Linux Device Isolation är funktionen som Microsoft erbjuder i Defender
Några dagar sedan Microsoft presenterade genom ett tillkännagivande som lade till stöd för enhetsisolering till Microsoft Defender for Endpoint (MDE) på inbäddade Linux-enheter.
Det är värt att nämna att kanske för många är den här typen av MS-åtgärder ingen stor sak, långt ifrån, och jag kan verkligen hålla med dig, men personligen tyckte jag att nyheterna var intressanta, eftersom för företagsmiljöer och liknande som styrs genom låga vissa krav och dokumentation framför allt, kan ha vissa fördelar och framförallt är det ett litet indirekt sandkorn så att de kan ta lite mer hänsyn till Linux, speciellt i de miljöer som styrs av användningen av MS-produkter.
I ämnet nämns det nu administratörer kan nu manuellt isolera Linux-maskiner registreras via Microsoft 365 Defender Portal eller via API-förfrågningar.
När de väl isolerats, om något problem uppstår, kommer de inte längre att ha en anslutning till det infekterade systemet, vilket avbryter dess kontroll och blockerar skadliga aktiviteter som datastöld. Funktionen Enhetsisolering är i offentlig förhandsvisning och återspeglar vad produkten redan gör för Windows-system.
"Vissa attackscenarier kan kräva att du isolerar en enhet från nätverket. Den här åtgärden kan hjälpa till att förhindra angriparen från att få kontroll över den komprometterade enheten och utföra andra aktiviteter, såsom dataexfiltrering och sidorörelse. I likhet med Windows-enheter kopplar denna enhetsisoleringsfunktion bort den komprometterade enheten från nätverket samtidigt som anslutningen till Defender for Endpoint-tjänsten bibehålls, samtidigt som den fortsätter att övervaka enheten”, förklarade Microsoft. Enligt mjukvarujätten, när enheten är i sandlåde, är den begränsad i de processer och webbdestinationer som är tillåtna.
Detta innebär att om du är bakom en fullständig VPN-tunnel, molntjänster kommer inte att vara tillgängliga Microsoft Defender för Endpoint. Microsoft rekommenderar att kunder använder en delad tunnel VPN för molnbaserad trafik för både Defender for Endpoint och Defender Antivirus.
När situationen som orsakade isoleringen är löst kommer de att kunna återansluta enheten till nätverket. Systemisolering görs via API. Användare kan komma åt sidan för Linux-systemenheter via Microsoft 365 Defender-portalen, där de kommer att se fliken "Isolera enhet" längst upp till höger, bland andra alternativ.
Microsoft har beskrivit API:erna för att isolera enheten och frigöra den från blocket.
Isolerade enheter kan återanslutas till nätverket så snart hotet har mildrats via knappen "Release from isolation" på enhetssidan eller en "icke-isolerad" HTTP API-begäran. Linux-enheter som kan använda Microsoft Defender för Endpoint inkluderar Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux och Amazon Web Services (AWS) Linux. Denna nya funktion på Linux-system speglar en befintlig funktion på Microsoft Windows-system.
För de som inte är medvetna om Microsoft Defender för Endpoint, de borde veta att det är dete är en kommandoradsprodukt med anti-malware och slutpunktsdetektering och svarsfunktioner (EDR) utformad för att skicka all hotinformation den upptäcker till Microsoft 365 Defender Portal.
Linux Device Isolation är den senaste säkerhetsfunktionen som Microsoft har anslutit sig till molntjänsten. Tidigare den här månaden, företaget utökade Defender-manipuleringsskyddet för Endpoint att inkludera antivirusundantag. Allt detta är en del av ett större mönster av härdande Defender med ett öga mot öppen källkod.
På sin Ignite-mässa i oktober 2022 tillkännagav Microsoft integrationen av nätverksövervakningsplattformen Zeek med öppen källkod som en del av Defender for Endpoint för djup paketinspektion av nätverkstrafik.
Slutligen, om du är intresserad av att veta mer om det kan du läsa detaljerna I följande länk.