Linux Device Isolation je funkcia, ktorú Microsoft ponúka v programe Defender
Pred niekoľkými dňami Microsoft predstavený prostredníctvom oznámenia, ktoré pridalo podpora izolácie zariadenia do programu Microsoft Defender for Endpoint (MDE) na vstavaných zariadeniach so systémom Linux.
Stojí za zmienku, že možno pre mnohých tento typ akcie MS nie je veľký problém, ani zďaleka nie a určite s vami môžem súhlasiť, no osobne mi tieto novinky prišli zaujímavé, keďže pre podnikateľské prostredie a pod. nízkymi určitými požiadavkami a dokumentáciou predovšetkým môže mať určité výhody a predovšetkým je to malé nepriame zrnko piesku na to, aby mohli brať Linux trochu viac do úvahy, najmä v tých prostrediach, ktoré sa riadia používaním produktov MS.
K téme sa spomína, že teraz správcovia teraz môžu manuálne izolovať počítače so systémom Linux zaregistrovaných prostredníctvom portálu Microsoft 365 Defender Portal alebo prostredníctvom žiadostí API.
Po izolovaní, ak sa vyskytne nejaký problém, už nebudú mať spojenie s infikovaným systémom, čím sa preruší jeho kontrola a zablokujú sa škodlivé aktivity, ako je napríklad krádež údajov. Funkcia Device Isolation je vo verejnej ukážke a odráža to, čo produkt už robí pre systémy Windows.
„Niektoré scenáre útoku môžu vyžadovať, aby ste izolovali zariadenie od siete. Táto akcia môže pomôcť zabrániť útočníkovi získať kontrolu nad napadnutým zariadením a vykonávať ďalšie činnosti, ako je exfiltrácia údajov a bočný pohyb. Podobne ako v prípade zariadení so systémom Windows, táto funkcia izolácie zariadenia odpojí napadnuté zariadenie od siete, pričom zachová pripojenie k službe Defender for Endpoint, pričom zariadenie naďalej monitoruje,“ vysvetlil Microsoft. Podľa softvérového giganta, keď je zariadenie v karanténe, je obmedzené v procesoch a webových destináciách, ktoré sú povolené.
To znamená, že ak ste za úplným tunelom VPN, cloudové služby nebudú dostupné Microsoft Defender pre koncový bod. Spoločnosť Microsoft odporúča, aby zákazníci používali rozdelenú tunelovú sieť VPN pre cloudovú prevádzku pre Defender for Endpoint aj Defender Antivirus.
Po vyriešení situácie, ktorá spôsobila izoláciu, budú môcť znova pripojiť zariadenie k sieti. Izolácia systému sa vykonáva cez API. Používatelia môžu pristupovať na stránku so systémovými zariadeniami Linux prostredníctvom portálu Microsoft 365 Defender, kde sa im vpravo hore okrem iných možností zobrazí karta „Izolovať zariadenie“.
Spoločnosť Microsoft opísala rozhrania API na izoláciu zariadenia a jeho uvoľnenie z bloku.
Izolované zariadenia je možné znova pripojiť k sieti hneď po zmiernení hrozby pomocou tlačidla „Uvoľniť z izolácie“ na stránke zariadenia alebo „neizolovanej“ požiadavky HTTP API. Medzi zariadenia so systémom Linux, ktoré môžu používať Microsoft Defender for Endpoint, patria Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux a Amazon Web Services (AWS) Linux. Táto nová funkcia v systémoch Linux odzrkadľuje existujúcu funkciu v systémoch Microsoft Windows.
Pre tých, ktorí o tom nevedia Microsoft Defender pre koncový bod, mali by vedieť, že ánoe je produkt príkazového riadka s funkciami proti malvéru a detekciou a odozvou koncových bodov (EDR) navrhnutý na odosielanie všetkých informácií o hrozbách, ktoré zistí, na portál Microsoft 365 Defender.
Linux Device Isolation je najnovšia funkcia zabezpečenia od spoločnosti Microsoft sa pripojil ku cloudovej službe. Začiatkom tohto mesiaca spoločnosť rozšírila ochranu proti neoprávnenej manipulácii Defender pre Endpoint zahrnúť antivírusové výnimky. Toto všetko je súčasťou väčšieho vzoru vytvrdzovacieho Defenderu s pohľadom na otvorený zdroj.
Na svojej výstave Ignite v októbri 2022 spoločnosť Microsoft oznámila integráciu platformy na monitorovanie siete s otvoreným zdrojom Zeek ako súčasť programu Defender for Endpoint na hĺbkovú kontrolu paketov sieťovej prevádzky.
Nakoniec, ak máte záujem dozvedieť sa o tom viac, môžete sa obrátiť na podrobnosti Na nasledujúcom odkaze.