Microsoftilla on ollut heikohko maine tietoturvaratkaisujen tuottajana eikä testimenestys ole ollut kehuttavaa. Muutoksen tuulet kuitenkin puhaltavat ja tuoreimmassa AV-test.orgin testissä Defender pärjäsi jo selvästi paremmin.

Mutta mitä tapahtuu, kun Defenderiin niputetaan tekoäly, täysiverinen EDR (Endpoint Detection and Response) -tuote ja näkyvyys sekä pilven että paikallisen AD:n tietoturvaan? Hienoja asioita.

ATP on paljon enemmän kuin yksi tuote

ATP on lyhenne sanoista Advanced Threat Protection. Microsoftin tuntien asia ei kuitenkaan ole niin yksinkertainen. ATP koostuu itse asiassa kolmesta tuotteesta: Azure ATP, O365 ATP ja Defender ATP. Tuotteet juttelevat osin keskenään, mutta tekevät täysin eri asioita.

Microsoftin ATP -tuotteiden selkeä etu on täydellinen integroituminen sekä on-prem Windows- että pilvi-infraan. Ne ovatkin parhaimmillaan pakettina Defenderin kanssa. Defender ATP on käytännössä Windows 10 -ominaisuus, joka vain konfiguroidaan päälle.

Mitään ei tarvitse jaella: ajetaan vain konfiguraatio, jossa kerrotaan mihin pilveen ja millä avaimella yhteys otetaan. Yhdestä pilvikonsolista voidaan sitten kootusti nähdä erilaiset hyökkäysketjut sellaisten tapahtuessa, käsitellä niitä incidentteinä ja esimerkiksi eristää päätelaitteet – puhumattakaan organisaatiossa kiellettyjen sovellusten käytön raportoinnista.

Tutustu ATP:n kolmen koplaan

Azure ATP on kuin ATA steroideilla: oman AD:n kirjautumisia, käyttäytymistä ja toimintamalleja haisteleva tuote. ATA:an eroa on sen verran, että data kerätään pilveen ja sitä höystetään tekoälyllä ja muiden ATP-tuotteiden keräämillä tiedoilla.

O365 ATP turvaa pilvessä olevaa dataa ja identiteettejä suojaamalla sähköpostiliikennettä.

Defender ATP on työasemiin ja palvelimiin aktivoitava EDR-tuote, joka kerää dataa laitteiden ja sovellusten käyttäytymisestä reagoiden poikkeavuuksiin tai epänormaaliin toimintaan tekoälyn avulla. Defender ATP osaa komentaa Defenderiä ja Windows-palomuuria ja esimerkiksi eristää laitteen verkosta, jos kummia tapahtuu.

Microsoftin oman ympäristön tuntemus näkyy

ATP-konsolit neuvovat, mitä pitää tehdä ja miten, jotta ympäristö olisi turvallisempi. Esimerkiksi sen, mitä asetuksia pitää laittaa päälle ja mitä ottaa pois.

Sopivan autentikointitavan blokkaaminen voi estää uudehkonkin ERP-järjestelmän toiminnan. Onneksi Azure ATP raportoi muun muassa epäturvallisista kirjautumiskäytännöistä, jotta ne voidaan hoitaa kuntoon etukäteen.

Näin otat Microsoftin tietoturvatuotteet käyttöön

Helpointa on istua yhdessä alas, kartoittaa tilanne ja päättää mistä nurkasta sitä halutaan lähteä parantamaan. Tarvittavat lisenssit kannattaa hankkia vasta, kun kokonaiskuva ja tarpeet ovat selvillä. Muista myös, että kaikkea ei tarvitse ottaa käyttöön kerralla, vaan sopivat palat voi lisätä yksi kerrallaan.

Helpointa on ostaa M365 E5 -paketti kaikille käyttäjille ja tehdä ympäristöstä moderni ja turvallinen. M365 E5 on käytännössä Microsoftin koko pilvituote kaikilla tietoturvaominaisuuksilla varustettuna.

Parhaat kokemukset olen saanut asiakkaan oman IT:n kanssa useampana workshopina tehdyistä käyttöönotoista. Niiden aikana opetellaan kokonaisuus yhdessä ja otetaan ominaisuudet testikäyttöön. Kun kokemuksia on karttunut, ne levitetään koko organisaatiolle.

Jos aihe kiinnostaa, jatka webinaaritallenteidemme parissa:

Identiteettien suojaaminen O365-palveluissa

M365 – mikä se on ja miksi siitä pitäisi kiinnostua?

 

Tomi Miettunen työskentelee Tietokeskuksessa konsulttina. Tomin erikoisosaamisaluetta on yleisarkkitehtuuri, ongelmanratkaisu ja Microsoftin viestintäratkaisut.