Изоляция устройств Linux — это функция, которую Microsoft предлагает в Защитнике.
Несколько дней тому назад Представлен Microsoft через объявление, которое добавило поддержка изоляции устройств в Microsoft Defender для конечной точки (MDE) на встроенных устройствах Linux.
Стоит отметить, что, возможно, для многих этот тип действий MS не имеет большого значения, далеко не так, и я, конечно, могу с вами согласиться, но лично я нашел новость интересной, так как для бизнес-сред и тому подобное регулируется из-за низких определенных требований и документации, прежде всего, может иметь определенные преимущества, и, прежде всего, это небольшая косвенная песчинка, так что они могут немного больше учитывать Linux, особенно в тех средах, которые регулируются использованием продуктов MS.
По теме упоминается, что сейчас администраторы теперь могут вручную изолировать машины Linux зарегистрированы через портал Microsoft 365 Defender или через запросы API.
После изоляции, если возникнет какая-либо проблема, они больше не будут иметь подключения к зараженной системе, отключив ее контроль и заблокировав вредоносные действия, такие как кража данных. Функция изоляции устройств находится в общедоступной предварительной версии и отражает то, что продукт уже делает для систем Windows.
«Некоторые сценарии атак могут потребовать, чтобы вы изолировали устройство от сети. Это действие может помочь помешать злоумышленнику получить контроль над скомпрометированным устройством и выполнить другие действия, такие как эксфильтрация данных и боковое перемещение. Подобно устройствам Windows, эта функция изоляции устройства отключает скомпрометированное устройство от сети, сохраняя при этом подключение к службе Defender for Endpoint и продолжая отслеживать устройство», — пояснили в Microsoft. По словам софтверного гиганта, когда устройство находится в песочнице, оно ограничено в разрешенных процессах и веб-сайтах.
Это означает, что если вы находитесь за полным VPN-туннелем, облачные сервисы будут недоступны Защитник Майкрософт для конечной точки. Microsoft рекомендует клиентам использовать VPN с разделенным туннелем для облачного трафика как для Defender for Endpoint, так и для Defender Antivirus.
Как только ситуация, вызвавшая изоляцию, будет разрешена, они смогут повторно подключить устройство к сети. Изоляция системы осуществляется через API. Пользователи могут получить доступ к странице устройств систем Linux через портал Microsoft 365 Defender, где среди других параметров они увидят вкладку «Изолировать устройство» в правом верхнем углу.
Microsoft описала API для изоляции устройства и освобождения его от блокировки.
Изолированные устройства могут быть повторно подключены к сети, как только угроза будет устранена, с помощью кнопки «Выйти из изоляции» на странице устройства или «неизолированного» запроса HTTP API. Устройства Linux, которые могут использовать Microsoft Defender для конечной точки, включают Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux и Amazon Web Services (AWS) Linux. Эта новая функция в системах Linux отражает существующую функцию в системах Microsoft Windows.
Для тех, кто не знает Защитник Microsoft для конечной точки, они должны знать, что этоe — это продукт командной строки с функциями защиты от вредоносных программ и обнаружения конечных точек и реагирования на них. (EDR), предназначенный для отправки всей обнаруженной информации об угрозах на портал Microsoft 365 Defender.
Изоляция устройств Linux — новейшая функция безопасности, разработанная Microsoft. присоединился к облачному сервису. Ранее в этом месяце компания расширила защиту от несанкционированного доступа Defender для Endpoint включить исключения антивируса. Все это является частью более широкой схемы укрепления Defender с прицелом на открытый исходный код.
На своем шоу Ignite в октябре 2022 года Microsoft объявила об интеграции платформы мониторинга сети с открытым исходным кодом Zeek в составе Defender for Endpoint для глубокой проверки пакетов сетевого трафика.
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.