„Linux Device Isolation“ yra funkcija, kurią „Microsoft“ siūlo „Defender“.
Prieš kelias dienas „Microsoft“ pristatė per skelbimą, kuriame buvo pridėta įrenginio izoliavimo palaikymas į „Microsoft Defender for Endpoint“ (MDE) įterptuose Linux įrenginiuose.
Verta paminėti, kad galbūt daugeliui toks MS veiksmas nėra didelis dalykas, toli gražu, ir aš tikrai galiu su jumis sutikti, bet man asmeniškai ši naujiena pasirodė įdomi, nes verslo aplinkai ir panašiai yra valdomos. dėl žemų tam tikrų reikalavimų ir dokumentacijos, visų pirma, gali turėti tam tikrų pranašumų ir, svarbiausia, tai yra mažas netiesioginis smėlio grūdelis, kad jie galėtų šiek tiek labiau atsižvelgti į Linux, ypač tose aplinkose, kuriose naudojami MS produktai.
Šia tema minima, kad dabar administratoriai dabar gali rankiniu būdu izoliuoti Linux įrenginius užregistruoti per „Microsoft 365 Defender“ portalą arba per API užklausas.
Išskyrus bet kokią problemą, jie nebeturės ryšio su užkrėsta sistema, nutrauks jos kontrolę ir blokuos kenkėjišką veiklą, pvz., duomenų vagystes. Įrenginio atskyrimo funkcija yra viešoje peržiūroje ir atspindi tai, ką produktas jau daro „Windows“ sistemoms.
„Dėl kai kurių atakų scenarijų gali reikėti izoliuoti įrenginį nuo tinklo. Šis veiksmas gali padėti užkirsti kelią užpuolikui valdyti pažeistą įrenginį ir atlikti kitą veiklą, pvz., duomenų išfiltravimą ir judėjimą į šoną. Panašiai kaip „Windows“ įrenginiuose, ši įrenginio izoliavimo funkcija atjungia pažeistą įrenginį nuo tinklo, išlaikant ryšį su „Defender for Endpoint“ paslauga ir toliau stebi įrenginį“, – paaiškino „Microsoft“. Pasak programinės įrangos milžino, kai įrenginys yra smėlio dėžėje, jis apribojamas leidžiamuose procesuose ir žiniatinklio paskirties vietose.
Tai reiškia, kad jei esate už viso VPN tunelio, debesijos paslaugos nebus pasiekiamos „Microsoft Defender“, skirta „Endpoint“. „Microsoft“ rekomenduoja klientams naudoti suskaidytą tunelinį VPN debesų srautui tiek „Defender for Endpoint“, tiek „Defender Antivirus“.
Kai bus išspręsta izoliaciją sukėlusi situacija, jie galės iš naujo prijungti įrenginį prie tinklo. Sistemos izoliavimas atliekamas per API. Vartotojai gali pasiekti „Linux“ sistemų įrenginių puslapį naudodamiesi „Microsoft 365 Defender“ portalu, kur, be kitų parinkčių, viršuje dešinėje matys skirtuką „Isoliuoti įrenginį“.
„Microsoft“ aprašė API, kad izoliuotų įrenginį ir atlaisvintų jį iš bloko.
Izoliuotus įrenginius galima vėl prijungti prie tinklo, kai tik grėsmė sumažinama naudojant įrenginio puslapyje esantį mygtuką „Paleisti iš izoliacijos“ arba „neizoliuotą“ HTTP API užklausą. „Linux“ įrenginiai, galintys naudoti „Microsoft Defender for Endpoint“, yra „Red Hat Enterprise Linux“ (RHEL), „CentOS“, „Ubuntu“, „Debian“, „SUSE Linux“, „Oracle Linux“, „Fedora Linux“ ir „Amazon Web Services“ (AWS) Linux. Ši nauja „Linux“ sistemų funkcija atspindi esamą „Microsoft Windows“ sistemų funkciją.
Tiems, kurie nežino „Microsoft Defender for Endpoint“, jie turėtų žinoti, kad taip yrae yra komandinės eilutės produktas, turintis kovos su kenkėjiškomis programomis ir galinių taškų aptikimo ir atsako funkcijomis (EDR), skirta siųsti visą aptiktą grėsmių informaciją į „Microsoft 365 Defender“ portalą.
„Linux Device Isolation“ yra naujausia „Microsoft“ saugos funkcija prisijungė prie debesies paslaugos. Anksčiau šį mėnesį įmonė išplėtė „Defender“ apsaugą nuo klastojimo, skirtą „Endpoint“. įtraukti antivirusines išimtis. Visa tai yra dalis didesnio „Defender“ grūdinimo modelio, žvelgiant į atvirąjį kodą.
2022 m. spalio mėn. „Ignite“ parodoje „Microsoft“ paskelbė apie atvirojo kodo tinklo stebėjimo platformos „Zeek“ integravimą kaip „Defender for Endpoint“ dalį, skirtą giliai tinklo srauto paketams tikrinti.
Galiausiai, jei jus domina daugiau apie tai sužinoti, galite susipažinti su išsamia informacija Šioje nuorodoje.