Linux Device Isolation est la fonctionnalité que Microsoft propose dans Defender
Ça fait quelques jours Microsoft a dévoilé par une annonce qui a ajouté le prise en charge de l'isolation des périphériques à Microsoft Defender pour Endpoint (MDE) sur les appareils Linux embarqués.
Il convient de mentionner que peut-être pour beaucoup, ce type d'action MS n'est pas un gros problème, loin de là, et je peux certainement être d'accord avec vous, mais personnellement, j'ai trouvé la nouvelle intéressante, car pour les environnements commerciaux et autres qui sont régis par faible certaines exigences et documentation surtout, peut avoir certains avantages et surtout c'est un petit grain de sable indirect pour qu'ils puissent prendre un peu plus en compte Linux, en particulier dans les environnements régis par l'utilisation de produits MS.
A ce sujet, il est mentionné que maintenant les administrateurs peuvent désormais isoler manuellement les machines Linux inscrits via le portail Microsoft 365 Defender ou via des demandes d'API.
Une fois isolés, si un problème survient, ils n'auront plus de connexion au système infecté, coupant son contrôle et bloquant les activités malveillantes telles que le vol de données. La fonctionnalité d'isolation de périphérique est en préversion publique et reflète ce que le produit fait déjà pour les systèmes Windows.
"Certains scénarios d'attaque peuvent vous obliger à isoler un appareil du réseau. Cette action peut aider à empêcher l'attaquant de prendre le contrôle de l'appareil compromis et d'effectuer d'autres activités, telles que l'exfiltration de données et les mouvements latéraux. Semblable aux appareils Windows, cette fonctionnalité d'isolation de l'appareil déconnecte l'appareil compromis du réseau tout en maintenant la connectivité au service Defender for Endpoint, tout en continuant à surveiller l'appareil », a expliqué Microsoft. Selon le géant du logiciel, lorsque l'appareil est en bac à sable, il est limité dans les processus et les destinations Web autorisés.
Ceci signifie que si vous êtes derrière un tunnel VPN complet, les services cloud ne seront pas accessibles Microsoft Defender pour point de terminaison. Microsoft recommande aux clients d'utiliser un VPN à tunnel partagé pour le trafic basé sur le cloud pour Defender pour Endpoint et Defender Antivirus.
Une fois la situation à l'origine de l'isolement résolue, ils pourront reconnecter l'appareil au réseau. L'isolation du système se fait via l'API. Les utilisateurs peuvent accéder à la page des appareils des systèmes Linux via le portail Microsoft 365 Defender, où ils verront un onglet "Isoler l'appareil" en haut à droite, entre autres options.
Microsoft a décrit les API pour isoler l'appareil et le libérer du bloc.
Les appareils isolés peuvent être reconnectés au réseau dès que la menace a été atténuée via le bouton "Libérer de l'isolement" sur la page de l'appareil ou une requête API HTTP "non isolée". Les appareils Linux pouvant utiliser Microsoft Defender pour Endpoint incluent Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux et Amazon Web Services (AWS) Linux. Cette nouvelle fonctionnalité sur les systèmes Linux reflète une fonctionnalité existante sur les systèmes Microsoft Windows.
Pour ceux qui ignorent Microsoft Defender pour Endpoint, ils doivent savoir que c'este est un produit en ligne de commande avec des fonctionnalités anti-malware et de détection et de réponse aux terminaux (EDR) conçu pour envoyer toutes les informations sur les menaces qu'il détecte au portail Microsoft 365 Defender.
Linux Device Isolation est la dernière fonctionnalité de sécurité que Microsoft a rejoint le service cloud. Plus tôt ce mois-ci, la société a étendu la protection contre les altérations Defender pour Endpoint pour inclure les exclusions antivirus. Tout cela fait partie d'un modèle plus large de durcissement de Defender avec un œil vers l'open source.
Lors de son salon Ignite en octobre 2022, Microsoft a annoncé l'intégration de la plate-forme de surveillance réseau open source Zeek dans le cadre de Defender for Endpoint pour une inspection approfondie des paquets du trafic réseau.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.