Linux Device Isolation é o recurso que a Microsoft oferece no Defender
Faz alguns dias Microsoft revelou através de um anúncio que acrescentou o suporte de isolamento de dispositivo para o Microsoft Defender para Endpoint (MDE) em dispositivos Linux embarcados.
Vale ressaltar que talvez para muitos esse tipo de ação do MS não seja grande coisa, longe disso, e certamente posso concordar com você, mas pessoalmente achei a notícia interessante, já que para ambientes empresariais e afins que são regidos por baixos certos requisitos e documentação acima de tudo, pode ter certos benefícios e acima de tudo é um pequeno grão de areia indireto para que possam levar o Linux um pouco mais em conta, principalmente naqueles ambientes que são regidos pelo uso de produtos MS.
Sobre o assunto, é mencionado que agora os administradores agora podem isolar manualmente as máquinas Linux inscritos por meio do Microsoft 365 Defender Portal ou por meio de solicitações de API.
Uma vez isolados, caso ocorra algum problema, eles não terão mais conexão com o sistema infectado, cortando seu controle e bloqueando atividades maliciosas, como roubo de dados. O recurso Device Isolation está em visualização pública e reflete o que o produto já faz para sistemas Windows.
“Alguns cenários de ataque podem exigir que você isole um dispositivo da rede. Essa ação pode ajudar a impedir que o invasor obtenha o controle do dispositivo comprometido e execute outras atividades, como exfiltração de dados e movimentação lateral. Semelhante aos dispositivos Windows, esse recurso de isolamento de dispositivo desconecta o dispositivo comprometido da rede, mantendo a conectividade com o serviço Defender for Endpoint, enquanto continua monitorando o dispositivo”, explicou a Microsoft. Segundo a gigante do software, quando o dispositivo está em sandbox, ele fica restrito nos processos e destinos da web permitidos.
Isso significa que se você estiver atrás de um túnel VPN completo, serviços de nuvem não serão acessíveis Microsoft Defender para ponto de extremidade. A Microsoft recomenda que os clientes usem uma VPN de túnel dividido para tráfego baseado em nuvem para Defender for Endpoint e Defender Antivirus.
Assim que a situação que causou o isolamento for resolvida, eles poderão reconectar o dispositivo à rede. O isolamento do sistema é feito via API. Os usuários podem acessar a página de dispositivos de sistemas Linux por meio do portal do Microsoft 365 Defender, onde verão uma guia “Isolar dispositivo” no canto superior direito, entre outras opções.
A Microsoft descreveu as APIs para isolar o dispositivo e liberá-lo do bloco.
Os dispositivos isolados podem ser reconectados à rede assim que a ameaça for mitigada por meio do botão “Liberar do isolamento” na página do dispositivo ou de uma solicitação de API HTTP “não isolada”. Os dispositivos Linux que podem usar o Microsoft Defender for Endpoint incluem Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux e Amazon Web Services (AWS) Linux. Este novo recurso em sistemas Linux espelha um recurso existente em sistemas Microsoft Windows.
Para quem não sabe Microsoft Defender para Endpoint, eles devem saber que ée é um produto de linha de comando com recursos de resposta e detecção de endpoint e antimalware (EDR) projetado para enviar todas as informações de ameaças que detecta para o Microsoft 365 Defender Portal.
Linux Device Isolation é o recurso de segurança mais recente que a Microsoft aderiu ao serviço de nuvem. No início deste mês, empresa expandiu a proteção contra adulterações do Defender para Endpoint para incluir exclusões de antivírus. Tudo isso faz parte de um padrão maior de endurecimento do Defender, de olho no código aberto.
Em seu show Ignite em outubro de 2022, a Microsoft anunciou a integração da plataforma de monitoramento de rede de código aberto Zeek como parte do Defender for Endpoint para inspeção profunda de pacotes do tráfego de rede.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.