Linux Device Isolation è la funzionalità che Microsoft offre in Defender
Qualche giorno fa Microsoft ha svelato attraverso un annuncio che ha aggiunto il supporto per l'isolamento del dispositivo a Microsoft Defender per endpoint (MDE) su dispositivi Linux incorporati.
Vale la pena ricordare che forse per molti questo tipo di azione sulla SM non è un grosso problema, tutt'altro, e posso certamente essere d'accordo con te, ma personalmente ho trovato interessante la notizia, poiché per gli ambienti aziendali e simili che sono disciplinati da bassi determinati requisiti e documentazione soprattutto, può avere alcuni vantaggi e soprattutto è un piccolo granello di sabbia indiretto in modo che possano prendere in considerazione Linux un po 'di più, specialmente in quegli ambienti che sono governati dall'uso di prodotti MS.
Sull'argomento, si dice che ora gli amministratori possono ora isolare manualmente le macchine Linux registrati tramite Microsoft 365 Defender Portal o tramite richieste API.
Una volta isolati, se si verifica un problema, non avranno più una connessione con il sistema infetto, interrompendone il controllo e bloccando attività dannose come il furto di dati. La funzione di isolamento del dispositivo è in anteprima pubblica e riflette ciò che il prodotto già fa per i sistemi Windows.
“Alcuni scenari di attacco potrebbero richiedere di isolare un dispositivo dalla rete. Questa azione può aiutare a impedire all'attaccante di ottenere il controllo del dispositivo compromesso e di eseguire altre attività, come l'esfiltrazione di dati e il movimento laterale. Analogamente ai dispositivi Windows, questa funzione di isolamento del dispositivo disconnette il dispositivo compromesso dalla rete mantenendo la connettività al servizio Defender for Endpoint, pur continuando a monitorare il dispositivo", ha spiegato Microsoft. Secondo il gigante del software, quando il dispositivo è in modalità sandbox, è limitato nei processi e nelle destinazioni Web consentite.
Ciò significa che se ti trovi dietro un tunnel VPN completo, i servizi cloud non saranno raggiungibili Microsoft Defender per endpoint. Microsoft consiglia ai clienti di usare una VPN split tunnel per il traffico basato su cloud sia per Defender per endpoint che per Defender Antivirus.
Una volta risolta la situazione che ha causato l'isolamento, potranno riconnettere il dispositivo alla rete. L'isolamento del sistema viene eseguito tramite API. Gli utenti possono accedere alla pagina dei dispositivi dei sistemi Linux tramite il portale Microsoft 365 Defender, dove vedranno una scheda "Isola dispositivo" in alto a destra, tra le altre opzioni.
Microsoft ha descritto le API per isolare il dispositivo e rilasciarlo dal blocco.
I dispositivi isolati possono essere riconnessi alla rete non appena la minaccia è stata mitigata tramite il pulsante "Rilascia dall'isolamento" nella pagina del dispositivo o una richiesta API HTTP "non isolata". I dispositivi Linux che possono usare Microsoft Defender per endpoint includono Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux e Amazon Web Services (AWS) Linux. Questa nuova funzionalità sui sistemi Linux rispecchia una funzionalità esistente sui sistemi Microsoft Windows.
Per chi non lo sa Microsoft Defender per Endpoint, dovrebbero sapere che lo èe è un prodotto a riga di comando con funzionalità anti-malware e di rilevamento e risposta degli endpoint (EDR) progettato per inviare tutte le informazioni sulle minacce rilevate al portale di Microsoft 365 Defender.
Linux Device Isolation è l'ultima funzionalità di sicurezza che Microsoft ha aderito al servizio cloud. All'inizio di questo mese, l'azienda ha ampliato la protezione antimanomissione Defender per Endpoint per includere le esclusioni antivirus. Tutto questo fa parte di un modello più ampio di rafforzamento di Defender con un occhio all'open source.
Al suo spettacolo Ignite nell'ottobre 2022, Microsoft ha annunciato l'integrazione della piattaforma di monitoraggio della rete open source Zeek come parte di Defender for Endpoint per l'ispezione approfondita dei pacchetti del traffico di rete.
Infine, se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link