Microsoft Defender ATP für macOS

Wie schon erwähnt, hat sich Microsoft in den letzten Jahren immer weiter anderen Betriebssystemen neben Windows geöffnet. Der iOS, Android und macOS stehen hier selbstverständlich im Fokus. Und da Microsoft inzwischen mehr ein Security-Unternehmen ist, setzen sie auch alles daran, solche „Fremdsysteme“ mit einem sehr hohen Sicherheitslevel in die Unternehmens-IT einzubinden. Der neueste Wurf in dieser Richtung ist Microsoft Defender Advanced Threat Protection für macOS.

Was ist MDATP?

Angriffe auf die Unternehmens-IT werden immer ausgefeilter. Es sind nicht mehr die Attacken auf das Netzwerk einer Firma. Je mehr Unternehmen in die Cloud gehen und die Mitarbeiter dezentral arbeiten, desto uninteressanter wird diese Infrastruktur. Ziel Nummer eins ist der Endanwender selbst. Und diesen gilt es, zu schützen.

Microsoft Defender ATP ist ein Agent, der auf dem Endgerät läuft und weit mehr ist, als ein Virenscanner. Mit Hilfe einer KI aus der Cloud, werden potentielle Gefahren erkannt, reportet und gebannt. Das sieht unter anderem folgendermaßen aus:

  • Dateien werden gecheckt und beobachtet. Aber nicht nur der Abgleich mit einer Virus-Datenbank ist hier getan, sondern, ATP führt die Datei in einer sogenannten Detonation-Zone aus. Und die KI checkt dann, ob irgendetwas ungewöhnliches passiert. Falls dem so ist, wird die Datei auf dem Rechner isoliert und damit unschädlich gemacht. Der Security-Admin für Microsoft 365 kann im Vorfeld auch definieren, was genau geschehen soll. So kann der komplette PC / Mac isoliert werden, was verhindert, dass sich solche Dateien im Netzwerk auch auf andere Systeme verteilt.
  • Microsoft Defender ATP werkelt aber auch dauerhaft im Hintergrund. Er „beobachtet“ gewissermaßen das Userverhalten. Sprich: passiert unter Oberfläche irgendetwas, was nicht einem normalen Userverhalten entspricht (z.B. es werden plötzlich ein Haufen Dateien verschlüsselt, oder Passwort-Hashes werden abgegriffen, ungewöhnlich häufig verwendet etc.), dann schlägt das System sofort Alarm.

Alles, was hier passiert, wird in das Microsoft 365 Security Center reportet. So hat der zuständige Admin alles im Blick und weiß über jeden Angriff, der in seiner Infrastruktur Bescheid. Aber nicht nur dass: er kann jeden Angriff auch forensisch nachverfolgen:

  • Wo kam der Angriff her?
  • Hat er sich bereits ausgebreitet?
  • Welche Historie hat Datei?

Microsoft Defender ATP ist unfassbar umfangreich und meiner Meinung nach ein absolut elementarer Bestandteil in der Security-IT. Dass der Mac nun ebenfalls mit eingebunden werden kann, ist ein absolutes Plus! Zugegeben, der Mac hinkt in Sachen Unternehmens-IT immer noch meilenweit hinterher. Aber mit Defender ATP ist es das Sicherheitsrisiko ein ganzes Stück kleiner geworden. Und der Rest… der kommt vielleicht auch noch. Ich hoffe unter anderem ganz stark darauf, dass das Azure AD-Join irgendwann kommt. Hoffentlich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© 2019 by swbbn without discipline and from Regensburg