Windows Defender Advanced Threat Protection WDATP – Microsoft Defender Advanced Threat Protection – MDATP – Microsoft Defender ATP

Kurumsal müşterilerde son kullanıcı bilgisayarları kaynaklı gelişmiş ve güncel atakların tespit edilmesi, araştırılması ve buna karşın aksiyon alınması için çözüm üreten bulut tabanlı yeni bir Microsoft servisidir. Şirketlerin kullanmakta oldukları anti-virus çözümleri için tamamlayıcı bir rol üstlenir, sürekli güncellenir ve siber ataklardan kaynaklanan maliyetleri düşürmeye yardımcı olur. Windows 10 işletim sistemi ile beraber çalışan bu servis sayesinde şirket ağı içerisinde bulunan Windows 10 Enterprise son kullanıcı bilgisayarları üzerindeki tüm anormal hareketlilikleri merkezi olarak izleyebilir ve olası tehditlere karşı aksiyon alabilirsiniz. Windows 10 Windows Insider Preview Build number 14332 ve sonrasında yer alan client-end-point behavioral sensor sayesinde güvenlik olayları ve davranışları takip edilebilmektedir. Toplanan bu veriler Cloud security analytics service ismini verdiğimiz bulut temelli bir alt yapı sayesinde yorumlanmaktadır. Bulut temelli bu servis üzerinde pek çok atak tipi geçmişe dönük bir şekilde saklanmaktadır. Bu sayede istemcilerden toplanan verilerin yorumlanması son derece hızlı ve kesin sonuçlanmaktadır. Bunlara ek olarak Microsoft içerisindeki güvenlik uzmanları da gerçek zamanlı olarak ataklar üzerinde çalışmakta olup olası yeni saldırı tipleri içinde güncelleme bilgisi paylaşmaktadır. Bu çok yönlü koruma sayesinde son kullanıcılarınızdaki tüm hareketliliğin şirketiniz için nasıl bir tehdit oluşturduğunuz hızlı bir şekilde raporlayabilirsiniz. Windows’a entegre bir servis olduğu için ekstra bir yükleme veya altyapısal işlem gerektirmemektedir. Davranış odaklı, bulut teknolojisi ile güçlendirilmiş olduğundan dolayı klasik anti virüs ve benzeri çözümlere göre daha geniş kapsamlı koruma sağlamaktadır. Bulut tabanlı analizleri kullandığı için zero-day konusunda da koruma sağlamaktadır. Oluşan tehditleri gerçek zamanlı ve geçmiş tarihsel olarak raporlamaktadır. Yine pek çok Microsoft bulut çözümünde olduğu gibi son derece kolay anlaşılır ve özellikle güvenlik ürünlerinde görülmemiş bir sadelikteki rapor ekranları sayesinde oluşan bir atağın tüm hareketlerini ve sonuçlarını rahat bir şekilde takip edebilirsiniz. Yukarıda gördüğünüz gibi aslında çok başarılı tasarlanmış bir mimari yapıya sahiptir. Özellikle Microsoft Threat intelligence olarak geçen bölüm gerçekten zero day ataklar için önemli bir kaynaktır. Ürün şu anda public preview konumunda olup aşağıdaki adres üzerinden sizde ürünü inceleyebilirsiniz https://www.microsoft.com/en-us/WindowsForBusiness/Windows-ATP Eğer denemek istiyorsanız yukarıdaki link üzerinden başvuru yapabilirsiniz. Eğer başvurunuz kabul edilir ise aşağıdaki gibi bir mail size ulaştırılacaktır Buradaki yönergeleri takip edelim. Öncelikle Windows Insider programına giriş yapalım; Daha sonra mevcut işletim sistemimiz eğer ilgili sürümde değil ise aşağıdaki link üzerinden Windows insider için yükleme yapmamız gerekmektedir. https://insider.windows.com/ Yukarıdaki link üzerinden masa üstü bilgisayarı seçelim, en azından ben masa üstü sürümü için yükleme yapacağım. Kısa bir yükleme işleminden sonra işletim sisteminin kapanıp açılacaktır ve insider için gerekli olan sürüme yükseltilmiş olacaktır. Benim sürüm bilgim aşağıdaki gibidir; Bu işlemin ardından Windows Defender ATP portal’ a giriş yapalım http://SecurityCenter.Windows.Com Kullanıcı adı ve şifre size gönderilen mailde bulunmaktadır. Burada hazır bir demo bilgisayar bulunmaktadır, isterseniz bunu inceleyebilir isterseniz daha gerçekçi olması için kendi Windows 10 makinelerinizi local script, GPO, SCCM gibi araçlar ile ATP ye dahil edebilirsiniz. Benim makale için hazırlanmış tek bir Windows 10 makinem olduğu için local script ile makinemi ATP’ ye bağlayacağım. Bunun için Endpoint management sekmesine geliyoruz; Ben local script diyerek indirdiğim bat dosyasını run as admin ile çalıştırıyorum Ve başarılı bir şekilde ATP ye bağlanmış oldum. Birazdan panel üzerinde makinemi göreceğim. Eğer bu işlem sırasında hata alırsanız olası çözümler için aşağıdaki linki inceleyebilirsiniz https://technet.microsoft.com/itpro/windows/keep-secure/configure-endpoints-script-windows-defender-advanced-threat-protection Veya SCCM benzeri araçlar ile birden çok W10 makineyi ATP içerisine alabilirsiniz. Eğer makinelerinizi ATP den koparmak isterseniz yine aynı bölümdeki offboarding dosyalarını kullanabilirsiniz. Evet, bir süre bekledikten sonra benimde W10 makinemi ana ekranda görebiliyorum; Hatta hızlı bir şekilde makinemde neler oluyor göz atabiliyorum; Son olarak lisanslama kısmından da bahsetmek istiyorum. Windows 10 Enterprise E5; Windows Enterprise 10 E3 ve Windows Defender Advanced Threat Protection (WDATP) içerir. E5 kullanıcı veya cihaz başına lisanslama seçenekleriyle ve geleneksel Yazılım Güvencesi faydalarıyla MPSA ve EA programlarında mevcuttur. E5, E3‘e ek (add-on) olarak veya tek başına tekliften satın alınabilir ATP yi kullanabileceğiniz W10 sürümleri aşağıdaki gibidir; Windows 10 Enterprise Windows 10 Enterprise for Education Windows 10 Pro Windows 10 Pro Education Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere. Kaynak https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-advanced-threat-protection