Phần 1: Giới thiệu về giải pháp Microsoft Defender for Endpoint
Microsoft Defender for Endpoint (MDE) là một nền tảng bảo mật điểm cuối (Endpoint Security) giúp ngăn chặn, phát hiện, điều tra và phản ứng với các mối đe dọa tiên tiến. MDE là giải pháp EDR (Endpoint Detection and Response) và là một thành phần quan trọng trong bộ công cụ Microsoft Defender XDR.
MDE hoạt động dựa trên nền tảng điện toán đám mây, hỗ trợ Windows, Linux, MacOS, Android, Linux, các thiết bị IoT.
Vị thế của MDE trên bản đồ Endpoint Security
MDE hiện thuộc nhóm dẫn đầu (Leader) trong bảng Magic Quadrant của Gartner trong năm 2024 cho danh mục Endpoint Protection Platforms, lần thứ 5 liên tiếp. Tham khảo báo cáo chi tiết ở đây
Microsoft cũng ở nhóm Leader trong danh mục Modern Endpoint Security cho phân khúc doanh nghiệp vừa và nhỏ, cũng như phân khúc doanh nghiệp lớn của IDC trong năm 2024.
Cũng trên trang đánh giá Gartner ở Microsoft Defender for Endpoint Reviews, Ratings & Features 2024 | Gartner Peer Insights do người dùng đánh giá, MDE ở thang điểm 4.5 với hơn 1614 lượt đánh giá tích cực từ người dùng.
Yêu cầu giấy phép sử dụng MDE
MDE bao gồm 2 gói giải pháp (Plan) chính là:
- Defender for Endpoint Plan 1
- Defender for Endpoint Plan 2
Chi tiết cụ thể về khả năng của 2 gói này được mô tả trong hình minh họa bên dưới, trong đó MDE Plan 1 tích hợp các chức năng được tô màu xanh lá gồm Attack Surface Reduction, Next generation protection, Centralized configuration & administrator và APIS & integration, trong khi đó MDE Plan 2 là phiên bản đầy đủ có tất cả các chức năng.
MDE Plan 1 và MDE Plan 2 là bộ giải pháp EDR dành cho các doanh nghiệp có quy mô lớn, không giới hạn số lượng người dùng và thiết bị sử dụng. Đối với các doanh nghiệp có quy mô vừa và nhỏ dưới 300 người dùng, có thể chọn phiên bản Defender for Business với chức năng nằm giữa 2 bộ sản phẩm MDE Plan 1 và MDE Plan 2.
Bảng so sánh chức năng của 3 gói giải pháp Defender
Giấy phép dành cho máy chủ (Server)
Giấy phép dành cho Server là một giấy phép bổ sung, với một số lựa chọn như:
- Microsoft Defender for Servers Plan 1 hoặc Plan 2 (khuyến nghị dành cho các khách hàng thuộc phân khúc doanh nghiệp lớn), là một phần của gói dịch vụ Defender for Cloud. Chi phí tính theo hình thức consumption trên Microsoft Azure (xài bao nhiêu tính tiền bấy nhiêu)
- Microsoft Defender for Endpoint for Servers (khuyến nghị dành cho các khách hàng thuộc phân khúc doanh nghiệp lớn). Chi phí dạng license theo tháng hoặc theo năm.
- Microsoft Defender for Business servers (khuyến nghị dành cho các khách hàng vừa và nhỏ đã có Microsoft Defender for Business en hệ thống). Microsoft Defender for Business có thể mua ở dạng sản phẩm độc lập (stand-alone) hoặc đã được đóng gói trong bộ giải pháp Microsoft 365 Business Premium. Chi phí dạng license theo tháng hoặc theo năm.
Một số tình huống về tính giấy phép
Tình huống 1: Một tổ chức cần giải pháp bảo mật cho 300 laptop và 50 server.
Giải pháp: tổ chức có thể sử dụng 300 giấy phép Microsoft Defender for Business cho 300 máy tính xách tay và 50 giấy phép Microsoft Defender for Business Server cho 50 máy chủ. Lưu ý rằng mỗi subscription Defender for Business hoặc Microsoft 365 Business Premium có giới hạn tối đa 60 giấy phép Microsoft Defender for Business servers.
Tình huống 2: Một tổ chức cần giải pháp bảo mật cho 300 laptop và 70 server.
Giải pháp: tổ chức cần sử dụng 300 giấy phép Microsoft Defender for Business cho 300 laptop, và 70 giấy phép Microsoft Defender for Servers Plan 1 hoặc Plan 2 cho các máy chủ. Do có hơn 60 máy chủ, tổ chức sẽ cần một giấy phép khác như Microsoft Defender for Servers Plan 1 hoặc Plan 2 thay vì Microsoft Defender for Business servers.
Trong tình huống này KHÔNG đề xuất Microsoft Defender for Endpoint Server vì giải pháp này thường được sử dụng trong môi trường doanh nghiệp lớn và có thể không hiệu quả về mặt chi phí như các gói Defender for Servers khi kết hợp với Microsoft Defender for Business. Các chức năng trong Microsoft Defender for Servers Plan 1 hoặc Plan 2 hoạt động tốt với Defender for Business.
Tình huống 3: Tổ chức có 400 người dùng và 70 máy chủ.
Giải pháp: Đề xuất 400 Defender for Endpoint Plan 1 hoặc Plan 2 và 70 Defender for Server Plan 1 hoặc Plan 2 hoặc 70 Defender for Endpoint Servers.
Một số chức năng cơ bản của MDE
Core Defender Vulnerability Management (Quản lý lỗ hổng)
Khả năng quản lý lỗ hổng trên MDE sử dụng phương pháp tiếp cận dựa trên rủi ro hiện đại để phát hiện, đánh giá, ưu tiên và khắc phục các lỗ hổng và cấu hình sai của thiết bị. Một số chức năng nâng cao hơn như đánh giá vị thế bảo mật (security posture assessment) và giảm thiểu rủi ro cần thêm add-on Defender Vulnerability Management.
Attack surface reduction (Giảm thiểu bề mặt bị tấn công)
Bộ chức năng về giảm thiểu bề mặt tấn công cung cấp tuyến phòng thủ đầu tiên thông qua việc đảm bảo các cấu hình được thiết lập đúng cách cũng như kỹ thuật giảm thiểu khai thác lỗ hổng. Một số chức năng khác khác bao gồm bảo vệ hệ thống mạng, bảo vệ trang web sẽ chỉnh đốn quyền truy cập vào các địa chỉ IP, tên miền và URL độc hại.
Next-generation protection (chương trình bảo vệ mã độc thế hệ mới)
Các biện pháp bảo vệ thế hệ tiếp theo, chẳng hạn như Microsoft Defender Antivirus, chặn phần mềm độc hại bằng các mô hình học máy cục bộ và trên nền tảng đám mây, phân tích hành vi và phương pháp suy nghiệm (heuristics). Microsoft Defender Antivirus sử dụng các công nghệ dự đoán, học máy, khoa học ứng dụng và trí tuệ nhân tạo để phát hiện và chặn phần mềm độc hại ngay khi có dấu hiệu đầu tiên của các hành vi bất thường.
Endpoint detection and response (khả năng phát hiện và phản hồi)
Chức năng này giúp phát hiện, điều tra và phản hồi các mối đe dọa nâng cao có thể đã vượt qua được hai trụ cột bảo mật đầu tiên. Advanced hunting cấp công cụ săn tìm mối đe dọa dựa trên truy vấn cho phép chủ động tìm ra các vi phạm và tạo ra các phát hiện tùy chỉnh.
Khi phát hiện mối đe dọa, các cảnh báo được tạo ra trong hệ thống để những chuyên gia phân tích bảo mật tiến hành điều tra. Các cảnh báo có cùng kỹ thuật tấn công hoặc được quy cho cùng một kẻ tấn công được tổng hợp thành một thực thể gọi là sự cố. Việc tổng hợp các cảnh báo theo cách này giúp các nhà phân tích dễ dàng điều tra và ứng phó với các mối đe dọa.
Automated investigation and remediation-AIR (điều tra và khắc phục tự động)
Cùng với khả năng phản ứng nhanh với các cuộc tấn công hiện đại, MDE còn cung cấp khả năng điều tra và khắc phục tự động giúp giảm khối lượng cảnh báo trong vài phút ở quy mô lớn.
Công nghệ trong điều tra tự động sử dụng nhiều thuật toán kiểm tra khác nhau và dựa trên các quy trình được các nhà phân tích bảo mật sử dụng. Các khả năng AIR được thiết kế để kiểm tra cảnh báo và thực hiện hành động ngay lập tức để giải quyết các vi phạm, làm giảm đáng kể khối lượng cảnh báo, cho phép các hoạt động bảo mật tập trung vào các mối đe dọa tinh vi hơn. Tất cả các hành động khắc phục, cho dù đang chờ xử lý hay đã hoàn tất, đều được theo dõi trong Action Center.
Endpoint Attack Notifications (tên cũ Microsoft Threat Experts)
Endpoint Attack Notifications (trước đây gọi là Microsoft Threat Experts) là một dạng managed service, cung cấp dịch vụ săn tìm chủ động các mối đe dọa quan trọng nhất đối với hệ thống mạng, bao gồm cả sự xâm nhập của đối thủ, hoặc các cuộc tấn công nâng cao như gián điệp mạng,…
