詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

先前我們在這篇文章分析過當面臨勒索軟體、惡意程式的攻擊時,Office 365 可以利用一些內建的功能進行防護並將傷害降到最低,盡可能隔絕不必要的威脅。不過,Office 365 提供的安全功能不僅止於此,而且提到安全防護,如果要夠全面,就不能不提與系統相關的安全技術問題。

因此,在本篇報導,我們要更深度去理解 Office 365 如何與 Windows Defender 與 Defender ATP 進行高度整合,以達到主動防禦外來威脅的目的。

什麼是 Windows Defender ATP ?

大多數人都知道 Windows 作業系統內建有 Windows Defender,透過 Windows Defender 可掃描惡意程式碼 (惡意軟體)、病毒及安全性威脅,主動協助保護您的電腦,還可以使用即時保護,來掃描您在電腦上下載或執行的任何項目,可以協助用戶抵禦病毒和惡意程式的侵襲。不過,多數人可能不知道、或是不了解到底什麼是 Windows Defender ATP。

Windows Defender Advanced Threat Protection (WDATP),從字面上的意思來看就是 Windows Defender 進階威脅防護。簡單說,它是一套偵測、防禦的服務,讓企業內部的 IT 人員能有效掌握公司面臨哪些來自網路的威脅以及入侵活動。

特別要注意的是,WDATP 並不是殺毒軟體,它不會針對已存在於系統內部的病毒進行清除動作。它的功能就是偵測、找出威脅,然後提供給 IT 人員參考。

首先我們歸納出 WDATP 服務的三個主要特色:

  1. 客戶端:建立在 Windows 10 的終端行為感測器,可以非常詳盡的紀錄各項安全性事件及行為。這套系統完全與 Windows 10 作業系統整合在一起,不需要進行額外設定,而且會隨時保持在最新版本,無須另外再購買同級的安全方案。
  2. 雲端安全性分析服務:結合了來自超過 10 億台 Windows 裝置、250 萬兆網路索引地址、以及無數的可疑檔案及行為,用以偵測類似的匿名行徑、病毒及攻擊。這項服務安裝於微軟的 Big Data 平台,並結合了 Indicators of Attacks (IOAs)、行為信號及機器學習。使用者也可以上去觀看登錄的終端系統狀況。
  3. 微軟與社群威脅情報:微軟的研究員不斷在研究分析數據、辨識新的行為模式、還有透過現有的 IOCs(Indicators of Compromises),也就是過去的攻擊事件,把已蒐集到的資料互相關聯起來。

至於 WDATP 的運作程序則如下:

  1. 偵測進階攻擊:提供關鍵資訊,包含是誰攻擊了電腦、以及該攻擊是如何發生的。
  2. 回覆建議:安全系統的資料會讓專業人員更容易去調查各種警訊、探索整個網路以找尋攻擊的徵兆、檢視攻擊者在特定裝置上的攻擊行為,然後組織就能得到一份完整的足跡報告以及建議的因應措施。
  3. 補足微軟進階威脅防禦系統:因為 WDATP 內建於 Windows 10 系統內,並由雲端操控,各種可疑行徑與電腦攻擊的資料都會上傳至雲端,並補足資料庫,讓安全維護人員可以盡早發出電腦安全性更新。

簡單來說,Windows Defender 是殺毒軟體,會幫你抵擋外來的威脅,當他發揮作用的時候,你會很有感的知道幫你檔下了多少威脅;但 Windows Defender ATP 則不同,它是一個偵測、預防威脅的系統,對於一般使用者來說,可能根本不知道背後有 Windows Defender ATP 的運作,但對於系統管理者來說, Windows Defender ATP 是用來協助掌握企業安全的全面性管理工具。

傳統的安全解決方案將重點放在事前措施(Pre-breach measures)上,諸如:提供威脅抵禦還有威脅鎖定的安全機制、作業系統的強化、虛擬及實體補丁,或是化身為守門員的角色,檢視所有檔案並掃描電腦找出可疑內容然後立即隔離,這些方法都是為了防止駭客進入電腦中。但是,上有政策,下有對策,駭客總會找到通往你的電腦的各種路線。

這時,就是該思考事後對策(Post-breach measures)了。跟事前對策不一樣,事後對策是假想電腦已經遭受攻擊,然後記錄下一切,像是病毒從何發出、攻擊何處、安全機制如何抵禦攻擊、後續會產生什麼影響…等等。想像一下,APT 進階持續性威脅(Advanced Persistent Threat, APT) 就是先偵查你的電腦,然後隱藏在電腦中,並找出重要的資料,最後竊取資料並癱瘓電腦。而採取事後對策就能把這一切記錄下來,並將這些資料呈交給專業人員,讓專業人員找出攻擊的模式,藉此更加提升系統的安全性。

Windows Defender ATP 能告訴你哪些安全資訊?

一般防毒軟體公司提供的相關企業安全服務裡也有類似 WDATP 的功能,但防毒軟體公司是動用一整間公司的資源投入到防毒的工作上,同時還有大批專業人員進行分析。因此你或許會懷疑,微軟的偵測功能真的可靠嗎?

其實微軟在幾年前就意識到,Windows 必須得做到絕對的安全,才能得到客戶的信賴。早期 Microsoft Security Essentials 剛推出時,微軟還處於學習階段,但他們很努力在提升自家的能力。一直到現在,微軟已經有龐大的團隊負責資訊安全的提升。

除此之外,微軟最大的優勢在於擁有分布於全球且為數龐大的 Windows 用戶。這些用戶每天使用微軟回傳的安全數據,其數量沒有一家防毒軟體公司能比得上。此外,微軟背後的專業團隊,蒐集來自各種微軟服務所回收得來的數據,如: Azure、Office 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 數位犯罪防治中心 (DCU) 和 Microsoft 安全性回應中心 (MSRC) ,藉此研究各種產品的漏洞,一有進展就推播給使用者,要求使用者更新安全定義,讓產品使用上更安全。

再重申一次,WDATP 並不是殺毒軟體,所以不會清除系統中的病毒。它主要的功能是偵測、找出威脅,然後將這些資訊提供給 IT 人員參考。

WDATP與Windows Defender 在性質上完全不同,而且服務的對象也不一樣。Windows Defender 是只要使用 Windows 系統就會得到的服務,但 WDATP 則是針對企業客戶所推出的服務,建立在 Windows 10 企業版 E5 上。另外,Windows Defender 可以算是主動式的防範,WDATP 則偏向補救式檢討,透過兩者的相輔相成,能提供企業客戶更強大的安全保護力。

如何在 Office 365 中進行「威脅管理」?

微軟透過全球性的 Windows Update、Email 傳送、Bing Search、所有 Windows AD 認證,然後結合成一個統一的報表,讓管理者可以看出,自己的 Windows 可能會有什麼問題,以及可以怎麼處理。

而在 Office 365 裡的「安全性與合規性」之下,可以找到「威脅管理」(Threat management) 這個選項。從這個選項可以查閱即時的報告、直覺的報表,並且能透過資訊儀表板整合 Office 365 中所有受到的攻擊以及值得注意的威脅。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

接下來我們針對「威脅管理」之下的各個子項目來進行檢視,看看管理員如何利用這些功能即時察覺哪些可能的威脅。

1. 威脅情報儀表板(Dashboard)

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

當你點選了 Dashborad,裡頭會將企業用 Office 365 相關的安全總結報告,透過圖表的形式總結起來,你可以快速且直覺的以視覺化的方式,看到是否有什麼異常的狀況。以下是這個項目的各個細項:

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲你可以看出 Office 365 租用的服務,有多少封郵件被 Scan、多少垃圾郵件被阻擋、有多少威脅被阻止。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲在「Security trends」這裡會列出這段期間,全球所面臨的主要的安全威脅有哪些。並能在下面的「Recent alerts」看到最近所收到的一些安全警報。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲透過這些圖表,你可以直覺地看出組織中主要面臨哪些惡意程式的攻擊,也可以依照「天」為週期來檢視,對於較大型的組織來說,每天可能都會累積一定數量的惡意程式攻擊,但是當某些類型的惡意程式攻擊數量在特定時間點突然飆高,就得要提高警覺。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲由於你不見得每天都會來看威脅管理上的資訊,因此可以在「Alert settings」裡設定警報的觸發方式,當你所指定的一些特定異常狀況發生時,系統會以警報自動通知你。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲這個頁面再往下拉可以看到「Attack origin」,這邊會以地圖的方式來呈現,讓你直接看到帶有蠕蟲的 Email、惡意程式的攻擊,是源自於哪些國家。身為一個管理者,假使你看到來自某個國家的信件不斷在進行攻擊,但公司又與該區域沒有任何業務往來,或許就可以在管理介面上將這個國家區域的信件直接封鎖,免去被攻擊的風險。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲「Top targeted users」是相當實用的資訊,在這裡可以從被攻擊的使用者列表,看出公司內有哪些使用者已經成為駭客的目標。例如上圖中,使用者 User187536776 就受到多達 821 次的攻擊,數量上遠高於其他使用者,很顯然該員就是駭客的主要攻擊目標。從管理者角度來看,此時必須針對這個該員加強防範,並瞭解攻擊如此集中在同一個人的原因。舉例來說,他可能是公司的 CEO 或是特定職位的資訊擁有者,管理員就能提醒他們多加注意自身的資訊安全。

 2. 威脅總管(Threat Explorer)

管理者透過 Office 365 的威脅管理,可以看到在某段時間內,公司接收到多少威脅。很棒的是,介面都是以圖表的形式呈現,讓管理者能夠花很少的時間就接收到最需要了解的資訊,以便做出快速反應並進行後續的預防措施。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

透過威脅總管可以看到整個月的報告,以上圖為例,透過不同的顏色可以看出各項惡意程式所進行的威脅,而這些惡意程式的攻擊行為可能是鎖定在某些企業或者特定的人士。管理者都可以在威脅總管裡持續進行追蹤,發掘這些威脅對準的目標究竟是誰。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅 ▲管理者也可以自行設定一段週期、從不同的時間點來檢視這些惡意程式,甚至能察看某些特定的惡意程式,在哪些時間點的威脅是最多的。透過這項工具,企業的資安相關人員得以即時、充分掌握來自各方的威脅,後續在製作資安報告時也不用花太多的時間或精力去分析。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲透過相當直覺的點選方式,管理者就能針對自己想要了解的部分,獲取更多細部資訊。包括惡意威脅是從哪裡寄來的?寄給了哪些人?

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲由於目前惡意程式的威脅量實在太過龐大,管理者不可能完全瞭解每一種惡意程式的危害及其特性。而且單單知道公司正面臨哪些惡意程式的威脅也沒有多大的意義,重點是必須要知道惡意程式的作用為何、會對公司造成什麼樣的威脅。因此,當管理者向下點選可以看到更多惡意程式的資訊,有助於全盤理解與威脅有關的大小事,如此一來,當長官詢問到與威脅相關的問題時,管理者就能提出完整、專業的答覆。

從 Windows Defender Security Center 來看惡意程式威脅

基本上,面對資安問題,微軟絕對不會只準備一種解決方案。怎麼說呢?假設公司電腦裡的 Windows 有搭載 Windows Defender ATP 的話,其實也可以從另外一個角度,來找到隱藏在企業中的資安威脅。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲上圖是在 Windows 中的 Windows Defender Security Center,管理員可以在右上角看到有某些電腦已遭遇到了惡意程式的威脅,可以點選進去做進一步查詢。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲點選進去後會發現「cont-lizbean」面臨到最多的風險威脅,因此我們點選它繼續追蹤。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲點選進入後,在畫面下方列出了這台電腦過去曾發生過警報的完整時間表記錄。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲管理者可以針對某個特定時間點所發生的問題持續追蹤下去,從上圖能明顯得知在 14:34:33 這個時間點,是由 Outlook 將帶有惡意程式的附件檔案儲存到磁碟中。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲如果想繼續追蹤、獲得更多相關資訊的話,如上圖顯示的,管理者還可以再前往 Office 365 的管理介面中檢視這個問題。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲當管理者繼續執行之後,就會跳回到 Office 365 的安全管理介面下,檢視剛剛在 Windows Defender ATP 中發現的問題。從這個例子可以看出,正因 Office 365 與 Windows Defender ATP 兩者的深度整合,讓管理者可以從各種不同的角度,深度檢視系統中的威脅,藉以形成一個完整的防護機制。

進階安全性管理 (ASM)

前面談到的功能主要是針對「保護」,意即當面對一些惡意威脅時,Office 365 的安全機制可以針對一些已知的威脅進行預防,保障企業用戶不會受到威脅的攻擊。不過,當資料放在 Office 365 之後,會遇到什麼樣的惡意攻擊、或引發哪些問題,有時真的無法得知。因此,這時就得透過進階安全性管理(ASM)做好管理及警告機制。

網路惡意威脅的工具不斷出現,且持續對使用者進行攻擊,一般人實在無從得知這些工具進入電腦後,會在背後偷偷做些什麼,雖然有過去的一些案例讓我們可以預防一些已知的攻擊,但未知的新興手法還是防不勝防。因此,透過進階安全性管理 (ASM) 的功能,我們可以透過其他工具來進行監測並預防未知的攻擊。比方說,當某個使用者突然下載大量資料、或使用者出現異常登入行為,系統立即可以提出警示,讓管理者能提高警覺並及早預防。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

上圖就是幾個警示的案例,例如系統察覺某個使用者不久前所在的位置還在美國,47 秒後突然從台灣登入,美國到台灣只要花 47 秒的時間,就實務上來看顯然不可能,因此系統就先把這個帳號鎖定起來。

另一個案例則是「angi」這個使用者,觸發了大量下載的動作,因此系統對管理員發出了警示。假設今天有人偷了這個帳號或是心懷不軌的員工,一直去下載 SharePoint 或是 OneDrive 裡的資料,這時管理者就可以針對這個帳號去實施禁止的動作。 

簡單來說,ASM 可以針對人或者事件所反映出的異常行為作為「觸發」的條件,當系統發現這些條件被觸發時,就會自動發出警告給管理者,讓管理者能即時進行後續的處理。至於在什麼情況下系統會觸發警示,這個可以由管理者自行設定,管理者可以決定每一個觸發條件的風險高低,而系統也能透過長期的機器學習,自動為每一個觸發警示定義風險的高低。

以下我們就簡單的示範一下,管理者如何設定警示條件。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲在 Office 365 的「安全性與合規性」 中,找到「資料外洩防護」這個項目,裡面有一個名為「App 權限」的子項目。在該頁面中,將「開啟 Office 365 的進階安全性管理」這個功能勾選起來。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲接著會來到「管理應用程式權限」的頁面。


詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲點一下畫面上方的「控制」,然後選取「原則」。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲現在你可以自行建立新的原則,我們在下方選擇「建立異常原則」。 


詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲可以發現建立原則的選項很多,在此我們就不逐一介紹,我們現在假設要針對「在特定時間內使用者進行大量下載動作」這一個情況設定一個警示原則,同時也可以把這個原則的嚴重性設定為高、中、或低,界定出這個異常行為的風險高低。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲建立好之後,回到「原則」下面的列表頁面,會發現稍早建立好的原則已經顯示在畫面上了。

進階安全性管理 (ASM) 的功能

透過前面的實際操作,我們大致可以瞭解 ASM 是怎麼運作的,接著我們看一下下面這張示意圖,進一步釐清 ASM 的功能是什麼。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

從示意圖可以看到,中央的 ASM 區塊,主要負責處理兩個輸入來源:來自左邊的是 Office 365(例如放在 OneDrive 的檔案、Word 文件、Outlook 的郵件......等等)的資料;來自右邊的則是透過種種的威脅偵測方式(包括像是前述的威脅管理、由 ISP 提供的一些 IP 黑名單、以及上述我們透過自訂原則所規範的一些可能威脅)持續灌入 ASM 系統中。

正因如此,ASM 系統就會透過這些使用者行為、特定的事件所定義的可能風險…等等,來對每天不斷輸入的資料進行風險的判讀。而且 ASM 系統不僅僅只是依照這些原則很死板的進行風險評估,它具備了機器學習的功能,某些原則或許一開始被設定為高風險,但系統會逐漸理解組織成員所從事的種種行為,如果某些事件在組織內一再發生,而管理者卻不會做後續的處理,系統就會自行將風險的評價調低,以符合組織真正的需求。

最後我們看一下示意圖的最下方,當 ASM 系統偵測到有必須要提出警示的事件或是行為,就會透過多重的方式,像是 E-mail、手機簡訊…等管道發佈即時的警示通知予管理者。如果企業還有其他的系統,ASM 也可以與其作串接,以便進行整合性的訊息管理。

安全分數 (Secure Score) 

所謂的「安全分數」(Secure Score),是Office 365推出的一項新的安全分析工具。安全分數可以幫助管理者了解當前的 Office 365 安全設定是否安全,藉由分數可以與其他企業的安全性進行比較,讓你了解公司有多安全(或多不安全)。

安全分數越高代表相關設定越嚴謹與安全,不過公司可能因為本身的一些政策,無法完全依照微軟的安全防護建議。值得一提的是,沒必要過度拘泥於分數,重點反而是管理者能透過安全分數認知到如果想提高企業的安全係數,可以朝哪些方面去加強、使用哪些安全性功能可以確實降低風險,同時協助管理者在生產力與安全性之間找到平衡點。

以下就實際透過一個安全分數的頁面來了解它的功能可以為管理者帶來哪些幫助:

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅

我們分別來看上面這個安全分數頁面有哪些重點是管理者需要注意的。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲在範例中,公司的安全分數滿分為 364,現在只得到 66 分。不過,光看 66 這個數字並沒有太大的意義,重點應該是管理者要怎麼做才能提昇公司的安全分數。

詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲我們可以利用滑桿,將分數從原本的 66 分,拉到 387 分,這時候可以看到 387 的下方出現了「36 actions」,表示有 36 項可以採取的動作。


詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲畫面再往下拉,可以看到系統列出的這 36 個動作。這些動作的建議會根據行動的有效性和對最終用戶的影響程度排出優先順序。效率高但用戶影響性低的將被排在上方,接下來則是效率較低但用戶影響性高者。


詳解 Office 365 如何與 Windows Defender ATP 整合,主動防禦、偵測外來威脅▲每一項動作都附有詳細的說明,告知管理者可以採取什麼作法以提昇公司的安全分數,同時也會說明為什麼要這樣做才能提昇公司的安全性。

簡單說,透過安全分數提供的建議,管理者可以很確切的排定出應辦事項,按部就班完成系統提出的建議,就能提升公司的安全性。不過,由於政策的差異,某些作法不見得適合套用在每一間公司上,比方說,為了強化安全性,得犧牲掉使用者的便利性,或許就不適合你公司的運作模式與狀況。因此,管理者必須做的就是在其中權衡輕重,選擇出適合公司又能同時替公司加強的部分。

「全面性」思考企業資安防護課題,不能只靠帳號、密碼或防毒軟體

一般人或許會認為 Office 365 對個人的安全保護,就是仰賴登入時輸入的帳號及密碼的基本驗證機制。也因此許多公司每隔一段時間就會要求員工更換帳號、密碼,甚至覺得這樣就做到所謂的企業資安防護了。最多最多會再添購防毒軟體或是相關資安設備的輔助來阻隔病毒、惡意程式與勒索軟體。

事實上,帳號、密碼以及防毒軟體只能稱的上是最基本的防護措施,當面對網路上多不勝數的威脅,早已無法真正保護使用者,尤其近年來發生的幾個著名的勒索軟體攻擊事件,讓很多企業都認清自家的網路安全與資訊安全是多麼的脆弱。

威脅往往來自四面八方且是你意想不到的地方!就像過去很多人認為只要做好郵件防護,勒索軟體就不會侵門踏戶,但新的勒索軟體卻利用永恆之藍的漏洞,能在內網之間流竄,甚至沒連上 Internet 也可能被感染。

可以見得,只靠帳號、密碼、防毒軟體是遠遠不夠的。面對新的、不斷變形中的威脅,企業必須防範未然,及早擬定安全原則,如果你擔任公司網路與資安的管理者,只靠你自己單打獨鬥或是用傳統的作法來對付那些未知的網路與資安威脅,根本就是螳臂擋車的不智之舉。

而 Office 365 加上微軟自家的 Windows Defender ATP,則是利用大數據以及機器學習的方式,藉由全球性的數據分析,協助管理者辨識企業正面臨的威脅,並確實為資料安全作足防護,尤其是透過視覺化的圖表,管理者可以馬上洞察企業有哪些安全風險需要控管、適時調整企業的資安策略,減少潛在損失和彌補風險。

資安是企業刻不容緩的課題,不如將如何因應威脅的研究交給專家,透過 Windows Defender ATP 為公司直接偵測出威脅,再透過 Office 365 的威脅情報儀表板與威脅總管,以簡明易懂的方式,在最短的時間內掌握所有可能的風險,即時進行後續的處理。面對惡意威脅,Office 365 提供的不只是制式的防堵而已,更是一種全面性的思考策略,讓你也能為自家企業量身打造最佳的資安策略。

延伸閱讀

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則