Linux Device Isolation to funkcja oferowana przez firmę Microsoft w usłudze Defender
Kilka dni temu Microsoft zaprezentował poprzez ogłoszenie, które dodało wsparcie izolacji urządzeń do usługi Microsoft Defender dla punktu końcowego (MDE) na wbudowanych urządzeniach z systemem Linux.
Warto wspomnieć, że być może dla wielu tego typu działanie MS nie jest wielką sprawą, wręcz przeciwnie, i z pewnością mogę się z Tobą zgodzić, ale osobiście uważam tę wiadomość za interesującą, ponieważ dla środowisk biznesowych i tym podobnych, które są zarządzane przez niskie wymagania i dokumentację przede wszystkim może przynieść pewne korzyści, a przede wszystkim jest to małe pośrednie ziarnko piasku, aby mogli wziąć Linuksa trochę bardziej pod uwagę, szczególnie w tych środowiskach, które są zarządzane przez użycie produktów MS.
Na ten temat wspomina się, że teraz administratorzy mogą teraz ręcznie izolować maszyny z systemem Linux zarejestrowanych za pośrednictwem portalu Microsoft 365 Defender lub żądań interfejsu API.
Po wyizolowaniu, jeśli wystąpi jakikolwiek problem, nie będą już mieć połączenia z zainfekowanym systemem, odcinając jego kontrolę i blokując złośliwe działania, takie jak kradzież danych. Funkcja Device Isolation jest dostępna w publicznej wersji zapoznawczej i odzwierciedla to, co produkt już robi dla systemów Windows.
„Niektóre scenariusze ataków mogą wymagać odizolowania urządzenia od sieci. To działanie może pomóc uniemożliwić atakującemu przejęcie kontroli nad zaatakowanym urządzeniem i wykonanie innych działań, takich jak eksfiltracja danych i ruch boczny. Podobnie jak w przypadku urządzeń z systemem Windows, ta funkcja izolacji urządzenia odłącza zaatakowane urządzenie od sieci, utrzymując łączność z usługą Defender for Endpoint, jednocześnie kontynuując monitorowanie urządzenia” — wyjaśnił Microsoft. Według giganta oprogramowania, gdy urządzenie jest w piaskownicy, ma ograniczenia w dozwolonych procesach i miejscach docelowych sieci.
To znaczy że jeśli jesteś za pełnym tunelem VPN, usługi w chmurze nie będą osiągalne Microsoft Defender dla punktów końcowych. Firma Microsoft zaleca, aby klienci korzystali z dzielonego tunelu VPN dla ruchu w chmurze zarówno dla programu Defender for Endpoint, jak i Defender Antivirus.
Po rozwiązaniu sytuacji, która spowodowała izolację, będą mogli ponownie podłączyć urządzenie do sieci. Izolacja systemu odbywa się poprzez API. Użytkownicy mogą uzyskać dostęp do strony urządzeń z systemem Linux za pośrednictwem portalu Microsoft 365 Defender, gdzie w prawym górnym rogu zobaczą między innymi kartę „Izoluj urządzenie”.
Microsoft opisał interfejsy API, aby odizolować urządzenie i zwolnić je z blokady.
Odizolowane urządzenia można ponownie podłączyć do sieci, gdy tylko zagrożenie zostanie złagodzone za pomocą przycisku „Zwolnij z izolacji” na stronie urządzenia lub żądania „nieizolowanego” HTTP API. Urządzenia z systemem Linux, które mogą korzystać z usługi Microsoft Defender dla punktów końcowych, obejmują Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux i Amazon Web Services (AWS) Linux. Ta nowa funkcja w systemach Linux odzwierciedla istniejącą funkcję w systemach Microsoft Windows.
Dla nieświadomych Microsoft Defender dla punktów końcowych, powinni wiedzieć, że tak jeste to produkt wiersza poleceń z funkcjami ochrony przed złośliwym oprogramowaniem i punktami końcowymi oraz funkcjami reagowania (EDR) zaprojektowany do wysyłania wszystkich wykrytych informacji o zagrożeniach do portalu usługi Microsoft 365 Defender.
Linux Device Isolation to najnowsza funkcja zabezpieczeń oferowana przez firmę Microsoft dołączył do usługi w chmurze. Wcześniej w tym miesiącu, firma rozszerzyła ochronę antysabotażową Defender dla punktu końcowego uwzględnić wykluczenia antywirusowe. To wszystko jest częścią większego schematu utwardzania Defendera z myślą o otwartym kodzie źródłowym.
Na pokazie Ignite w październiku 2022 r. Microsoft ogłosił integrację platformy monitorowania sieci typu open source Zeek w ramach usługi Defender for Endpoint do głębokiej inspekcji pakietów ruchu sieciowego.
Na koniec, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami W poniższym linku.