenan en una historia, y puedes explorar la historia usando los botones de avance y retroceso.
  • Hogar Muestra la página de inicio del defensor de Windows, que se muestra en la Figura 13-18.
  • Escanear Inicia un escaneo rápido de su computadora y muestra la página de escaneo de su computadora, que muestra el progreso del escaneo.
  • Opciones de escaneo Muestra una lista de opciones que le permite especificar el tipo de escaneo como escaneo rápido, escaneo completo o escaneo personalizado. Ver el “Escanear la computadora para el spyware” Sección más adelante en este capítulo para obtener más información.
  • Historia Muestra la página del historial. Esta página contiene un resumen de toda la actividad de defensor de Windows de acuerdo con los programas detectados y las acciones tomadas. Se proporcionan enlaces de acceso rápido para artículos permitidos y artículos en cuarentena.
  • Herramientas Muestra la página de todas las configuraciones y herramientas. Esta página le permite configurar configuraciones generales, mostrar elementos en cuarentena, acceder al explorador de software, ver elementos permitidos y más.
  • Ayuda del defensor de Windows Muestra documentación de ayuda para Windows Defender.
  • Opciones de ayuda del defensor de Windows Muestra una lista de opciones que le permite mostrar elementos de ayuda adicionales, como el índice de ayuda y soporte de Windows.

La sección de estado en la parte inferior de la página de inicio proporciona detalles sobre el estado general del defensor de Windows:

  • Último vistazo Muestra la fecha y hora del último escaneo y el tipo de escaneo, como el escaneo rápido o el escaneo completo.
  • Horario de escaneo Muestra el cronograma de escaneos automáticos, como diarias a las 2:00 a.m.
  • Protección en tiempo real Muestra el estado de la protección en tiempo real, como en.
  • Versión de definición Muestra la versión, la hora y la fecha del archivo de definiciones más reciente.

Cuando trabajas con Windows Defender, las principales acciones que’querrá realizar incluir:

  • Configuración de configuraciones generales.
  • Escanear la computadora para el spyware.
  • Comprobando actualizaciones.
  • Ver o restaurar artículos en cuarentena.
  • Ver o cambiar los programas de software que permite.
  • Apagar el defensor de Windows o encendido.

Configuración de configuraciones generales

La configuración general le permite elegir cómo desea que Windows Defender se ejecute. Puede configurar configuraciones generales siguiendo estos pasos:

Imagen del libro

  1. Abra el defensor de Windows.
  2. Haga clic en Herramientas y luego haga clic en Opciones.
  3. En la página de opciones, que se muestra en la Figura 13-19, se proporcionan las siguientes secciones de opciones:
    • Escaneo automático Se utiliza para administrar opciones automáticas de escaneo y actualización automática. Para que el defensor de Windows escanee automáticamente, debe seleccionar la casilla de verificación de escaneo automático (recomendado) y luego establecer la frecuencia de escaneo, la hora del día y el tipo de escaneo. Si desea que Windows Defender verifique las actualizaciones antes de escanear, seleccione Verifique las definiciones actualizadas antes de escanear.
    • Acciones predeterminadas Se utiliza para establecer la acción predeterminada a tomar en función del nivel de alerta de un programa de spyware detectado. Spyware con un nivel de alerta alta se considera el más peligroso y tiene la mayor probabilidad de hacer daño a una computadora. El spyware con un nivel de alerta medio se considera moderadamente peligroso y tener una probabilidad moderada de hacer daño a una computadora o realizar acciones molestas/maliciosas. Spyware con un nivel de alerta bajo se considera un bajo peligro y es principalmente una molestia. Si habilita aplicar acciones en elementos detectados después de escanear en escaneo automático, Windows Defender realiza la acción recomendada después de completar un escaneo automático. Los artículos marcados ignoran se ignoran. Los elementos marcados eliminan se eliminan y se pone en cuarentena. Elementos marcados de firma predeterminada se manejan de acuerdo con la configuración predeterminada en la firma asociada con el spyware. En la mayoría de los casos, el valor predeterminado de la firma significa que se eliminan los elementos de alerta altas y moderadas.
    • Opciones de protección en tiempo real Solía ​​encender la protección en tiempo real. La protección en tiempo real utiliza una serie de agentes de seguridad para determinar qué áreas del sistema operativo y qué componentes reciben protección en tiempo real. Cada uno de estos agentes de seguridad se puede habilitar o deshabilitar individualmente utilizando las casillas de verificación proporcionadas. Si desea recibir alertas relacionadas con la protección en tiempo real, puede habilitar las opciones de notificación proporcionadas.
    • Opciones avanzadas Se utiliza para configurar técnicas avanzadas para detectar spyware. Estas opciones le permiten escanear archivos internos para detectar archivos sospechosos. Habilitar estas opciones es particularmente importante para detectar nuevos spyware, spyware oculto y software que realiza acciones posiblemente maliciosas.
    • Opciones de administrador Se utiliza para especificar si el defensor de Windows está activado o desactivado. Si borra la casilla de verificación Usar Windows Defender, Windows Defender ganó’T proporcionar protección contra el spyware. También se utiliza para especificar si los usuarios normales pueden realizar escaneos y eliminar software potencialmente no deseado. Por defecto, los usuarios que no tienen derechos de administrador pueden realizar escaneos y eliminar software potencialmente no deseado. Esta es la configuración recomendada.
    1. Haga clic en Guardar para guardar cualquier cambio’he hecho a la configuración.
      Figura 13-19: Configuración de configuraciones generales en Windows Defender

Escanear la computadora para el spyware

El defensor de Windows se puede usar para realizar escaneos rápidos, escaneos completos y escaneos personalizados. Los escaneos rápidos y los escaneos completos son fáciles de iniciar:

  • Para un escaneo rápido, Windows Defender verifica áreas de memoria, el registro y el sistema de archivos que se sabe que es utilizado por Spyware para cualquier software no deseado o potencialmente dañino. Puede iniciar un escaneo rápido haciendo clic en el botón Escanear en la barra de herramientas.
  • Para un escaneo completo, Windows Defender realiza una verificación exhaustiva de todas las áreas de memoria, el registro y el sistema de archivos para cualquier software no deseado o potencialmente dañino. Puede iniciar un escaneo completo haciendo clic en el botón Opciones de escaneo en la barra de herramientas y seleccionando escaneo completo.

El defensor de Windows muestra el progreso del escaneo al informar:

  • La hora de inicio del escaneo.
  • La cantidad total de tiempo dedicado a escanear la computadora hasta ahora (el tiempo transcurrido).
  • La ubicación o el artículo que se está examinando actualmente.
  • El número total de archivos escaneados.

Cuando el escaneo está completo, el defensor de Windows proporciona estadísticas de escaneo, como se muestra en la Figura 13-20.

Figura 13-20: Realizar un escaneo con Windows Defender

Para un escaneo personalizado, Windows Defender verifica áreas seleccionadas del sistema de archivos para cualquier software no deseado o potencialmente dañino. Comienza un escaneo personalizado siguiendo estos pasos:

Imagen del libro

  1. Abra el defensor de Windows.
  2. Haga clic en el botón Opciones de escaneo y luego seleccione Escaneo personalizado.
  3. En la página Seleccionar opciones de escaneo, haga clic en Seleccionar.
  4. Seleccione las unidades y carpetas para escanear, como se muestra en la Figura 13-21, y luego haga clic en Aceptar.
  5. En Windows Defender, haga clic en Escanear ahora para iniciar el escaneo.
    Figura 13-21: Seleccionar las unidades y carpetas para escanear

Comprobando actualizaciones

Las definiciones de spyware fuera de fecha pueden poner en riesgo su computadora. Por defecto, Windows Defender verifica automáticamente las definiciones actualizadas de Spyware antes de realizar un escaneo automático. Si la computadora tiene acceso a Internet o un servidor de actualización, Windows Defender actualiza las definiciones de Spyware. Si la computadora no’T tener acceso a Internet o a un servidor de actualización, Windows Defender no puede actualizar las definiciones de Spyware.

Puede actualizar manualmente las definiciones de spyware en cualquier momento siguiendo estos pasos:

  1. Haga clic en Inicio y luego haga clic en Panel de control.
  2. En el panel de control, haga clic en Seguridad y luego haga clic en Verificar nuevas definiciones en Windows Defender.
    Consejo En Windows Defender, también puede verificar las actualizaciones haciendo clic en el botón Opciones de ayuda del defensor de Windows, seleccionando sobre Windows Defender y luego haciendo clic en Verificar las actualizaciones.

Ver o restaurar artículos en cuarentena

Los elementos en cuarentena son elementos que se han desactivado y trasladado a una ubicación protegida en la computadora porque el defensor de Windows sospecha que son de software dañino o potencialmente no deseado. Puede acceder y trabajar con artículos en cuarentena completando los pasos:

  1. Abra el defensor de Windows.
  2. Haga clic en Herramientas y luego haga clic en Artículos en cuarentena.
  3. Si hace clic en un artículo en cuarentena, puede eliminar o restaurar el artículo.
    • Seleccione Eliminar para eliminar permanentemente el elemento de la computadora.
    • Seleccione Restaurar para restaurar el elemento a su ubicación original para que pueda usarse y marcarlo como un elemento permitido. Ver la siguiente sección, “Ver o cambiar los programas de software que permite,” para más información.
    1. Si desea eliminar todos los artículos en cuarentena, haga clic en Eliminar todo.

    Ver o cambiar los programas de software que permite

    A veces tu’LL Instalar programas que realizan acciones que Windows Defender considera que son potencialmente dañinos o maliciosos. En este caso, el defensor de Windows pondrá en cuarentena el programa automáticamente, como para un elemento de alta amenaza, o lo alertará sobre el programa, como para un elemento de amenaza moderada. Si está seguro de que un programa en cuarentena es seguro, puede restaurarlo, y Windows Defender marcará el programa como un artículo permitido. O si recibe una advertencia sobre un programa que sabe que está seguro, puede marcar el artículo según lo permitido.

    Puede ver o cambiar los elementos actualmente permitidos siguiendo estos pasos:

    1. Abra el defensor de Windows.
    2. Haga clic en Herramientas y luego haga clic en Artículos permitidos. En la página de elementos permitidos, los elementos permitidos se enumeran por nombre con un nivel de alerta y una recomendación sobre cómo se debe manejar el programa.
    3. Puede eliminar un elemento de la lista de elementos permitidos haciendo clic y luego seleccionando Eliminar.

    Apagar el defensor de Windows o encendido

    Puede apagar o encender el defensor de Windows siguiendo estos pasos:

    1. Abra el defensor de Windows.
    2. Haga clic en Herramientas y luego haga clic en Opciones.
    3. Desplácese hacia abajo hasta la parte inferior de la página de opciones.
    4. Tu puedes ahora:
      • Borrar la casilla de verificación Usar Windows Defender para deshabilitar y apagar el defensor de Windows.
      • Seleccione la casilla de verificación Usar Windows Defender para habilitar y encender el defensor de Windows.
      1. Clic en Guardar.

      ¿Puede el defensor de Windows detectar malware??

      En el mundo de la seguridad en línea, hay muchos mitos y conceptos erróneos flotando. Uno de los más comunes es la creencia de que Windows Defender, Microsoft’S Programa antivirus incorporado no está a la altura de la tarea de detectar y eliminar malware.

      Windows Defender es un programa que se incluye con el sistema operativo de Windows. Está diseñado para ayudar a proteger su computadora del malware y otro software no deseado.

      Si bien el defensor puede no ser el programa de seguridad más robusto disponible, es más que capaz de proteger su computadora del malware.

      Dejar’s Eche un vistazo más de cerca a cómo funciona el defensor y por qué no deberías’Tengo miedo de confiar en ella para mantener su PC segura.

      ¿Es suficiente el defensor de Windows??

      ¿Cómo funciona Microsoft Defender??

      Contrariamente a la creencia popular, Windows Defender es en realidad una pieza de software bastante sofisticada. Utiliza una combinación de heurística y detección basada en la firma para identificar y eliminar malware. Las heurísticas permiten al defensor detectar malware nuevo que ha no’Se ha encontrado antes, mientras que las firmas lo ayudan a identificar y eliminar amenazas conocidas.

      Además, el defensor se beneficia del hecho de que está integrado en el sistema operativo de Windows; Esto le da un nivel de acceso que otros programas de seguridad pueden’t coincidente.

      Todo esto significa que el defensor es más que capaz de detectar y eliminar el malware de su computadora. De todos modos, eso’Es importante recordar que ningún programa de seguridad es perfecto. Siempre aparecerán nuevas amenazas que Haven’Se ha visto antes, y a veces estos pueden pasar por el mejor software de seguridad. Eso’S Por qué eso’Es importante tener un plan de respaldo, como un buen programa antivirus.

      Características del defensor de Microsoft

      Microsoft Defender viene con algunas características que pueden ayudarlo a detectar malware. Estas características incluyen protección en tiempo real, protección basada en la nube y detección de comportamiento. La protección en tiempo real significa que el defensor escaneará su computadora en busca de malware cada vez que acceda a un archivo o programa.

      Protección basada en la nube utiliza Microsoft’S Servicio en la nube para escanear archivos para malware. Detección de comportamiento monitorea su computadora’S Comportamiento para signos de infección. Si el defensor encuentra alguna actividad sospechosa, tomará medidas para eliminar el malware.

      Microsoft Defender también puede ayudarlo a eliminar el malware que ya está en su computadora. Para hacer esto, puede ejecutar un escaneo completo de su computadora. Un escaneo completo verificará todos los archivos en su computadora para el malware. Si el defensor encuentra algún malware, lo eliminará de su computadora. Además del escaneo completo, también hay otras opciones de escaneo.

      Windows-defender-scan-options

      También puede usar Microsoft Defender para escanear archivos o carpetas específicas. Para hacer esto, haga clic derecho en el archivo o carpeta y seleccione “Escanear con Microsoft Defender.” El defensor luego escaneará el archivo o carpeta seleccionada para el malware.

      Carpeta de escaneo con defensor

      ¿Cómo está funcionando el defensor en comparación con otro antimalware??

      En general, el defensor está haciendo un buen trabajo al mantener a las personas’S Computadoras seguras. En las pruebas AV independientes recientes, se ha demostrado que es efectivo para detectar y eliminar malware.

      Resultado de la prueba AV del defensor

      Hay otros programas de antimalware que pueden hacer un mejor trabajo que el defensor. Algunos de ellos son gratuitos, y algunos de ellos tienes que pagar. Si está preocupado por su computadora’S Seguridad, es posible que desee considerar usar uno de estos otros programas.

      Sin embargo, la mejor manera de proteger su computadora es mantenerlo actualizado con los últimos parches de seguridad y tener cuidado con los sitios web que visita y los archivos que descarga porque incluso el mejor antimalware no es perfecto.

      Cómo eliminar el malware y la limpieza de Windows PC

      Veredicto final

      No hay ninguna respuesta a la pregunta de si Windows Defender puede detectar malware o no. Depende de muchos factores, incluido el tipo de malware que está tratando y cuán actualizado está la instalación de su defensor. Sin embargo, en general, el defensor es una buena herramienta para mantener su computadora a salvo del malware.

      Entonces, ¿puede Windows Defender detectar malware?? Si, sin duda puede! ¿Es el programa de seguridad más sólido disponible?? No, pero no’T necesita ser; Para la mayoría de los usuarios, proporciona protección más que suficiente. Don’Creo que los mitos y la información errónea flotan en línea; Cuando se trata de seguridad en línea, puede confiar en Windows Defender.

      ¿Puede el defensor de Windows detectar la mayoría de los virus??

      Sí, el defensor puede detectar la mayoría de los virus. Sin embargo, hay algunos tipos de malware con los que no es muy bueno para tratar.

      ¿Necesito un antivirus adicional si tengo el defensor de Windows??

      Aunque Microsoft Defender es una buena herramienta para mantener su computadora segura, es posible que desee considerar usar un programa diferente si le preocupa su computadora’S Seguridad.

      Обарживае quedado?

      Да, защитник Windows предназначен длebre онаржениís идалениeno вредоно lugar. Он предназículoчен длebre обаржения вирус represente “.

      Защитник Windows – это антивируснаke програаяitude оic Microsoft, включеннаke в Windows 10 и более ранние версии Windows. Он испо factamente iación.

      Защитник Windows включает сле principal фие фнкции дл se

      • защита в режиéfiril ует или удалíbrebr.

      • проактивная защита: э regalo , и неífor.

      • поведенческая безопасносello: эта фнкция исползеет расширенню аналитmin стiscepil.

      • ценка уechineзви interl и програяitud.

      • облачнаke защита: э regalo ы.

      Защитник Windows предназначен длebre защиты вашего коimar доно lugare. Вот почеífigo важно исползовать дополнитеultadg маэ. Кр° арения новыher.

      Чтобы ваш коimar. Вы можете сделать э regalo «Саанировать» в нентре безопаículos. Если буду quede.

      В целое защитник Windows предназначен дл abre оааржениís удалени esposa вредосных п ррам нibilidad ораее{. Важно испeno аэры, чтобы оеспечить наилчшчшю воз mecán.

      Defensor de Microsoft

      Cuando se trata de salvaguardar su tecnología y activos digitales,’es prácticamente imposible evitar virus sin algún tipo de software de protección. Para Windows (y a veces el software MacOS e iOS), una de las mejores soluciones antivirus proviene directamente de Microsoft.

      ¿Qué es Microsoft Defender??

      Microsoft Defender, también conocido como Microsoft Defender Antivirus, es una familia de productos de Microsoft que proporciona software de detección, protección y respuesta anti -malware para uso personal y comercial. En general, estos programas están diseñados para fortalecer sus sistemas digitales, mitigar las amenazas y escalar recursos de seguridad para empresas. Para la máxima seguridad, este programa protege las identidades (solo EE. UU.), Datos y dispositivos de las amenazas en línea.

      La marca Microsoft Defender ofrece múltiples software y servicios, incluidos los siguientes:

      • Microsoft 365 Defensor
      • Defensor de Microsoft para la nube
      • Microsoft Deffender Endpoint
      • Defensor de Microsoft para Office 365
      • Defensor de Microsoft para la identidad
      • Defensor de Microsoft para aplicaciones en la nube
      • Gestión de vulnerabilidad del defensor de Microsoft
      • Defensor de Microsoft para la inteligencia de amenazas

      Si bien hay muchos software que pueden servir a muchos tipos diferentes de personas o grupos, este artículo se centrará más en los productos empresariales de defensa de Microsoft como Microsoft 365 Defender, Microsoft Defender for Cloud y Microsoft Defender for Endpoint.

      Historia del defensor de Microsoft

      Microsoft Defender se introdujo por primera vez en el mundo como un programa anti-spyware descargable gratuito para Windows XP y Windows Server 2003. El anti-Spyware operaba con agentes de seguridad en tiempo real que monitorearon ciertas áreas comunes para los cambios potencialmente causados ​​por Spyware. También permitió a los usuarios especificar qué aplicaciones y programas permitirían descargar e informar cualquier cosa que consideren Spyware a Microsoft.

      Windows 8 dio un paso más grande y agregó un software antivirus, que utiliza las mismas definiciones de motores antimalware y virus de Microsoft Security Essentials (MSE). Para Windows 8 y Windows 10, Windows Defender está activo de forma predeterminada. Hubo varias iteraciones de Microsoft Defender en la era de Windows 10, como cuando Microsoft intentó fusionar tanto el defensor de Windows’Secisión y mantenimiento de la GUI y Windows en una aplicación UWP unificada llamada Windows Defender Security Center (WDSC).

      Finalmente, el software pasó a llamarse Antivirus del defensor de Windows, y ahora más comúnmente,’s conocida como una colección de servicios de software bajo la nube orientada “Defensor de Microsoft” marca. En 2019, Microsoft Defender ATP se introdujo para las empresas que usan dispositivos Mac, que desde entonces también se han extendido a las herramientas de Android e iOS. El software se ha convertido en un programa antivirus completo que incluso se puede utilizar para dispositivos móviles.

      Características del defensor de Microsoft

      Si bien es probable que haya varios software de defensor de Microsoft que pueda adaptarse a su modelo de negocio, estas son las tres características principales que beneficiarán a las empresas que se ocupan de una red de dispositivos, software, aplicaciones, etc.

      Microsoft 356 Defensor

      Si usa Windows, específicamente los servicios 365 basados ​​en la nube, Microsoft 365 Defender es un gran recurso para proteger los muchos servicios de Microsoft que utiliza para las operaciones diarias. Algunas de las características más destacadas del defensor de Microsoft 365 son las siguientes:

      • Administrar y asegurar identidades híbridas
      • Detección de amenazas, investigación y respuesta para puntos finales
      • Recibir datos en todos los servicios y aplicaciones en la nube
      • Proteger Office 365 contra amenazas avanzadas

      Defensor de Microsoft para la nube

      Los entornos nativos de la nube están en aumento, lo que significa que las nuevas formas de atacar y proteger sus activos también están. Microsoft Defender for Cloud es uno de los software más innovador que ayuda a las empresas a trabajar dentro de los entornos híbridos en la nube e híbridos en constante crecimiento. Los atributos notables de este servicio amigable con la nube incluyen:

      • Reducir el riesgo con la gestión de postura de seguridad contextual
      • Ayudar a prevenir, detectar y responder rápidamente a las amenazas modernas
      • Unificar la gestión de seguridad para DevOps

      Defensor de Microsoft para Endpoint

      Otra característica poderosa para la protección contra antivirus es Microsoft Defender for Endpoint, que es un enfoque más holístico para su antivirus y soluciones de malware al ofrecer una plataforma de gestión centralizada para la seguridad del punto final. Microsoft Defender for Endpoint tiene características como:

      • Prevención rápida de amenazas
      • Capacidad para escalar la seguridad
      • Detección y respuesta extendida xdr

      Qué buscar en un software antivirus

      Al elegir el software antivirus para su negocio, hay varios elementos clave a buscar para mantener sus activos seguros.

      • Protección constante. Los atacantes que amenazan sus recursos comerciales también tienen tecnología avanzada, y’S una estrategia común para atacar a las empresas los fines de semana y las vacaciones, mientras que nadie está monitoreando activamente sus sistemas. En consecuencia, puedes’T Profórme que su software antivirus sea algo menos que constante, que se ejecuta 24/7/365 – Don’T para conformarse con cualquier escaneos manuales!
      • Actualizaciones frecuentes. Como puede ver en nuestra revisión histórica de Microsoft Defender, Antivirus Software continúa evolucionando con nuevas tecnologías y nuevos malware. Asegúrese de que su software antivirus se actualice regularmente, tanto en términos de características como de funcionalidad.
      • Costo. Por supuesto, todas las empresas deben considerar su presupuesto y resultado final al seleccionar el mejor software. Tú no’Sin embargo, quiero comprometer demasiado el costo y comprar un programa insuficiente. Hay muchas opciones antivirus gratuitas, pero solo ofrecen protección básica, que generalmente no’es suficiente a nivel empresarial. ¿Cuántos dispositivos están cubiertos?? ¿Está protegido su correo electrónico?? ¿Cuánto dura su cobertura??

      Una vez que encuentre un programa que proporcione protección las 24 horas y actualizaciones frecuentes a un precio asequible, debe implementar el software y comprender cómo usarlo a escala mejor. Para los muchos beneficios que ofrece el programa de defensa de Microsoft, administrar y ajustar esas herramientas a las necesidades de su negocio puede crear un obstáculo. Puede ser difícil para algunas organizaciones aprovechar completamente las capacidades de seguridad de Microsoft sin la experiencia y el conocimiento de un profesional de ciberseguridad, por lo que muchas empresas usan servicios de detección y respuesta administrada (MDR).

      Cómo puede ayudar

      Los productos de Microsoft son una inversión para organizaciones, y todas las inversiones deben ser optimizadas, administradas y utilizadas al máximo. La mejor manera de maximizar su negocio’ La inversión de seguridad es asociarse con una marca que pueda proporcionar la experiencia que necesita.

      Ontinue es un experto en Microsoft y puede ayudar a su empresa a utilizar completamente el software de seguridad de Microsoft para mitigar las amenazas y maximizar el valor de su inversión. Con la plataforma iónica ontinue que está creada para Microsoft, podemos configurar las herramientas de defensa de Microsoft para servir mejor a su panorama digital, responder mejor a posibles amenazas y utilizar mejor las herramientas que ya paga. Solicite una demostración hoy.

      Detectamos y respondemos a las amenazas de seguridad. Rápidamente. Con automatización dirigida por IA que permite una toma de decisiones y acción más inteligentes y más rápidas. Pero nosotros’también está en el negocio de prevenir amenazas, con una protección siempre en. Y aprendiendo. Y mejorando. Más allá de su definición anterior de seguro.

      HQ de América del Norte

      450 Maple Street
      Redwood City, CA 94063

      ¿Es suficiente defensor de Windows para pasar SoC 2??

      Osquery prepara el antivirus incorporado en la auditoría de Windows

      Jason Meller

      Este artículo es solo sobre dispositivos de Windows. Quiere saber nuestra perspectiva sobre AV de terceros para macOS? Verificar “¿Los Mac necesitan antivirus de terceros para el cumplimiento de SoC 2??.”

      Quiero omitir el preámbulo? Vaya directamente al Osquery SQL al final de este artículo.

      Detección y prevención de malware de terceros (lo que solíamos llamar antivirus hace más de una década) no es todos los administradores de Windows’s taza de té. Algunos tienen peces más grandes para freír (e.gramo., obtener visibilidad de punto final, para empezar); Para otros, se contentan con las capacidades antimalware incorporadas de Windows y, por lo tanto, no tienen planes de implementar AV en sus méritos.

      Desafortunadamente, SoC 2 y otras auditorías similares están obligando a ambos tipos de Windows TI administradores a comprar e implementar software similar a antivirus antes y antes en la organización’s ciclo de vida. Cuando le pregunto a los administradores que estaban’T emocionado de desplegar por qué lo hicieron de todos modos, sus respuestas generalmente caen en dos cubos:

      1. Ellos don’cree que Windows tiene suficientes capacidades antimalware para aprobar una auditoría SOC2. 1
      2. No pueden aprobar auditorías de cumplimiento como SOC 2 sin funciones de informes empresariales en torno a la protección de malware.

      En este artículo, nosotros’LL desafío a ambos supuestos. Lo más importante, quiero mostrar que con herramientas de código abierto, puede pasar una auditoría SOC2 con las capacidades antimalware incorporadas de Windows (Windows Defender) al mismo tiempo que puede “defender” (sin juego de palabras) ese puesto para el liderazgo y los auditores superiores. Para hacer eso, espero que’Me complace en empujar la industria AV de terceros en el proceso.

      Idealmente, antes de enfrentar una auditoría de SoC 2, realmente te crees’He tomado las mejores decisiones posibles con respecto a la seguridad de sus dispositivos Windows con los recursos que tiene disponibles. Por ejemplo, como profesional de seguridad, lo hago de hecho Cree que muchas organizaciones están mejor dependiendo de las capacidades de seguridad incorporadas del defensor de Windows sin un suplemento de terceros. Como puede ser?

      Bueno, para empezar, deja’S primero reconoce que la investigación más básica y superficial en torno a AV de terceros presagia un espectáculo de terror de consecuencias tangibles que incluyen: Tanking en un punto final’S rendimiento, bloqueando regularmente un software legítimo, vendiendo indiscriminadamente usuarios’ datos para partes no reveladas, e incluso el software en sí se convierte en la fuente de un compromiso importante.

      De acuerdo, pero no todos los proveedores están igualmente afectados por estos problemas, por lo que’No es justo acusar a toda la industria AV de terceros solo en esas anécdotas.

      Entonces ahora, deja’s hablar sobre lo que queremos decir con “mejor.” La forma más miope y defectuosa de determinar la calidad del software antivirus es solo para medir lo bueno que es para evitar que sucedan cosas malas. Estas medidas incluyen:

      • ¿Qué tan rápido puede el AV detectar novelas/nuevas amenazas??
      • ¿Cuántas ejecuciones en tiempo real de cosas malas??
      • ¿Cuántas áreas novedosas de visibilidad puede obtener??

      Él’No es de extrañar que las compañías de seguridad AV construyan todo su tono en función de estas medidas. Desafortunadamente, estas mediciones no consideran los costos pagados (generalmente por el usuario final) para las mejoras marginales en estas métricas. O poner de otra manera:

      Un poco como cómo una bombilla que prende fuego sigue siendo de alta calidad, siempre y cuando solo mida lúmenes?

      – Tavis Ormandy (@Taviso) 19 de noviembre de 2016

      La miseria del usuario final generada por AV de terceros generalmente solo se aborda cuando se vuelve tan atroz que puede vincularse fácilmente a un evento financiero adverso significativo. La miseria está ilimitada para todo lo que no alcanza ese bar. Contabilizando esto, debemos ajustar cómo medimos con precisión el AV’s rendimiento real.

      Aquí hay una forma. En lugar de buscar el mejor rendimiento antivirus en cualquier costo, necesitamos rendimiento antivirus por unidad de camiseta, Donde Yuck se define como la degradación cualitativa del dispositivo’S Experiencia de usuario.

      Entonces, ¿quién está mejor incentivado para darnos el máximo rendimiento de AV por cisquillón?? En mi opinión,’S claramente proveedores de SO (como Microsoft), y aquí están las razones por las cuales:

      1. Los proveedores del sistema operativo se ven afectados financieramente si los usuarios piensan que su sistema operativo se ejecuta como basura. Los proveedores AV de terceros, por otro lado, están incentivados para retratar al proveedor del sistema operativo como incompetente para posicionarse como expertos únicos.
      2. Los proveedores del sistema operativo se basan en un próspero ecosistema de terceros de software útil y divertido para impulsar la adopción del sistema operativo en sí. Eso significa que deben preocuparse profundamente sobre cómo la seguridad del sistema operativo impacta la viabilidad del software. AV de terceros no tiene ningún incentivo para preocuparse por la viabilidad de otro software hasta que sus clientes se noten (y luego lo rectifiquen simplemente agregándolo a una lista de alquiler).
      3. Los proveedores del sistema operativo pueden usar integración vertical o asociaciones con OEM de hardware para desarrollar sistemas de seguridad altamente eficientes en el núcleo del sistema operativo en sí y depender de la existencia de hardware de seguridad sofisticado como un TPM. Los proveedores de terceros no pueden conectarse a este nivel profundo (de forma segura), y no pueden abogar con éxito por el hardware dedicado dentro del dispositivo que mejore su tecnología.

      Dadas las realidades anteriores,’es fácil ver por qué Microsoft ha invertido mucho en Windows’ Capacidades de seguridad incorporadas considerablemente desde los días de Windows XP de antaño.

      Inicialmente lanzado en 2009 (bajo el nombre de Microsoft Security Essentials), el antivirus del defensor de Windows se ha convertido en una aplicación antivirus con mayor frecuencia y bien considerada que se incluye en todas las versiones de Windows (incluidas 10 y 11).

      Un gráfico que representa las 5 características clave del defensor de Windows

      El defensor de Windows ofrece protección suficiente contra malware, ransomware, adware, troyano y spyware. Puede bloquear las exploits, evitar ataques basados ​​en la red y sitios de phishing de bandera. También tiene características avanzadas como protección de amenazas en tiempo real, actualizaciones basadas en la nube, escaneo fuera de línea y escaneo periódico limitado.

      Una captura de pantalla que representa varias configuraciones clave del defensor de Windows

      Otro componente llamado SmartScreen promueve la navegación de Internet segura en el borde, y Microsoft ha extendido la protección a otros navegadores como Chrome y Firefox.

      Microsoft Defender también enumera las amenazas detectadas en los informes de seguridad, que puede revisar en la aplicación de seguridad de Windows.

      Una captura de pantalla de la aplicación de seguridad de Windows

      Además, el software de seguridad utiliza aprendizaje automático, análisis de datos grandes, investigación de resistencia a las amenazas y más para proteger los puntos finales de los virus conocidos y los ataques de día cero. Las características están en par con el software antivirus pagado, con el beneficio adicional de ser parte del sistema operativo, por lo que no’Tengo que hacer un trabajo adicional para instalar y mantener la aplicación.

      Proveedores de AV’ Argumentos comunes para justificar sus productos a pesar de Microsoft’S Se tiene que ver con la seguridad integral de la eficacia de la detección de pelos.

      El libro de jugadas generalmente involucra al proveedor AV de terceros que apunta a variantes de malware específicas que su producto puede detectar y que Microsoft no pudo agregar a sus listas de firma de inmediato (o en absoluto).

      En mi opinión, este es un argumento tonto para montar. Él’es fácil de enumerar muchas campañas de malware exitosas que ningún proveedor de antivirus podría detectar de manera oportuna. Dado que la detección/prevención perfecta es imposible, debemos considerar el costo de confianza que deseamos pagar por la degradación del rendimiento garantizada, falsos positivos y otras superficies de ataque para obtener marginal mejoras. Si los usuarios mantienen un barco ajustado, aplican actualizaciones y no están deshabilitando la UAC, eso se correlaciona fuertemente con una posibilidad muy baja de que esas diferencias en la protección los afecten.

      Ampliando la idea de que la prevención finalmente falla, en algún momento, tiene sentido encontrar una línea de base razonable de antivirus preventivo y enfoque y recursos de cambio en la construcción de un plan de respuesta a incidentes de la computadora. Eso significa cuando (no si) una PC de Windows se compromete, la organización puede reaccionar mejor para mitigar los impactos potencialmente severos de ese compromiso que no se controla. El juego de prevención es uno con rendimientos decrecientes por dólar gastado. Por otro lado, el desarrollo de la respuesta a incidentes es una de las mejores inversiones de seguridad que puede realizar.

      Como vimos anteriormente, Microsoft está incentivado y hace un trabajo razonable que protege a los usuarios de Windows PC del malware.

      Eso’s grandes noticias! Pero hay’s un problema.

      Aún necesita recopilar datos para compilar informes para su auditoría de cumplimiento. Microsoft no’T Ofrezca una forma de lograr ese nivel de visibilidad de la flota sin comprar su conjunto de herramientas de gestión y seguridad de punto final (esencialmente lo mismo que obtendría con AV de terceros).

      Eso’s Donde Osquery viene al rescate.

      Es posible que haya oído hablar de usar Osquery para tomar el inventario de dispositivos, pero ¿lo sabía?’S también una herramienta útil para compilar datos para cumplir con los requisitos de informes de SoC 2?

      Osquery es una herramienta de código abierto que permite a los usuarios consultar los sistemas operativos. Por ejemplo, puede usar Osquery para obtener visibilidad en MacOS, Windows y dispositivos Linux.

      Puede usar Osquery para verificar todos los dispositivos de su flota. Esto le permite asegurarse de que sigan reglas específicas de la plataforma basadas en su empresa’S Política de seguridad de datos y estándares de cumplimiento (E.gramo., cifrado de disco, estado de firewall, actualizaciones del sistema operativo, etc.)

      Osquery puede acumular y registrar datos de cumplimiento para respaldar los informes de SoC 2 y el proceso de auditoría. Puede ver métricas agregadas o profundizar en detalles utilizando varios filtros para demostrar que los usuarios’ Los dispositivos cumplen con los requisitos de SoC 2.

      Un gráfico que representa cómo funciona Osquery

      Muchos profesionales de TI favorecen a Osquery porque’s simple, confiable y extensible. Dado que funciona para los tres sistemas operativos, puede recopilar datos en cada dispositivo de su flota sin usar diferentes herramientas.

      Para aprobar su auditoría SoC 2, debe crear documentación para demostrar que sus sistemas y procesos cumplen con los requisitos específicos.

      Para demostrar que tiene la defensa apropiada contra el malware y los virus de acuerdo con los criterios comunes 6.8, debe crear un informe para describir sus procesos para el monitoreo de integridad de archivos (FIM) y la gestión de seguridad de punto final.

      Su documentación debe demostrar que:

      • Puede rastrear actualizaciones realizadas en archivos de software y configuración y cambios en los estados y eventos de protección de punto final.
      • Ha implementado controles para prevenir, detectar y actuar sobre software no autorizado o malicioso introducido en su infraestructura.
      • Solo las personas autorizadas pueden instalar aplicaciones y software en dispositivos conectados a su red.
      • Tiene procesos para detectar cambios que podrían indicar la presencia de software no autorizado o malicioso.
      • Allá’S Un proceso de control de cambios definido por la gerencia para monitorear la implementación de software y aplicaciones.
      • El software antivirus y antimalware se implementa y se mantiene para detectar y remediar malware.
      • Sigue los procedimientos para escanear activos de información bajo su custodia para detectar malware y otro software no autorizado.

      A continuación se muestra un ejemplo de la documentación que proporcionamos a los clientes a pedido para ayudarlos a aprobar estos criterios para su cumplimiento de SoC 2 con Kolide y Microsoft Windows’ protección incorporada.

      Un ejemplo de la documentación que usamos para aprobar este criterio para nuestro propio cumplimiento de SoC 2, con herramientas de Kolide y Windows

      Puede [descargar una copia de esta documentación aquí] (/cumplimiento/SOC2-AV.PDF).

      Microsoft Windows con Defender puede satisfacer los requisitos técnicos para la certificación SOC 2, y usted no’Necesita usar antivirus de terceros. Pero’es difícil compilar datos de dispositivos e informar a escala. Aquí es donde entra Osquery para proporcionar visibilidad de la flota, monitorear actividades y recopilar los datos que necesita para probar el cumplimiento de la flota para la auditoría y los informes de SoC 2.

      Para establecer que el aparato general de prevención de malware de Windows está operativo, necesitamos utilizar los informes incorporados que vienen con Windows en sí, el Centro de seguridad de Windows.

      Información del Centro de Seguridad de Windows Visualizado en Kolide

      Introducido en Windows XP SP2, las API del Centro de Seguridad de Windows nos brindan un informe de salud completo del estado de las características críticas de seguridad de Windows. Avance rápido casi dos décadas, y estas API aún nos dan una idea de alto nivel que necesitamos.

      Por suerte para nosotros, Kolide contribuyó con una mesa a Osquery que nos permite consultar esta API. Él’S llamado windows_security_center .

      SELECCIONAR * DE windows_security_center; 

      OSQUERY> SELECT * de Windows_Security_Center; Firewall = Good Autoupdate = Good Antivirus = Good Internet_Settings = Good Windows_Security_Center_Service = Good User_Account_Control = bueno

      Si bien esto nos proporciona una calificación de salud singular tanto para el antivirus como para la protección contra el espyware en el dispositivo Windows, podemos usar otro Tabla de Osquery llamada Windows_Security_Products para obtener un aspecto aún más profundo.

      SELECCIONAR * DE Windows_Security_Products; 

       type = firewall name = windows firewall state = on state_timestamp = null remediation_path = %windir %\ system32 \ firewall.Cpl Signatures_UP_TO_DATE = 1 type = antivirus name = Microsoft Defender Antivirus State = en state_timestamp = Sun, 01 de mayo 2022 04:33:50 GMT Remediation_Path = WindowsDefender: // Signatures_UP_TATE = 1

      Esta tabla nos dice qué productos son responsables actualmente tanto del antivirus como del firewall de capa de aplicación y si las firmas incluidas están actualizadas.

      Como puede ver anteriormente, Osquery puede ayudar a recopilar detalles esenciales sobre el estado de la protección contra el malware y el virus de Windows. Desafortunadamente, esto no’t bastante información. Por ejemplo, nos falta información sobre Windows Defender’S Configuración, y no tenemos idea de los resultados del Defensor’S Scanning.

      Para obtener esa información, debemos ir más allá de las capacidades incorporadas de Osquery. Afortunadamente, Kolide’S agente de código abierto extiende a Osquery’S para que pueda unir la API de instrumentación de administración de Windows (WMI). Esto es precisamente lo que necesitamos para completar nuestra historia de recopilación de datos.

      En la API de WMI, Microsoft ofrece la clase MSFT_MPComuterStatus, que nos permite obtener todos los detalles pertinentes sobre el estado actual del defensor de Windows.

      Mientras que la consulta WMI (que también usa SQL) se verá como select * de MSFT_MPComuterStatus con Kolide, debemos ser un poco más explícitos:

      SELECCIONAR * DE kolide_wmi DÓNDE clase = 'MSFT_MPCOMPRETERSTATUS' Y espacio de nombres = '\ root\METROicrosoft\ Wdrows\DEfender ' Y propiedades = 'ComputerID,ComputerState,AMProductVersion,AMServiceVersion,AntispywareSignatureVersion,AntispywareSignatureAge,AntispywareSignatureLastUpdated,AntivirusSignatureVersion,AntivirusSignatureAge,AntivirusSignatureLastUpdated,NISSignatureVersion,NISSignatureAge,NISSignatureLastUpdated,FullScanStartTime,FullScanEndTime,FullScanAge,LastQuickScanSource,LastFullScanSource,RealTimeScanDirection,QuickScanStartTime,QuickScanEndTime,QuickScanAge,AMEngineVersion,AMServiceEnabled,OnAccessProtectionEnabled,IoavProtectionEnabled,BehaviorMonitorEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,NISEngineVersion,NISEnabled' 

      +──── razón ───── razón Key Fully | clave | Padre | consulta | valor | WhereClause | +──── razón ───── razón 0/Computherstate | Computvise | 0 | * | 0 | "" | | 0/AntispyWaresignatureVersion | AntispyWaresignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/AntispyWaresignaturage | AntispyWaresignaturage | 0 | * | 0 | "" | | 0/QuickScanendTime | QuickScanendtime | 0 | * | 20220507001933.450000+000 | "" | | 0/nisenable | Nisenable | 0 | * | Verdadero | "" | | 0/AmserviceVersion | AMSERVICEVERSION | 0 | * | 4.18.2203.5 | "" | | 0/Antispywaresignaturelastupdated | Antispywaresignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/AntivirussignatureVersion | AntivirussignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/IOAVProtectionEnabled | IOAVProtectionEnabled | 0 | * | Verdadero | "" | | 0/antivirussignaturelastupdated | Antivirussignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/QuickScanage | QuickScanage | 0 | * | 2 | "" | | 0/AntispywareEnabled | AntispywareEnabled | 0 | * | Verdadero | "" | | 0/NissignatureVersion | NissignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/Nissignaturage | Nissignaturage | 0 | * | 0 | "" | | 0/FullScanage | FullScanage | 0 | * | '-1 | "" | | 0/NisEngineversion | NisEngineversion | 0 | * | 1.1.19200.5 | "" | | 0/RealTimesCandirection | RealTimesCandirection | 0 | * | 0 | "" | | 0/AMServiceEnabled | AMServiceEnabled | 0 | * | Verdadero | "" | | 0/ComputerId | ComputerId | 0 | * | 9802EC57-A4BB-4137-BB73-51516631CDF9 | "" | | 0/AMPRODUCTVERSION | Amproductversión | 0 | * | 4.18.2203.5 | "" | | 0/BehaviMonitorEnabled | BehaviMonitorEnabled | 0 | * | Verdadero | "" | | 0/RealTimEproTectionEnabled | RealTimEproTectionEnabled | 0 | * | Verdadero | "" | | 0/Antivirussignaturage | Antivirussignaturage | 0 | * | 0 | "" | | 0/QuickScanStarttime | QuickScanStarttime | 0 | * | 20220507001822.844000+000 | "" | | 0/amengineversion | Amengineversion | 0 | * | 1.1.19200.5 | "" | | 0/nissignaturelastupdated | Nissignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/Lastquickscansource | LastquickScansource | 0 | * | 2 | "" | | 0/dastfullScansource | LastFullScansource | 0 | * | 0 | "" | | 0/onaccessprotectionEnabled | OnaccessprotectionEnabled | 0 | * | Verdadero | "" | | 0/antivirusEnabled | AntivirusEnabled | 0 | * | Verdadero | "" | +──── razón ─omo+

      Si bien estos son los datos que queremos,’S no del todo en un formato que sea fácil de leer. Usando las técnicas de transformación de EAV que aprendimos de otra publicación de blog, podemos reescribir la consulta para obtener una sola fila que contenga cada propiedad.

      CON wmi_raw COMO ( SELECCIONAR * DE kolide_wmi DÓNDE clase = 'MSFT_MPCOMPRETERSTATUS' Y espacio de nombres = '\ root\METROicrosoft\ Wdrows\DEfender ' Y propiedades = 'ComputerID,ComputerState,AMProductVersion,AMServiceVersion,AntispywareSignatureVersion,AntispywareSignatureAge,AntispywareSignatureLastUpdated,AntivirusSignatureVersion,AntivirusSignatureAge,AntivirusSignatureLastUpdated,NISSignatureVersion,NISSignatureAge,NISSignatureLastUpdated,FullScanStartTime,FullScanEndTime,FullScanAge,LastQuickScanSource,LastFullScanSource,RealTimeScanDirection,QuickScanStartTime,QuickScanEndTime,QuickScanAge,AMEngineVersion,AMServiceEnabled,OnAccessProtectionEnabled,IoavProtectionEnabled,BehaviorMonitorEnabled,AntivirusEnabled,AntispywareEnabled,RealTimeProtectionEnabled,NISEngineVersion,NISEnabled' ), microsoft_windows_defender_config COMO ( SELECCIONAR Máximo(CASO CUANDO llave = 'Amengeneración' ENTONCES valor FIN) COMO am_engine_version, Máximo(CASO CUANDO llave = 'Amproductversión' ENTONCES valor FIN) COMO am_product_version, Máximo(CASO CUANDO llave = 'AMServiceEnabled' ENTONCES valor FIN) COMO am_service_enabled, Máximo(CASO CUANDO llave = 'AmserviceVersion' ENTONCES valor FIN) COMO am_service_version, Máximo(CASO CUANDO llave = 'AntispywareEnabled' ENTONCES valor FIN) COMO antispyware_enabled, Máximo(CASO CUANDO llave = 'AntispyWaresignaturage' ENTONCES valor FIN) COMO antispyware_signature_age, Máximo(CASO CUANDO llave = 'Antispywaresignaturelastupdated' ENTONCES valor FIN) COMO antispyware_signature_last_updated, Máximo(CASO CUANDO llave = 'AntispyWaresignatureVersion' ENTONCES valor FIN) COMO antispyware_signature_version, Máximo(CASO CUANDO llave = 'Antivirusenable' ENTONCES valor FIN) COMO antivirus_enabled, Máximo(CASO CUANDO llave = 'Antivirussignaturage' ENTONCES valor FIN) COMO antivirus_signature_age, Máximo(CASO CUANDO llave = 'Antivirussignaturelastupdated' ENTONCES valor FIN) COMO antivirus_signature_last_updated, Máximo(CASO CUANDO llave = 'AntivirussignatureVersion' ENTONCES valor FIN) COMO antivirus_signature_version, Máximo(CASO CUANDO llave = 'BehaviMonitorenable' ENTONCES valor FIN) COMO comportamiento_monitor_enabled, Máximo(CASO CUANDO llave = 'ComputerId' ENTONCES valor FIN) COMO Computer_id, Máximo(CASO CUANDO llave = 'Computvise' ENTONCES valor FIN) COMO computer_state, Máximo(CASO CUANDO llave = 'FullScanage' ENTONCES valor FIN) COMO full_scan_age, Máximo(CASO CUANDO llave = 'IOAVProtectionEnabled' ENTONCES valor FIN) COMO ioav_protection_enabled, Máximo(CASO CUANDO llave = 'LastQuickscansource' ENTONCES valor FIN) COMO last_quick_scan_source, Máximo(CASO CUANDO llave = 'LastFullScansource' ENTONCES valor FIN) COMO last_full_scan_source, Máximo(CASO CUANDO llave = 'Nisenable' ENTONCES valor FIN) COMO nis_enabled, Máximo(CASO CUANDO llave = 'NisEnginession' ENTONCES valor FIN) COMO nis_engine_version, Máximo(CASO CUANDO llave = 'Nissignaturage' ENTONCES valor FIN) COMO nis_signature_age, Máximo(CASO CUANDO llave = 'Nissignaturelastupdated' ENTONCES valor FIN) COMO nis_signature_last_updated, Máximo(CASO CUANDO llave = 'NissignatureVersion' ENTONCES valor FIN) COMO nis_signature_version, Máximo(CASO CUANDO llave = 'OnaccessProtectionEnabled' ENTONCES valor FIN) COMO on_access_protection_enabled, Máximo(CASO CUANDO llave = 'Quickscanage' ENTONCES valor FIN) COMO Quick_scan_age, Máximo(CASO CUANDO llave = 'QuickScanendtime' ENTONCES valor FIN) COMO Quick_scan_end_time, Máximo(CASO CUANDO llave = 'QuickScanStarttime' ENTONCES valor FIN) COMO Quick_scan_start_time, Máximo(CASO CUANDO llave = 'RealTimEproTectionEnabled' ENTONCES valor FIN) COMO real_time_protection_enabled, Máximo(CASO CUANDO llave = 'RealTimesCandirection' ENTONCES valor FIN) COMO real_time_scan_direction DE wmi_raw GRUPO POR padre ) SELECCIONAR * DE microsoft_windows_defender_config; 

      +─── razón ─── razón ─── razón ──── razón ──ige ─ versión+──── razón ─+gres ──── razón AM_Engine_Version | AM_PRODUCT_VERSION | AM_Service_Enabled | am_service_version | antispyware_enabled |antispyware_signature_age | antispyware_signature_last_updated | antispyware_signature_version | antivirus_enabled | antivirus_signature_age | antivirus_signature_last_updated | antivirus_signature_version | comportamiento_monitor_enabled | Computer_id | Computer_state | Full_scan_age | ioav_protection_enabled | last_full_scan_source | last_quick_scan_source | nis_enabled | nis_engine_version | nis_signature_age | nis_signature_last_updated | nis_signature_version | on_access_protection_enabled | Quick_scan_age | Quick_scan_end_time | Quick_scan_start_time | Real_time_protection_enabled | Real_time_scan_direction |+──── razón ──── razón ──── razón ──── razón ─── razón ──+──── razón ─────ella razón 1.1.19200.5 | 4.18.2203.5 | Verdadero | 4.18.2203.5 | Verdadero | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Verdadero | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Verdadero | 08FB414B-6118-4183-B65E-3FBA345670EF | 0 | '-1 | Verdadero | 0 | 2 | Verdadero | 1.1.19200.5 | 0 | 20220509023536.000000+000 | 1.363.1657.0 | Verdadero | 6 | 20220502134713.979000+000 | 20220502134622.525000+000 | Verdadero | 0 | +──── razón ──── razón ──── razón ──── razón ─── razón ──+──── razón ─────ella razón+

      Hay otro datos importantes que necesitamos, ¿ha detectado el defensor de Windows cualquier amenaza en mis dispositivos?? Nuevamente, hay una clase WMI llamada msft_mpthreatdetection (documentos) en la que podemos aprovechar el uso de kolide’S WMI a Osquery Bridge.

      Expandiendo todo lo que nosotros’He aprendido en la última sección, podemos consultar esta clase de WMI de la misma manera y producir una sola fila para cada amenaza recientemente detectada.

      Aquí está el SQL final:

      CON wmi_raw COMO ( SELECCIONAR *, DIVIDIR(padre, '/', 0) COMO Identificación única DE kolide_wmi DÓNDE clase = 'Msft_mpthreatdetection' Y espacio de nombres = '\ root\METROicrosoft\ Wdrows\DEfender ' Y propiedades = 'DetectionId, amenazDid, ProcessName, Domainuser, DetectionSourCetypeId, Recursos, InitialDetectionTime, LastThreatStatusChangetime, RemediationTime, CurrentThreateExecutionStatusid, amenazas, amenazas, amenazas de amenazas, COMINACTIVA, CleaningActionID, amproducción, acciones de acciones, además de compensaciones de compensaciones' '' ), microsoft_windows_defender_threats COMO ( SELECCIONAR Máximo(CASO CUANDO llave = 'Detectionid' ENTONCES valor FIN) COMO detección_id, Máximo(CASO CUANDO llave = 'Amenazid' ENTONCES valor FIN) COMO amenaza_id, Máximo(CASO CUANDO llave = 'Nombre del proceso' ENTONCES valor FIN) COMO nombre del proceso, Máximo(CASO CUANDO llave = 'Domainuser' ENTONCES valor FIN) COMO dominio_user, Máximo(CASO CUANDO llave = 'DetectionSourCetypeId' ENTONCES valor FIN) COMO detection_source_type_id, Group_concat(CASO CUANDO llave COMO '%Recursos%' ENTONCES valor FIN, ',') COMO recursos, Máximo(CASO CUANDO llave = 'InitialDetectionTime' ENTONCES valor FIN) COMO inicial_detection_time, Máximo(CASO CUANDO llave = 'LastthreatStatusChangetime' ENTONCES valor FIN) COMO last_threat_status_change_time, Máximo(CASO CUANDO llave = 'Remediationtime' ENTONCES valor FIN) COMO remediation_time, Máximo(CASO CUANDO llave = 'CurrentThreateExecutionStatusid' ENTONCES valor FIN) COMO current_threat_execution_status_id, Máximo(CASO CUANDO llave = 'Amenazstatusid' ENTONCES valor FIN) COMO amenaza_status_id, Máximo(CASO CUANDO llave = 'AmenazeStatusErrorCode' ENTONCES valor FIN) COMO amenaza_status_error_code, Máximo(CASO CUANDO llave = 'CleaningActactId' ENTONCES valor FIN) COMO Cleaning_action_id, Máximo(CASO CUANDO llave = 'Amproductversión' ENTONCES valor FIN) COMO am_product_version, Máximo(CASO CUANDO llave = 'ActionSuccess' ENTONCES valor FIN) COMO Action_Success, Máximo(CASO CUANDO llave = 'Addedactionsbitmask' ENTONCES valor FIN) COMO adicional_acciones_bit_mask DE wmi_raw GRUPO POR Identificación única) SELECCIONAR * DE microsoft_windows_defender_threats; 

      +──── razón ─── razón ───── razón ────ella razón ─omo Action_Success | adicional_acciones_bit_mask | AM_PRODUCT_VERSION | Cleaning_action_id | Current_threat_execution_status_id | detection_id | detection_source_type_id | Domain_user | inicial_detection_time | last_threat_status_change_time | Process_name | remediation_time | Recursos | amenaza_id | amenaza_status_error_code | amenaza_status_id |+──── razón ───── razón ───── razón ──── razón ─omo Verdadero | 0 | 4.18.2203.5 | 9 | 0 | | 1 | Desktop-2hfbs8u \ Jason | 20220430211822.148000+000 | 20220501044223.930000+000 | Desconocido | 20220501044223.930000+000 | "Archivo: _C: \ Users \ Jason \ downloads \ eicar (1).com, archivo: _c: \ users \ jason \ downloads \ eicar.com "| 2147519003 | 0 | 106 | | verdadero | 0 | 4.18.2203.5 | 2 | 0 | | 2 | Autoridad NT \ System | 20220501043200.985000+000 | 20220501043227.380000+000 | Desconocido | 20220501043227.380000+000 | "Archivo: _C: \ Users \ Jason \ downloads \ eicar (1).com, archivo: _c: \ users \ jason \ downloads \ eicar.COM "| 2147519003 | 0 | 3 |+────uevo ───ella razón ──── razón ───ella+──── razón ──── razón ─omo+

      La pregunta ahora es, ¿cómo agrega mejor los datos recopilados a través de Osquery y muestra a los auditores??

      Osquery fuera de la caja emite registros que pueden agregarse por SIEM de terceros y herramientas de agregación de registros. Usando sus funciones de informes nativos, puede construir un tablero que lo ayude a superar su auditoría y le dará una visibilidad increíble.

      Si no’Quiero construir todo esto usted mismo, Kolide puede llevarte a correr rápido. Kolide’El producto S le brinda automáticamente a los instaladores nativos para Mac, Windows y Linux que instalan Osquery. Una vez que el agente se ejecuta, Kolide recopilará automáticamente toda la información pertinente, la agregará y la visualizará. En unos minutos, podría estar mirando un tablero como este:

      Kolide’S Inventario Agregue automáticamente la información que necesita para mostrar auditores para SOC2.

      Además, Kolide puede brindarle acceso de API y documentación completa sobre los datos que recopila.

      Otra pregunta Vanilla Osquery no’tener una respuesta para la remediación. Por ejemplo, si encuentra que Windows Secure Boot está deshabilitado (lo que ayuda a garantizar la integridad del sistema de defensor subyacente), ¿cómo lo soluciona?? Un enfoque es comprar un producto de administración de dispositivos de Windows y aplicar políticas para forzar estas configuraciones en. Si bien eso puede funcionar, no todo se puede automatizar de esta manera. No hay forma de habilitar el arranque seguro sin el usuario’s ayuda de forma remota.

      Nuevamente, Kolide puede ejecutar cheques contra su PC de Windows para verificar que estos servicios estén habilitados. Si no son’T, Kolide se integra con los usuarios finales de los mensajes y los dirige sobre cómo volver a habilitar esas características (y explicar por qué son importantes para mantenerlas así).

      Una captura de pantalla de Kolide

      La aplicación Kolide Slack puede llegar directamente a un usuario final para hacerles saber que el arranque seguro estaba apagado y ayudarlos a recuperarlo lo antes posible.

      Las notificaciones del usuario final son parte de nuestra honesta filosofía de seguridad. Creemos que enseñar a los usuarios finales cómo mantener sus dispositivos seguras redes mejor y más completa de seguridad sobre simplemente bloquear la máquina.

      Pruebe Kolide de forma gratuita para ver cómo podemos ayudarlo a lograr el cumplimiento de SoC 2 más fácilmente.

      1. Los auditores de cumplimiento se molestan cuando usa términos binarios como “aprobar” o “fallar” para describir el resultado de una auditoría. En su lugar usan términos como “modificado” o “calificado”. Cuando uso la palabra “aprobar” En este artículo, quiero decir que ha obtenido un informe de SoC 2 sin calificaciones negativas. ↩