Microsoft je v zadnjih letih izdal več produktov pod imenom Defender. Microsoft Defender for Endpoint (MDE) nadgradi antivirusno zaščito in omogoči izredno dober vpogled v okolje vključno z inventuro programske opreme in njenih pomanjkljivosti (ranljivosti). MDE s pomočjo KQL omogoča aktivno iskanje ranljivosti in aktivnosti na sistemih, kjer je nameščen MDE. MDI namestimo na domenske krmilnike, kjer spremlja anomalije in napade na uporabniške/servisne račune in aktivni imenik. Dobro zazna in razume napade kot so Golden Ticket, NTLM relay, pass-the-hash, pass-the-certificate in mnogo drugih. Praviloma pokaže pred tem neznane ranljivosti v okolju, kot so gesla, ki se po omrežju pretakajo v čistopisu. Z orodjem lahko spremljamo spremembe v občutljivih skupinah (npr. Domain Admins).