Windows 10 innehåller många nya säkerhetsfunktioner som syftar till att hindra en attack. Men även om du har lagt på alla patchar och använder ett antivirus så kan intrång ändå ske. Faktum är (enligt Microsoft) att 46 procent av hackade klientdatorer har alla dessa skydd men kan ändå tas över. Exempelvis kan du vara utsatt för en spearfish-attack med ett specifikt virus som inte har någon signatur eller du kan luras att köra macron i Officeprodukter som öppnar dörren för hackers utan att något suspekt verkar pågå.

För att ge möjlighet att uppmärksamma alla former av attacker har Microsoft byggt in en stor mängd sensorer i Windows 10 som kan aktiveras och som då börjar analysera händelser på klienten och skicka data till Microsoft för vidare analys och rapportering. Sensorerna finns inbyggda från Windows 10 build 14332 och ingår alltså i Anniversary Edition (som är build 14393). Sensorerna finns i Enterprise- och Pro-varianterna av Windows 10 och även Education-versionerna av dessa. ATP ingår i E5-licensen av Windows 10, men måste aktiveras i en separat portal där du antingen kan skapa en separat miljö för ATP eller aktivera den i ett befintligt Azure AD, vilket är att rekommendera för att få maximal nytta av ATP då den kan utbyta information med till exempel Office 365 som du kanske redan använder.

Läs också: 11 oumbärliga tips för dig som är Windows 10-användare – och paranoid

Hela lösningen kallas för Windows Defender ATP (Advanced Threat Protection) och består av flera olika delar. En agent installeras på klienten som väcker liv i sensorerna och hanterar rapporteringen tillbaka till Microsofts datacenter. Man kan vid aktiveringen av tjänsten välja om data ska lagras i USA eller Europa och detta kan inte ändras i efterhand. Du kan räkna med att ca 5 MB sensordata skickas till Microsoft varje dygn för analys. Agenten kan installeras med SCCM, GPO, InTune eller med manuellt script.

Om du använder Windows Defender idag som antiviruslösning så ger ATP dig äntligen en central konsol för larmhantering, något som saknats länge. Om du använder ett annat antivirus så kan inte ATP dra nytta av detta för antiviruskontroll, men den kan fortfarande analysera misstänkta händelser på klienterna.

De data som skickas till Microsoft analyseras och struktureras i deras datacenter och när suspekta händelser inträffar så dyker dessa omedelbart upp i ATP webbkonsol och du kan också få alerts via e-post och ATP kan också samverka med olika SIEM system för att sammanställa säkerhetsvarningar, som till exempel Splunk. När en varning dyker upp så kan man följa upp den och se vilken klient som attackerats och på vilket sätt, vilken användare som var inloggad och vad som skedde efter att attacken genomfördes. Att med manuella medel ens upptäcka en sådan attack och sedan lägga ett säkerhetspussel för att försöka följa förloppen själv är en mycket krävande uppgift som ATP kraftigt förenklar.

Själva syftet med ATP är alltså att utgå från att någon eller några av dina klienter har tagits över av en hacker och ge dig en notifiering så fort detta inträffar. Detta arbetssätt kallas ofta för assumed breach och ATP är skapat för att hantera just sådana situationer. Du kan sedan arbeta vidare med ATP för att se exakt hur attacken genomfördes, vad som har förändrats och hur attacken sedan spreds vidare. ATP kan på ett effektivt sätt korrelera olika händelser och visa komplexa förlopp så att det går att följa attacken så ingående som möjligt.

Läs också: Microsoft: Ryska hackare utnyttjade säkerhetshålet som Google avslöjade

Om du använder Office 365 så kan ATP också samverka med dessa tjänster och om attacken skedde via e-post så kan du tex se vilka andra personer som fått samma brev och dessutom spärras automatiskt åtkomsten till dessa brev.

Det finns givetvis ingen garanti för att ATP ska kunna fånga upp alla tänkbara attacker, men det är sannerligen bättre än inget och om du är ansvarig för it-säkerheten på ditt företag är ATP garanterat något som du bör utvärdera.

För mer info och möjlighet att starta en testversion, gå till: https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp