攻击者经常试图摆动你的网络,然后试图掩盖他们的踪迹。当你确定有人违反了你的网络时,他们如何进入的证据可能已经将你的日志文件下线。您希望更好地了解攻击者可以如何使用Windows网络内部的横向移动以及他们沿途访问的资源。
多年来,这个问题只能由专门的法医团队进行长时间的调查来解决。现在,通过Win10和E5许可证,法医检查可以被暴露并保存以供日后查看。这项服务被称为Win10高级威胁防护(ATP),允许拥有E5许可证的任何人都能在幕后看到攻击者对系统做了什么。它依赖于计算机链接到ATP服务时启用的遥测功能。
Win10 ATP要求和设置
系统要求非常简单:您需要Win10 Enterprise E5,Win10 Education E5或Microsoft 365 E5(M365 E5)(其中包括Windows 10 Enterprise E5)形式的Windows E5许可证。您需要访问互联网,该服务将使用每日平均带宽5MB将日常活动上传到数据收集站点。当您最初设置服务时,您可以选择数据存储的位置,无论是在美国,欧洲还是英国。一旦设置了数据收集,您就可以通过启用ATP功能来“加载”计算机系统。虽然许可证需要企业许可证,但可以在Windows 10 Pro上启用ATP。
您可以使用组策略,System Center Configuration Manager(SCCM)或Intune来管理服务注册。您还可以使用脚本注册以启用注册表项。一旦机器连接到ATP控制台,您就可以深入了解日常系统操作,例如浏览器活动,防病毒更新和与RSS源的Outlook连接,并获得关于发生的事情的基线上。
与其他Defender功能不同,Windows ATP可以与McAfee或其他第三方防病毒软件一起使用(请与供应商确认),但您必须将Defender配置为被动模式。 即使您使用第三方防病毒软件,仍必须配置防御者签名更新。
访问: