Mats Gustafsson Defender Microsoft

Är det defender man ska köra nu i stället för andra virusprogram?

2022-04-06

JAG SOM SKRIVER

Jag heter Mats Gustafsson och arbetar som IT-konsult, IT-säkerhetsexpert och strategisk rådgivare gällande molntjänster i allmänhet och Microsoft 365 och dess IT-säkerhetsrelaterade funktioner i synnerhet.

MIN PROFIL

  • Teknisk infrastruktur
  • Microsoft Cloud-lösningar
  • Informationssäkerhet
  • Kommunikation och dokumentation
Mats Gustafsson Circle

Hm, Frågan om Defender eller inte är ganska komplex. Ja visst Microsoft Defender är ett skydd som är inbyggt i Windows, och det gör ett ganska bra jobb också. Har man dessutom tillgång till Defender for Endpoint i sitt abonnemang i Microsoft 365 får du en bra och tydlig överblick över alla PC och mobiltelefoner man vill skydda.

Det som är, nästan, unikt med Microsoft Defender 365 är att alla dessa tjänster ovan är sammankopplade och hanteras i en och samma portal, security.microsoft.com.

Där får man en total överblick över alla hot och risker man kan utsättas för och en samlad riskanalys med förslag på åtgärder att genomföra för att minska riskerna. Samma funktioner kan man såklart även få levererade av andra plattformar men få är så sammansatta och heltäckande som Microsoft Defender 365.

Från början

Men vi tar det från början. Vi gör det innan jag lämnar ett sammanfattande råd längst ner i denna artikel. Microsoft Defender är en familj av olika produkter och tjänster som är byggda för att proaktivt skydda dina informationsresurser mot olika typer av digitala hot. Rätt konfigurerat så ger det dels ett bra skydd, dels en bra bild över var man har sina brister och vad man ska göra för att rätta till dessa.

  • Defender for Endpoints
    Hanterar dina endpoints. Det vill säga dina PCs, dina mobiltelefoner, surfplattor med flera. Det finns stöd för Windows 10/11, Windows server 2016–2022, MacOS, iOS, IpadOS, Android och Linux (till viss del). Med andra ord så täcks alla kända plattformar in i Defender for Endpoints.

    Skyddet finns i två versioner kallade Plan 1 och Plan 2. Plan 1 innehåller allt man kan behöva i form av antimalware, Endpoint Detection and Respons, Attack Surface Reduction med mera.

    I Plan 2 får man dessutom en mer aktiv övervakning och automatiska åtgärder för att ta hand om de aviseringar om hot som kan komma. Med plan 2 kan man dessutom göra hotanalyser och simulera attacker för att se hur organisationen reagerar.

    Defender for Endpoints agerar utmärkt tillsammans med många andra säkerhetslösningar och kan ligga i bakgrunden och rapportera vad till exempel Symantec antivirus gör till Defender-portalen.

    Defender for Endpoints konfigureras med hjälp av Endpoint Manager/Intune för alla typer av klienter och här har man slagit ihop konfigurationen av EDR, ASR med brandvägg, hårddiskkryptering och villkorsstyrd åtkomst. All rapportering och hantering av aviseringar från Defender for Endpoints sker i portalen Microsoft Defender 365.

  • Defender for Office365
    Är det inbyggda skydd som finns mot skadlig kod, farliga länkar och phishing antispam främst för Exchange, men även för Teams. Samtliga prenumerationer på Office365 innehåller Defender for Office365 plan 1 och där ingår antispam, antimalware i e-post, skydd mot phishing attacker.
    I Plan 2, som är ett tillägg, får man dessutom aktivt skydd mot farliga länkar både i e-post och i kommunikation i Teams. Man skyddar även filer som sparas i SharePoint, Yammer med flera tjänster. Även här ingår funktioner som attacksimulering och hotanalyser.

  • Defender for Cloud
    Hanterar huvudsakligen säkerhetsövervakning av funktioner och tjänster som finns i Azure. Men man kan även ansluta sina servrar som man har i det lokala nätverket. Alla tjänster, som virtuella servrar, SQL-databaser, webbtjänster, lagringskonton med flera kan övervakas med hjälp av Defender for Cloud.

  • Defender för Cloud Apps
    Här övervakas mer beteenden. Man får en samlad bild över vilka molntjänster våra användare utnyttjar och hur mycket data som överförs till och från dem. Vi kan utvärdera tjänster efter hur de är certifierade och får en bedömning om de är att betrakta som säkra.

    Vi kan också godkänna eller blockera en viss tjänst från att användas. Defender for Cloud Apps kommunicerar då med Defender for Endpoint och blockerar användningen redan på klienten. Med Defender for Cloud Apps kan vi dessutom analysera nätverkstrafik genom våra brandväggar och blockera vissa tjänster den vägen.

    Defender for Cloud Apps plan 1 ingår i alla Microsoft 365-licenspaketeringar. Med ett tillägg med Plan 2 kan man få en mer automatiserad övervakning av tjänsterna som används och applicera sin IT-policy om det man anser som acceptabel användning av internet direkt på nätverkstrafiken.

  • Defender for Identity
    Övervakar alla dina inloggningar. Ser varifrån de kommer, och kan agera om något är onormalt, eller ser misstänkt ut. Defender for Identity plan 1 ingår i licens för Azure Active Directory premium plan 1 som ingår i alla Microsoft 365 planerna.

    Azure Active Directory plan 2 har dessutom funktioner som skannar internet efter identiteter på dark web. Och andra tjänster som varnar om era identiteter upptäcks. Förutom det kan man skapa regler för vad som ska inträffa om något skumt upptäcks. Exempelvis initiera ett extra lösenordsbyte om du loggar in från ett land där du inte brukar vara.

  • Defender for IoT
    För att komplettera familjen har det dessutom tillkommit en tjänst som övervakar IoT-enheter med en egen komponent. Namnet på den aktuella tjänsten? Defender for IoT!

Hur väljer jag?

Vad ska du då välja? Det som ju var den ursprungliga frågan. Mycket av den funktionalitet som jag beskrivit ovan har du, så att säga, fått med ditt abonnemang på Microsoft 365. Så varför inte utforska tjänsterna, aktivera dem och analysera om de är tillräckliga för att möta den riskanalys som du har gjort.

Vilka är de hot och risker du ser för din verksamhet och vilken överblick vill du ha över din IT-säkerhet?

Kontakta oss för managering till olika enheter av central IT-avdelning

Vetton Gramozo

Småland

Vetton Gramozi

Teamledare, IT- och informationssäkerhet, Enterprise IT

+46 (0)36-440 54 23

E-post

Jonas Dahlin

Stockholm

Jonas Dahlin

Senior konsult

+46 (0)8-506 003 09

E-post

Ingvarljungberg

Göteborg

Ingvar Ljungberg

Konsultchef

+46 (0)31-301 05 21

E-post

Vill du veta mer om vad vi gör och vad som är på gång?

Skriv upp dig här, så får du ta del av nyheter, tips och trix och inbjudningar.