Microsoft Defender Advanced Threat Protection

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) – платформа, выполняющая функции поиска, идентификации, приоритизации и реагирования на угрозы безопасности на уровне конечных точек. Microsoft Defender ATP включена в Windows и работает на основе комбинации технологий защиты и облачных сервисов Microsoft, т.е. предлагает дополнительный уровень защиты от угроз.

К данным технологиям относятся: датчики работоспособности рабочих станций, необходимые для сбора и обработки поведенческих сигналов с конечных точек и отправки в облачный сервис Microsoft Defender; анализ безопасности, реализованный с помощью машинного обучения, технологий big data и смежных облачных сервисов Microsoft, предназначенный для преобразования сигналов, полученных с датчиков в аналитические данные для обнаружения угроз и выработки рекомендаций по безопасности; исследование угроз посредством взаимодействия с экспертами по безопасности Microsoft и службами управления угрозами, предоставляемыми партнерами компании, для идентификации, классификации и исследования методов и технологий атак.

Таким образом, Microsoft Defender ATP представляет из себя сервис, работающий со всеми ролями в системе. Анализ такой подозрительной деятельности, как удаленное подключение с незнакомого IP-адреса, выполнение нелегитимных команд, подключение необычных пользователей, подозрительный рост подключений, работает на основе локального и облачного машинного обучения. Множество подозрительных файлов выполняется и анализируется в выделенной облачной песочнице, а сервис анализирует поведение данных файлов для принятия решения о дальнейшем распространении, а также для дальнейшего использования в защите.