האם Windows Defender מזהה תוכנות ריגול?

סיכום

Windows Defender היא תוכנית אנטי -פיסטית המגנה על המחשב שלך מפני תוכנה מזיקה ולא רצויה. יש לו שני מצבי הפעלה: הגנה וסריקה בזמן אמת. הגנה בזמן אמת פועלת ברקע ומזהה תוכנות ריגול בניסיון להתקין את עצמה, בעוד סריקה מגלה תוכנות ריגול שכבר הותקנו במחשב. Windows Defender משתמש בקבצי הגדרה כדי לעדכן חתימות של תוכנות ריגול וכולל תכונה של עדכון אוטומטי. Explorer Software הוא מרכיב מרכזי ב- Windows Defender, מכיוון שהוא עוקב אחר הסטטוס של כל תוכניות ההפעלה.

נקודות מפתח

1. Windows Defender היא תוכנית אנטי -פיסטית המגנה על המחשב שלך מפני תוכנה מזיקה.

2. מצב הגנה בזמן אמת מגלה תוכנות ריגול שמנסה להתקין את עצמו, בעוד שמצב סריקה מגלה תוכנות ריגול שכבר הותקנו במחשב.

3. תוכנות ריגול מתגלה על פי חתימתה, הכוללת את הדרך בה היא מנסה להתקין את עצמה, קבצים שהיא יוצרת או משנה ומקשי רישום שהיא משנה או יוצרת.

4. Windows Defender משתמש בקבצי הגדרה כדי לעדכן חתימות של תוכנות ריגול וכולל תכונה של עדכון אוטומטי.

5. סייר תוכנה עוקב אחר הסטטוס של כל תוכניות ההפעלה ומסייע באיתור פעילויות של תוכניות זדוניות.

שאלות ותשובות

1. האם Windows Defender יכול להגן על המחשב שלי מפני תוכנה מזיקה?

כן, Windows Defender היא תוכנית נגד תוכנות חומרים המגנה על המחשב שלך מפני תוכנה מזיקה ולא רצויה.

2. מהם שני מצבי ההפעלה של Windows Defender?

שני מצבי ההפעלה של Windows Defender הם הגנה וסריקה בזמן אמת.

3. מה עושה מצב הגנה בזמן אמת?

מצב הגנה בזמן אמת מגלה תוכנות ריגול שמנסה להתקין את עצמו במחשב שלך. זה פועל ברקע כדי לשמור על המחשב שלך.

4. מה עושה מצב סריקה?

מצב סריקה מנסה לאתר תוכנות ריגול שכבר התקין את עצמו במחשב שלך. זה יכול לזהות תוכנות ריגול שאולי החליקו על פני תכונת ההגנה בזמן אמת.

5. איך Windows Defender מזהה תוכנות ריגול?

Windows Defender מזהה תוכנות ריגול לפי חתימתו, הכוללת את הדרך בה היא מנסה להתקין, קבצים שהיא יוצרת או משתנה ומפתחות רישום שהיא משנה או יוצרת.

6. איך Windows Defender נשאר מעודכן עם תוכנות ריגול חדשות?

Windows Defender משתמש בקבצי הגדרה כדי לשמור על מידע עדכני על חתימות של תוכנות ריגול. מיקרוסופט יוצרת חתימות חדשות עבור Windows Defender כדי להתמודד עם תוכנות ריגול חדשות והופכת את החתימות החדשות הללו לזמינות להורדה.

7. מהו סייר תוכנה?

סייר תוכנה הוא מרכיב מרכזי ב- Windows Defender. זה עוקב אחר הסטטוס של כל התוכניות הפועלות כיום במחשב ומסייע באיתור פעילויות של תוכניות זדוניות.

8. כיצד אוכל לגשת ל- Windows Defender?

כדי לגשת ל- Windows Defender, לחץ על התחל, ואז על לוח הבקרה, ואז אבטחה ולבסוף Defender Windows.

9. כיצד אוכל לאפשר ל- Windows Defender אם הוא כבוי?

אם מגן Windows יכבה, תראה בקשת אזהרה. לחץ על “הפעל ופתח את Windows Defender” כדי לאפשר זאת.

10. מהם הסטטוסים השונים ב- Windows Defender?

הסטטוסים השונים ב- Windows Defender הם ירוקים (רגילים), כתומים (אזהרה) ואדום (סכנה). הסטטוס מציין את המצב הנוכחי של אבטחת המחשב שלך.

11. כיצד אוכל לעדכן את ההגדרות של Windows Defender?

באפשרותך לעדכן את הגדרות Windows Defender על ידי לחיצה על כפתור “בדוק עדכון” המופיע בשורת האזהרה אם ההגדרות לא מעודכנות.

12. מה עושה כפתור קדימה/גב בסרגל הכלים?

לחצני קדימה/אחורי מאפשרים לך לנווט במיקומים שכבר ביקרת בהם בתוך Windows Defender.

13. מה עושה כפתור הסריקה?

כפתור הסריקה מתחיל סריקה מהירה של המחשב שלך כדי לאתר כל תוכנת ריגול.

14. כיצד אוכל לציין את סוג הסריקה ב- Windows Defender?

באפשרותך לציין את סוג הסריקה כסריקה מהירה, סריקה מלאה או סריקה בהתאמה אישית באמצעות אפשרויות הסריקה.

15. איזה מידע זמין בדף ההיסטוריה ב- Windows Defender?

דף ההיסטוריה מכיל סיכום של כל הפעילות של Windows Defender, כולל תוכניות שהתגלו ופעולות שננקטו. זה גם מספק קישורי גישה מהירים לפריטים המותרים ופריטים בהסגר.

האם Windows Defender יכול לאתר תוכנות זדוניות

רוצה לדלג על הקדמה? סע ימינה ל- SQL של האוסוורי בסוף מאמר זה.

הצגת Windows Defender

כל הגרסאות של Windows Vista כוללות את Windows Defender. Windows Defender היא תוכנית אנטי -פיסטית המגנה על המחשב שלך מפני תוכנה מזיקה ולא רצויה. כמו כל תוכנות Antispyware, Windows Defender משמשת בצורה הטובה ביותר עם תוכנת אנטי -וירוס. יחד, תוכנית אנטי -פיסטית ותוכנית אנטי -וירוס יכולים להגן על המחשב שלך מפני רוב סוגי התוכנה הזדוניים.

היכרות עם Windows Defender

בדומה לתוכנת אנטי -וירוס, ל- Windows Defender שני מצבי הפעלה:

הגנה בזמן אמת
סריקה

כברירת מחדל, Windows Defender מוגדר להשתמש בהגנה בזמן אמת ולהשלמת זאת עם סריקות יומיות. כאשר פועלים במצב הגנה בזמן אמת, Windows Defender פועל ברקע ופועל לגילוי תוכנות ריגול שמנסה להתקין את עצמו. כאשר פועלים במצב סריקה, Windows Defender מנסה לאתר תוכנות ריגול שהתקין את עצמו בסתר במחשב שלך. גם הגנה בזמן אמת וגם סריקה חיוניים לחלוטין כדי להבטיח כי מחשב מוגן מפני תוכנות ריגול. הגנה בזמן אמת יכולה להגן על המחשב מפני תוכנות ריגול ידועות. סריקה יכולה לאתר תוכנות ריגול שכבר מותקנות במחשב או שאולי חמקה על פני תכונת ההגנה בזמן אמת.

Windows Defender מזהה תוכנות ריגול בדרך שהיא מנסה להתקין את עצמה, את הקבצים שהיא מנסה ליצור או לשנות, מפתחות הרישום שהוא משנה או יוצר, או כל שילוב של פריטים אלה המכונה ביחד את תוכנת הריגול’ג חֲתִימָה. תוכנות ריגול יכולות לפעמים להחליק על ידי הגנה בזמן אמת אם תוכנות הריגול’S חתימה isn’לא מוכר, כפי שעשוי לקרות אם תוכנת הריגול שוחררה לאחרונה או שונה לאחרונה כדי לעקוף את גילוי.

בדומה לתוכנת אנטי-וירוס, Windows Defender משתמש בקבצי הגדרה כדי לשמור על מידע עדכני על חתימות ריגול. מיקרוסופט יוצרת חתימות חדשות עבור Windows Defender כדי להתמודד עם תוכנות ריגול חדשות ותוכנות זדוניות והופכת את החתימות החדשות הללו להורדה. Windows Defender כולל תכונת עדכון אוטומטית הבודקת לעדכונים מעת לעת, ותוכלו לבדוק ידנית גם עדכונים.

אחד מרכיבי המפתח ב- Windows Defender הוא סייר תוכנה. כמתואר ב “ניווט במחשב שלך’S הפעלה, הפעלה ותוכנות מחוברות לרשת” בסעיף בפרק 6, סייר תוכנה עוקב אחר הסטטוס של כל התוכניות הפועלות כיום במחשב. אתה יכול להשתמש ב- Software Explorer כדי לסיים תוכנית, כדי לחסום חיבורים נכנסים לתוכנית ולהשבית או להסיר תוכנית. Windows Defender משתמש ב- Software Explorer כדי לסייע באיתור הפעילות של תוכניות זדוניות.

התחלה ושימוש ב- Windows Defender

כדי לגשת ל- Windows Defender, לחץ על התחל ואז לחץ על לוח הבקרה. בלוח הבקרה, לחץ על אבטחה ואז לחץ על Windows Defender. אם Windows Defender כבוי, אתה’במקום לראות במקום זאת הנחתה אזהרה. לחץ על הפעל ופתח את Windows Defender כדי לאפשר ל- Windows Defender.

דף הבית של Windows Defender מספק סקירה כללית של הסטטוס הנוכחי. אתה’אראה שלושה סטטוסים מקודדים צבע:

ירוק (רגיל) אם Windows Defender’הגדרות S הן עדכניות ואין תוכנה לא רצויה או מזיקה המותקנת במחשב, אתה’אני רואה מחוון סטטוס ירוק (רגיל) הדומה לזה המוצג באיור 13-18.
איור 13-18: סטטוס צפייה ב- Windows Defender
כתום (אזהרה) אם ההגדרות של Windows Defender אינן מעודכנות ואין תוכנה לא רצויה או מזיקה המותקנת במחשב, אתה’לראות מחוון סטטוס כתום (אזהרה) אומר לך שצריך לעדכן את הגדרות Windows Defender. אתה’אני יוכל לאחזר עדכונים דרך האינטרנט מאתר האינטרנט של מיקרוסופט ולהתקין אותם אוטומטית על ידי לחיצה על כפתור העדכון המסופק כחלק מהאזהרה.
אדום (סכנה) אם האבטחה של המחשב שלך נפגעת אולי או שיש תוכנה לא רצויה או מזיקה המותקנת במחשב, אתה’אראה מחוון סטטוס אדום (סכנה) אומר לך לנקוט בפעולה להגנה על המחשב שלך. אתה’אני יוכל להתחיל סריקה או להסגר שגלות תוכנות ריגול באמצעות האפשרויות המסופקות.

סרגל הכלים בחלקו העליון של החלון מספק גישה לתכונות העיקריות ב- Windows Defender. משמאל לימין, לסרגל הכלים יש כפתורים אלה:

קדימה/אחורה הכפתורים קדימה והאחורי בצד שמאל הקיצוני של סרגל הכלים מאפשרים לך לנווט במיקומים שאתה’VE כבר ביקר. בדומה כשאתה גולש באינטרנט, המיקומים שאתה’Veived Vis מאוחסנים בהיסטוריה, ותוכלו לגלוש בהיסטוריה באמצעות כפתורי קדימה ואחורה.
בית מציג את דף הבית של Windows Defender, המוצג באיור 13-18.
לִסְרוֹק מתחיל סריקה מהירה של המחשב שלך ומציגה את סריקת דף המחשב שלך, המציגה את התקדמות הסריקה.
אפשרויות סריקה מציג רשימת אפשרויות המאפשרת לך לציין את סוג הסריקה כסריקה מהירה, סריקה מלאה או סריקה בהתאמה אישית. ראה את “סריקת המחשב עבור תוכנות ריגול” קטע בהמשך פרק זה למידע נוסף.
הִיסטוֹרִיָה מציג את דף ההיסטוריה. דף זה מכיל סיכום של כל הפעילות של Windows Defender על פי התוכניות שהתגלו ופעולות שננקטו. קישורי גישה מהירים מסופקים לפריטים מותרים ופריטים בהסגר.
כלים מציג את דף כל ההגדרות והכלים. דף זה מאפשר לך להגדיר הגדרות כלליות, להציג פריטים בהסגר, לגשת לסייר תוכנה, להציג פריטים המותרים ועוד.
עזרה של Windows Defender מציג תיעוד עזרה עבור Windows Defender.
אפשרויות עזרה של Windows Defender מציגה רשימת אפשרויות המאפשרת לך להציג פריטי עזרה נוספים, כגון עזרה של Windows ותמיכה באינדקס.

קטע הסטטוס בחלק התחתון של דף הבית מספק פרטים על המצב הכללי של Windows Defender:

סריקה אחרונה מציג את התאריך והשעה של הסריקה האחרונה וסוג הסריקה, כמו סריקה מהירה או סריקה מלאה.
לוח זמנים לסרוק מציג את לוח הזמנים לסריקות אוטומטיות, כמו מדי יום בשעה 02:00 בבוקר.
הגנה בזמן אמת מראה את מעמד ההגנה בזמן אמת, כגון ON.
גרסת הגדרה מציג את הגרסה, הזמן והתאריך של קובץ ההגדרות האחרונות.

כשאתה עובד עם Windows Defender, הפעולות העיקריות שאתה’אני רוצה לבצע כולל:

קביעת תצורה של הגדרות כלליות.
סריקת המחשב עבור תוכנות ריגול.
בודק עדכונים.
צפייה או שחזור פריטים בהסגר.
צפייה או שינוי תוכנות שאתה מאפשר.
מכבה או מופעל את Windows Defender.

קביעת תצורה של הגדרות כלליות

הגדרות כלליות מאפשרות לך לבחור כיצד אתה רוצה ש- Windows Defender יפעיל. באפשרותך להגדיר הגדרות כלליות על ידי ביצוע שלבים אלה:

פתח את Defender Windows.
לחץ על כלים ואז לחץ על אפשרויות.
בדף האפשרויות, המוצג באיור 13-19, מסופקים קטעי האפשרויות הבאים:
- סריקה אוטומטית משמש לניהול אפשרויות סריקה אוטומטיות ואפשרויות עדכון אוטומטיות. כדי ש- Windows Defender Scan באופן אוטומטי, עליך לבחור את תיבת הסימון של המחשב (מומלץ) באופן אוטומטי ואז להגדיר את תדר הסריקה, השעה ביום וסוג הסריקה. אם אתה רוצה ש- Windows Defender יבדוק אם יש עדכונים לפני הסריקה, בחר בדוק אם יש הגדרות מעודכנות לפני הסריקה.
- פעולות ברירת מחדל משמש להגדרת פעולת ברירת המחדל לנקוט בהתבסס על רמת ההתראה של תוכנית ריגול שזוהתה. תוכנות ריגול עם רמת התראה גבוהה נחשבת למסוכנת ביותר ובעלי ההסתברות הגבוהה ביותר לגרום נזק למחשב. תוכנות ריגול עם רמת התראה בינונית נחשבת כמסוכנת בינונית ובעלת הסתברות מתונה לגרום נזק למחשב או לבצע פעולות מטרד/זדוניות. תוכנות ריגול עם רמת התראה נמוכה נחשבת לסכנה נמוכה והיא בעיקר מטרד. אם אתה מאפש. מתעלמים מהפריטים המסומנים להתעלם. פריטים המסומנים מוסרים מוסרים ומוסדרים בהסגר. פריטים מסומנים ברירת מחדל מטופלים בהתאם להגדרת ברירת המחדל בחתימה המשויכת לתוכנת הריגול. ברוב המקרים, ברירת המחדל של חתימה פירושה שפריטי התראה גבוהים ומתונים מוסרים.
- אפשרויות הגנה בזמן אמת משמש להפעלת הגנה בזמן אמת. הגנה בזמן אמת משתמשת במספר חומרי אבטחה כדי לקבוע אילו אזורים במערכת ההפעלה ואילו רכיבים מקבלים הגנה בזמן אמת. ניתן לאפשר או להשבית כל אחד מסוכני אבטחה אלה או להשבית אותם באמצעות תיבות הסימון המסופקות. אם ברצונך לקבל התראות הקשורות להגנה בזמן אמת, אתה יכול לאפשר את אפשרויות ההודעה המסופקות.
- אפשרויות מתקדמות משמש להגדרת תצורה של טכניקות מתקדמות לגילוי תוכנות ריגול. אפשרויות אלה מאפשרות לך לסרוק ארכיונים בתוך קבצים חשודה. הפעלת אפשרויות אלה חשובה במיוחד לגילוי תוכנות ריגול חדשות, תוכנות ריגול נסתרות ותוכנות המבצעות פעולות זדוניות אולי.
- אפשרויות מנהל משמש לציין אם Windows Defender מופעל או כבה. אם אתה מנקה את תיבת הסימון השתמש ב- Windows Defender, Windows Defender Won’לא לספק הגנה מפני תוכנות ריגול. משמש גם לציין אם משתמשים רגילים יכולים לבצע סריקות ולהסיר תוכנה שעלולה להיות לא רצויה. כברירת מחדל, משתמשים שאין להם זכויות מנהל יכולות לבצע סריקות ולהסיר תוכנה שעלולה להיות לא רצויה. זו התצורה המומלצת.
1. לחץ על שמור כדי לשמור כל שינויים בך’יש לתצורה.
  איור 13-19: קביעת תצורה של הגדרות כלליות ב- Windows Defender

סריקת המחשב עבור תוכנות ריגול

ניתן להשתמש ב- Windows Defender לביצוע סריקות מהירות, סריקות מלאות וסריקות בהתאמה אישית. קל ליזום סריקות מהירות וסריקות מלאות:

לקבלת סריקה מהירה, Windows Defender בודק אזורי זיכרון, הרישום ומערכת הקבצים הידועים כמשמשים תוכנות ריגול עבור כל תוכנה לא רצויה או שעלולה להזיק. אתה יכול להתחיל סריקה מהירה על ידי לחיצה על כפתור הסריקה בסרגל הכלים.
עבור סריקה מלאה, Windows Defender מבצע בדיקה יסודית של כל תחומי הזיכרון, הרישום ומערכת הקבצים עבור כל תוכנה לא רצויה או שעלולה להזיק. אתה יכול להתחיל סריקה מלאה על ידי לחיצה על כפתור אפשרויות הסריקה בסרגל הכלים ובחירת סריקה מלאה.

Defender Windows מציג את התקדמות הסריקה על ידי דיווח:

זמן ההתחלה של הסריקה.
משך הזמן הכולל שהוקדש לסריקת המחשב עד כה (הזמן שחלף).
המיקום או הפריט שנבדקים כעת.
המספר הכולל של הקבצים שנסרק.

כאשר הסריקה הושלמה, Windows Defender מספק סטטיסטיקות סריקה, כפי שמוצג באיור 13-20.

איור 13-20: ביצוע סריקה באמצעות Windows Defender

עבור סריקה בהתאמה אישית, Windows Defender בודק אזורים שנבחרו במערכת הקבצים עבור כל תוכנה לא רצויה או שעלולה להזיק. אתה מתחיל סריקה בהתאמה אישית על ידי ביצוע הצעדים הללו:

פתח את Defender Windows.
לחץ על כפתור אפשרויות הסריקה ואז בחר סריקה בהתאמה אישית.
בדף בחר אפשרויות סריקה, לחץ על בחר.
בחר את הכוננים והתיקיות לסריקה, כמוצג באיור 13-21 ולחץ על אישור.
ב- Windows Defender, לחץ על סרק עכשיו כדי להתחיל את הסריקה.
איור 13-21: בחירת הכוננים והתיקיות לסריקה

בודק עדכונים

הגדרות תוכנות ריגול לא מיועדות יכולות לסכן את המחשב שלך. כברירת מחדל, Windows Defender בודק אוטומטית את הגדרות תוכנות הריגול המעודכנות לפני ביצוע סריקה אוטומטית. אם למחשב יש גישה לאינטרנט או לשרת עדכונים, Windows Defender מעדכן את הגדרות ה- Spyware. אם המחשב לא’יש גישה לאינטרנט או לשרת עדכון, Windows Defender לא יכול לעדכן את הגדרות תוכנות הריגול.

אתה יכול לעדכן ידנית הגדרות תוכנות ריגול בכל עת על ידי ביצוע שלבים אלה:

לחץ על התחל ואז לחץ על לוח הבקרה.

בלוח הבקרה, לחץ על אבטחה ואז לחץ על בדוק אם יש הגדרות חדשות תחת Windows Defender.

עֵצָה

ב- Windows Defender, אתה יכול גם לבדוק אם יש עדכונים על ידי לחיצה על כפתור אפשרויות העזרה של Windows Defender, בחירה אודות Windows Defender ואז לחיצה על בדוק אם יש עדכונים.

צפייה או שחזור פריטים בהסגר

פריטים בהסגר הם פריטים שהושבתו והועברו למיקום מוגן במחשב מכיוון ש- Windows Defender חושד שהם מזיקים או תוכנה לא רצויה פוטנציאלית. אתה יכול לגשת ולעבוד עם פריטים בהסגר על ידי השלמת השלבים:

פתח את Defender Windows.
לחץ על כלים ואז לחץ על פריטים שהוסגרו.
אם תלחץ על פריט בהסגר, אתה יכול להסיר או לשחזר את הפריט.
- בחר הסר כדי להסיר לצמיתות את הפריט מהמחשב.
- בחר שחזור כדי לשחזר את הפריט למיקומו המקורי כך שניתן להשתמש בו ולסמן אותו כפריט מותר. עיין בסעיף הבא, “צפייה או שינוי תוכנות שאתה מאפשר,” למידע נוסף.
1. אם ברצונך להסיר את כל הפריטים בהסגר, לחץ על הסר את הכל.
צפייה או שינוי תוכנות שאתה מאפשר

לפעמים אתה’להתקין תוכניות המבצעות פעולות ש- Windows Defender מחשיב. במקרה זה, Windows Defender יסגר את התוכנית באופן אוטומטי, למשל לפריט איום גבוה, או להתריע בפניכם על התוכנית, כמו למשל פריט איום בינוני. אם אתה בטוח שתוכנית בהסגר בטוחה, אתה יכול לשחזר אותה, ו- Windows Defender יסמן את התוכנית כפריט מותר. או אם אתה מקבל אזהרה על תוכנית שאתה יודע שהיא בטוחה, אתה יכול לסמן את הפריט כמותר.

אתה יכול להציג או לשנות פריטים המותרים כעת על ידי ביצוע שלבים אלה:
1. פתח את Defender Windows.
2. לחץ על כלים ואז לחץ על פריטים המותרים. בדף הפריטים המותרים, פריטים המותרים רשומים לפי שם ברמת התראה והמלצה על אופן הטיפול בתוכנית.
3. ניתן להסיר פריט מרשימת הפריטים המותרים על ידי לחיצה עליו ואז בחירה בהסרה.
מכבה או מופעל את Windows Defender

אתה יכול לכבות את Windows Defender או על ידי ביצוע הצעדים הללו:
1. פתח את Defender Windows.
2. לחץ על כלים ואז לחץ על אפשרויות.
3. גלול מטה לתחתית דף האפשרויות.
4. אתה יכול עכשיו:
  - נקה את תיבת הסימון השתמש ב- Windows Defender כדי להשבית ולכבות את Windows Defender.
  - בחר בתיבת הסימון השתמשו ב- Windows Defender כדי להפעיל והפעל את Defender Windows.
  1. לחץ על שמור.
  האם Windows Defender יכול לאתר תוכנות זדוניות?
  
  בעולם האבטחה המקוונת, ישנם המון מיתוסים ותפיסות שגויות שצפות סביב. אחד הנפוצים ביותר הוא האמונה ש- Windows Defender, Microsoft’S תוכנית אנטי-וירוס מובנית, אינה עומדת במשימה של גילוי והסרת תוכנות זדוניות.
  
  Windows Defender היא תוכנית הכלולה במערכת ההפעלה של Windows. זה נועד לסייע בהגנה על המחשב שלך מפני תוכנות זדוניות ותוכנות לא רצויות אחרות.
  
  בעוד ש- Defender עשוי לא להיות תוכנית האבטחה החזקה ביותר שקיימת, היא מסוגלת יותר להגן על המחשב שלך מפני תוכנה זדונית.
  
  לתת’תסתכל מקרוב כיצד מגן עובד ומדוע אתה לא צריך’לא פחד לסמוך על זה כדי לשמור על הבטחה של המחשב שלך.
  
  האם Windows Defender מספיק?
  
  איך Microsoft Defender עובד?
  
  בניגוד לאמונה הרווחת, Windows Defender הוא למעשה חתיכת תוכנה מתוחכמת למדי. הוא משתמש בשילוב של היוריסטיקה וגילוי מבוסס חתימה כדי לזהות ולהסיר תוכנות זדוניות. היוריסטיקות מאפשרות למגן לגלות תוכנות זדוניות חדשות לגמרי שמסיימות’לא נתקל בעבר, בעוד שחתימות עוזרות לו לזהות ולהסיר איומים ידועים.
  
  בנוסף, המגן נהנה מהעובדה שהוא משולב במערכת ההפעלה של Windows; זה נותן לו רמת גישה שתוכניות אבטחה אחרות יכולות’התאמה.
  
  כל זה אומר ש- Defender מסוגל יותר לאתר ולהסיר תוכנה זדונית מהמחשב שלך. עם זאת, זה’חשוב לזכור ששום תוכנית אבטחה אינה מושלמת. תמיד יופיעו איומים חדשים’לא נראה לפני כן, ולפעמים אלה יכולים להחליק על פני תוכנת האבטחה הטובה ביותר. זֶה’הסיבה שזה’חשוב שיש תוכנית גיבוי, כמו תוכנית אנטי -וירוס טובה.
  
  תכונות של מיקרוסופט מגן
  
  Defender Microsoft מגיע עם כמה תכונות שיכולות לעזור לך לאתר תוכנות זדוניות. תכונות אלה כוללות הגנה בזמן אמת, הגנה מבוססת ענן וגילוי התנהגותי. הגנה בזמן אמת פירושה שהמגן יסרוק את המחשב שלך לתוכנה זדונית בכל פעם שאתה ניגש לקובץ או לתוכנית.
  
  הגנה מבוססת ענן משתמשת במיקרוסופט’S Cloud Service לסריקה של קבצי תוכנה זדונית. גילוי התנהגות עוקב אחר המחשב שלך’התנהגות של סימני זיהום. אם המגן ימצא פעילות חשודה כלשהי, הוא ינקוט בפעולה להסרת התוכנה הזדונית.
  
  Defender Microsoft יכול גם לעזור לך להסיר תוכנה זדונית שכבר נמצאת במחשב שלך. לשם כך תוכלו להריץ סריקה מלאה של המחשב שלכם. סריקה מלאה תבדוק את כל הקבצים במחשב שלך. אם המגן ימצא תוכנה זדונית כלשהי, הוא יסיר אותו מהמחשב שלך. מלבד הסריקה המלאה, יש גם אפשרויות סריקה אחרות.
  
  אתה יכול גם להשתמש ב- Microsoft Defender כדי לסרוק קבצים או תיקיות ספציפיות. כדי לעשות זאת, לחץ באמצעות לחצן העכבר הימני על הקובץ או התיקיה ובחר “סרוק עם Microsoft Defender.” לאחר מכן המגן יסרוק את הקובץ או התיקיה שנבחרו לתוכנה זדונית.
  
  כיצד מבצע מגן בהשוואה לכלי תוכנה אחרים?
  
  באופן כללי, Defender עושה עבודה טובה בשמירה על אנשים’מחשבים בטוחים. במבחני AV עצמאיים אחרונים, הוכח כי הוא יעיל לגילוי והסרת תוכנות זדוניות.
  
  ישנן תוכניות אחרות נגד תוכנות תוכנה שיכולות לעשות עבודה טובה יותר מהגנה. חלקם חופשיים, וחלקם עליכם לשלם. אם אתה מודאג מהמחשב שלך’S אבטחה, ייתכן שתרצה לשקול להשתמש באחת מהתוכניות האחרות הללו.
  
  עם זאת, הדרך הטובה ביותר להגן על המחשב שלך היא לעדכן את זה עם תיקוני האבטחה האחרונים ולהקפיד על האתרים שאתה מבקר בו ובקבצים שאתה מוריד מכיוון שאפילו האנטי-תוכנה הטובה ביותר אינה מושלמת.
  
  כיצד להסיר תוכנות זדוניות וניקוי מחשב Windows
  
  פסק דין אחרון
  
  אין תשובה אחת לשאלה האם Windows Defender יכול לאתר תוכנות זדוניות או לא. זה תלוי בגורמים רבים, כולל איזה סוג של תוכנות זדוניות אתה מתמודד וכמה עדכניות התקנת המגן שלך. עם זאת, באופן כללי, Defender הוא כלי טוב לשמירה על מחשב שלך מפני תוכנה זדונית.
  
  אז האם Windows Defender יכול לאתר תוכנות זדוניות? כן, זה בהחלט יכול! האם זו תוכנית האבטחה החזקה ביותר שקיימת? לא, אבל זה לא’לא צריך להיות; עבור רוב המשתמשים הוא מספק יותר מדי הגנה. דוֹן’זה לא מאמין שהמיתוסים והמידע השגוי צפים ברשת; כשמדובר באבטחה מקוונת, אתה יכול לסמוך על Windows Defender.
  
  האם Windows Defender יכול לאתר את מרבית הנגיפים?
  
  כן, המגן יכול לאתר את רוב הנגיפים. עם זאת, ישנם סוגים מסוימים של תוכנות זדוניות שזה לא טוב במיוחד להתמודד איתן.
  
  האם אני צריך אנטי -וירוס נוסף אם יש לי את Windows Defender?
  
  למרות שמיקרוסופט Defender היא כלי טוב לשמירה על בטיחות המחשב שלך, ייתכן שתרצה לשקול להשתמש בתוכנית אחרת אם אתה מודאג מהמחשב שלך’S ביטחון.
  
  Онаржиle?
  
  Да, защитник חלונות предназначен д. Oн предназначен д торые мדיר.
  
  Защитник Windows – эо антивиובץ. Oн иололלי коминацию мотов онаржения н онов’י снаржения онов’י снатр иmри и לוחо би арלוחо би оки לוח мнного оесечения.
  
  Защитник Windows вlючéт седие фнции д защиы комера о вредонос крам:
  
  • защита режиме реного времени: эа фнцня оеживае в каюלוח бגות бגות бגות бגות бגות бגות бגות бגות бגות бגות бגות бגות бגות бגות бfйиnйиииדיה бйиnйиnйиnйиnйиnйииופים бииnйé youn ии уалorte, как толо она онé.
  
  • про כולו заяита: эа фн בזה ы ы , и немеденнדיר принимает меры д.
  
  • поведенчесая безопаснос: эа унцнция иолלי раширенннתא A -нититלוח лגות оגות оגות оגות оגות лftпftпftпftпftпftпftпftпft ( сных приложений и предринимет dle.
  
  • ценнка y зиимой: эа фнция канирет ш сисемемоисах у ы ы ы х х м м мויים м ы м м р р р הוקמו ыи п ы ы ы ы х х р р у и програмами, и предринимае le.
  
  • оачная защита: эа унция исоле з з з л ю ю ю ю ю ю ю ю ю ю ю ю ю ю ю з з з з з з з בת з з зз ы.
  
  Защитник חלונות предназначен д защиы вашего кדיר доносные програм ы. Вот почем важно исолדיר маэр. Кроме того, вжно подерживат оерациדיר аражения ноыии yгmзамלוח.
  
  Чоы ваш кדיר. Ы можете селат эо, нажав кноп «Санироват сейчас» в центре безопасfe. Еи бу онаржены какие-либо подозрителные дейия ии урозы, защmи л з з з з з з з з з з з з з з з з з з з з з з з з windowsоооnаоооооо i.
  
  Ц целом защитник חלונות предназначен д лн בזה орам ы. Важно исоловат ео в сотании сруими мерами безопасоси, такимакакич’י пачачанופים каnеиnерnееnееnееnеаnеаnеаnееnееnееnееnееnееnееnееnееnееnееnееnееnееnееnееnееnееnеnеnеnеnнדי ажжברסי הינם יש.
  
  Defender Microsoft
  
  כשמדובר בשמירה על הטכנולוגיה והנכסים הדיגיטליים שלך, זה’כמעט בלתי אפשרי להימנע מנגיפים ללא סוג כלשהו של תוכנת הגנה. עבור Windows (ולפעמים MacOS ו- iOS תוכנה), אחד הפתרונות האנטי -וירוס הטובים ביותר מגיע ישירות ממיקרוסופט.
  
  מהו מגן מיקרוסופט?
  
  Microsoft Defender, הידועה גם בשם Microsoft Defender Antivirus, היא משפחת מוצרים של מיקרוסופט המספקת תוכנת גילוי, הגנה ותגובה נגד תוכנות זדוניות נגד שימוש אישי ומסחרי כאחד. באופן כללי, תוכניות אלה נועדו לבצר את המערכות הדיגיטליות שלך, להקטין את האיומים ולהיקף משאבי אבטחה עבור ארגונים. לאבטחה אולטימטיבית, תוכנית זו מגנה על זהויות (ארה”ב בלבד), נתונים ומכשירים מפני איומים מקוונים.
  
  המותג Microsoft Defender מציע תוכנה ושירותים מרובים, כולל הדברים הבאים:
  - Defender Microsoft 365
  - Defender Microsoft עבור ענן
  - נקודת הקצה של Microsoft Defender
  - Defender Microsoft עבור Office 365
  - מגן מיקרוסופט לזהות
  - Microsoft Defender עבור אפליקציות ענן
  - ניהול פגיעות של מיקרוסופט מגן
  - מגן מיקרוסופט למודיעין איומים
  אמנם ישנן תוכנות רבות שיכולות לשרת סוגים רבים ושונים של אנשים או קבוצות, אך מאמר זה יתמקד יותר במוצרי Enterprise Microsoft Defender כמו Microsoft 365 Defender, Microsoft Defender עבור Cloud ו- Microsoft Defender for Endpoint.
  
  היסטוריה של מיקרוסופט מגן
  
  Microsoft Defender הוצגה לראשונה לעולם כתוכנית אנטי-ספיה להורדה בחינם עבור Windows XP ו- Windows Server 2003. האנטי-ריגול המופעל עם חומרי אבטחה בזמן אמת, אשר פיקח על אזורים משותפים מסוימים לשינויים שעלולים שנגרמו כתוצאה מתוכנות ריגול. זה גם איפשר למשתמשים לציין אילו אפליקציות ותוכניות הם יאפשרו להוריד ולדווח על כל דבר שהם מחשיבים תוכנות ריגול למיקרוסופט.
  
  Windows 8 עשתה צעד גדול יותר והוסיפה תוכנת אנטי-וירוס, המשתמשת באותה הגדרות אנטי-מזלוף וירוסים מ- Microsoft Security Essentials (MSE). עבור Windows 8 וגם Windows 10, Windows Defender פעיל כברירת מחדל. היו כמה איטרציות של Microsoft Defender בעידן Windows 10, כמו כשמיקרוסופט ניסתה למזג את שני Windows Defender’S אבטחה ותחזוקה של GUI ו- Windows לאפליקציית UWP מאוחדת בשם Windows Defender Center Center (WDSC).
  
  בסופו של דבר, שמו של התוכנה שונה לשמה של Windows Defender Antivirus, ועכשיו נפוץ יותר’S הידוע כאוסף של שירותי תוכנה תחת מונחה הענן “Defender Microsoft” מותג. בשנת 2019 הוצג המגן של מיקרוסופט ATP לעסקים המשתמשים במכשירי MAC, שהורחבה מאז גם לכלי אנדרואיד ו- iOS. התוכנה התפתחה לתוכנית אנטי -וירוס מלאה שיכולה לשמש אפילו למכשירים ניידים.
  
  תכונות Microsoft Defender
  
  אמנם יש ככל הנראה מספר תוכנות של Microsoft Defender שעשויות להתאים למודל העסקי שלך, להלן שלוש התכונות העיקריות שיועילו לארגונים העוסקים ברשת של מכשירים, תוכנה, יישומים וכו ‘.
  
  Defender Microsoft 356
  
  אם אתה משתמש ב- Windows, ספציפית את השירותים מבוססי ענן 365, Microsoft 365 Defender הוא משאב נהדר להגנה על שירותי מיקרוסופט הרבים שאתה משתמש בהם לפעילות יומיומית. כמה מהתכונות הבולטות ביותר של Microsoft 365 Defender הן כדלקמן:
  - לנהל ולהבטיח זהויות היברידיות
  - איתור איומים, חקירה ותגובה לנקודות קצה
  - קבל נתונים בכל שירותי הענן והאפליקציות
  - להגן על Office 365 מפני איומים מתקדמים
  Defender Microsoft עבור ענן
  
  סביבות ילידי ענן נמצאות במגמת עלייה, מה שאומר שגם דרכים חדשות למיקוד ולהגן על הנכסים שלך. Microsoft Defender for Cloud היא אחת התוכנות החדשניות יותר המסייעות לארגונים העובדים בסביבות הענן וההיברידי ההולכות והולכות. תכונות בולטות של שירות ידידותי לענן זה כוללות:
  - להפחית את הסיכון בניהול תנוחת אבטחה בהקשר
  - עוזר במניעה, לזהות ולהגיב במהירות לאיומים מודרניים
  - לאחד את ניהול האבטחה עבור DevOps
  Defender Microsoft עבור נקודת קצה
  
  תכונה עוצמתית נוספת להגנה על אנטי -וירוס היא Microsoft Defender עבור נקודת הקצה, שהיא גישה הוליסטית יותר לפתרונות האנטי -וירוס והתוכנה הזדונית שלך על ידי הצעת פלטפורמת ניהול ריכוזית לאבטחת קצה. ל- Microsoft Defender for Endpoint יש תכונות כמו:
  - מניעת איומים מהירה
  - יכולת גודל האבטחה
  - גילוי ותגובה מורחבים xdr
  מה לחפש בתוכנה אנטי -וירוס
  
  בבחירת תוכנת אנטי -וירוס לעסק שלך, ישנם מספר אלמנטים מרכזיים שיש לחפש כדי לשמור על נכסיך.
  - הגנה מתמדת. לתוקפים המאיימים על המשאבים העסקיים שלך יש גם טכנולוגיה מתקדמת, וזה’S אסטרטגיה נפוצה למיקוד לעסקים בסופי שבוע ובחגים בעוד שאיש אינו עוקב באופן פעיל אחר המערכות שלך. כתוצאה מכך אתה יכול’לא להרשות לעצמו שתוכנת האנטי -וירוס שלך תהיה פחות קבועה, פועלת 24/7/365 – דון’לא להסתפק בכל סריקות ידניות!
  - עדכונים תכופים. כפי שאתה יכול לראות מהסקירה ההיסטורית שלנו על Microsoft Defender, תוכנת אנטי -וירוס ממשיכה להתפתח עם טכנולוגיות חדשות ותוכנות זדוניות חדשות. וודא שתוכנת האנטי -וירוס שלך מתעדכנת באופן קבוע, הן מבחינת התכונות והן מבחינת הפונקציונליות.
  - עלויות. כמובן שכל החברות חייבות לשקול את התקציב והשורה התחתונה שלהן תוך בחירת התוכנה הטובה ביותר. אתה לא דון’עם זאת, לא רוצה להתפשר על עלות יותר מדי, ולרכוש תוכנית לא מספקת. ישנן המון אפשרויות אנטי -וירוס בחינם, אך הן מציעות רק הגנה בסיסית, שבדרך כלל היא לא’מספיק ברמה הארגונית. כמה מכשירים מכוסים? האם הדוא”ל שלך מוגן? כמה זמן הכיסוי שלך נמשך?
  לאחר שתמצא תוכנית המספקת הגנה מסביב לשעון ועדכונים תכופים בנקודת מחיר משתלמת, עליך ליישם את התוכנה ולהבין כיצד להשתמש בה בסולם הטוב ביותר. עבור היתרונות הרבים שתוכנית Microsoft Defender מציעה, ניהול וכוונון כלים אלה לצרכי העסק שלך יכול ליצור חסימת דרכים. לארגונים מסוימים יכול להיות קשה לנצל באופן מלא את יכולות האבטחה של מיקרוסופט ללא המומחיות והידע של איש מקצוע בתחום הסייבר, וזו הסיבה שחברות רבות משתמשות באיתור ותגובה מנוהלת (MDR).
  
  איך ontinue יכול לעזור
  
  מוצרי Microsoft הם השקעה לארגונים, וכל ההשקעות צריכות להיות מיטוב, לנהל ולנצל עד תום. הדרך הטובה ביותר למקסם את העסק שלך’ השקעת אבטחה היא לשתף פעולה עם מותג שיכול לספק את המומחיות הדרושה לך.
  
  Ontinue הוא מומחה של מיקרוסופט ויכול לעזור לארגון שלך להשתמש במלוא. עם פלטפורמת היונים של Ontinue שנבנית עבור מיקרוסופט, אנו יכולים להגדיר את כלי ה- Microsoft Defender כדי לשרת טוב יותר את הנוף הדיגיטלי שלך, להגיב טוב יותר לאיומים אפשריים ולנצל טוב יותר את הכלים שאתה כבר משלם עבורם. בקש הדגמה עוד היום.
  
  אנו מגלים ומגיבים לאיומי אבטחה. בִּמְהִירוּת. עם אוטומציה מונעת AI המאפשרת חכם יותר, קבלת החלטות מהירה יותר ופעולה. אבל אנחנו’גם בעסקי מניעת איומים-עם הגנה תמיד על. ולמידה. ושיפור. הרבה מעבר להגדרה הקודמת שלך מאובטחת.
  
  צפון אמריקה
  
  רחוב מייפל 450
  רדווד סיטי, CA 94063
  
  האם Windows Defender מספיק כדי לעבור את SOC 2?
  
  Osquery הופך את האנטי-וירוס המובנה בביקורת Windows מוכנה
  
  ג’ייסון מלר
  
  מאמר זה עוסק כמעט במכשירי Windows. רוצה לדעת את נקודת המבט שלנו על AV של צד שלישי עבור MacOS? לבדוק “האם מקינורות זקוקים לאנטי-וירוס של צד שלישי לצורך תאימות SOC 2?.”
  
  רוצה לדלג על הקדמה? סע ימינה ל- SQL של האוסוורי בסוף מאמר זה.
  
  זיהוי ומניעה של תוכנות זדוניות של צד שלישי (מה ששימשנו כדי לקרוא לאנטי-וירוס לפני למעלה מעשור) אינו כל מנהל Windows’כוס תה. לחלקם יש דגים גדולים יותר לטגן (ה.ז., קבלת נראות נקודת קצה, בתור התחלה); עבור אחרים, הם מסתפקים ביכולות המובנות נגד תוכנה של Windows ולכן אין להם שום תוכניות לפרוס AV לגופו.
  
  לרוע המזל, SOC 2 וביקורות דומות אחרות מכריחות את שני סוגי מנהלי ה- IT של Windows לרכישה ולפרוס תוכנה דמוית אנטי-וירוס מוקדם יותר ומוקדם יותר בארגון’מחזור החיים. כשאני שואל את זה מקלשים מי ורן’לא נפש על פריסת AV מדוע הם עשו זאת בכל מקרה, התגובות שלהם בדרך כלל נופלות לשני דליים:
  1. הם לא מתעסקים’לא מאמין של- Windows יש מספיק יכולות נגד תוכנות תוכנה כדי לעבור ביקורת SOC2. 1
  2. הם לא יכולים להעביר ביקורת ציות כמו SOC 2 ללא תכונות דיווח ארגוניות סביב הגנה על תוכנות זדוניות.
  במאמר זה, אנחנו’אתגר את שתי ההנחות הללו. והכי חשוב, אני רוצה להראות שעם כלים לקוד פתוח, תוכלו להעביר ביקורת SOC2 עם יכולות המובנות נגד תוכנות תוכנה של Windows (Windows Defender) תוך היכולת גם “לְהַגֵן” (שום משחק מילים לא מיועד) לעמדה זו למנהיגות בכירה ובמבקרים. כדי לעשות את זה, אני מקווה שאתה’אני מתפנק אותי לדחוף מעט את ענף ה- AV של הצד השלישי בסביבות התהליך.
  
  באופן אידיאלי, לפני שאתה מתמודד עם ביקורת SOC 2, אתה באמת מאמין לך’קיבלה את ההחלטות הטובות ביותר האפשריות ביחס לאבטחת מכשירי Windows שלך עם המשאבים שיש לך. לדוגמה, כמתרגל אבטחה, אני כן בעצם האמינו שעדיף לארגונים רבים להסתמך על יכולות האבטחה המובנות של Windows Defender ללא תוסף צד ג ‘. איך זה יכול להיות?
  
  ובכן, בתור התחלה, תן’זה מכיר לראשונה כי המחקר הבסיסי והסולסל ביותר סביב AV של צד שלישי מציג מופע אימה של השלכות מוחשיות הכוללות: טנקת נקודת קצה’ביצועים, חוסמים באופן קבוע תוכנה לגיטימית, מכירת משתמשים ללא הבחנה’ נתונים לצדדים שלא נחשפו, ואפילו התוכנה עצמה הופכת למקור לפשרה גדולה.
  
  אוקיי, אבל לא כל ספק נגוע באותה מידה מהבעיות האלה, כך זה’זה לא הוגן להגיש כתב אישום נגד כל ענף ה- AV של צד שלישי רק על האנקדוטות האלה.
  
  אז עכשיו, תן’דיבורים על מה שאנחנו מתכוונים “טוב יותר.” הדרך הקופנית והפגומה ביותר לברר את איכות תוכנת האנטי -וירוס היא רק למדוד כמה טוב זה כדי למנוע דברים רעים מלהתרחש. מדידות אלה כוללות:
  - כמה מהר יכול ה- AV לזהות רומן/איומים חדשים?
  - כמה הוצאות להורג בזמן אמת של דברים רעים עצרו ה- AV?
  - כמה תחומי נראות חדשים זה יכול להשיג?
  זה’אין פלא שחברות אבטחה של AV בונות את כל המגרש שלהן על סמך מדידות אלה. לרוע המזל, מדידות אלה אינן שוקלות את העלויות ששולמו (בדרך כלל על ידי משתמש הקצה) לשיפורים השוליים על פני מדדים אלה. או לשים דרך אחרת:
  
  קינדה כמו איך נורה שמציבה את הדברים היא עדיין איכותית, כל עוד אתה מודד לומן רק?
  
  – טאביס אורמנדי (@Taviso) 19 בנובמבר 2016
  
  הסבל של משתמשי הקצה שנוצר על ידי AV של צד שלישי בדרך כלל מטופל רק כאשר הוא הופך להיות כל כך מצומצם עד שניתן לקשר אותו בקלות לאירוע פיננסי שלילי משמעותי. סבל אינו מוגבל לכל מה שנמצא חסר הבר הזה. בהתחשב בכך, עלינו להתאים את האופן בו אנו מודדים במדויק את ה- AV’S ביצועים בפועל.
  
  הנה דרך אחת. במקום פשוט לחפש את הביצועים הטובים ביותר נגד וירוס ב כל עלות, אנו זקוקים לביצועי אנטי -וירוס ליחידה של יק, כאשר איק מוגדר כהשפלה איכותית של המכשיר’חווית משתמש.
  
  אז מי עדיף להתמרץ לתת לנו ביצועי AV מקסימליים לכל איק? בעיניי, זה’S בבירור ספקי מערכת ההפעלה (כמו מיקרוסופט), והנה הסיבות לכך:
  1. ספקי מערכת ההפעלה מושפעים כלכלית אם המשתמשים חושבים שמערכת ההפעלה שלהם פועלת כמו זבל. ספקי AV של צד שלישי, לעומת זאת, מתמרצים להציג את ספק מערכת ההפעלה כלא כשיר למצב את עצמם כמומחים ייחודיים.
  2. ספקי מערכת ההפעלה מסתמכים על מערכת אקולוגית משגשגת של צד שלישי של תוכנה שימושית ומהנה כדי להניע את אימוץ מערכת ההפעלה עצמה. זה אומר שעליהם לדאוג לעומק כיצד אבטחת מערכת ההפעלה משפיעה על הכדאיות של התוכנה. ל- AV של צד שלישי אין שום תמריץ לדאוג לכדאיות של תוכנה אחרת עד שהלקוחות שלהם יבחינו (ואז לתקן אותה על ידי הוספתו להקלדה).
  3. ספקי מערכת ההפעלה יכולים להשתמש בשילוב אנכי או בשותפויות עם יצרני יצרני חומרה כדי לפתח מערכות אבטחה יעילות ביותר עמוק בגרעין של מערכת ההפעלה עצמה ולהסתמך על קיומה של חומרת אבטחה מתוחכמת כמו TPM. ספקי צד ג ‘לא יכולים להתחבר ברמה העמוקה הזו (בבטחה), והם אינם יכולים להמליץ בהצלחה בחומרה ייעודית בתוך המכשיר שמאוד טוב יותר את הטכנולוגיה שלהם.
  בהתחשב במציאות לעיל, זה’קל לראות מדוע מיקרוסופט השקיעה רבות בחלונות’ יכולות אבטחה מובנות במידה ניכרת מאז ימי Windows XP של Yore.
  
  תחילה שוחרר בשנת 2009 (תחת השם Microsoft Security Essentials), Windows Defender Antivirus התפתחה לאפליקציית אנטי-וירוס מלאה ומנוהלת היטב הכלולה בכל הגרסאות של Windows (כולל 10 ו- 11).
  
  Windows Defender מציע הגנה מספקת מפני תוכנות זדוניות, תוכנות כופר, תוכנות פרסום, טרויאני ותוכנות ריגול. זה יכול לחסום ניצולים, למנוע התקפות מבוססות רשת ולדגל אתרי דיוג. יש לו גם תכונות מתקדמות כמו הגנה על איום בזמן אמת, עדכונים מבוססי ענן, סריקה לא מקוונת וסריקה תקופתית מוגבלת.
  
  רכיב נוסף בשם SmartScreen מקדם גלישה מאובטחת באינטרנט, ומיקרוסופט הרחיבה את ההגנה לדפדפנים אחרים כמו Chrome ו- Firefox.
  
  Microsoft Defender מפרטת גם איומים שזוהו בדוחות אבטחה, אותם תוכלו לבדוק באפליקציית האבטחה של Windows.
  
  בנוסף, תוכנת האבטחה משתמשת בלמידה במכונה, ניתוח נתונים גדולים, מחקר התנגדות איומים ועוד כדי להגן על נקודות קצה מפני וירוסים ידועים והתקפות אפס יומי. התכונות הן על פני תוכנה אנטי-וירוס בתשלום, עם היתרון הנוסף של להיות חלק ממערכת ההפעלה, כך שאתה לא עושה’צריך לעשות עבודה נוספת כדי להתקין ולתחזק את היישום.
  
  ספקי אב’ טיעונים נפוצים להצדיק את המוצרים שלהם למרות מיקרוסופט’S אבטחה מובנית מקיפה עוסקת בפיצול שערות סביב יעילות הגילוי.
  
  ספר ההשמעה כרוך בדרך כלל בספק AV של צד שלישי המצביע על גרסאות תוכנות זדוניות ספציפיות שהמוצר שלהם יכול לאתר וכי מיקרוסופט לא הצליחה להוסיף לרשימות החתימה שלהם מייד (או בכלל).
  
  בעיניי, זה טיעון טיפשי לעבר. זה’קל למנות קמפיינים רבים של תוכנות זדוניות מצליחות שאף ספק אנטי -וירוס לא יכול היה לזהות בזמן. מכיוון שגילוי/מניעה מושלמים אינם אפשריים, עלינו לקחת בחשבון את עלות האמון שאנו רוצים לשלם עבור השפלה של ביצועים מובטחים, חיובי שווא ומשטחי התקפה אחרים כדי להשיג שׁוּלִי שיפורים. אם המשתמשים שומרים על ספינה הדוקה, יישום עדכונים ולא השבתה של UAC, זה מתאם מאוד עם סיכוי נמוך מאוד שההבדלים בהגנה משפיעים עליהם.
  
  מרחיב את הרעיון שמניעה נכשלת בסופו של דבר, בשלב מסוים, הגיוני למצוא קו בסיסי סביר של אנטי -וירוס מונע ולהעביר את המיקוד והמשאבים לבניית תוכנית תגובה לאירוע מחשב. זה אומר מתי (לא אם) מחשב Windows אכן נפגע, הארגון יכול להגיב טוב יותר להפחתת ההשפעות העלולות להיות חמורות של אותה פשרה שלא נבדקת. משחק המניעה הוא אחד עם צמצום החזר לדולר שהוצא. מצד שני, פיתוח תגובת אירועים הוא אחת ההשקעות האבטחה הטובות ביותר שתוכלו לבצע.
  
  כפי שראינו לעיל, מיקרוסופט מתמרצת ועושה עבודה סבירה בהגנה על משתמשי מחשב Windows מפני תוכנה זדונית.
  
  זֶה’חדשות נהדרות! אבל שם’היא בעיה אחת.
  
  אתה עדיין צריך לאסוף נתונים כדי להרכיב דוחות לביקורת הציות שלך. מיקרוסופט לא’לא מציעים דרך להשיג רמה זו של נראות צי מבלי לרכוש את חבילת ניהול נקודת הקצה שלהם וכלי אבטחה (בעצם אותו הדבר שתקבל עם AV של צד שלישי).
  
  זֶה’S איפה אוסווירי מציל.
  
  יכול להיות ששמעת להשתמש ב- Osquery כדי לקחת מלאי מכשירים, אבל האם ידעת זאת’S גם כלי שימושי לריכת נתונים כדי לעמוד בדרישות הדיווח של SOC 2?
  
  Osquery הוא כלי קוד פתוח המאפשר למשתמשים לשאילתת מערכות הפעלה. לדוגמה, זה יכול להשתמש ב- Osquery כדי להשיג נראות למכשירי MacOS, Windows ו- Linux.
  
  אתה יכול להשתמש ב- Osquery כדי לבדוק את כל המכשירים בצי שלך. זה מאפשר לך להבטיח שהם עוקבים אחר כללים ספציפיים לפלטפורמה המבוססים על החברה שלך’S מדיניות אבטחת מידע ותקני ציות (ה.ז., הצפנת דיסק, סטטוס חומת אש, עדכוני מערכת הפעלה וכו ‘.)
  
  Osquery יכול לצבור ולקשר נתוני תאימות כדי לתמוך בדיווח SOC 2 ובתהליך הביקורת. אתה יכול לראות מדדים מצטברים או לקדוח לפרטים באמצעות פילטרים שונים כדי להדגים שמשתמשים’ מכשירים תואמים את דרישות SOC 2.
  
  אנשי IT רבים מעדיפים אוסקרי כי זה’s פשוט, אמין ומכריע. מכיוון שהוא עובד עבור כל שלוש מערכות ההפעלה, אתה יכול לאסוף נתונים על כל מכשיר בצי שלך מבלי להשתמש בכלים שונים.
  
  כדי להעביר את ביקורת SOC 2 שלך, עליך ליצור תיעוד כדי להדגים כי המערכות והתהליכים שלך עומדים בדרישות ספציפיות.
  
  כדי להראות שיש לך את ההגנה המתאימה מפני תוכנות זדוניות וירוסים על פי קריטריונים משותפים 6.8, עליך ליצור דוח כדי לתאר את התהליכים שלך לניטור שלמות קבצים (FIM) וניהול אבטחת נקודת קצה.
  
  התיעוד שלך צריך להדגים כי:
  - באפשרותך לעקוב אחר עדכונים שנעשו בקבצי תוכנה ותצורה ושינויים בסטטוסים ובאירועים של הגנת נקודת הקצה.
  - יישמת בקרות למניעה, גילוי ופעולה על תוכנה בלתי מורשית או זדונית שהוכנסו לתשתית שלך.
  - רק אנשים מורשים יכולים להתקין יישומים ותוכנה במכשירים המחוברים לרשת שלך.
  - יש לך תהליכים לאיתור שינויים שיכולים להצביע על נוכחות של תוכנה לא מורשית או זדונית.
  - שם’S תהליך בקרת שינוי מוגדר על ידי ניהול כדי לפקח על יישום תוכנה ויישומים.
  - תוכנת אנטי-וירוס ואנטי-תוכנות תוכנה מיושמת ומתוחזקת לאיתור ותיקון תוכנות זדוניות.
  - אתה עוקב אחר הנהלים לסריקת נכסי מידע במעצרך כדי לאתר תוכנות זדוניות ותוכנות לא מורשות אחרות.
  להלן דוגמה לתיעוד שאנו מספקים ללקוחות על פי בקשה שיעזרו להם להעביר קריטריונים אלה לעמידה ב- SOC 2 שלהם לקוליד ולמיקרוסופט Windows’ הגנה מובנית.
  
  אתה יכול [להוריד עותק של תיעוד זה כאן] (/ציות/SOC2-AV.pdf).
  
  Microsoft Windows עם Defender יכול לעמוד בדרישות הטכניות להסמכת SOC 2 ואתה לא עושה’לא צריך להשתמש באנטי-וירוס של צד שלישי. אבל זה’S מאתגרים להרכיב נתוני מכשירים ולדווח בקנה מידה. זה המקום בו אוסוורי נכנס לספק נראות צי, לפקח על פעילויות ולאסוף את הנתונים הדרושים לך כדי להוכיח תאימות צי לביקורת SOC 2 ודיווח.
  
  כדי לקבוע כי המנגנון הכולל למניעת תוכנות זדוניות של Windows פועל, עלינו להשתמש בדיווח המובנה שמגיע עם Windows עצמו, מרכז האבטחה של Windows.
  
  מידע על מרכז האבטחה של Windows דמיין בקוליד
  
  ממשקי ה- API של מרכז האבטחה של Windows, שהוצג בחזרה ב- Windows XP SP2, מעניקים לנו דוח בריאות מלא על מצב תכונות האבטחה הקריטיות של Windows. קדימה קדימה כמעט שני עשורים, וממשקי ה- API האלה עדיין נותנים לנו תובנה ברמה גבוהה שאנחנו צריכים.
  
  מזל עבורנו, קוליד תרם שולחן לאוסווירי המאפשר לנו לשאול את ה- API הזה. זה’s נקרא Windows_Security_Center .
```
בחר * מ Windows_Security_Center; 
```
```
Osquery> בחר * מ- Windows_Security_Center; חומת אש = טוב AutoupDate = טוב antivirus = טוב באינטרנט_חש 
```
  אמנם זה מספק לנו ציון בריאות יחיד הן לאנטי-וירוס והן לאנטי-ריגול ההגנה במכשיר Windows, אך אנו יכולים להשתמש אַחֵר טבלת Osquery בשם Windows_Security_Products כדי לקבל מראה עמוק עוד יותר.
```
בחר * מ Windows_Security_Products; 
```
```
 סוג = שם חומת אש = מצב חומת אש של Windows = על State_timestam.cpl signatures_up_to_date = 1 סוג = שם אנטי -וירוס = מיקרוסופט Defender Antivirus מצב = על State_timestamp = sun, 01 מאי 2022 04:33:50 GMT DEDIATION_PATH = Windowsdefender: // signatures_up_to_date = 1 
```
  טבלה זו אומרת לנו אילו מוצרים אחראים כרגע הן לחומת האש של אנטי -וירוס והן לשכבת היישום ואם החתימות הכלולות מעודכנות.
  
  כפי שאתה יכול לראות לעיל, Osquery יכול לעזור לאסוף פרטים חיוניים על מצב של Windows Windows זדוניות מובנית והגנה על וירוסים. למרבה הצער, זה לא’לא מספיק מידע. לדוגמה, חסר לנו מידע על Windows Defender’תצורת S, ואין לנו מושג לגבי תוצאות המגן’S סריקה.
  
  כדי לקבל את המידע הזה, עלינו לחרוג מהיכולות המובנות של אוסקרי. למרבה המזל, קוליד’סוכן המקור הפתוח מרחיב’S כך שהוא יכול לגשר לממשק ה- API של Windows Management Adgretmention (WMI). זה בדיוק מה שאנחנו צריכים כדי להשלים את סיפור איסוף הנתונים שלנו.
  
  בממשק ה- API של WMI, מיקרוסופט מציעה את מחלקת MSFT_MPCOMPUTESTATUS, המאפשרת לנו לתפוס את כל הפרטים הרלוונטיים אודות המצב הנוכחי של Windows Defender.
  
  בעוד שאילתת WMI (שמשתמשת גם ב- SQL) תיראה משהו כמו SELECT * מ- MSFT_MPCOMPUTESTATUS עם KOLIDE, אנחנו צריכים להיות קצת יותר מפורשים:
```
בחר * מ Kolide_wmi איפה מעמד = 'Msft_mpcompupterstatus' וכן מרחב שמות = '\ rOOT\Microsoft\ Wפרווזים\ דefender ' וכן נכסים = 'מחשב, מחשבון, המרה מתווכחת, אמצעי -משרד, אנטי -ויראו -סניקטור, אנטי -ויוואר -סניקטור, אנטי -ויראוואטורלסטלסטים, אנטי -וירוסטי -טורטיבה, ניסיניטיגאטור, ניסיניטיגניטור, ניסיניטיגניטורטורטורטציה, Nissignatignatureation, Nissignatureatugenatureatureatureaturegatudatureatureatureaturegatudaturegatudatureatudatudatudationaturegatudationation, ב- Nissignatudatudatudtudatudtudatudtudatudtudatudignation, AnstartTime, FullScanendTime, FullScanage, LastQuickScansource, LastfullScansource, RealTimesCandirection, QuickScanStartTime, QuickScanendTime, QuickScanage, amengineversion, amserviceanabled, ancesprotemanabledenabled, antivisebruseantivateNableding, antiviseproundablenableantivateNativeantiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiproteentiver. מופעל, nisengineversion, nisenabled ' 
```
```
+ות רחוק ─כלה ─כלה הער ───────ולחןִי פש+ ───יתוח FullKey | מפתח | הורה | שאילתה | ערך | whereclause | +────ולחןִיפשסטייתיריים ב- inה+… …ולחן הקובץ ilsm ind ilsm -ilm ils… מט ניח ilm─ העימוסים …ולחן הער ──יתוח 0/ComputerState | ComputerState | 0 | * | 0 | "" | | 0/antispywaresignatureVersion | AntispyWaresignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/antispywaresignatureAge | AntispyWaresignatureAge | 0 | * | 0 | "" | | 0/QuickScanendTime | QuickScanendTime | 0 | * | 20220507001933.450000+000 | "" | | 0/nisenabled | Nisenabled | 0 | * | נכון | "" | | 0/amserviceversion | AmServiceVersion | 0 | * | 4.18.2203.5 | "" | | 0/antispywaresignaturelastupdated | Antispywaresignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/antivirussignatureVersion | AntivirussignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/ioavprotectionEnabled | IoavprotectionEnabled | 0 | * | נכון | "" | | 0/antivirussignaturelastupdated | Antivirussignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/QuickScanage | QuickScanage | 0 | * | 2 | "" | | 0/AntispyWareEnabled | AntispyWareEnabled | 0 | * | נכון | "" | | 0/nissignatureVersion | NissignatureVersion | 0 | * | 1.363.1657.0 | "" | | 0/nissignatureage | Nissignatureage | 0 | * | 0 | "" | | 0/FullScanage | עיקול מלא | 0 | * | '-1 | "" | | 0/nisengineversion | Nisengineversion | 0 | * | 1.1.19200.5 | "" | | 0/RealTimeCandirection | RealttimeCandirection | 0 | * | 0 | "" | | 0/amserviceenabled | AmServiceEnabled | 0 | * | נכון | "" | | 0/מחשב | מחשב | 0 | * | 9802EC57-A4BB-4137-BB73-51516631CDF9 | "" | | 0/amproductversion | Amproductversion | 0 | * | 4.18.2203.5 | "" | | 0/BehaviOrmonitorenabled | BehaviOrmonitorenabled | 0 | * | נכון | "" | | 0/RealTimeProtectionEnabled | RealTimeProtectionEnabled | 0 | * | נכון | "" | | 0/antivirussignatureage | AntivirussignatureAge | 0 | * | 0 | "" | | 0/QuickScanStartTime | QuickScanStartTime | 0 | * | 20220507001822.844000+000 | "" | | 0/amengineversion | Amengineversion | 0 | * | 1.1.19200.5 | "" | | 0/nissignaturelastupdated | Nissignaturelastupdated | 0 | * | 20220509023536.000000+000 | "" | | 0/LastQuickScansource | LastQuickScansource | 0 | * | 2 | "" | | 0/lastfullscansource | Lastfullscansource | 0 | * | 0 | "" | | 0/onaccessProtectionEnabled | OnaccessProtectionEnabled | 0 | * | נכון | "" | | 0/antivirusEnabled | AntivirusEnabled | 0 | * | נכון | "" | +────ולחןִיפשסטייתיריים ב- inה+… …ולחן הקובץ ilsm ind ilsm -ilm ils… מט ניח ilm─ העימוסים …ולחן הער O+ 
```
  אמנם זה הנתונים שאנחנו רוצים, זה’זה לא ממש בפורמט שקל לקרוא. בעזרת טכניקות טרנספורמציה של EAV שלמדנו מפוסט אחר בבלוג, אנו יכולים לשכתב את השאילתה כדי לקבל שורה אחת המכילה כל נכס.
```
עם wmi_raw כפי ש (( בחר * מ Kolide_wmi איפה מעמד = 'Msft_mpcompupterstatus' וכן מרחב שמות = '\ rOOT\Microsoft\ Wפרווזים\ דefender ' וכן נכסים = 'מחשב, מחשבון, המרה מתווכחת, אמצעי -משרד, אנטי -ויראו -סניקטור, אנטי -ויוואר -סניקטור, אנטי -ויראוואטורלסטלסטים, אנטי -וירוסטי -טורטיבה, ניסיניטיגאטור, ניסיניטיגניטור, ניסיניטיגניטורטורטורטציה, Nissignatignatureation, Nissignatureatugenatureatureatureaturegatudatureatureatureaturegatudaturegatudatureatudatudatudationaturegatudationation, ב- Nissignatudatudatudtudatudtudatudtudatudtudatudignation, AnstartTime, FullScanendTime, FullScanage, LastQuickScansource, LastfullScansource, RealTimesCandirection, QuickScanStartTime, QuickScanendTime, QuickScanage, amengineversion, amserviceanabled, ancesprotemanabledenabled, antivisebruseantivateNableding, antiviseproundablenableantivateNativeantiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiprotiproteentiver. מופעל, nisengineversion, nisenabled ' ), microsoft_windows_defender_config כפי ש (( בחר מקס((מקרה מתי מַפְתֵחַ = 'Amengineversion' לאחר מכן ערך סוֹף) כפי ש am_engine_version, מקס((מקרה מתי מַפְתֵחַ = 'Amproductversing' לאחר מכן ערך סוֹף) כפי ש am_product_version, מקס((מקרה מתי מַפְתֵחַ = 'AmServiceEnabled' לאחר מכן ערך סוֹף) כפי ש AM_SERVICE_ENABLED, מקס((מקרה מתי מַפְתֵחַ = 'Amserviceversion' לאחר מכן ערך סוֹף) כפי ש am_service_version, מקס((מקרה מתי מַפְתֵחַ = 'AntispyWareEnabled' לאחר מכן ערך סוֹף) כפי ש Antispyware_Enabled, מקס((מקרה מתי מַפְתֵחַ = 'Antispywaresignatureage' לאחר מכן ערך סוֹף) כפי ש Antispyware_signature_age, מקס((מקרה מתי מַפְתֵחַ = 'Antispywaresignaturelastupdated' לאחר מכן ערך סוֹף) כפי ש Antispyware_signature_last_updated, מקס((מקרה מתי מַפְתֵחַ = 'AntispywaresignatureVersion' לאחר מכן ערך סוֹף) כפי ש Antispyware_signature_version, מקס((מקרה מתי מַפְתֵחַ = 'AntivirusEnabled' לאחר מכן ערך סוֹף) כפי ש Antivirus_Enabled, מקס((מקרה מתי מַפְתֵחַ = 'Antivirussignatureage' לאחר מכן ערך סוֹף) כפי ש antivirus_signature_age, מקס((מקרה מתי מַפְתֵחַ = 'Antivirussignaturelastupdated' לאחר מכן ערך סוֹף) כפי ש antivirus_signature_last_updated, מקס((מקרה מתי מַפְתֵחַ = 'AntivirussignatureVersion' לאחר מכן ערך סוֹף) כפי ש antivirus_signature_version, מקס((מקרה מתי מַפְתֵחַ = 'BehaviRaorMonitorenabled' לאחר מכן ערך סוֹף) כפי ש התנהגות_מונטוריטור_נאבלד, מקס((מקרה מתי מַפְתֵחַ = 'מחשבה' לאחר מכן ערך סוֹף) כפי ש מחשב_ד, מקס((מקרה מתי מַפְתֵחַ = 'Compometerstate' לאחר מכן ערך סוֹף) כפי ש מחשב_סטייט, מקס((מקרה מתי מַפְתֵחַ = 'עיקול מלא' לאחר מכן ערך סוֹף) כפי ש full_scan_age, מקס((מקרה מתי מַפְתֵחַ = 'IOavProtectionEnabled' לאחר מכן ערך סוֹף) כפי ש ioav_protection_enabled, מקס((מקרה מתי מַפְתֵחַ = 'LastQuickScansource' לאחר מכן ערך סוֹף) כפי ש last_quick_scan_source, מקס((מקרה מתי מַפְתֵחַ = 'LastfullScansource' לאחר מכן ערך סוֹף) כפי ש last_full_scan_source, מקס((מקרה מתי מַפְתֵחַ = 'Nisenabled' לאחר מכן ערך סוֹף<
/span>) כפי ש nis_enabled, מקס((מקרה מתי מַפְתֵחַ = 'Nisengineversion' לאחר מכן ערך סוֹף) כפי ש nis_engine_version, מקס((מקרה מתי מַפְתֵחַ = 'Nissignatureage' לאחר מכן ערך סוֹף) כפי ש nis_signature_age, מקס((מקרה מתי מַפְתֵחַ = 'Nissignaturelastupdated' לאחר מכן ערך סוֹף) כפי ש nis_signature_last_updated, מקס((מקרה מתי מַפְתֵחַ = 'NissignatureVersion' לאחר מכן ערך סוֹף) כפי ש nis_signature_version, מקס((מקרה מתי מַפְתֵחַ = 'OnaccessProtectionEnabled' לאחר מכן ערך סוֹף) כפי ש ON_ACCESS_PROTECTION_ENABLED, מקס((מקרה מתי מַפְתֵחַ = 'QuickScanage' לאחר מכן ערך סוֹף) כפי ש Quick_scan_age, מקס((מקרה מתי מַפְתֵחַ = 'QuickScanendTime' לאחר מכן ערך סוֹף) כפי ש Quick_scan_end_time, מקס((מקרה מתי מַפְתֵחַ = 'QuickScanStartTime' לאחר מכן ערך סוֹף) כפי ש Quick_scan_start_time, מקס((מקרה מתי מַפְתֵחַ = 'RealTimeProtectionEnabled' לאחר מכן ערך סוֹף) כפי ש real_time_protection_enabled, מקס((מקרה מתי מַפְתֵחַ = 'RealtTimeCandirection' לאחר מכן ערך סוֹף) כפי ש real_time_scan_direction מ wmi_raw קְבוּצָה על ידי הוֹרֶה ) בחר * מ microsoft_windows_defender_config; 
```
```
+ות רחוק ── העי"י עם העמד רחום ─àיתוח פשולחריים inmכלה העיסט בילהש הצלה פשויה Eזור ilsm -העלו S בת מבוססה פש inm… מט —שוט פששוט פששוט פש ה. רחום ─────ולחןִיסטיים הראוסישה àmכלה àming עם העt --כלה עםכלה ─כלהing עםכלה àsing עםכלה àsminginginginging אית פש ─כלה ─כלה ─כלה ─כלה ─כלה àsinginginginging אית +כלה inmכלה inmכלה infכלה àsing עםing ... העישה ilכלהingכלהכלה פש. רחום ────ולחןִיפשיתירייםסטי ה- inf …ולחן …ולחן עםמד 100m+R +כלה. רחום ות ─כלה+────ולחן────גרתויה וצהולח העצמד ─ ─+────ולחןִיפשסטייתי חסר תושתT ─ העיבורים am_engine_version | am_product_version | AM_SERVICE_ENABLED | am_service_version | Antispyware_Enabled |Antispyware_signature_age | Antispyware_signature_last_updated | Antispyware_signature_version | antivirus_enabled | antivirus_signature_age | antivirus_signature_last_updated | antivirus_signature_version | התנהגות_מונטוריטור_נאבלד | מחשב_ד | מחשב_סטייט | Full_scan_age | ioav_protection_enabled | last_full_scan_source | last_quick_scan_source | nis_enabled | nis_engine_version | nis_signature_age | nis_signature_last_updated | nis_signature_version | ON_ACCESS_PROTECTION_ENABLED | Quick_scan_age | Quick_scan_end_time | Quick_scan_start_time | real_time_protection_enabled | real_time_scan_direction |+── העי"ישיים …ולחן הער רחום ─────ולחןִיפשסטייתירייםסטי ה- inmכלה ─כלה ─כלה פש. רחב ות ────ולחןִיפשסטייתיריים ב- המולד ─כלה ─כלה …ולחן עםמד indmingכלה פש רחב ות ── העיבעהולחסת ה- inm─ העיסט בילהש העמד פש 100─ העיערב הערצלו. רחום ──יתוח ─כלה+─────כלהמצסת רחמדסתסתסתסתסתצחדוןשדוןשש סת ─כלה ─כלה+─כלה העיכלה+עם העטה עםמד. ות ות++────ולחןִיסטיים הראוסי àsכתMOMIMYMIMYMIMImymIMImymImImIMIוכל וצה ─כלה ins כת כת כת בת בתויה פש inm -— העישב פש+─כלה+…ולחן ─כלה ins+…כלה ins+inm… מט. ─ העיבורים 1.1.19200.5 | 4.18.2203.5 | נכון | 4.18.2203.5 | נכון | 0 | 20220509023536.000000+000 | 1.363.1657.0 | נכון | 0 | 20220509023536.000000+000 | 1.363.1657.0 | נכון | 08FB414B-6118-4183-B65E-3FBA345670EF | 0 | '-1 | נכון | 0 | 2 | נכון | 1.1.19200.5 | 0 | 20220509023536.000000+000 | 1.363.1657.0 | נכון | 6 | 20220502134713.979000+000 | 20220502134622.525000+000 | נכון | 0 | +── העי"ישיים …ולחן הער רחום ─────ולחןִיפשסטייתירייםסטי ה- inmכלה ─כלה ─כלה פש. רחב ות ────ולחןִיפשסטייתיריים ב- המולד ─כלה ─כלה …ולחן עםמד indmingכלה פש רחב ות ── העיבעהולחסת ה- inm─ העיסט בילהש העמד פש 100─ העיערב הערצלו. רחום ──יתוח ─כלה+─────כלהמצסת רחמדסתסתסתסתסתצחדוןשדוןשש סת ─כלה ─כלה+─כלה העיכלה+עם העטה עםמד. ות ות++────ולחןִיסטיים הראוסי àsכתMOMIMYMIMYMIMImymIMImymImImIMIוכל וצה ─כלה ins כת כת כת בת בתויה פש inm -— העישב פש+─כלה+…ולחן ─כלה ins+…כלה ins+inm… מט. ─ העיבורים+ 
```
  יש עוד פיסת נתונים חשובה שאנו זקוקים להם, האם Windows Defender זיהה איומים בכל המכשירים שלי? שוב, יש מחלקת WMI בשם MSFT_MPTHEREATDETECTION (מסמכים) שאנו יכולים להשתמש בהם באמצעות KOLIDE’S WMI לגשר Osquery.
  
  מרחיב על כל מה שאנחנו’למד בחלק האחרון, אנו יכולים לשאול את מחלקת ה- WMI הזו באותה צורה ולייצר שורה אחת לכל איום שהתגלה לאחרונה.
  
  הנה ה- SQL הסופי:
```
עם wmi_raw כפי ש (( בחר *, לְפַצֵל((הוֹרֶה, '/', 0) כפי ש מזהה ייחודי מ Kolide_wmi איפה מעמד = 'MSFT_MPTHEREATDETECTION' וכן מרחב שמות = '\ rOOT\Microsoft\ Wפרווזים\ דefender ' וכן נכסים = 'זיהוי, איום, שם תהליכים, דומיין, זיהוי סופגטייטיד, משאבים, זמן ראשוני זמן, אחרון אחרון, איום, איום -טטוסרורקוד, ניקיון, אפרודוקציה, פעולות, פעולות, פעולות, מעצבי עצירה' ', ניקיון, אפרודוקציה, פעולות, ), microsoft_windows_defender_threats כפי ש (( בחר מקס((מקרה מתי מַפְתֵחַ = 'זיהוי' לאחר מכן ערך סוֹף) כפי ש זיהוי_ד, מקס((מקרה מתי מַפְתֵחַ = 'איום' לאחר מכן ערך סוֹף) כפי ש איום_ד, מקס((מקרה מתי מַפְתֵחַ = 'שם התהליך' לאחר מכן ערך סוֹף) כפי ש שם התהליך, מקס((מקרה מתי מַפְתֵחַ = 'Domainuser' לאחר מכן ערך סוֹף) כפי ש DOMAIN_USER, מקס((מקרה מתי מַפְתֵחַ = 'DetingSourcetypeid' לאחר מכן ערך סוֹף) כפי ש deting_source_type_id, Group_concat((מקרה מתי מלאי כמו '%אֶמְצָעִי%' לאחר מכן ערך סוֹף, ',') כפי ש אֶמְצָעִי, מקס((מקרה מתי מַפְתֵחַ = 'זמן ראשוני בזמן' לאחר מכן ערך סוֹף) כפי ש initial_detection_time, מקס((מקרה מתי מַפְתֵחַ = 'Lastthreatstatuschangetime' לאחר מכן ערך סוֹף) כפי ש last_threat_status_change_time, מקס((מקרה מתי מַפְתֵחַ = 'תיקון זמן' לאחר מכן ערך סוֹף) כפי ש Rediation_time, מקס((מקרה מתי מַפְתֵחַ = 'CurrentThreatExutionStatusid' לאחר מכן ערך סוֹף) כפי ש current_threat_execution_status_id, מקס((מקרה מתי מַפְתֵחַ = 'איום סטטוזיד' לאחר מכן ערך סוֹף) כפי ש איום_סטטוס_ד, מקס((מקרה מתי מַפְתֵחַ = 'IlamStatusErrorCode' לאחר מכן ערך סוֹף) כפי ש איום_סטטוס_רור_קוד, מקס((מקרה מתי מַפְתֵחַ = 'CleaningActionID' לאחר מכן ערך סוֹף) כפי ש ניקוי_האקט_ד, מקס((מקרה מתי מַפְתֵחַ = 'Amproductversing' לאחר מכן ערך סוֹף) כפי ש am_product_version, מקס((מקרה מתי מַפְתֵחַ = 'פעולות' לאחר מכן ערך סוֹף) כפי ש Action_success, מקס((מקרה מתי מַפְתֵחַ = 'נוסף לאחר מכן ערך סוֹף) כפי ש נוסף_ACTIONS_BIT_MASK מ wmi_raw קְבוּצָה על ידי מזהה ייחודי) בחר * מ microsoft_windows_defender_threats; 
```
```
+ות רחוק ── העימוד רחום ─────ולחןִיפשסטי ערt+─כלה ─כלה ─כלה טובה ins …ולחן וטנצי-כלה +כלה+─כלה ─כלה פש E+מט. רחום ─────ולחןִיפשסטייתיריים ב-מד ─כלה+─כלה העיכלה ─כלה+─כלה ─כלה ins àingmכלה àsm פש …ולחן פש inmmingכלה פש ils - ilכלהכלהing עםכלה infכלהing עם העמד פש ilsmכלה àm - רחום ─ העיט ה- פש E+מט. ──────ולחן+ | ACTION_SUCCESS | נוסף_ACTIONS_BIT_MASK | am_product_version | ניקוי_האקט_ד | current_threat_execution_status_id | deting_id | deting_source_type_id | DOMAIN_USER | initial_detection_time | last_threat_status_change_time | process_name | Rediation_time | משאבים | איום_ד | INAIN_STATUS_ERROR_CODE | איום_סטטוס_ד |+────ולחןִיפשסטייתירייםסטי ה- ins+── העימודים …ולחן פשברהולחסה indm… מט. רחום ─────ולחןִיסטיים הראלחש ─כלה àmingmכלה העיזור פש ins כת כת כת כת כת בת פש פש 100צוע àsming עם העלו+עם הע +ingכלהכלה עםכלה ות ────ולחןִיפשסטייתיריים ב- המולד ─כלה ─כלה+─כלה העיכלה ─כלה ─כלה ins …ולחן פש. רחום ──────ולחןָת האמלוחריים עםמדסהסתסתסתסתסתסתסהסתIמדופיםסתסתסתסתסתסתסתסת6… בח בח בח בח בח בח שח בח בח בח לח בח בח לח בח בח לח בח לח לח לח לח לח לח לח לח לח ידי ת בחt ───────ולחן+ | נכון | 0 | 4.18.2203.5 | 9 | 0 | | 1 | Desktop-2HFBS8U \ Jason | 20220430211822.148000+000 | 20220501044223.930000+000 | לא ידוע | 20220501044223.930000+000 | "קובץ: _C: \ משתמשים \ ג'ייסון \ הורדות \ eicar (1).com, קובץ: _c: \ משתמשים \ ג'ייסון \ הורדות \ eicar.com "| 2147519003 | 0 | 106 | | נכון | 0 | 4.18.2203.5 | 2 | 0 | | 2 | NT רשות \ מערכת | 20220501043200.985000+000 | 20220501043227.380000+000 | לא ידוע | 20220501043227.380000+000 | "קובץ: _C: \ משתמשים \ ג'ייסון \ הורדות \ eicar (1).com, קובץ: _c: \ משתמשים \ ג'ייסון \ הורדות \ eicar.com &ldquo;| 2147519003 | 0 | 3 |+────ולחן הע 'פששוט פששוט פשברהשוט פששוט 100 ות רחוק ─כלה ─כלה intmכלה+…ולחן הער רחום ות ─ העיבט+────ולחן─ולחןִיסטייתיֶהחַיִם בעמד רחום ──────ולחןגרתושיםסטי חסר שסהבחצח רחכלה ─כלה inf àm -הע+12צועת הילה ──יתוח+ 
```
  השאלה הופכת כעת, כיצד אתה מצטבר בצורה הטובה ביותר את הנתונים שנאספו באמצעות Osquery ולהראות אותם בפני מבקרים?
  
  Osquery מחוץ לקופסה פולט יומני. בעזרת פונקציות הדיווח המקוריות שלהם, אתה יכול לבנות לוח מחוונים שיעביר אותך דרך הביקורת שלך וייתן לך נראות מדהימה.
  
  אם אתה לא’לא רוצה לבנות את כל זה בעצמך, Kolide יכול להעלות אותך במהירות. קוליד’מוצר S נותן לך אוטומטית מתקינים מקוריים עבור Mac, Windows ו- Linux המתקינים את Osquery. ברגע שהסוכן יפעל, Kolide יאסוף אוטומטית את כל המידע הרלוונטי, מצטבר אותו וידמיין אותו. תוך מספר דקות אתה יכול להסתכל על לוח מחוונים כזה:
  
  קוליד’מלאי S מצטבר אוטומטית מידע שעליך להציג למבקרים עבור SOC2.
  
  בנוסף, Kolide יכול לתת לך גישה לממשק API ותיעוד מלא על הנתונים שהוא אוסף.
  
  שאלה נוספת וניל אוסוויל’יש תשובה לתיקון. לדוגמה, אם אתה מוצא ש- Windows Secure Boot מושבת (מה שמסייע להבטיח את שלמות מערכת המגן העומדת בבסיס), איך אתה מתקן את זה? גישה אחת היא לקנות מוצר לניהול מכשירים של Windows ולהחיל מדיניות על מנת לאלץ את ההגדרות הללו. אמנם זה יכול לעבוד, לא הכל יכול להיות אוטומטי בדרך זו. אין דרך לאפשר אתחול מאובטח ללא המשתמש’עזרה מרחוק.
  
  שוב, Kolide יכול להריץ בדיקות מול מחשב Windows שלך כדי לוודא ששירותים אלה מופעלים. אם הם ימצאו’T, Kolide משתלב עם Slack למשתמשי הקצה של ההודעות ומכוון אותם כיצד להעניק מחדש את התכונות הללו (ולהסביר מדוע הם חשובים לשמור עליהם כך).
  
  אפליקציית Kolide Slack יכולה לפנות ישירות למשתמש קצה כדי ליידע אותם כי אתחול מאובטח נכבה ולעזור להם להחזיר אותו בהקדם האפשרי.
  
  התראות על משתמש קצה הן חלק מפילוסופיית הביטחון הכנה שלנו. אנו מאמינים כי הוראת משתמשי הקצה כיצד לשמור על המכשירים שלהם אבטחת רשתות טובות יותר ואבטחה מלאה יותר פשוט על נעילת המכונה למטה.
  
  נסה את Kolide בחינם לראות כיצד אנו יכולים לעזור לך להשיג תאימות SOC 2 ביתר קלות.
  1. מבקרי ציות מתעצבנים כשאתה משתמש במונחים בינאריים כמו “לַעֲבוֹר” אוֹ “לְהִכָּשֵׁל” לתאר את התוצאה של ביקורת. במקום זאת הם משתמשים במונחים כמו “שונה” אוֹ “מוסמך”. כשאני משתמש במילה “לַעֲבוֹר” במאמר זה, אני מתכוון שקיבלת דוח SOC 2 ללא כישורים שליליים. ↩