次の方法で共有

TechEd 2010: Advanced Threat Detection and Removal with FEP 2010

  • [アーティクル]

Randy Treit
Senior Program Manager

Die Malware-Engine ist ident von FEP und Security Essentials

jeden Monat wird eine neue Version der Engine geshippt mit neuen Features
3 x am Tag werden neue Updates geschippt

es hat sich viel getan in der Engine, ein ganzes Slide voll ;)

Stack von Forefront Engine:

  • FW & Configurationn Management

  • Antimalware
    Besseres Monitoring von Prozessen, Registry und Network
    Bessere Performance für Server

  • Dynamic Signature Servcie – Generics and Heuristic, Behavior Monitoring
    95 % Reduktion in WSUS Traffic
    UNC Unterstützung

    Wie erkennen wir Malware auch ohne dass wir eine Signatur dafür haben ?
    Wir beobachten und erkennen anhand des Verhaltens, so haben wir eien Signatur für mehr als 1000 Malwaretypen

    z.b. wenn ein Prozess IRC Traffic sendet, wenn ein Prozess Files erzeugt, die als Malware erkannt werden, ...

    nette Demo.. – Ein Programm, das einfach nur einen Eicar-Virus am Computer ablegt – der wird natürlcih erkannt.
    Wenn ich in der FEP allerdings in den Options einstelle, dass ich ein Premium Mitgleidschaft im Spynet haben möchte (kostenlos), schickt mein Rechner den Prozess, der den Eicar-.Virus auf den Rechenr schcikt an Spynet udn bekommt in Realtime eine aktualisierte Signatur, die dann diesen Prozess auch als malware erkennt

  • Browser Protection

  • Network Vulnerability Shielding
    Problem: Der Attaker schcikt über das Netzwerk ein Netzwrkpaket um einen Remotecomputer anzugreifen
    Problem ist, “normale” AV-SW erkennt das nciht, weil das Filesystem nciht angegriffen wird.
    NIS erkennt den Netzwerktraffic und erkennt dass hier Angriffe stattfinden und block diese Network-Style Angriffe
    Gilt für alle Angriffe, die am Client-Rechner ncoh nciht gepatcht sind – sobald die Angriffslücke gepacht ist, prüfen wir diese nciht merh am Netzwerk
    D.h. bei einer fully patched Maschine hat das keine Auswirkungen – Performancegewinn
    TMG hat diese Technologie auch schon länger

  • Anti-Rootkit
    AV-Test.org – Detect inactive Rootkits: 100 %, Detect Active Rootkits: 100 %, Remove Active Rootkits: 86 %
    massive Steigerung gegenüber den letzten Jahren
    wir haben heir die Firma Komoku Inc gekauft, die eine gute Kernel INspection hat

    Wir haben den Quick Scan massiv verbessert und flexibler gemacht.
    War der Malware-Schutz inmmer aktiv, geht z.b. der Scan schneller. Disable ich den Malwareschutz und aktiviere ich ihn später wieder, war das System eine Zeit ungeschützt, das erkennt der Quick-Scan und überprüft wesentlcih mehr Dateien und Orte... D.h. je verdächtiger ein System aussieht, umso umfangreicher ist der Scan

  • Malware Response
    FEP Kunden werden im Malware Response TEam bevorzugt behandelt
    ich kann Malware 24/7 einschicken und sehe meinen Status online...

Fragen:
Funktioineirt der Offline-Scanner auch mit Bitlocker ? Ja, allerdings brauche ich natürlcih ddn Recoverykey

Christian, live von der TechEd in Berlin
Christian.Decker@microsoft.com