Новые приемы помогут Microsoft Defender for Endpoint противостоять вредоносным программам

Одна из обязательных функций большинства вредоносных программ , — обращение за дальнейшими инструкциями к своему серверу управления и контроля (C2) . Перехватывая этот трафик до того как произойдет обмен какой-либо информацией можно остановить множество атак, считают в Microsoft.

Новые приемы помогут Microsoft Defender for Endpoint противостоять вредоносным программам. Фото: СС0

Недавно компания добавила новую функцию в свою платформу безопасности Microsoft Defender for Endpoint (MDE). Она уведомляет администраторов об установлении вредоносного соединения. Функция способна разорвать это соединение и записать детали для дальнейшей оценки.

В настоящее время она находится в публичной предварительной версии.

Если эта новая функция включена, агент Network Protection (NP) Defender for Endpoint сопоставит все IP-адреса, порты, имена хостов и другие данные исходящего подключения с данными из Microsoft Cloud. Если она обнаружит соединение, которое механизмы оценки компании на основе ИИ сочтут вредоносным, инструмент заблокирует его и откатит двоичные файлы вредоносного ПО, чтобы предотвратить дальнейший ущерб.

Затем она добавит журнал с указанием «Защита сети заблокировала потенциальное соединение C2», которое позже могут оценить группы SecOps.

Из сообщения старшего менеджера программы MDE Олуделе Огунринде:

«Командам SecOps нужны точные оповещения, которые могут точно определить области компрометации и предыдущие соединения с известными вредоносными IP-адресами. Благодаря новым возможностям в Microsoft Defender для конечной точки группы SecOps могут обнаруживать сетевые атаки C2 на более ранних этапах цепочки атак, минимизировать распространение, быстро блокируя любое дальнейшее распространение атаки, и сокращать время, необходимое для смягчения последствий, легко удаляя вредоносные двоичные файлы».

Чтобы воспользоваться новой функцией, пользователям необходимо установить антивирусную программу Microsoft Defender с защитой в режиме реального времени и активированной облачной защитой.

После завершения предварительного развертывания новая функция будет доступна в Windows 10 1709 и новее, Windows Server 1803 и Windows Server 2019.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме