INTRODUÇÃO Atualmente todas as organizações têm grandes preocupações com a segurança e quase todas têm soluções de antivírus e antimalware implementadas nos seus sistemas. Mas e se num ataque não existir malware envolvido? Olhando para as estatísticas cerca de 46% dos ataques não utilizam malware conhecido pelo que pode ser muito difícil perceber em tempo útil que está a ser vítima de um ataque informático. O recente Windows Defender Advanced Threat Protection (WDATP) promete ser uma ferramenta fundamental na análise comportamental da rede, identificando em tempo real um desvio de padrão que pode ser uma ameaça ao sistema. Vamos ver como funciona no how-to deste mês. O WDATP é completamente cloud based (não necessita de qualquer servidor on prem) e está incluído no licenciamento do Windows 10 E5 ou por subscrição online. Apenas suporta o Windows 10 versão 1607 ou superior nas seguintes versões: Enterprise, Educação, Professional e Professional Educação. Está também disponível em trial que pode pedir aqui: https://www.microsoft.com/en-us/windowsforbusiness/windows-atp
Antes de começar a utilizar o produto é necessário efetuar algumas configurações, assim aceda ao portal do WDATP em https://securitycenter.windows.com e depois de colocar as suas credenciais carregue no Next :
De seguida escolha a localização dos seus dados. Atenção que uma vez escolhida não pode alterar esta opção sem antes efetuar um reset a todas as configurações existentes.
Escolha a retenção desejada da informação:
De seguida quantos computadores possui a sua organização. Esta opção serve para otimizar a criação da base de dados nos servidores da Microsoft.
Escolha o tipo de negócio da organização para que os alertas possam ser otimizados e direcionados, isto é, alertar por exemplo que existe um ataque orientado a entidades financeiras.
Carregue no Next para iniciar a criação do tenant: Para terminar carregue no Finish :
Quando terminar irá aparecer o Dashboard do portal: O próximo passo será adicionar os computadores da organização ao portal. Para isso vá para o separador Endpoint Management :
Existem quatro formas de o fazer, através de Group Policy, utilizando o System Center Configuration Manager, o Mobile Device Management (incluindo o Microsoft Intune) ou por scripting. Escolha a opção que pretende e carregue no Download package. Para ver como fazer em cada uma das opções verifique o link: https://docs.microsoft.com/pt-pt/windows/threat-protection/windows-defender-atp/configure-endpoints-windows-defender-advanced-threat-protection
Uma vez efetuado o deployment os seus computadores irão aparecer no separador Machine View :
No dashboard tem uma visão global do que está a acontecer na sua infraestrutura. No exemplo seguinte verificamos um alerta vermelho, carregando em cima do alerta conseguimos ver mais informação:
No seguinte gráfico conseguimos perceber qual o computador afetado, os ficheiros/processos criados e que originaram o alerta. Se carregarmos no simbolo por baixo do nome de um ficheiro o gráfico diz-nos os computadores onde o ficheiro está e que potencialmente já estão também afetados.
Para obter mais informações sobre o ficheiro basta carregar em cima do nome:
Para saber mais detalhes sobre o ficheiro carregamos na opção Deep analysis request, que vai executar o ficheiro numa sandbox da Microsoft e registar todas as ações que o ficheiro executa e enviar os resultados para o WDATP.
Se carregarmos em cima do nome do computador conseguimos perceber toda a sequência do ataque: O Office correu um ficheiro executável que por sua vez correu um script de powershell que acabou por executar um port scan. Conseguimos obter mais detalhes sobre cada uma destas ações carregando em cima das mesmas.
Na nova versão do Windows 10 Creators Update, já é possível isolar o computador da rede com apenas dois cliques, carregando no Actions : E depois Isolate machine :
Da mesma forma pode evitar que o ficheiro suspeito seja executado, carregando no nome do ficheiro, de seguida em Actions : E depois Stop & Quarantine File que irá parar todos os processos em execução, colocar em quarentena os ficheiros afetados e eliminar chaves de registry.
Em 2002 estreava um filme que com certeza muitos se recordarão Relatório Minoritário que retratava um sistema de segurança que previa os crimes, reduzindo desta forma para zero a criminalidade existente. O WDATP ainda não consegue prever os ataques informáticos, mas uma coisa é certa, com esta ferramenta as organizações ficam capazes de responder muito mais rapidamente a um ataque, isolando o incidente e mitigando dessa forma eventuais consequências que teriam se o espetro do ataque fosse maior.