Tag: Microsoft Defender

Device Security z wykorzystaniem Intune i Defender for Endpoint
19.06.2024
Integrity Partners

Managed Device Security – Jak wykorzystać Microsoft Intune i Defender?

Masz w firmie narzędzia Intune oraz Defender for Endpoint, ale brakuje Ci specjalistów, którzy mogliby nimi zarządzać? To zmniejsza Twoją odporność na zagrożenia. Nie musi tak jednak być! Dzięki naszej nowej usłudze – Managed Device Security – skorzystasz z pomocy doświadczonych ekspertów Integrity Partners i wzmocnisz bezpieczeństwo swojej firmy. Jak to działa? 

Infrastruktura przedsiębiorstw rozrasta się dziś niezwykle szybko. Sporą jej część stanowią tak zwane endpointy. To urządzenia, z których korzystają pracownicy, by łączyć się z firmowymi aplikacjami. Należą do nich laptopy, komputery stacjonarne, tablety czy smartfony.  

Co ważne z punktu widzenia bezpieczeństwa, połączenia te coraz częściej wykonywane są poza bezpieczną siecią wewnętrzną. A to oznacza mniejszą kontrolę i ochronę. Jak w takich warunkach zadbać o urządzenia i dane?  
Intune oraz Defender for Endpoint – pierwszy, ale niewystarczający krok  
Microsoft udostępnia dwa narzędzia, które współpracując ze sobą, zapewniają ochronę urządzeniom i danym w organizacjach.  

Microsoft Intune umożliwia scentralizowane zarządzanie różnymi typami urządzeń, takimi jak komputery z systemem Windows, urządzenia z systemem Android i iOS, komputery Mac oraz urządzenia z systemem Linux. Pozwala na konfigurację ustawień zabezpieczeń, wdrażanie aplikacji i zasad dostępu warunkowego, a także usuwanie danych z urządzenia w przypadku jego zagubienia lub kradzieży. 

Microsoft Defender for Microsoft 365 chroni urządzenia przed różnego rodzaju zagrożeniami, takimi jak wirusy, malware, spyware, ransomware itp. Skanuje pliki i aplikacje w poszukiwaniu złośliwego oprogramowania i izoluje je w razie potrzeby. Ostrzega użytkowników przed podejrzanymi wiadomościami e-mail i witrynami internetowymi. Umożliwia scentralizowane zarządzanie ochroną antywirusową na wszystkich urządzeniach w organizacji.  

Jednak nawet posiadając te narzędzia, firma nie jest do końca bezpieczna. Kluczowe jest bowiem odpowiednie zarządzanie nimi oraz wspieranie użytkowników w podejmowaniu trafnych decyzji w przypadku podejrzanego zdarzenia. A do tego potrzebna jest wykwalifikowana kadra, o którą dziś coraz trudniej. 
Brakuje Ci specjalistów? Postaw na Managed Device Security 
 Zespół Integrity Partners zna problemy przedsiębiorców z dostępem do specjalistów z zakresu bezpieczeństwa, dlatego też przygotował nową usługę. 

Managed Device Security obejmuje pomoc doświadczonych ekspertów bezpieczeństwa. Co ważne, zweryfikują oni zdarzenia raportowane przez mechanizmy środowiska Microsoft 365. Przygotują także rekomendacje, które umożliwią firmom ograniczenie ryzyka.  

W ramach usługi nasz zespół zapewnia:  

– monitoring zdarzeń (w tym sprawdzanie poprawności działania systemów bezpieczeństwa, kontrolę podatności systemu i aplikacji na stacjach roboczych, weryfikację nietypowych zachowań użytkowników, identyfikację podejrzanych zdarzeń na urządzeniu)  

– reakcję na zdarzenia, w tym te krytyczne  

– administrowanie systemem, w tym także regularny przegląd stanu zabezpieczeń oraz informowanie o krytycznych poprawkach zalecanych przez producenta  

– rekomendacje, czyli raporty omawiające najważniejsze zdarzenia wraz z zaleceniami dotyczącymi działań podnoszących bezpieczeństwo użytkowników lub urządzeń końcowych  

– konsultacje 
Managed Device Security – korzyści dla firmy 
Firma, która zdecyduje się na naszą nową usługę, może liczyć na: 

podniesienie poziomu bezpieczeństwa urządzeń, użytkowników i danych  
pomoc doświadczonego zespołu bez konieczności zatrudniania własnych ekspertów  
stały monitoring zdarzeń i stanu zabezpieczeń  
wiarygodną ocenę podejrzanego zdarzenia i wskazówki dotyczące dalszych działań  
natychmiastową reakcję ograniczającą rozprzestrzenianie się zagrożenia  
analizę zagrożeń w kontekście swojej firmy  
w przypadku zaakceptowania zaleceń – wymuszenie na użytkownikach konkretnych działań, które zminimalizują ryzyko 

Podsumowując, Managed Device Security od Integrity Partners to wiedza i doświadczenie ekspertów, profesjonalna ochrona danych, użytkowników i urządzeń oraz elastyczne finansowanie. Brzmi przekonująco? Zapraszamy do kontaktu! 

A więcej o usługach Managed Services przeczytasz na naszej stronie.

Jesteś zainteresowany/a przedstawionym rozwiązaniem? Skontaktuj się z Integrity Partners – sprawdzonym integratorem rozwiązań cybersecurity, cloud i identity security.
Zarezerwuj termin w Microsoft Teams!
Napisz do nas: marketing@integritypartners.pl

Czytaj więcej
Jak wyglądała konferencja Integrity Partners Cloud Days 2024
10.05.2024
Integrity Partners

Cloud Days – cyberbezpieczeństwo napędzane AI. Podsumowanie konferencji

Kolejna edycja Integrity Partners Cloud Days za nami! W tym roku spotkaliśmy się w pięknych okolicznościach przyrody, aby rozmawiać o sztucznej inteligencji, narzędziach Microsoft i bezpieczeństwie danych. Było nie tylko merytorycznie, ale i… magicznie! 

Integrity Partners Cloud Days to cykliczne wydarzenie, które organizujemy dla osób zainteresowanych rozwiązaniami Microsoft, a także podniesieniem poziomu bezpieczeństwa danych i pracowników. Naszym celem jest dzielenie się wiedzą z zakresu chmury. Przedstawiamy przede wszystkim praktyczne przykłady zastosowania narzędzi Microsoft w biznesie. Dajemy też naszym gościom szansę na networking i poznawanie innych specjalistów z branży.  
Cloud Days 2024. Działo się! 
W tym roku spotkaliśmy się w hotelu Santa Natura w Nowej Wsi pod Warszawą. Piękna pogoda, wspaniałe otoczenie, świeża zieleń drzew, a także duża dawka wiedzy przełożyły się na pełne emocji i merytoryki spotkanie ponad 100 specjalistów z wielu firm i instytucji. 

Rozmawialiśmy przede wszystkim o cyberbezpieczeństwie oraz o coraz większych możliwościach sztucznej inteligencji.  

Swoją wiedzą podzielili się: 

Adrian Popławski, PO Dyrektora BUCL, Integrity Partners 

Nasz ekspert wyjaśnił, jakie wymagania stawiają przed firmami dyrektywa NIS2 oraz Narodowy Program Ochrony Infrastruktury Krytycznej. Przybliżył znaczenie strategii Zero Trust oraz wpływ takich systemów jak między innymi SIEM, SOAR, EDR, IPS, WAF na bezpieczeństwo danych, aplikacji, urządzeń i infrastruktury. 

Pokazał też na przykładzie narzędzi FinOps, jak lepiej zarządzać wydatkami na chmurę publiczną. Co więcej, podpowiedział, jak przygotować plan ewakuacji systemów i aplikacji do chmury, wykorzystując dostępne narzędzia. 

Dominik Mostowski, Microsoft Cloud Solutions Architect, Integrity Partners 

Dominik poruszył bardzo istotny temat ochrony tożsamości z Entra ID. To chmurowa usługa zarządzania tożsamościami i dostępem, umożliwiająca pracownikom dostęp do zasobów.  

Odpowiedział także na coraz częściej wybrzmiewające pytanie: skąd Copilot czerpie dane? Wyjaśnił, jak wdrożyć Copilota, by zapewnić poufność i bezpieczeństwo firmowych danych. 

Maciej Koral, Microsoft Cloud Solutions Consultant, Integrity Partners 

Maciej podczas swojego wystąpienia skupił się na bezpieczeństwie stacji roboczych. Przybliżył uczestnikom spotkania dwa narzędzia Microsoft – Defendera oraz Intune’a. To dwa współpracujące ze sobą rozwiązania, które zapewniają ochronę urządzeniom i danym w organizacjach.  

Bartosz Wołowicz, Microsoft Cloud Solutions Expert, Integrity Partners 

Nasz ekspert od rozwiązań chmurowych podpowiedział, jak zapewnić zgodność z dyrektywą NIS2 środowisk hybrydowych i wielochmurowych, wykorzystując Defender for Cloud. To natywna platforma ochrony aplikacji w chmurze, chroniąca przed lukami bezpieczeństwa i przed cyberzagrożeniami. 

Przedstawił też możliwości rozwiązania Microsoft Sentinel. To narzędzie chroniące chmurę i łączące w sobie dwie technologie – SIEM oraz SOAR. Dzięki niemu firmy mogą więc spełnić wymagania, jakie nakłada na nie NIS2. 

Marcin Makowiecki, Senior Partner Development Manager, Microsoft Polska 

Ekspert z Microsoft pokazał możliwości nowych laptopów Surface. Co niezwykle istotne dla pracowników i biznesu – mają one wbudowane narzędzia sztucznej inteligencji. Dzięki temu praca z nimi jest szybsza, bardziej kreatywna i bezpieczniejsza (o nowych urządzeniach od Microsoft przeczytacie więcej na naszej stronie). 

Damian Miros oraz Dawid Kwietniewski, Microsoft Cloud Solutions Specialists, Integrity Partners 

Tajemnice Copilot for Microsoft zdradzili nasi specjaliści Damian i Dawid. Zaprezentowali bowiem na praktycznych przykładach, jak działa sztuczna inteligencja w Microsoft 365. Co więcej, uczestnicy konferencji mogli na własne oczy zobaczyć, jak AI wspiera pracę z Wordem, Excelem, Power Pointem oraz Outlookiem. 

Małgorzata Koziej, Data&AI Specialist, Microsoft Polska 

O Microsoft Fabric oraz sztucznej inteligencji napędzającej analizę danych opowiedziała ekspertka z Microsoft. Narzędzie, które przedstawiła, to kompleksowa platforma analityczna, zapewniająca jedno zintegrowane środowisko do współpracy i analizy danych biznesowych. 

Jan Gachowski, Microsoft Power Platform Team Leader, Integrity Partners 

Analizie danych przyjrzał się również ekspert z Integrity Partners, przedstawiając Power BI. To zestaw narzędzi analitycznych, umożliwiających wizualizację danych i udostępnianie informacji w całej organizacji, a także osadzanie ich w aplikacji lub usłudze. 

Marcin Aniszewski, Managed Services Business Unit Director, Integrity Partners 

Wystąpienia ekspertów zakończył dyrektor naszego pionu Managed Services. Nieprzypadkowo! Dzięki tej prelekcji uczestnicy dowiedzieli się, jak wdrożyć wymagania NIS2 oraz jak podnieść bezpieczeństwo swoich danych i systemów z pomocą Integrity Partners. Marcin zaprezentował także obszary, w których nasi specjaliści mogą pomóc, oraz abonamenty bezpieczeństwa dla Microsoft 365. 

Podsumowując, w części merytorycznej goście Cloud Days 2024, jak zapewnić ciągłą ochronę tożsamości, urządzeń, aplikacji, infrastruktury, sieci oraz danych. Dzięki tej wiedzy będą bez wątpienia lepiej zarządzać swoimi środowiskami IT oraz ich bezpieczeństwem. 
A po godzinach – magia! 
Jednak nie samą merytoryką żyje konferencja Cloud Days! Pierwszy dzień prelekcji zakończyliśmy kolacją, rozmowami, nawiązywaniem kontaktów, a także pokazem magii. W świat czarów i sztuczek zabrał nas Iluzjonista Y, czyli najsłynniejszy polski iluzjonista, który występował między innymi dla Mike’a Tysona czy Roberta Lewandowskiego. 

Tym razem natomiast otworzył drzwi do świata magii przed uczestnikami naszego wydarzenia. Były karty, ogień, wiele zaskoczeń i jeszcze więcej śmiechu. 

Chcecie dowiedzieć się więcej? Zobaczcie filmik podsumowujący Cloud Days. 

I już dziś zapraszamy Was na Integrity Partners Cloud Days 2025. Zatem – do zobaczenia! 

 

Czytaj więcej
Extended Detection and Response - co to jest i jak z niego korzystać
10.10.2023
Integrity Partners

Wszystko co musisz wiedzieć o XDR – Poradnik cyberbezpieczeństwa

Zapewnienie bezpieczeństwa w firmie jest dziś coraz trudniejsze. Przede wszystkim dlatego że najpoważniejsze cyberzagrożenia często wykorzystują słabości i luki w więcej niż jednym systemie. Kluczem do sukcesu staje się ekosystem cybersecurity składający się z wielu warstw. Oraz XDR, czyli narzędzie, które zbiera dane z różnych systemów i automatyzuje reakcję na wykryte zagrożenia. Czym dokładnie jest XDR? Jak działa i po co je wdrażać? Na te i inne pytania odpowiadamy w poniższym tekście.

XDR to skrót od Extended Detection and Response, który na rodzimym rynku określamy mianem rozszerzonego wykrywania i reagowania. Jest on odpowiedzią na potrzebę integracji wielu różnych źródeł informacji o tym, co dzieje się w firmowej sieci, oraz danych dotyczących cyberzagrożeń z wielu warstw (w tym poczty elektronicznej, punktów końcowych, serwerów, chmury). A to wszystko w jednym narzędziu, które wspomaga wykrywanie i reagowanie na cyberataki.
XDR – ewolucja, nie rewolucja
Pojawienie się XDR jest kolejnym krokiem w kierunku lepszego zarządzania ekosystemem cyberbezpieczeństwa. W niemal każdej firmie funkcjonują przeróżne narzędzia bezpieczeństwa chroniące coraz rozleglejszą infrastrukturę IT. Mamy monitoring sieci, ochronę poczty elektronicznej, punktów końcowych, chmury itd. Każdy z nich dostarcza wiele danych. Zarządzanie tymi danymi jest ogromnym wyzwaniem dla pracowników działów IT. Wymaga też czasu.

To dlatego od kliku lat pojawiają się rozwiązania, które konsolidują dane z różnych systemów bezpieczeństwa i z różnych urządzeń.

Mamy systemy EDR (Endpoint Detection and Response) służące do identyfikowania i badania podejrzanej aktywności na urządzeniach końcowych.
Mamy SIEM, który gromadzi logi i dane z różnych źródeł, takich jak systemy operacyjne, aplikacje, urządzenia sieciowe, by zapewnić kompleksową widoczność zdarzeń w sieci.
Mamy SOAR (Security Orchestration, Automation, and Response) – platformę, która integruje funkcje zarządzania zdarzeniami bezpieczeństwa, automatyzacji oraz reakcji na incydenty.

I w końcu mamy XDR.
Dane z wielu źródeł w jednym miejscu
XDR integruje różne narzędzia i technologie po to, by w kompleksowy sposób zapewnić wykrywanie cyberzagrożeń i incydentów, ich analizę oraz reakcję na nie. Rozwiązanie XDR – podobnie jak SIEM – integruje, koreluje i normalizuje alerty i dane pochodzące z wielu narzędzi bezpieczeństwa. Z kolei podobnie jak system SOAR – automatyzuje reakcje na wykryte zagrożenia. Wszystko to wsparte sztuczną inteligencją, zaawansowaną analizą oraz algorytmami uczenia maszynowego.

Sztuczna inteligencja odgrywa kluczową rolę w funkcjonowaniu tego narzędzia. Pomaga w analizie dużych zbiorów danych i wykrywaniu anomalii. Przyspiesza procesy decyzyjne, umożliwia automatyzację wielu zadań, co znacznie obniża koszty operacyjne. Zapewnia:

Automatyzację: AI może automatycznie analizować dane i generować alerty.
Analizę danych: Zaawansowane algorytmy AI pomagają w analizie i interpretacji dużych zbiorów danych.
Przewidywanie zagrożeń: Dzięki uczeniu maszynowemu XDR może przewidywać potencjalne zagrożenia, zanim się pojawią.

Zalety XDR i korzyści z jego wdrożenia
XDR jest skalowalnym rozwiązaniem, które można dostosować do potrzeb organizacji różnych wielkości. Integruje się z wieloma narzędziami i platformami, dzięki czemu pozwala firmie uzyskać wgląd z jednego miejsca w całą infrastrukturę IT.

Wdrożenie tego systemu daje organizacjom wiele korzyści:

Lepszą widoczność zagrożeń: Dzięki integracji z różnymi systemami XDR oferuje znacznie szerszą widoczność zagrożeń. Udostępnia pojedynczą konsolę, która zbiera i koreluje dane z wielu warstw bezpieczeństwa, aby zapewnić kompletny obraz środowiska bezpieczeństwa.
Zautomatyzowane wykrywanie i reakcję: XDR wykorzystuje uczenie maszynowe i analizę, aby wykrywać i automatyzować reakcje na zagrożenia cybernetyczne, zmniejszając obciążenie zespołów ds. bezpieczeństwa.
Redukcję ryzyka: XDR minimalizuje czas wykrywania i reagowania na zagrożenia, dzięki czemu zmniejsza ryzyko skutecznych ataków.
Uproszczenie operacji bezpieczeństwa i szybszą reakcję na zagrożenia: Integrując się z innymi produktami bezpieczeństwa, XDR upraszcza operacje bezpieczeństwa, przyspiesza identyfikację problemów i umożliwia organizacjom szybką reakcję na zagrożenia.

 
Zobacz wdrożenie rozwiązania Cortex XDR od Palo Alto Network w JSW IT SYSTEMS
https://youtu.be/wgwc7HXQDWQ?si=btiKyYHta_Q0LB4F

 
XDR – lepsza organizacja pracy
XDR to nie tylko lepsza widoczność i większe bezpieczeństwo, ale też efektywniej działające zespoły bezpieczeństwa. XDR dzięki sztucznej inteligencji i łączeniu w jednym narzędziu wielu danych odciąża administratorów systemów. Ponieważ analizuje dane, biorąc pod uwagę konteksty, jest w stanie szybko wychwycić schematy i anomalie, a także powiązać ze sobą różne alerty i zmniejszyć ich liczbę.

Zespoły IT mogą zatem skupić się na najważniejszych zadaniach. Nie są już rozpraszane ogromną ilością alertów spływających z różnych systemów i wymagających ręcznego sprawdzenia. Automatyzacja ich pracy przekłada się na:

Oszczędność czasu
Obniżenie kosztów operacyjnych
Możliwość skupienia na priorytetowych zadaniach
Szybsze podejmowanie trafnych decyzji
Lepszą kontrolę nad obszarem cyberbezpieczeństwa
Większą efektywność całych zespołów

To nie wszystko. Szybsze wykrywanie i reagowanie na incydenty bezpieczeństwa pozwala minimalizować ich wpływ na biznes. Firmy działają zatem stabilniej i są silnym oraz pewnym partnerem dla swoich kontrahentów i klientów.
Praktyczne zastosowania i przypadki użycia XDR
XDR znajduje zastosowanie w różnych branżach, od finansów po opiekę zdrowotną. Szczególnie istotną rolę może odegrać w organizacjach, które dysponują cennymi dla cyberprzestępców danymi (takimi jak dane wrażliwe, tajemnica handlowa itd.). Jego elastyczność i skalowalność sprawiają, że jest to rozwiązanie atrakcyjne zarówno dla dużych korporacji, jak i mniejszych przedsiębiorstw. XDR jest używany między innymi w:

Finansach: Banki i instytucje finansowe korzystają przede wszystkim z dostępnych w XDR zaawansowanych funkcji monitorowania i analizy, które są kluczowe dla zabezpieczenia wrażliwych danych.
Opiece zdrowotnej: W sektorze zdrowia narzędzie pomaga w ochronie danych pacjentów i zabezpieczeniu infrastruktury przed atakami ransomware.
E-commerce: W przypadku sklepów internetowych platforma XDR chroni głównie przed atakami na serwery i kradzieżą danych.

Kluczowi dostawcy rozwiązać do detekcji i reagowania
Wielu producentów rozwiązań IT z obszaru cyberbezpieczeństwa oferuje dziś platformy XDR. My polecamy szczególnie te, które na co dzień wdrażamy i których skuteczność sprawdziliśmy w praktyce:

Palo Alto Networks: Oferuje rozwiązanie Cortex XDR, które integruje dane z różnych źródeł.
Microsoft: Dostarcza narzędzie Microsoft 365 Defender, które zapewnia holistyczne podejście do cyberbezpieczeństwa.
Check Point: Ma w swojej ofercie Infinity XDR, które daje firmom zaawansowane funkcje analizy i reagowania na zagrożenia.
SentinelOne: Przygotował platformę „Singularity”, która została zaprojektowana do zapewnienia jednolitej ochrony na różnych poziomach. Skupia się na wykorzystaniu sztucznej inteligencji do wykrywania, analizy i reagowania na zagrożenia w czasie rzeczywistym.

XDR to bez wątpienia jedno z najbardziej obiecujących rozwiązań w obszarze cyberbezpieczeństwa. Dzięki integracji z różnymi platformami i systemami, a także wykorzystaniu sztucznej inteligencji staje się niezwykle skutecznym narzędziem w walce z zagrożeniami cybernetycznymi.

 

Chcesz dowiedzieć się więcej o Extended Detection and Response i sprawdzić, jak XDR może wesprzeć Twoją organizację? Skontaktuj się z nami już dziś i dowiedz się, jak możemy Ci pomóc.

Kontakt – Integrity Partners

marketing@integritypartners.pl

Czytaj więcej
Nowy Microsoft Defender for Business dostępny w wersji preview - grafika
28.02.2022
Dominik Mostowski

Nowy Microsoft Defender for Business dostępny w wersji preview

Zgodnie z zapowiedziami z minionego Ignite 2021, Microsoft udostępnia w wersji preview kolejny produkt z rodziny bezpieczeństwa – Microsoft Defender for Business. Młodszy brat znanego już od kilku lat systemu klasy EDR, Microsoft Defender for Endpoint, oferuje rozwiązanie klasy Enterprise dla organizacji do 300 użytkowników, wprowadzając jednocześnie zmiany w licencjonowaniu i pozycjonowaniu produktów z rodziny Defender.

To, jakie są obecnie wersje systemu Defender dla stacji roboczych (w zasadzie końcówek, ponieważ serwery także mieszczą się w tym zakresie), wymaga pewnego uporządkowania. Najlepiej te dane prezentuje poniższa tabela:

(2) These capabilities are optimized for small and medium-sized businesses.

 

Szczegółowe porównanie wersji Defendera znajduje się na witrynie Compare Microsoft Defender for Business to Microsoft Defender for Endpoint Plans 1 and 2

 

Z powyższego widać, że Defender for Business jest idealnym rozwiązaniem także dla dużych organizacji, które niekoniecznie są w stanie wykorzystać narzędzia do huntingu, jednak licencjonowanie mówi wprost – MDB jest dla organizacji poniżej 300 użytkowników. Szczegóły cennika nie są jeszcze znane, jednak patrząc na ofertę rozwiązań Microsoft M365 Business Premium vs E3/E5 można być praktycznie pewnym że będzie to świetna propozycja dla wielu firm i instytucji.

Dodatkowe elementy, które zapewnia nam MDB, to między innymi web content filtering oraz zarządzanie firewallem systemowym. Te funkcje zdecydowanie ułatwiają kompleksowe zaadresowanie potrzeb w zakresie zabezpieczenia stacji. Same stacje, czy to Windows 10/11, czy też macOS, Linux, a nawet urządzenia mobilne Android oraz iOS, podłączymy do MDB bez najmniejszego problemu.

O zaletach systemów EDR nie trzeba nikogo przekonywać, a dodatkowym motorem do wdrożenia MDB jest możliwość rezygnacji z wykorzystywanego rozwiązania tradycyjnie nazywanego systemem antywirusowym na rzecz wbudowanego w Win10/11 Windows Defendera. Prostota wdrożenia za pomocą Microsoft Endpoint Managera na pewno zostanie zauważona przez organizacje z niego korzystające.

Może zabrzmi to przewrotnie, ale systemy EDR można poniekąd traktować jako bezobsługowe. Mechanizmy AIR (Automated investigation and response) mogą reagować automatycznie, usuwając zagrożenie i „cofając” wszystkie wyrządzone szkody. w ramach modułu EDR pozwala na wyśledzenie każdego zdarzenia, które się pojawiło od momentu rozpoczęcia incydentu, aż do jego ujawnienia i zatrzymania. Bezpieczeństwo wprost z chmury!

 

Jak uruchomić nowego Defendera for Business?
Dla firm zainteresowanych przetestowaniem rozwiązania MDB mamy propozycję specjalną. Integrity Partners jako partner Microsoft specjalizujący się we wdrożeniach Modern Workplace oraz Security oferuje swoim klientom możliwość włączenia licencji próbnych narzędzia Defender for Business. Liczba licencji jest ograniczona, zachęcamy do kontaktu z nami – i przeprowadzenia 90 dniowego testu opisanych funkcji we własnym środowisku.*

[*] Uwaga: preview nie będzie widoczny dla klientów posiadających wyższe pakiety usług, jak np. Defender for Endpoint Plan 2

 

Czytaj więcej
Analiza konfiguracji Exchange Online Protection, Defender for Office 365 oraz nowy analizator konfiguracji
3.12.2020
Dominik Mostowski

Analiza konfiguracji Exchange Online Protection, Defender for Office 365 oraz nowy analizator konfiguracji

EOP – Exchange Online Protection – zestaw rozwiązań zabezpieczeń poczty dostępny w każdej (każdej!) subskrypcji O365/M365, w której mamy usługę Exchange Online.

Defender for Office 365 – (poprzednio nazywany Office 365 Advanced Threat Protection) – zestaw rozwiązań zabezpieczeń nie tylko poczty, ale także plików w usługach MS Teams i Sharepoint, dostępny w planach E5 (O365 E5, M365 E5, w dodatkach M365 E5 Security oraz jako produkt stand-alone).

Uruchamiając każdy tenant usługi Microsoft, w którym będziemy korzystali z poczty Exchange Online, należy dokonać konfiguracji, a przynajmniej przeglądu i zapoznać się z konfiguracją domyślną usługi EOP.

Uruchamiając tenant z dostępnymi licencjami Defender for Office 365, należy dokonać konfiguracji elementów zaawansowanych. Domyślnie nie są włączone czy przypisane do naszych użytkowników.

Zarówno funkcje dostępne w Defender się zmieniają, jak też zmieniają się czasami wytyczne i dobre praktyki. Jak w tym się nie pogubić, być na bieżąco z najlepszą możliwą konfiguracją, szczególnie dla narzędzi zaawansowanych? Mamy do dyspozycji 3 rozwiązania, popatrzmy co oferują.

1.  Manualny przegląd konfiguracji

Dlaczego nie jest dobry? 😊 Bo jest manualny! I nie pokazuje wszystkiego. Trzeba się „przeklikać” przez każde ustawienie, jeśli mamy kilka polityk np. dla różnych grup pracowników, trzeba to zrobić dla każdej z nich. A dodatkowo, nie wszystkie ustawienia są dostępne w GUI, część należy ustawiać przez Powershell, a jednocześnie nie mamy łatwego odniesienia do dodatkowych informacji.

Na szczęście, wszystko możemy wykonać w jednym portalu – https://protection.office.com/threatpolicy (lub dla samego EOP w portalu ECP Exchange https://outlook.office.com/ecp/).

2. ORCA

Nazwa pochodzi od „Office 365 Advanced Threat Protection Recommended Configuration Analyzer”.

Jest to narzędzie uruchamiane w PowerShell, dające w wyniku, dane wyświetlane w postaci witryny html. Pobieranie narzędzia wykonujemy poprzez Install-Module-Name ORCA, wygenerowanie raportu przez Get-ORCAReport, jednak każdorazowo przed wykonaniem raportu zalecane jest wykonanie aktualizacji modułu przez Update-Module ORCA.

Co dostajemy w rezultacie uruchomienia? Bardzo ładnie przedstawione wyniki skanu naszej konfiguracji wraz z rekomendacjami

Skanowane są ustawienia tenanta, reguł transportowych Exchange, oraz całej konfiguracji EOP z Defender.

Konfiguracja i status

Jak widać, 48 ustawień jest zgodnych z zaleceniami Microsoft, natomiast w 10 możemy coś poprawić, a dla 1 dostaniemy dodatkowe informacje. (Proszę zapamiętać – 48 – 10 – 1).

Dla ustawień, gdzie Micorosft sugeruje weryfikację, czy możliwa jest poprawa, dostaniemy zestaw wartości aktualnych, rekomendowanych, oraz łącza gdzie możemy uzyskać więcej informacji na ten temat.

Ustawienie musimy jednak odnaleźć samodzielnie, nie mamy z tego poziomu możliwości włączenia jakiejś opcji czy zmiany wartości. Ale tu uwaga, mamy rozwiązanie trzecie!

3. Analizator konfiguracji w portalu

Dostępny w portalu Protection (https://protection.office.com/threatpolicy) analizator konfiguracji jest prawie najlepszym rozwiązaniem. Dlaczego? O tym 2 słowa w podsumowaniu.

Daje nam wyniki podobne jak ORCA, jednak widać że zaleceń jest 9 nie 10 (to ten sam tenant). Dodatkowo, należy pamiętać ze Analizator pokazuje domyślnie zalecenia poziomu Standard, natomiast poniższy wynik to zalecenia ścisłe, strict.

Nie jest to „klikalne”, nie rozwinie się nam nic więcej (może w przyszłości będzie jakieś okienko wyskakiwało), więc nie jest łatwo ustalić o jakie konkretnie ustawienie chodzi albo o nim doczytać. Lecz, co jest bardzo fajnego? Jak przewiniemy ekran w prawo, możemy dane ustawienie po prostu włączyć😊

Narzędzie na pewno ma potencjał i nie odradzam go, w żadnym wypadku. W materiale video możecie zobaczyć dokładnie jak to działa.
https://youtu.be/H73d6QedCWE

 

Podsumowanie

Narzędzie Analizatora na pewno będzie się rozwijało i spełni moje oczekiwania w 100%. Ja jednak osobiście zostaję przy ORCA z kilku powodów:

– bezpośrednie odnośniki do Microosft Docs, gdzie można szczegółowo doczytać o danym ustawieniu, a co za tym idzie wykonujemy zmiany z głową, a nie tylko klikając. Oczywiście znając te wszystkie konfiguracje można sobie znacznie ułatwić pracę wspierając się analizatorem do wprowadzania konfiguracji,

– wylistowane są także funkcje ustawione zgodnie z rekomendacjami,

– plik raportu ORCA „odkłada” się na komputerze. Co prawda analizator ma funkcje historii co jest bardzo przydatne, jednak co plik to plik 😊. Jednocześnie, ORCA ma więcej opcji generowania raportów, np. do CosmosDB, skąd można je zaciągać np. przez PowerBI (więcej o parametryzacji wyników – https://github.com/cammurray/orca#supported-outputs )

– i na koniec – administrując wieloma tenantami można wykonywać skrypt automatycznie dla większej ilości klientów, jednocześnie składując wyniki w jednym miejscu.

Zapraszam także do kontaktu z nami, jeśli potrzebujesz wsparcia.

Czytaj więcej
Czas zwiększyć świadomość phishingową – rozszerzenie możliwości symulatora ataków w Microsoft Defender for Office 365
25.09.2020
Kuba Borkowski

Czas zwiększyć świadomość phishingową – rozszerzenie możliwości symulatora ataków w Microsoft Defender for Office 365

Phishing nie znika – on tylko rośnie!

Kilka słów wstępu dot. naszego głównego bohatera, czyli phishingu – zdawać by się mogło, że wraz z rozwojem technologii, zobaczymy coraz to nowsze rodzaje ataków i zagrożeń. Faktycznie regularnie pojawiają się raporty o nowych wektorach ataku i włamaniach o dotąd niespotykanej skali. Jednak niezmiennie najpopularniejszy jest phishing – najprostsza i, wydawać by się mogło, najmniej skuteczna metoda ataku (nic bardziej mylnego!). Tutaj do gry wchodzi rozwiązanie w ramach pakietu Microsoft Defender for Office 365.

W pierwszym kwartale 2020 zaobserwowano wzrost ataków phishingowych do rozmiarów nienotowanych od 2016 roku [1]!

Żeby podkreślić jeszcze fakt, że to nie jest tylko wyciąganie pojedynczych informacji – 22% wycieków danych wynikało lub zawierało w sobie właśnie ataki phishingowe[2]!

Nie tylko technologia, ale ŚWIADOMOŚĆ

Sama formuła ‘phish’ nie do końca oddaje różnorodność ataków, które za tym się kryją. To trochę tak, jak każdą osobę w IT określić mianem informatyka – programistów, oficerów bezpieczeństwa, architektów etc. Oprócz typowego podmieniania odnośnika lub podszywania się pod inną osobę – zaobserwowano sporo technik nieco bardzie wysublimowanych, a co za tym idzie – trudniejszych do wykrycia.

Przykłady – zyskujący na popularności zombie phishing, gdzie atakujący przejmują konto i następnie wykorzystują stare konwersacje mailowe i odpowiedzi na nie, do których dodają jakiś link phishngowy. Jako potencjalny cel takiego ataku – znamy odbiorcę, znamy temat rozmowy.

Idąc dalej – chyba każdy z nas doświadczył już odnośników skróconych (bitly itd.) czy kierujących na znane serwisy jak np. google drive.

Dlatego właśnie tak ważne jest, aby zadbać o świadomość użytkowników – informować ich o różnych metodach ataku, o tym jak rozpoznawać podrobione wiadomości, co zrobić, kiedy mamy wątpliwości, jak reagować i, co BARDZO ważne (a często zapominane), przekonywać ich do zgłaszania wszelkich prób!

Microsoft Defender for Office 365 – Zrobimy swój własny phishing, z blackjackiem i …

Jak najlepiej budować świadomość użytkowników? Symulacjami!

W ramach Microsoft Defender for Office 365 w planie 2, mamy dostępne bardzo fajne narzędzie jakim jest symulator ataków. W dużym skrócie – dzięki niemu możemy sami tworzyć wiadomości „phishingowe” wysyłane do naszych użytkowników. Dorzucamy tam np. odnośnik do zewnętrznej strony czy pdf z ‘fakturą od dostawcy’ i patrzymy kto to u nas kliknie na taki podrobiony element lub, co chyba gorsze, poda poświadczenia na podrzuconej stronie.

Samo rozwiązanie działa bardzo fajnie, jednak wymaga sporo przygotowania po naszej stronie (mało szablonów) i nie daje wielu możliwości symulacji (tylko dwie opcje – załącznik lub odnośnik). W najbliższym czasie jednak się to zmieni – poznajcie nową odsłonę Attack Simulator!

Rozbudowany symulator ataków w ramach Microsoft Defender for Office 365

Pierwsza wiadomość – dostajemy dużo więcej gotowych szablonów! Spodziewam się, że na początku większość z nich będzie dostępna w języku angielskim, ale (jak Ci którzy korzystają z obecnej formy attack simulator wiedzą) wersja polska z czasem na pewno się pojawi.

Co ważne – możemy planować kampanie w czasie, z podziałem np. na odpowiednie grupy użytkowników czy strefy czasowe.

Microsoft, żeby zapewnić kompletność oferty, podjął współpracę z firmą Terranova Security – odpowiedzialni są oni za część kolejną (post-symulacyjną) czyli wszelkiego rodzaju szkolenia użytkowników. To chyba największa różnica w stosunku do tego co mamy dostępne obecnie (czyli wbudowanej strony z generycznymi informacjami dla tych którzy się ‘złapali’ na symulacje phishu lub alternatywnie możliwość wskazania wew. witryny).

Szkolenia dla użytkowników będą dzielić się na kilka różnych wątków (rozróżnienie różnych ataków, np. malware, phishing, social engineering etc.) i zawierać różne metody przekazu – nagrania wideo, tekst czy odnośniki do zewnętrznych materiałów. Dodatkowo miałem okazję zobaczyć autentyczne przykłady maili wyłudzających dane i ćwiczenia dla użytkownika, który ma wskazać, dlaczego np. dana wiadomość jest podrobiona.

Nie ma niestety informacji o wsparciu dla naszego rodzimego języka polskiego – nie spodziewałbym się dostępności w najbliższym czasie (ale może pozytywnie się zaskoczę 😊).

Ważne do odnotowania – wszystkie powyższe elementy (uczenie, symulacje itd.) oczywiście są mierzalne i posiadają konkretne raportowanie.
Więcej informacji na temat Attack Phishing Simulator znajduje się na stronie Microsoft.

Co, gdzie, kiedy?

Z wersji obecnej symulatora ataków (gdzie możemy uruchamiać kampanie z odnośnikiem lub załącznikiem) możecie korzystać już teraz – wystarczy dodatek Office 365 ATP (lub obecnie Microsoft Defender for Office 365) Plan 2 (lub subskrypcja, która taki plan posiada – Microsoft 365 E5).

[1] Phishing Activity Trends Report, APWG, Q1 2020, Published 11 May 2020

[2] Verizon’s 2020 Data Breach Investigation Report

Czytaj więcej
11.06.2019
Integrity Partners

Microsoft Defender ATP dla komputerów Mac

Program Microsoft Defender ATP dla komputerów Mac nie jest jeszcze powszechnie dostępny. Wersja testowa programu Microsoft Defender Advanced Threat Protection dla komputerów Mac została udostępniona jedynie klientom korporacyjnym, którzy zostali zaakceptowani do programu poglądowego.

Od momentu udostępnienia przedpremierowej wersji programu trwają nieustanne prace nad ulepszeniem produktu. Do tej pory zmniejszono już czas potrzebny na pojawienie się urządzeń w Centrum zabezpieczeń Microsoft Defender natychmiast po wdrożeniu. Ulepszona została obsługa zabezpieczeń i poprawiono komfort użytkowania programu.

Aktualizacja programu Microsoft Defender ATP dla komputerów Mac obejmuje:

Zwiększoną dostępność
Poprawioną wydajność
Ulepszony monitoring produktów klienta
Lokalizacje w 37 językach
Ulepszone zabezpieczenia anty-sabotażowe
Możliwość przesyłania opinii za pośrednictwem interfejsu.
Możliwość ustawiania preferencji dotyczących chmury w dowolnym miejscu, nie tylko w USA.

Metody i narzędzia do zainstalowania programu Microsoft Defender ATP dla komputerów  Mac.

Pierwszym krokiem w instalacji programu Microsoft Defender ATP dla Mac jest posiadanie subskrypcji ATP Microsoft Defender i dostęp do portalu ATP Microsoft Defender.

Metody wdrożenia:

Za pomocą narzędzia wiersza poleceń:

Ręczne wdrożenie

Za pomocą narzędzi innych firm:

Wdrożenie oparte na usłudze Microsoft Intune
Wdrożenie oparte na JAMF
Inne produkty MDM

Wymagania systemowe:

MacOS wersja: 10.14 (Mojave), 10.13 (High Sierra), 10.12 (Sierra)
Miejsce na dysku podczas podglądu: 1 GB

Wersje beta systemu MacOS nie są obsługiwane.

Po włączeniu usługi konieczne może być skonfigurowanie sieci, aby umożliwić połączenia wychodzące między nią, a punktami końcowymi.

Poniższa tabela zawiera listę usług i powiązanych z nimi adresów URL, z którymi sieć musi się połączyć. Należy upewnić się, że nie ma reguł zapory ani filtrowania sieci, które odmawiałyby dostępu do tych adresów URL lub może być konieczne utworzenie dla nich reguły zezwalającej:

W celu uzyskania dodatkowych informacji na temat rejestrowania, odinstalowywania lub znanych problemów, odwiedź stronę Zasoby.

Czytaj więcej
18.04.2019
Integrity Partners

Zunifikowana platforma ochrony punktów końcowych – ATP systemu Windows Defender

Ulepszona redukcja powierzchni ataku, ochrona najnowszej generacji, sprawne wykrywanie i reagowanie na naruszenia, to tylko kilka z wielu nowych możliwości zunifikowanej platformy ochrony punktów końcowych ATP systemu Windows Defender.

Nowe zasady redukcji powierzchni ataku

Ulepszona redukcja powierzchni ataku chroni urządzenia bezpośrednio na poziomie stacji roboczej:

– Blokada Office przed tworzeniem procesów potomnych.

– Blokada Adobe Reader przed tworzeniem procesów potomnych.

Te nowe reguły pozwalają zapobiegać tworzeniu procesów potomnych z programu Outlook i Adobe Reader, bezpośrednio na poziomie stacji roboczej. Pomagają także wyeliminować wiele typów ataków.

Aktualizacje Emergency Security Intelligence

W przypadku ataku zespół ATP systemu Windows Defender może wysłać żądanie awaryjne do wszystkich urządzeń przedsiębiorstwa podłączonych do chmury, w celu natychmiastowego pobrania dedykowanych aktualizacji.

Od indywidualnych powiadomień do incydentów

Gdy ataki stają się coraz bardziej zaawansowane, analitycy bezpieczeństwa stają przed wyzwaniem rekonstrukcji historii ataku. Obejmuje to identyfikację wszystkich powiązanych alertów i artefaktów na wszystkich zagrożonych maszynach, a następnie skorelowanie ich wszystkich na całej osi czasu ataku. W przypadku incydentów powiązane alarmy są grupowane razem z maszynami i odpowiednimi zautomatyzowanymi dochodzeniami, prezentując w ten sposób wszystkie zebrane dowody oraz zasięg i zakres ataku.

Automatyzacja reakcji na ataki, bez plików

Windows Defender ATP może od teraz wykorzystywać zautomatyzowane funkcje śledcze pamięci do obciążania regionów pamięci i wykonywania wymaganych działań naprawczych. Dzięki tej nowej możliwości przechodzimy do w pełni zautomatyzowanego procesu, zmniejszając przez to obciążenie zespołów bezpieczeństwa.

Analiza zagrożeń

Analiza zagrożeń to zestaw interaktywnych raportów o zagrożeniach publikowany przez zespół badawczy Microsoft. Pulpit analityczny „Zagrożenie” obejmuje opis techniczny i dane o zagrożeniu. Zawiera także zalecenia mające na celu powstrzymanie i zapobieganie określonych zagrożeń oraz zwiększenie odporności organizacji.

Integracja z Microsoft Information Protection

Integracja Azure Information Protection (AIP) z Data Discovery, zapewnia widoczność oznaczonych plików przechowywanych na punktach końcowych. Analizy pulpitu i dziennika AIP obejmują pliki wykryte na urządzeniach systemu Windows wraz z informacjami o ryzyku związanym z urządzeniami  programu Windows Defender ATP.

Integracja z Microsoft Cloud App Security

Windows Defender ATP w unikalny sposób integruje się z Microsoft Cloud App Security. Windows Defender ATP zapewnia uproszczone wykrywania aplikacji Cloud App Security, ponieważ zasila je sygnałami punktów końcowych, zmniejszając potrzebę gromadzenia sygnałów przez korporacyjne serwery proxy. Umożliwia to bezproblemowe zbieranie sygnałów, nawet gdy punkty końcowe znajdują się poza siecią korporacyjną.

Innowacje, które działają dla Ciebie dzisiaj i w przyszłości

Możesz przetestować wszystkie nowe i istniejące funkcje, rejestrując się w bezpłatnej, 60-dniowej, w pełni funkcjonalnej wersji Windows Defender ATP . Możesz także przetestować redukcję powierzchni ataku poprzez uruchomienie symulacji DIY .

Czytaj więcej
Ten serwis używa plików "cookies" zgodnie z POLITYKĄ PRYWATNOŚCI. Brak zmiany ustawień przeglądarki oznacza jej akceptację. View more
Rozumiem