Microsoft Defender can now isolate compromised Linux endpoints
2023/01/31 BleepingComputer — 今日、Microsoft が発表したのは、Linux に搭載された Microsoft Defender for Endpoint (MDE) への、デバイス分離サポートの追加である。エンタープライズ管理者たちは、Microsoft 365 Defender ポータルまたは、API リクエストを用いて、パブリック・プレビューの一部として登録された Linux マシンを、手動で隔離することができる。この隔離が行われると、脅威アクターによる侵入済みシステムへの接続が不能になる。したがって、攻撃者によるコントロールは遮断され、データ盗難などの悪意のアクティビティは阻止される。
Microsoft は、「攻撃シナリオに応じて、ネットワークからデバイスを隔離することが必要になる場合がある。このアクションは、侵害済みデバイスの攻撃者による制御/データ流出/横移動といった、さらなる活動の実施防ぐのに有用だ。Windows デバイスと同様に、このデバイス隔離機能は、Defender for Endpoint サービスへの接続を維持しながら、侵害されたデバイスをネットワークから切り離し、デバイスの監視を継続する」と説明している。
隔離されたデバイスは、デバイス・ページの「隔離から解放」ボタンまたは「隔離解除」HTTP APIリクエストを使用して、脅威が緩和されるとすぐにネットワークに再接続できる。
このアクションにより隔離されたデバイスは、脅威が軽減された直後から、デバイス・ページの “Release from isolation” ボタン、または、”unisolate” HTTP API リクエストにより、ネットワークに再接続できる。
この新機能は、システム要件ページに記載されている、すべての MDE Linux サポート・ディストリビューションでサポートされる。
Linux エンドポイントにおける Microsoft Defender for Endpoint は、検出した全脅威情報を Microsoft 365 Defender ポータルに送信するように設計された、マルウェア対策と EDR (Endpoint Detection and Response) 機能を備えたコマンドライン製品である。
MDE を契約している管理者は、手動あるいは Puppet/Ansible/Chef などの構成管理ツールを使って、Linux デバイスに Defender for Endpoint を導入できる。
このエンタープライズ・エンドポイント・セキュリティ・ソリューションは、2020年2月にパブリック・プレビューを実施した後に、2020年6月には Linux と Android 向けに一般提供され、複数の Linux サーバの分散バージョンに対応している。
2年前の 2021年に Microsoft は、Defender for Endpoint に Linux デバイスのライブ・レスポンス機能を追加し、企業ネットワーク上の Linux デバイスのセキュリティ構成を特定/評価するための、新たなサポートを取り込んだと発表している。
同年、MDE の EDR 機能も、2020年11月に開始されたパブリック・プレビュー段階を経て、2021年から Linux サーバ上で一般に利用されるようになった。
Defender for Endpoint の機能を拡張し続ける Microsoft ですが、Puppet/Ansible/Chef などの構成管理ツールを使って、Linux デバイスへの導入をカバーするようです。Linux エンドポイントにおいて、検出した全脅威情報を Microsoft 365 Defender ポータルに送信するとのことですが、どこまで統合した環境に成長していくのか、とても楽しみです。
2022/11/29:Defender の保護機能を強化:企業ユーザーが利用可能に
2022/10/01:Teams と Defender の連携強化:フィッシング対応
2021/11/16:Defender に AI 駆動型のランサムウェア検知機能
IoT OT Security News 
You must be logged in to post a comment.