Izolacija Linux uređaja značajka je koju Microsoft nudi u Defenderu
Prije nekoliko dana Microsoft predstavio putem objave koja je dodala podrška za izolaciju uređaja na Microsoft Defender za krajnju točku (MDE) na ugrađenim Linux uređajima.
Vrijedno je spomenuti da možda mnogima ovakva vrsta djelovanja MS-a nije velika stvar, daleko od toga, i svakako se mogu složiti s vama, ali osobno mi je vijest bila zanimljiva, budući da za poslovna okruženja i sl. kojima se upravlja po niskim određenim zahtjevima i prije svega dokumentacijom, može imati određene koristi, a prije svega to je malo neizravno zrnce pijeska kako bi mogli malo više voditi računa o Linuxu, pogotovo u onim okruženjima koja se vode korištenjem MS proizvoda.
Na temu se spominje da sada administratori sada mogu ručno izolirati Linux strojeve upisani putem portala Microsoft 365 Defender ili putem API zahtjeva.
Nakon izolacije, ako se pojavi bilo kakav problem, više neće imati vezu sa zaraženim sustavom, prekidajući njegovu kontrolu i blokirajući zlonamjerne aktivnosti poput krađe podataka. Značajka Izolacija uređaja je u javnom pregledu i odražava ono što proizvod već radi za Windows sustave.
“Neki scenariji napada mogu zahtijevati da izolirate uređaj od mreže. Ova radnja može spriječiti napadača da preuzme kontrolu nad kompromitiranim uređajem i izvede druge aktivnosti, kao što je ekstrakcija podataka i bočno kretanje. Slično Windows uređajima, ova značajka izolacije uređaja odspaja kompromitirani uređaj s mreže dok održava povezanost s uslugom Defender for Endpoint, dok nastavlja nadzirati uređaj,” objasnio je Microsoft. Prema softverskom divu, kada je uređaj u sandboxu, ograničeni su mu procesi i web odredišta koja su dopuštena.
Ovo znači to ako ste iza punog VPN tunela, usluge u oblaku neće biti dostupne Microsoft Defender za krajnju točku. Microsoft preporučuje da korisnici koriste podijeljeni tunelski VPN za promet temeljen na oblaku za Defender for Endpoint i Defender Antivirus.
Nakon što se riješi situacija koja je uzrokovala izolaciju, moći će ponovno spojiti uređaj na mrežu. Izolacija sustava se vrši putem API-ja. Korisnici mogu pristupiti stranici uređaja Linux sustava putem portala Microsoft 365 Defender, gdje će vidjeti karticu "Izoliraj uređaj" u gornjem desnom kutu, između ostalih opcija.
Microsoft je opisao API-je za izolaciju uređaja i njegovo oslobađanje od bloka.
Izolirani uređaji mogu se ponovno povezati s mrežom čim se prijetnja ublaži putem gumba "Izbaci iz izolacije" na stranici uređaja ili "neizoliranog" HTTP API zahtjeva. Linux uređaji koji mogu koristiti Microsoft Defender za krajnju točku uključuju Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux i Amazon Web Services (AWS) Linux. Ova nova značajka na Linux sustavima odražava postojeću značajku na Microsoft Windows sustavima.
Za one koji ne znaju Microsoft Defender za krajnju točku, trebali bi znati da jeste je proizvod naredbenog retka sa značajkama zaštite od zlonamjernog softvera i otkrivanja krajnjih točaka i odgovora (EDR) dizajniran za slanje svih informacija o prijetnjama koje otkrije portalu Microsoft 365 Defender.
Linux Device Isolation najnovija je sigurnosna značajka koju Microsoft pridružio se usluzi u oblaku. Ranije ovog mjeseca, tvrtka je proširila Defender zaštitu od neovlaštenog mijenjanja za Endpoint za uključivanje antivirusnih izuzeća. Sve je to dio većeg obrasca jačanja Defendera s pogledom prema otvorenom kodu.
Na svom sajmu Ignite u listopadu 2022., Microsoft je najavio integraciju platforme za nadzor mreže otvorenog koda Zeek kao dio Defender for Endpoint za dubinsku inspekciju paketa mrežnog prometa.
Konačno, ako vas zanima više o tome, možete se posavjetovati s pojedinostima U sljedećem linku.