Izolacija naprav Linux je funkcija, ki jo Microsoft ponuja v Defenderju
Pred nekaj dnevi Predstavljen Microsoft prek objave, ki je dodala podpora za izolacijo naprave v Microsoft Defender for Endpoint (MDE) na vdelanih napravah Linux.
Omeniti velja, da morda za marsikoga tovrstno ukrepanje MS ni nič posebnega, daleč od tega, in vsekakor se lahko strinjam z vami, osebno pa se mi je novica zdela zanimiva, saj za poslovna okolja in podobno, ki so urejena z nizkimi določenimi zahtevami in dokumentacijo predvsem, ima lahko določene koristi, predvsem pa je to majhno posredno zrno peska, da lahko malo bolj upoštevajo Linux, sploh v tistih okoljih, ki se urejajo z uporabo MS produktov.
Pri tem se omenja, da zdaj skrbniki lahko zdaj ročno izolirajo stroje Linux včlanjeni prek portala Microsoft 365 Defender ali prek zahtev API-ja.
Ko se enkrat osamijo in se pojavi kakršna koli težava, ne bodo imeli več povezave z okuženim sistemom, prekinejo njegov nadzor in blokirajo zlonamerne dejavnosti, kot je kraja podatkov. Funkcija izolacije naprave je v javnem predogledu in odraža, kaj izdelek že počne za sisteme Windows.
»Nekateri scenariji napada lahko zahtevajo, da napravo izolirate od omrežja. To dejanje lahko pomaga preprečiti, da bi napadalec pridobil nadzor nad ogroženo napravo in izvedel druge dejavnosti, kot sta ekstrakcija podatkov in bočno premikanje. Podobno kot pri napravah Windows ta funkcija izolacije naprave prekine povezavo ogrožene naprave z omrežja, medtem ko ohranja povezljivost s storitvijo Defender for Endpoint in hkrati še naprej nadzira napravo,« je pojasnil Microsoft. Glede na programski velikan je naprava, ko je v peskovniku, omejena na dovoljene procese in spletne cilje.
To pomeni da če ste za polnim tunelom VPN, storitve v oblaku ne bodo dosegljive Microsoft Defender za končno točko. Microsoft priporoča, da stranke za promet v oblaku uporabljajo VPN z ločenim tunelom tako za Defender for Endpoint kot za Defender Antivirus.
Ko bo situacija, ki je povzročila izolacijo, odpravljena, bodo lahko napravo znova povezali z omrežjem. Izolacija sistema poteka prek API-ja. Uporabniki lahko dostopajo do strani sistemskih naprav Linux prek portala Microsoft 365 Defender, kjer bodo v zgornjem desnem kotu med drugimi možnostmi videli zavihek »Izoliraj napravo«.
Microsoft je opisal API-je za izolacijo naprave in njeno sprostitev iz bloka.
Izolirane naprave je mogoče znova povezati z omrežjem takoj, ko je bila grožnja zmanjšana prek gumba »Izpusti iz izolacije« na strani naprave ali »neizolirane« zahteve HTTP API. Naprave Linux, ki lahko uporabljajo Microsoft Defender for Endpoint, vključujejo Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux in Amazon Web Services (AWS) Linux. Ta nova funkcija v sistemih Linux odraža obstoječo funkcijo v sistemih Microsoft Windows.
Za tiste, ki ne vedo Microsoft Defender za končno točko, bi morali vedeti, da jee je izdelek ukazne vrstice s funkcijami proti zlonamerni programski opremi ter zaznavanjem in odzivom na končne točke (EDR), zasnovan za pošiljanje vseh informacij o grožnjah, ki jih zazna, na portal Microsoft 365 Defender.
Izolacija naprav Linux je najnovejša varnostna funkcija, ki jo Microsoft se je pridružil storitvi v oblaku. V začetku tega meseca, podjetje je razširilo zaščito pred posegi Defender za Endpoint za vključitev protivirusnih izključitev. Vse to je del širšega vzorca utrjevanja Defenderja s pogledom na odprto kodo.
Na svoji razstavi Ignite oktobra 2022 je Microsoft napovedal integracijo odprtokodne platforme za nadzor omrežja Zeek kot del Defender for Endpoint za globoko preverjanje paketov omrežnega prometa.
Nazadnje, če vas zanima več o tem, se lahko posvetujete s podrobnostmi V naslednji povezavi.