Izolarea dispozitivului Linux este caracteristica oferită de Microsoft în Defender
Acum câteva zile Microsoft a dezvăluit printr-un anunț care a adăugat suport pentru izolarea dispozitivului către Microsoft Defender pentru Endpoint (MDE) pe dispozitivele Linux încorporate.
Este de menționat că poate pentru mulți, acest tip de acțiune MS nu este mare lucru, nici pe departe, și cu siguranță pot fi de acord cu tine, dar personal mi s-a părut interesantă știrea, deoarece pentru mediile de afaceri și altele asemenea care sunt guvernate prin scăderea anumitor cerințe și documentație mai presus de toate, pot avea anumite beneficii și mai presus de toate este un mic fir de nisip indirect, astfel încât să poată lua puțin mai mult în considerare Linux, mai ales în acele medii care sunt guvernate de utilizarea produselor MS.
Pe subiect, se menționează că acum administratorii pot acum izola manual mașinile Linux înscris prin portalul Microsoft 365 Defender sau prin solicitări API.
Odată izolați, dacă apare vreo problemă, aceștia nu vor mai avea o conexiune la sistemul infectat, întrerupându-i controlul și blocând activitățile rău intenționate precum furtul de date. Funcția Device Isolation este în previzualizare publică și reflectă ceea ce face deja produsul pentru sistemele Windows.
„Unele scenarii de atac vă pot cere să izolați un dispozitiv de rețea. Această acțiune poate ajuta la prevenirea atacatorului să obțină controlul asupra dispozitivului compromis și să efectueze alte activități, cum ar fi exfiltrarea datelor și mișcarea laterală. Similar cu dispozitivele Windows, această caracteristică de izolare a dispozitivului deconectează dispozitivul compromis de la rețea, menținând în același timp conectivitatea la serviciul Defender for Endpoint, continuând în același timp să monitorizeze dispozitivul”, a explicat Microsoft. Potrivit gigantului software, atunci când dispozitivul este în sandbox, este restricționat în procesele și destinațiile web care sunt permise.
Aceasta înseamnă că dacă vă aflați în spatele unui tunel VPN complet, serviciile cloud nu vor fi accesibile Microsoft Defender pentru Endpoint. Microsoft recomandă clienților să folosească un VPN tunel divizat pentru traficul bazat pe cloud atât pentru Defender for Endpoint, cât și pentru Defender Antivirus.
Odată rezolvată situația care a cauzat izolarea, aceștia vor putea reconecta dispozitivul la rețea. Izolarea sistemului se face prin API. Utilizatorii pot accesa pagina dispozitivelor sistemelor Linux prin portalul Microsoft 365 Defender, unde vor vedea o filă „Izolați dispozitivul” în dreapta sus, printre alte opțiuni.
Microsoft a descris API-urile pentru a izola dispozitivul și a-l elibera din bloc.
Dispozitivele izolate pot fi reconectate la rețea de îndată ce amenințarea a fost atenuată prin intermediul butonului „Eliberați din izolare” de pe pagina dispozitivului sau printr-o solicitare API HTTP „neizolata”. Dispozitivele Linux care pot folosi Microsoft Defender pentru Endpoint includ Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux și Amazon Web Services (AWS) Linux. Această nouă caracteristică a sistemelor Linux oglindește o caracteristică existentă pe sistemele Microsoft Windows.
Pentru cei care nu știu Microsoft Defender pentru Endpoint, ar trebui să știe că estee este un produs de linie de comandă cu funcții anti-malware și de detectare și răspuns la punctele finale (EDR) conceput pentru a trimite toate informațiile despre amenințări pe care le detectează către portalul Microsoft 365 Defender.
Linux Device Isolation este cea mai recentă caracteristică de securitate oferită de Microsoft s-a alăturat serviciului cloud. Mai devreme luna asta, compania a extins protecția împotriva falsificării Defender pentru Endpoint pentru a include excluderile antivirus. Toate acestea fac parte dintr-un model mai amplu de întărire a Defenderului cu un ochi către sursa deschisă.
La spectacolul său Ignite din octombrie 2022, Microsoft a anunțat integrarea platformei de monitorizare a rețelei open source Zeek ca parte a Defender for Endpoint pentru inspecția profundă a pachetelor de trafic de rețea.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detaliile În următorul link.