Microsoft a annonc lundi avoir ajout la prise en charge de l’isolation des priphriques Microsoft Defender for Endpoint (MDE) sur les appareils Linux embarqus. Les administrateurs d’entreprise peuvent dsormais isoler manuellement les machines Linux inscrites l’aide du portail Microsoft 365 Defender ou via des requtes API. Une fois isols, les acteurs de la menace n’auront plus de connexion avec le systme infect, ce qui coupe leur contrle et bloque les activits malveillantes comme le vol de donnes. La fonction d’isolation des priphriques est en avant-premire publique et reflte ce que le produit fait dj pour les systmes Windows.
Certains scnarios d’attaque peuvent vous obliger isoler un appareil du rseau. Cette action peut contribuer empcher l’attaquant de contrler l’appareil compromis et de raliser d’autres activits telles que l’exfiltration de donnes et e le mouvement latral. Tout comme pour les priphriques Windows, cette fonction d’isolation de l’appareil dconnecte l’appareil compromis du rseau tout en conservant la connectivit au service Defender for Endpoint, tout en continuant surveiller l’appareil , a expliqu Microsoft. Selon le gant des logiciels, lorsque l’appareil est isol, il est limit dans les processus et les destinations Web qui sont autoriss.
Cela signifie que s’il se trouve derrire un tunnel VPN complet, il ne pourra pas atteindre les services cloud Defender for Endpoint de Microsoft. Microsoft recommande aux clients d’utiliser un VPN tunnel partag pour le trafic bas sur le cloud, tant pour Defender for Endpoint que pour Defender Antivirus. Une fois que la situation l’origine de l’isolement est rgle, ils pourront reconnecter l’appareil au rseau. L’isolement du systme se fait via les API. Les utilisateurs peuvent accder la page du priphrique des systmes Linux via le portail Microsoft 365 Defender, o ils verront un onglet « Isoler le priphrique » en haut droite parmi d’autres options.
Microsoft a dcrit les API permettant la fois d’isoler le priphrique et de le librer du verrouillage. Les priphriques isols peuvent tre reconnects au rseau ds que la menace a t attnue l’aide du bouton « Release from isolation » sur la page du priphrique ou d’une requte API HTTP « unisolate ». Les dispositifs Linux qui peuvent utiliser Microsoft Defender for Endpoint comprennent Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux et Amazon Web Services (AWS) Linux. Cette nouvelle fonctionnalit des systmes Linux reflte une fonctionnalit existante sur les systmes Windows de Microsoft.
Sur les terminaux Linux, Microsoft Defender for Endpoint est un produit en ligne de commande dote de fonctionnalits de lutte contre les logiciels malveillants et EDR (endpoint detection and response – en franais, dtection et rponse aux points de terminaison) conues pour envoyer toutes les informations sur les menaces qu’il dtecte au portail Microsoft 365 Defender. Selon la firme de Redmond, les administrateurs disposant d’un abonnement Microsoft Defender for Endpoint peuvent le dployer et le configurer sur les priphriques Linux manuellement ou l’aide des outils de gestion de la configuration Puppet, Ansible et Chef.
L’isolation des priphriques Linux est la dernire fonctionnalit de scurit rcente que Microsoft a intgre au service de cloud computing. Au dbut du mois, la socit a tendu la protection contre la falsification pour Defender for Endpoint afin d’inclure des exclusions d’antivirus. Tout cela fait partie d’un modle plus large de renforcement de Defender avec un il sur l’open source. Lors de son salon Ignite en octobre 2022, Microsoft a annonc l’intgration de la plateforme de surveillance rseau open source Zeek en tant que composant de Defender for Endpoint pour l’inspection approfondie des paquets du trafic rseau.
Toujours lors de l’vnement, Redmond a voqu les nouvelles capacits visant permettre aux quipes d’oprations de scurit de dtecter plus tt les attaques de commande et de contrle (C2), ce qui leur permet de limiter la propagation des dgts et de supprimer les binaires malveillants. Cette nouvelle fonctionnalit intervient galement aprs que des mises jour de Defender for Endpoint ont sem la panique chez les professionnels de la scurit – le vendredi 13 – en supprimant par inadvertance des icnes et des raccourcis d’applications du bureau, de la barre des tches et du menu Dmarrer dans les systmes Windows 10 et 11.
Microsoft a corrig le problme, mais les utilisateurs se sont retrouvs avec des fichiers dfinitivement supprims. Notons que la solution de scurit des terminaux d’entreprise a t mise disposition de manire gnrale pour Linux et Android en juin 2020 aprs tre entre en avant-premire publique en fvrier 2020, avec une prise en charge de plusieurs versions distribues de serveurs Linux. Il y a deux ans, Microsoft a annonc l’ajout de capacits de rponse en direct pour les appareils Linux dans Microsoft Defender for Endpoint et a inclus un support pour identifier et valuer les configurations de scurit des appareils Linux sur les rseaux d’entreprise.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi