Wat is het nou?
Dat hoor ik regelmatig wanneer Microsoft een naamsverandering heeft doorgevoerd. Door de naamsveranderingen van Microsoft kan het voor de meeste mensen erg verwarrend zijn, waardoor bepaalde namen of termen in de verkeerde context worden toegepast. Dit zie je veelal in documentatie, blogs of een artikel op een website. Hierdoor krijgt de lezer een verkeerd beeld en raakt verward.
In deze blog gaan we het hebben over Microsoft Defender. De reden is namelijk dat Microsoft Defender erg verwarrend is. Waarom is het verwarrend? Omdat op dit moment een aantal oplossingen met Microsoft Defender beginnen, waarvan twee producten in de volksmond erg op elkaar lijken, maar in werkelijkheid totaal anders zijn. Ze hebben wel wat gemeen en dat is het detecteren van malicieuze code, maar de manier waarop, maakt het hierin verschillend. Ik heb het over Microsoft Defender Antivirus en Microsoft Defender for Endpoint.
Waardoor komt het dan?
Microsoft Defender Antivirus en Microsoft Defender for Endpoints heeft inmiddels een aantal keer een naamswijziging gekregen en daarnaast heeft het nu bij Microsoft een brede term gekregen, waardoor het bij sommige lezers, gebruikers of organisaties de definitie achter de naam niet duidelijk is. Naast de veranderingen is de functie van Microsoft Defender for Endpoint bij de meeste mensen niet duidelijk. Zij gaan ervan uit dat het om een antivirusprogramma gaat en dat komt wellicht door zijn naam. De anderen hebben het via via gehoord dat het om een soort antivirusprogramma gaat en zonder enige fact check op het internet toepast in een discussie of documentatie.
We gaan even terug naar het begin van Microsoft Defender Antivirus. Denk een jaar of 15 terug vanaf dit moment, toen had Microsoft “Windows Defender” geïntroduceerd. Dit was nog voor Windows 8 en kon gedownload en gebruikt worden op Windows XP en Windows 7 systemen. Op dat moment bedoelt om spyware te detecteren en tegen ze te beschermen.
Het was nog geen volwaardig antivirusprogramma, want daarvoor hadden ze Microsoft Security Essentials (MSE) destijds. Na een tijdje heeft Windows Defender, Microsoft Security Essentials vervangen door uit te breiden met nieuwe features, welke het in der loop van de tijd mondjesmaat aangevuld kreeg.
Few moments later…
Windows Defender bleef Windows Defender heten totdat de Windows 10 Creators Update geïntroduceerd werd. Op dat moment kreeg Windows Defender de naam Windows Defender Antivirus. Echter duurde dit niet lang, want met de introductie van de Windows 10 May 2020 update veranderde de naam van Windows Defender Antivirus in Microsoft Defender Antivirus, een kleine naamsverandering weliswaar.
Tot de dag van vandaag heet het antivirusprogramma van Microsoft nog steeds Microsoft Defender Antivirus en doet zoals je van een traditionele antivirusprogramma mag verwachten; het detecteren van malicieuze bestanden of processen (code) op de Windows 10 werkplek.
De next level
Echter zat Microsoft niet stil en heeft al een aantal jaren een andere oplossing, maar dan meer in een dienstvorm. Deze dienst werd in 2016 geïntroduceerd en werd een aanvulling op de Windows 10 Enterprise security stack. Deze security stack bestond en, bestaat nog steeds uit: Microsoft Defender Credentials Guard, Microsoft Defender Application Guard, Microsoft Bitlocker, Microsoft Defender Antivirus, etc. De dienst kreeg de naam Windows Defender Advanced Threat Protection, oftewel afgekort in WDATP of ATP.
De security stack bevindt zich in het pre-breach gedeelte en de nieuwe dienst in post-breach gedeelte van Windows 10. Post-breach gedeelte wil zeggen dat de aanval is geslaagd (lees ingebroken) waardoor de pre-breach detectie de aanval niet meer kan detecteren.
Windows Defender ATP
Er was vóór 2016 geen oplossing voor het post-breach gedeelte. Dat wil zeggen dat een aanval c.q. inbraak ongedetecteerd bleef, waardoor de aanval de tijd kreeg om van alles te kunnen doen met de gevonden informatie. Het duurt ongeveer 100 dagen totdat iemand erachter kwam dat ze aangevallen waren en dat er iemand binnen was geweest.
Op dat moment ben je te laat, het kwaad is immers geschied. Er moest dus iets gebeuren in het post-breach gedeelte en daar voor kwam Windows Defender ATP.
Ook bij deze dienst werd er een aantal keren de naam gewijzigd.
Windows Defender Advanced Threat Protection heeft na een aantal jaren verder de naam Microsoft Defender Advanced Threat Protection gehad, een kleine naamsverandering. Maar, sinds de Microsoft Ignite van 2020 kreeg Microsoft Defender Advanced Threat Protection de naamsverandering in Microsoft Defender for Endpoint, oftewel afgekort in MDE en, werd het samengesmeden met de rest van de ATP-familie als de eXtended Detection and Response (XDR) oplossing van Microsoft.
Jaaa, dit maak het niet duidelijk voor de mensen die (bijna) geen raakvlakken heeft met deze dienst of security in het algemeen. Want, als we het over Microsoft Defender for Endpoint hebben dan zal men snel denken aan een traditionele antivirus scanner van Microsoft, mede door zijn naam.
Even in het kort wat Microsoft Defender for Endpoint is en wat het doet.
Microsoft Defender for Endpoint is de post-breach detectie van Microsoft en zal de malicieuze bestanden, code of aanval blijven detecteren na inbraak. Alle processen en bestanden die op dat moment in aanraking komen worden gelogd, zodat ze na inbraak weer kan worden desinfecteert. Deze oplossing wordt ook gezien als de Crime Scene Investigator omdat de oplossing de plaats delict onderzoekt. Microsoft Defender for Endpoint is een aanvulling op de pre-breach detectie, zoals Microsoft Defender Antivirus, Application Guard, Applicaton Control, Credential Guard en Exploit Guard.
En even in het kort wat Microsoft Defender Antivirus is en wat het doet.
Microsoft Defender Antivirus is een pre-breach detectie, tevens een onderdeel van Windows 10 Security Stack en zal ervoor zorgen dat malicieuze bestanden of processen worden tegengehouden en naar een quarantaine worden verplaatst, zodat ze niets met het systeem kunnen doen. Uiteindelijk wordt dit gerapporteerd naar de SecOps van de organisatie en Microsoft zelf. Deze oplossing moet je zien als een echte traditionele antivirusscanner, zoals MCAfee, Symantec, Bitdefender, etc..
En nu is er duidelijkheid…!
Hopelijk heeft deze blog wat duidelijkheid gecreëerd en jou een ander beeld heeft gegeven over de benaming van Microsoft Defender. Microsoft Defender for Endpoint is een totaal ander product dan Microsoft Defender Antivirus. Het verschil tussen is het detecteren en het behandelen van malicieuze bestanden of processen. De ene probeert het tegen te gaan(pre-breach) en de andere zorgt dat de aanval zichtbaar wordt (post-breach), waardoor er gerichte acties kunnen worden ondernomen, zoals bijv. een onderzoek. Daarnaast is Microsoft Defender for Endpoint een dienst met veel features en Microsoft Defender Antivirus is een programma op een Windows apparaat.
Delen:
Over onze Partners
Samen staan we sterk en samenwerking leidt tot meer succes. Dit is waarom wij samenwerken met meest toonaangevende gespecialiseerde leveranciers en kennispartners die ons vakgebied verstaan.IT ondersteuning nodig?
De behoefte aan extra, tijdelijke, ondersteuning op uw IT-afdeling kan ontstaan door allerlei redenen. In elk van deze situaties wilt u kunnen terugvallen op een betrouwbare partner die snel ervaren IT-professionals kan inzetten.Over IT-ALLIANCE
Wij zorgen ervoor dat u kunt rekenen op de beste IT-specialisten en staan garant voor het hele traject: met de begeleiding en coaching tijdens de opdracht of het project.
