Linux Device Isolation е функцията, която Microsoft предлага в Defender
Преди няколко дни Microsoft представи чрез съобщение, което добавя поддръжка за изолация на устройството към Microsoft Defender за крайна точка (MDE) на вградени Linux устройства.
Струва си да се спомене, че може би за мнозина този тип действие на MS не е голяма работа, далеч от това и аз определено мога да се съглася с вас, но лично аз намерих новината за интересна, тъй като за бизнес среди и други подобни, които се управляват поради ниски определени изисквания и документация преди всичко, може да има определени предимства и преди всичко това е малка косвена песъчинка, така че да могат да вземат малко повече предвид Linux, особено в онези среди, които се управляват от използването на продукти на MS.
По темата се споменава, че сега администраторите вече могат ръчно да изолират Linux машини регистрирани чрез портала на Microsoft 365 Defender или чрез заявки за API.
Веднъж изолирани, ако възникне някакъв проблем, те вече няма да имат връзка със заразената система, прекъсвайки нейния контрол и блокирайки злонамерени дейности като кражба на данни. Функцията Device Isolation е в публичен преглед и отразява това, което продуктът вече прави за Windows системи.
„Някои сценарии на атака може да изискват да изолирате устройство от мрежата. Това действие може да попречи на атакуващия да получи контрол над компрометираното устройство и да извърши други дейности, като ексфилтриране на данни и странично движение. Подобно на устройствата с Windows, тази функция за изолиране на устройството изключва компрометираното устройство от мрежата, като същевременно поддържа свързаност с услугата Defender for Endpoint, като същевременно продължава да наблюдава устройството“, обясни Microsoft. Според софтуерния гигант, когато устройството е в пясъчна среда, то е ограничено в процесите и уеб дестинациите, които са разрешени.
Това означава, че ако сте зад пълен VPN тунел, облачните услуги няма да бъдат достъпни Microsoft Defender за крайна точка. Microsoft препоръчва на клиентите да използват VPN с разделен тунел за трафик, базиран на облак, както за Defender for Endpoint, така и за Defender Antivirus.
След като ситуацията, причинила изолацията, бъде разрешена, те ще могат да свържат отново устройството към мрежата. Изолирането на системата се извършва чрез API. Потребителите могат да получат достъп до страницата с устройства на Linux системи през портала на Microsoft 365 Defender, където ще видят раздел „Изолиране на устройство“ горе вдясно, наред с други опции.
Microsoft описа API за изолиране на устройството и освобождаването му от блока.
Изолираните устройства могат да бъдат свързани отново към мрежата веднага щом заплахата бъде смекчена чрез бутона „Освобождаване от изолация“ на страницата на устройството или „неизолирана“ HTTP API заявка. Linux устройствата, които могат да използват Microsoft Defender за крайна точка, включват Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux и Amazon Web Services (AWS) Linux. Тази нова функция на Linux системи отразява съществуваща функция на Microsoft Windows системи.
За тези, които не знаят Microsoft Defender за крайна точка, те трябва да знаят, че е такаe е продукт от командния ред с анти-злонамерен софтуер и функции за откриване и реакция на крайни точки (EDR), предназначен да изпраща цялата информация за заплахи, която открие, до портала на Microsoft 365 Defender.
Linux Device Isolation е най-новата функция за сигурност, която Microsoft се присъедини към облачната услуга. По-рано този месец, компанията разшири защитата от фалшифициране на Defender за Endpoint за включване на антивирусни изключения. Всичко това е част от по-голям модел на втвърдяване на Defender с поглед към отворен код.
На своето изложение Ignite през октомври 2022 г. Microsoft обяви интегрирането на платформата за мониторинг на мрежа с отворен код Zeek като част от Defender for Endpoint за дълбока проверка на пакети на мрежовия трафик.
И накрая, ако имате интерес да научите повече за него, можете да се консултирате с подробностите В следващия линк.