הגנה על תחנות קצה בשילוב Intune Conditional Access & Defedner ATP

הסיכונים במרחב הסייבר הולכים ומתעצמים כל העת ומביאים עמם מתקפות מתקדמות וחדשות, וכתוצאה מכך דורשים מאיתנו להתחדש באופן קבוע בכדי להגן מפני כל אותם סיכונים.
הגישה של מיקרוסופט לאבטחת מידע בענן (Microsoft Cloud Security) כוללת מתודולוגיה וכלים אשר מבוססים על בין היתר פלטפורמות, טכנולוגיות וצוותי מחקר.
בנוסף לכך ישנם שתי נקודות נוספות שמעצבות את הפתרון ההוליסי והם חדשנות ושילוב של טכנולוגיות שונות בכדי לתת מענה לסיכונים השונים ועל גבי הרובדים השונים החל מהגנה על זהויות עם Azure AD, דרך הגנה על תחנות קצה עם Windows Defender ATP ועד הפלטפורמות השונות של Enterprise Mobility and Security וכן Office 365 Security and Compliance.
פלטפורמות אבטחת מידע בענן השונות מביאות כל אחת מהן יתרון מסוים אך השילוב בינהם הוא נדרש ומביא עמו בכל פעם התסכלות אחרת על אופן ההגנה וכמובן מענה טוב יותר, ואם נקח לדוגמה את השילוב בין Office ATP ובין Windows Defender ATP ובין Azure ATP והיכולת לתת מענה Kill Chain החל מרגע הגעת המייל, דרך מענה לניסיון תקיפה בתחנת הקצה ועד ניסיון לקיחת הרשאות מול Active Directory.
המטרה של Microsoft בכל אותן פלטפורמות של אבטחת מידע היא לתת פתרון הוליסטי והגנה על המידע בדרכים שונות ואחת הדרכים החדשות היא שילוב של Windows Defedner ATP עם Intune Conditional Access .
אם לוקחים את הטכנולוגיות הדומיננטיות שהם Windows Defedner ATP למענה לתחנות קצה והרובד של Intune Conditional Access למענה של גישה מבוססת על תנאים, ומחברים אותם יחד התוצאה היא רובד הגנה מתקדם יתר ממה שהיה לנו עד כה.

אם נקח לדוגמה תרחיש מסוים כגון משתמש אשר מקבל או מוריד קובץ שמכיל קוד זדוני לתחנת קצה וע”י מאפשר לתוקף לקחת שליטה על תחנת הקצה והחל מאותו רגע זה רק ענין של זמן עד שהתוקף יגיע לנכסים החשובים בארגון.
בתרחיש כזה הפתרון ההוליסטי של Microsoft אשר משלב את Windows Defedner ATP ואת Intune Conditional Access ביחד מונע את הגישה של תחנת הקצה לארגון, שם את אותה תחנת קצה בהחרגה ומוע הגעה אל הנכסים החשובים בארגון וכל זאת נמנע ע”י השילוב באופן הבא:

  • Windows Defender ATP אשר מבצע זיהוי כל אותן פעולות חשודות ובמקרה הזה הורדת קובץ זדוני והפעלת code injection
  • Intune שמוגדר עם Compliance Policy מול תחנות הקצה עם הגדרת machine-risk

ע”י שילוב הטכנולוגיות הבאות כאשר תחנת קצה מבצעת פעולה חשודה אותה פעולה מזוהה ע”י Windows Defender ATP ומדווחת על הפעולה לאותו פוליסי ברמת Intune שמסווג את התחנה במצב non-compliant ולאחר מכן Azure AD Conditional Access מבצע פעולת מנע ע”י חסימת תחנת הקצה.
למעשה בשילוב הטכנולוגיות הנ”ל קיבלנו מענה של Protect, Detect, Respond!

דרישות והגדרת יכולות

בכדי להגדיר את Windows Defender Advanced Threat Protection  עם Intune Conditional Access יש לבצע את הפעולות הבאות:

דרישות

  • Intune
  • Azure Active Directory (AD) Premium
  • Windows Defender Advanced Threat Protection (WDATP)
  • תחנות קצה מבוססות Windows 10

הגדרת קונקטור מתוך Intune

בשירות Intune נגדיר התממשקות מול Windows Defedner ATP ע”י גישה אל Device Compliance ולאחר מכן בחירה באפשרות Configuring Windows Defender ATP

image

image

image

לאחר מכן יפתח ממשק Windows Defender ATP ונבחר את האפשרות של Microsoft Intune Connection  (להעביר למצב Enable)

image

לאחר מכן נחזור לממשק intune ונוודא את ההגדרות הבאות:

  • מצב חיבור קונקטור תקין
  • העברת Block unsupported OS versions למצב Enable

    image

    לאחר מכן ברמת Intune יש לבצע את ההגדרות הבאות ברמת Compliance Policy

    image

    image

מודעות פרסומת


:קטגוריותכללי

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: