Linux Device Isolation ist die Funktion, die Microsoft in Defender anbietet
Vor ein paar Tagen Microsoft enthüllt durch eine Ankündigung, die hinzugefügt Unterstützung der Geräteisolierung zu Microsoft Defender für Endpoint (MDE) auf eingebetteten Linux-Geräten.
Es ist erwähnenswert, dass diese Art von MS-Maßnahmen vielleicht für viele keine große Sache ist, weit davon entfernt, und ich kann Ihnen sicherlich zustimmen, aber ich persönlich fand die Nachrichten interessant, da für Geschäftsumgebungen und dergleichen geregelt wird B. durch geringe Anforderungen und vor allem Dokumentation, kann gewisse Vorteile haben und ist vor allem ein kleines indirektes Sandkorn, damit sie Linux etwas mehr berücksichtigen können, insbesondere in jenen Umgebungen, die von der Verwendung von MS-Produkten bestimmt werden.
Zu dem Thema sei das jetzt erwähnt Administratoren können jetzt Linux-Rechner manuell isolieren über das Microsoft 365 Defender-Portal oder über API-Anforderungen registriert.
Einmal isoliert, haben sie beim Auftreten eines Problems keine Verbindung mehr zum infizierten System, unterbrechen seine Kontrolle und blockieren böswillige Aktivitäten wie Datendiebstahl. Die Geräteisolationsfunktion befindet sich in der öffentlichen Vorschau und spiegelt wider, was das Produkt bereits für Windows-Systeme leistet.
„Einige Angriffsszenarien erfordern möglicherweise, dass Sie ein Gerät vom Netzwerk isolieren. Diese Aktion kann dazu beitragen, den Angreifer daran zu hindern, die Kontrolle über das kompromittierte Gerät zu erlangen und andere Aktivitäten wie Datenexfiltration und laterale Bewegung durchzuführen. Ähnlich wie bei Windows-Geräten trennt diese Geräteisolationsfunktion das kompromittierte Gerät vom Netzwerk, während die Verbindung zum Defender for Endpoint-Dienst aufrechterhalten wird, während das Gerät weiterhin überwacht wird“, erklärte Microsoft. Nach Angaben des Softwaregiganten ist das Gerät in der Sandbox in den zulässigen Prozessen und Webzielen eingeschränkt.
Das bedeutet das wenn Sie sich hinter einem vollen VPN-Tunnel befinden, Cloud-Dienste sind nicht erreichbar Microsoft Defender für Endpoint. Microsoft empfiehlt, dass Kunden ein Split-Tunnel-VPN für Cloud-basierten Datenverkehr sowohl für Defender for Endpoint als auch für Defender Antivirus verwenden.
Sobald die Situation, die die Isolierung verursacht hat, behoben ist, können sie das Gerät wieder mit dem Netzwerk verbinden. Die Systemisolation erfolgt über API. Benutzer können über das Microsoft 365 Defender-Portal auf die Geräteseite von Linux-Systemen zugreifen, wo sie neben anderen Optionen oben rechts die Registerkarte „Gerät isolieren“ sehen.
Microsoft hat die APIs beschrieben, um das Gerät zu isolieren und aus der Sperre freizugeben.
Isolierte Geräte können wieder mit dem Netzwerk verbunden werden, sobald die Bedrohung über die Schaltfläche „Release from isolation“ auf der Geräteseite oder eine „nicht isolierte“ HTTP-API-Anforderung entschärft wurde. Zu den Linux-Geräten, die Microsoft Defender für Endpoint verwenden können, gehören Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux und Amazon Web Services (AWS) Linux. Diese neue Funktion auf Linux-Systemen spiegelt eine vorhandene Funktion auf Microsoft Windows-Systemen wider.
Für diejenigen, die es nicht wissen Microsoft Defender für Endpoint, sie sollten wissen, dass es so iste ist ein Befehlszeilenprodukt mit Anti-Malware- und Endpoint-Erkennungs- und Reaktionsfunktionen (EDR) entwickelt, um alle erkannten Bedrohungsinformationen an das Microsoft 365 Defender-Portal zu senden.
Linux Device Isolation ist die neueste Sicherheitsfunktion, die Microsoft ist dem Cloud-Dienst beigetreten. Früher in diesem Monat, Unternehmen erweiterte den Defender-Manipulationsschutz für Endpoint um Antivirus-Ausschlüsse einzuschließen. All dies ist Teil eines größeren Musters der Härtung von Defender mit Blick auf Open Source.
Auf seiner Messe Ignite im Oktober 2022 kündigte Microsoft die Integration der Open-Source-Netzwerküberwachungsplattform Zeek als Teil von Defender for Endpoint zur Deep Packet Inspection des Netzwerkverkehrs an.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details einsehen im folgenden Link.