Segundo a Microsoft, graças a um novo recurso, o MS Defender agora pode isolar endpoints Linux comprometidos.
A Microsoft anunciou que adicionou suporte de isolamento de dispositivo ao Microsoft Defender for Endpoint (MDE) em dispositivos Linux integrados.
MS Defender agora pode isolar endpoints Linux comprometidos
Os administradores corporativos podem isolar manualmente as máquinas Linux inscritas como parte de uma visualização pública usando o portal do Microsoft 365 Defender ou por meio de solicitações de API.
Uma vez isolados, os agentes de ameaças não terão mais conexão com o sistema violado, cortando seu controle e bloqueando atividades maliciosas, como roubo de dados.
“Alguns cenários de ataque podem exigir que você isole um dispositivo da rede. Essa ação pode ajudar a impedir que o invasor controle o dispositivo comprometido e execute outras atividades, como exfiltração de dados e movimentação lateral”, explicou a Microsoft.
“Assim como nos dispositivos Windows, esse recurso de isolamento de dispositivo desconecta o dispositivo comprometido da rede, mantendo a conectividade com o serviço Defender for Endpoint, enquanto continua monitorando o dispositivo.”
Os dispositivos isolados podem ser reconectados à rede assim que a ameaça for mitigada usando o botão “Liberar do isolamento” na página do dispositivo ou uma solicitação de API HTTP ‘unisolar’.
Este novo recurso é compatível com todas as distros compatíveis com MDE Linux listadas na página Requisitos do sistema.
Nos endpoints do Linux, o Microsoft Defender for Endpoint é um produto de linha de comando com recursos antimalware e EDR (detecção e resposta de endpoint) projetado para enviar todas as informações de ameaças detectadas para o portal do Microsoft 365 Defender.
Os administradores com assinaturas MDE podem implantá-lo e configurá-lo em dispositivos Linux manualmente ou com a ajuda das ferramentas de gerenciamento de configuração Puppet, Ansible e Chef.
A solução de segurança de endpoint empresarial foi disponibilizada para Linux e Android em junho de 2020, após entrar em visualização pública em fevereiro de 2020, com suporte para várias versões distribuídas de servidores Linux.
Dois anos atrás, a Microsoft também anunciou a adição de recursos de resposta ao vivo para dispositivos Linux no Microsoft Defender for Endpoint e incluiu suporte para identificar e avaliar as configurações de segurança de dispositivos Linux em redes corporativas.
No mesmo ano, os recursos de detecção e resposta de endpoint (EDR) do MDE também foram disponibilizados em servidores Linux após um estágio de visualização pública iniciado em novembro de 2020.
