Linux Device Isolation is de functie die Microsoft aanbiedt in Defender
Een paar dagen geleden Microsoft onthuld via een aankondiging die de ondersteuning voor apparaatisolatie naar Microsoft Defender voor eindpunt (MDE) op embedded Linux-apparaten.
Het is de moeite waard te vermelden dat dit soort MS-actie misschien voor velen geen probleem is, verre van dat, en ik kan het zeker met je eens zijn, maar persoonlijk vond ik het nieuws interessant, aangezien voor zakelijke omgevingen en dergelijke die worden bestuurd door lage bepaalde vereisten en vooral documentatie kunnen bepaalde voordelen hebben en bovenal is het een kleine indirecte zandkorrel zodat ze iets meer rekening kunnen houden met Linux, vooral in die omgevingen die worden beheerst door het gebruik van MS-producten.
Over het onderwerp wordt dat nu vermeld beheerders kunnen Linux-machines nu handmatig isoleren ingeschreven via de Microsoft 365 Defender Portal of via API-aanvragen.
Als ze eenmaal geïsoleerd zijn en er een probleem optreedt, hebben ze geen verbinding meer met het geïnfecteerde systeem, waardoor de controle wordt verbroken en kwaadaardige activiteiten zoals gegevensdiefstal worden geblokkeerd. De functie Apparaatisolatie is beschikbaar als openbare preview en geeft weer wat het product al doet voor Windows-systemen.
“Bij sommige aanvalsscenario's moet je een apparaat isoleren van het netwerk. Deze actie kan helpen voorkomen dat de aanvaller controle krijgt over het gecompromitteerde apparaat en andere activiteiten uitvoert, zoals data-exfiltratie en zijwaartse beweging. Net als bij Windows-apparaten, koppelt deze apparaatisolatiefunctie het gecompromitteerde apparaat los van het netwerk, terwijl de verbinding met de Defender for Endpoint-service behouden blijft, terwijl het apparaat blijft worden bewaakt”, legt Microsoft uit. Volgens de softwaregigant is het apparaat, wanneer het een sandbox heeft, beperkt in de processen en webbestemmingen die zijn toegestaan.
Dit betekent dat als je achter een volledige VPN-tunnel zit, clouddiensten zijn niet bereikbaar Microsoft Defender voor eindpunt. Microsoft raadt klanten aan een split tunnel VPN te gebruiken voor cloudgebaseerd verkeer voor zowel Defender for Endpoint als Defender Antivirus.
Zodra de situatie die de isolatie veroorzaakte is opgelost, kunnen ze het apparaat opnieuw verbinden met het netwerk. Systeemisolatie gebeurt via API. Gebruikers hebben toegang tot de pagina met apparaten voor Linux-systemen via de Microsoft 365 Defender-portal, waar ze onder andere rechtsboven een tabblad 'Apparaat isoleren' zien.
Microsoft heeft de API's beschreven om het apparaat te isoleren en uit de blokkering te halen.
Geïsoleerde apparaten kunnen opnieuw met het netwerk worden verbonden zodra de dreiging is beperkt via de knop "Vrijgeven van isolatie" op de apparaatpagina of een "niet-geïsoleerd" HTTP API-verzoek. Linux-apparaten die Microsoft Defender for Endpoint kunnen gebruiken, zijn Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux en Amazon Web Services (AWS) Linux. Deze nieuwe functie op Linux-systemen weerspiegelt een bestaande functie op Microsoft Windows-systemen.
Voor degenen die het niet weten Microsoft Defender voor Endpoint, ze zouden moeten weten dat het zo ise is een opdrachtregelproduct met functies voor anti-malware en eindpuntdetectie en -respons (EDR) ontworpen om alle gedetecteerde bedreigingsinformatie naar de Microsoft 365 Defender Portal te sturen.
Linux Device Isolation is de nieuwste beveiligingsfunctie die Microsoft is toegetreden tot de cloudservice. Eerder deze maand, bedrijf heeft Defender sabotagebeveiliging voor Endpoint uitgebreid om antivirusuitsluitingen op te nemen. Dit maakt allemaal deel uit van een groter patroon van verhardende Defender met het oog op open source.
Tijdens de Ignite-show in oktober 2022 kondigde Microsoft de integratie aan van het open source netwerkbewakingsplatform Zeek als onderdeel van Defender for Endpoint voor diepgaande pakketinspectie van netwerkverkeer.
Ten slotte, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen In de volgende link.