Ξέρουμε ότι εξακολουθεί να είναι δύσκολο για ορισμένους από εσάς να το αποδεχτείτε, αλλά η Microsoft πραγματικά υποστηρίζει το Linux – ειδικά τον τελευταίο καιρό. Ένα συγκεκριμένο παράδειγμα: Τον Ιούνιο, η Microsoft κυκλοφόρησε για όλους τους χρήστες το Microsoft Defender Advanced Threat Protection (ATP) για Linux. Τώρα, η Microsoft έχει βελτιώσει την έκδοση Linux του Defender, προσθέτοντας μια δημόσια προεπισκόπηση των δυνατοτήτων εντοπισμού και απόκρισης τελικού σημείου (EDR).
Αυτή δεν είναι μια έκδοση του Microsoft Defender που μπορείτε να εκτελέσετε σε αυτόνομο desktop Linux. Η κύρια δουλειά του παραμένει να προστατεύει τους servers Linux από απειλές server και network. Εάν θέλετε προστασία για το αυτόνομο desktop σας, χρησιμοποιήστε προγράμματα όπως το ClamAV ή το Sophos Antivirus για Linux.
Για τις επιχειρήσεις, ωστόσο που έχουν εργαζόμενους που δουλεύουν από το σπίτι και χρησιμοποιούν τώρα τους Mac και Windows υπολογιστές τους παντού, αυτό είναι μια άλλη ιστορία. Ενώ βασίζεται σε servers Linux, θα μπορείτε να το χρησιμοποιείτε για την προστασία υπολογιστών που εκτελούν macOS, Windows 8.1 και Windows 10.
Με αυτές τις νέες δυνατότητες EDR, οι χρήστες του Linux Defender μπορούν να ανιχνεύσουν γρήγορα τις προηγμένες επιθέσεις που περιλαμβάνουν τους servers Linux και να αποκαταστήσουν τις όποιες απειλές. Αυτό βασίζεται στις υπάρχουσες προληπτικές δυνατότητες antivirus και στις συγκεντρωτικές αναφορές που διατίθενται μέσω του Microsoft Security Defender Center.
Συγκεκριμένα, περιλαμβάνει:
- Πλούσια έρευνα, που περιλαμβάνει “machine timeline”, δημιουργία διεργασιών, δημιουργία αρχείων, συνδέσεις δικτύου και συμβάντα σύνδεσης.
- Βελτιστοποιημένη απόδοση CPU με βελτιωμένη απόδοση σε διαδικασίες compilation και “μεγάλες” εφαρμογές software.
- Ανίχνευση AV εντός περιβάλλοντος. Όπως και με την έκδοση των Windows, θα λάβετε πληροφορίες σχετικά με το πού προήλθε μια απειλή και πώς δημιουργήθηκε η κακόβουλη διαδικασία ή δραστηριότητα.
Για να εκτελέσετε το ενημερωμένο πρόγραμμα, θα χρειαστείτε έναν από τους ακόλουθους servers Linux: RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16.04 ή νεότερο LTS, SLES 12+ ή Oracle Linux 7.2.
Στη συνέχεια, για να δοκιμάσετε αυτές τις δημόσιες δυνατότητες προεπισκόπησης, θα πρέπει να ενεργοποιήσετε τις δυνατότητες προεπισκόπησης στο Microsoft Defender Security Center. Πριν το κάνετε αυτό, βεβαιωθείτε ότι χρησιμοποιείτε την έκδοση 101.12.99 ή νεότερη. Μπορείτε να μάθετε ποια έκδοση χρησιμοποιείτε με την εντολή: mdatp health
Δεν πρέπει να αλλάξετε όλους τους servers που εκτελούν το Microsoft Defender για Endpoint σε Linux σε λειτουργία preview. Αντ ‘αυτού, η Microsoft συνιστά να διαμορφώσετε μόνο ορισμένους από τους servers Linux σε λειτουργία προεπισκόπησης, με την ακόλουθη εντολή: $ sudo mdatp edr early-preview enable
Μόλις γίνει αυτό, εάν αισθάνεστε αρκετά γενναίοι και θέλετε να δείτε μόνοι σας εάν λειτουργεί, η Microsoft προσφέρει έναν τρόπο εκτέλεσης μιας προσομοιωμένης επίθεσης. Για να το κάνετε αυτό, ακολουθήστε τα παρακάτω βήματα για να προσομοιώσετε μια ανίχνευση στον server Linux και να διερευνήσετε την υπόθεση.
1.Βεβαιωθείτε ότι ο ενσωματωμένος server Linux εμφανίζεται στο Microsoft Defender Security Center.
2.Κατεβάστε και εξαγάγετε το αρχείο script από εδώ aka.ms/LinuxDIY σε έναν ενσωματωμένο server Linux και εκτελέστε την ακόλουθη εντολή: ./mde_linux_edr_diy.sh
3.Μετά από λίγα λεπτά, θα πρέπει να “ανοίξει” στο Microsoft Defender Security Center.
4.Κοιτάξτε τις λεπτομέρειες ειδοποίησης, το λεγόμενο machine timeline και εκτελέστε τα τυπικά βήματα της έρευνας σας.
Πηγή: zdnet.com
