Protección contra amenazas avanzada de Windows Defender (Windows Defender ATP) es un servicio de seguridad que permite a los clientes empresariales detectar, investigar y responder a amenazas avanzadas en sus redes.
Windows Defender ATP usa la siguiente combinación de tecnología integrada en Windows 10 y el servicio de nube sólida de Microsoft:
Sensores de comportamiento de punto de conexión: incrustados en Windows 10, estos sensores recopilan y procesan señales de comportamiento del sistema operativo (por ejemplo, comunicaciones de red, archivo, Registro y proceso) y envía esta telemetría a tu instancia en la nube privada y aislada de Windows Defender ATP.
•Análisis de seguridad en la nube: mediante el aprovechamiento de los macrodatos, el aprendizaje automático y la óptica exclusiva de Microsoft en todo el ecosistema de Windows (como la Herramienta de eliminación de software malintencionado de Microsoft, los productos de Enterprise Cloud (como Office 365) y los activos en línea (como la reputación de la dirección URL de Bing y SmartScreen), las señales de comportamiento se traducen en información, detecciones y respuestas recomendadas a las amenazas avanzadas.
Inteligencia de amenazas: generada por equipos de seguridad y buscadores de Microsoft, y aumentada con la inteligencia de amenazas aportada por los partners, la inteligencia de amenazas permite a Windows Defender ATP identificar herramientas, técnicas y procedimientos utilizados por los atacantes y generar alertas cuando se observan en la telemetría recopilada.
El siguiente diagrama muestra estos componentes del servicio Windows Defender ATP:
Las funciones de investigación de puntos de conexión de este servicio te permiten examinar con detalle alertas de seguridad y comprender el ámbito y la naturaleza de una posible infracción. Puedes enviar archivos para un análisis profundo y recibir los resultados sin salir del portal de Windows Defender ATP.
Windows Defender ATP funciona con tecnologías de seguridad sobre puntos de conexión existentes de Windows, como Windows Defender, AppLocker y Device Guard. También puede funcionar en paralelo con soluciones de seguridad de terceros y productos antimalware.
Windows Defender ATP aprovecha la tecnología y la experiencia de Microsoft para detectar sofisticados ataques cibernéticos, lo que ofrece:
•Detección de ataques avanzados basados en el comportamiento, con tecnología de nube
Busca los ataques que consiguieron superar otras defensas (detección posterior a las infracciones), proporciona alertas prácticas correlacionadas con adversarios conocidos y desconocidos que tratan de ocultar sus actividades en los puntos de conexión.
•Línea de tiempo enriquecida para investigación forense y mitigación
Investiga fácilmente el ámbito de las infracciones o los comportamientos sospechosos en cualquier máquina a lo largo de una línea de tiempo enriquecida de la máquina. Inventario de archivos, direcciones URL y conexiones de red en toda la red. Obtén información adicional mediante recopilación y análisis a fondo («accionamiento») de todos los archivos o las direcciones URL.
•Exclusiva Knowledge Base de inteligencia de amenazas integrada
La incomparable óptica de amenazas aporta detalles de los actores y el contexto de propósito en la detección basada en Intel de todas las amenazas: que combina orígenes de inteligencia propios y de terceros.
Fuente: Microsoft