Linux Device Isolation és la característica que ofereix Microsoft a Defensar
Fa alguns dies Microsoft va donar a conèixer mitjançant un va anunciar que va afegir el suport d'aïllament de dispositius a Microsoft Defender per a Endpoint (MDE) en dispositius Linux integrats.
Cal esmentar que potser per a molts, aquest tipus d'accions de MS, no sigui la gran cosa ni de bon tros i certament els puc donar la raó, però personalment em va semblar interessant la notícia, ja que per a entorns empresarials i similars que es regeixen baixos certs requisits i documentació sobretot, poden tenir certs beneficis i sobretot és un petit gra de sorra indirecte perquè puguin tenir una mica més en compte Linux, sobretot en aquells entorns que es regeixen sobre lús de productes de MS.
Sobre el tema, s'esmenta que ara els administradors ara poden aïllar manualment les màquines Linux inscrites mitjançant el Portal de Microsoft 365 Defensar o mitjançant sol·licituds d'API.
Un cop aïllats, si s'arriba a presentar algun problema ja no es tindran connexió amb el sistema infectat, tallant-ne el control i bloquejant activitats malicioses com el robatori de dades. La funció Device Isolation està en versió preliminar pública i reflecteix allò que el producte ja fa per als sistemes Windows.
“Alguns escenaris d'atac poden requerir que aïlli un dispositiu de la xarxa. Aquesta acció pot ajudar a evitar que l'atacant controli el dispositiu compromès i realitzi altres activitats, com ara l'exfiltració de dades i el moviment lateral. Igual que els dispositius de Windows, aquesta característica d'aïllament del dispositiu desconnecta el dispositiu compromès de la xarxa mentre manté la connectivitat amb el servei Defender for Endpoint mentre continua monitoritzant el dispositiu”, va explicar Microsoft. Segons el gegant del programari, quan el dispositiu està aïllat, està restringit en els processos i destins web que estan permesos.
Això vol dir que si esteu darrere d'un túnel VPN complet, no es podrà arribar als serveis al núvol de Microsoft Defender for Endpoint. Microsoft recomana que els clients facin servir una VPN de túnel dividit per al trànsit basat en el núvol tant per Defender for Endpoint com per Defender Antivirus.
Un cop resolta la situació que va provocar l'aïllament, podran tornar a connectar el dispositiu a la xarxa. L'aïllament del sistema es fa mitjançant API. Els usuaris poden accedir a la pàgina de dispositius de sistemes Linux a través del portal de Microsoft 365 Defender, on veuran una pestanya «Aïllar dispositiu» a la part superior dreta, entre altres opcions.
Microsoft ha descrit les API per aïllar el dispositiu i alliberar-lo del bloqueig.
Els dispositius aïllats es poden tornar a connectar a la xarxa tan aviat com l'amenaça s'hagi mitigat mitjançant el botó «Alliberar l'aïllament» a la pàgina del dispositiu o una sol·licitud API HTTP «no aïllada». Els dispositius Linux que poden utilitzar Microsoft Defender per a Endpoint inclouen Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux i Amazon Web Services (AWS) Linux. Aquesta funció nova als sistemes Linux reflecteix una funció existent als sistemes Microsoft Windows.
Per als qui desconeixen de Microsoft Defender per a Endpoint, han de saber que este és un producte de línia d'ordres amb característiques antimalware i de detecció i resposta de punts finals (EDR) dissenyat per enviar tota la informació sobre les amenaces que detecta al Portal de Microsoft 365 Defender.
Linux Device Isolation és la característica de seguretat més recent que Microsoft ha incorporat al servei al núvol. A principis d'aquest mes, l'empresa va ampliar la protecció contra manipulacions de Defender per a Endpoint per incloure-hi exclusions d'antivirus. Tot això és part d'un patró més ampli d'enfortiment de Defensar amb vista al codi obert.
A la seva fira Ignite a l'octubre de 2022, Microsoft va anunciar la integració de la plataforma de monitorització de xarxa de codi obert Zeek com a part de Defender per a Endpoint per a la inspecció profunda de paquets del trànsit de xarxa.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.