Linux Device Isolation er den funktion, som Microsoft tilbyder i Defender
For nogle dage siden Microsoft afsløret gennem en meddelelse, der tilføjede understøttelse af enhedsisolering til Microsoft Defender for Endpoint (MDE) på indlejrede Linux-enheder.
Det er værd at nævne, at måske for mange er denne type MS-handling ikke en stor sag, langt fra, og jeg kan bestemt være enig med dig, men personligt fandt jeg nyheden interessant, da for erhvervsmiljøer og lignende, der er styret ved lave visse krav og dokumentation frem for alt, kan have visse fordele og frem for alt er det et lille indirekte sandkorn, så de kan tage Linux lidt mere i betragtning, især i de miljøer, der er styret af brugen af MS-produkter.
Om emnet nævnes det nu administratorer kan nu manuelt isolere Linux-maskiner tilmeldt gennem Microsoft 365 Defender Portal eller via API-anmodninger.
Når de først er isoleret, vil de, hvis der opstår et problem, ikke længere have forbindelse til det inficerede system, hvilket afbryder dets kontrol og blokerer ondsindede aktiviteter såsom datatyveri. Funktionen Enhedsisolering er i offentlig forhåndsvisning og afspejler, hvad produktet allerede gør for Windows-systemer.
"Nogle angrebsscenarier kan kræve, at du isolerer en enhed fra netværket. Denne handling kan hjælpe med at forhindre angriberen i at få kontrol over den kompromitterede enhed og udføre andre aktiviteter, såsom dataeksfiltrering og lateral bevægelse. I lighed med Windows-enheder afbryder denne enhedsisoleringsfunktion den kompromitterede enhed fra netværket, mens forbindelsen til Defender for Endpoint-tjenesten opretholdes, mens den fortsætter med at overvåge enheden," forklarede Microsoft. Ifølge softwaregiganten, når enheden er i sandbox, er den begrænset i de processer og webdestinationer, der er tilladt.
Det betyder at hvis du er bag en fuld VPN-tunnel, cloud-tjenester vil ikke være tilgængelige Microsoft Defender til Endpoint. Microsoft anbefaler, at kunder bruger en delt tunnel-VPN til skybaseret trafik til både Defender for Endpoint og Defender Antivirus.
Når den situation, der forårsagede isolationen, er løst, vil de være i stand til at tilslutte enheden til netværket igen. Systemisolering sker via API. Brugere kan få adgang til siden med Linux-systemersenheder gennem Microsoft 365 Defender-portalen, hvor de vil se fanen "Isoler enhed" øverst til højre, blandt andre muligheder.
Microsoft har beskrevet API'erne for at isolere enheden og frigøre den fra blokken.
Isolerede enheder kan genoprettes til netværket, så snart truslen er blevet afbødet via knappen "Friløs fra isolation" på enhedssiden eller en "ikke-isoleret" HTTP API-anmodning. Linux-enheder, der kan bruge Microsoft Defender til Endpoint, inkluderer Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux og Amazon Web Services (AWS) Linux. Denne nye funktion på Linux-systemer afspejler en eksisterende funktion på Microsoft Windows-systemer.
For dem der ikke er opmærksomme på Microsoft Defender til slutpunkt, de burde vide, at det er dete er et kommandolinjeprodukt med anti-malware og slutpunktsdetektering og responsfunktioner (EDR) designet til at sende alle trusselsoplysninger, den registrerer, til Microsoft 365 Defender Portal.
Linux Device Isolation er den seneste sikkerhedsfunktion, som Microsoft har tilsluttet sig cloud-tjenesten. Tidligere på måneden virksomheden udvidede Defender-manipulationsbeskyttelse til Endpoint at inkludere antivirusekskluderinger. Dette er alt sammen en del af et større mønster af hærdning af Defender med et øje mod open source.
På sit Ignite-show i oktober 2022 annoncerede Microsoft integrationen af open source-netværksovervågningsplatformen Zeek som en del af Defender for Endpoint til dyb pakkeinspektion af netværkstrafik.
Endelig, hvis du er interesseret i at vide mere om det, kan du se detaljerne I det følgende link.