« Certains scénarios d'attaque peuvent vous obliger à isoler un appareil du réseau. Cette action peut contribuer à empêcher l'attaquant de contrôler l'appareil compromis et de réaliser d'autres activités telles que l'exfiltration de données et e le mouvement latéral. Tout comme pour les périphériques Windows, cette fonction d'isolation de l'appareil déconnecte l'appareil compromis du réseau tout en conservant la connectivité au service Defender for Endpoint, tout en continuant à surveiller l'appareil », a expliqué Microsoft. Selon le géant des logiciels, lorsque l'appareil est isolé, il est limité dans les processus et les destinations Web qui sont autorisés.
Cela signifie que s'il se trouve derrière un tunnel VPN complet, il ne pourra pas atteindre les services cloud Defender for Endpoint de Microsoft. Microsoft recommande aux clients d'utiliser un VPN à tunnel partagé pour le trafic basé sur le cloud, tant pour Defender for Endpoint que pour Defender Antivirus. Une fois que la situation à l'origine de l'isolement est réglée, ils pourront reconnecter l'appareil au réseau. L'isolement du système se fait via les API. Les utilisateurs peuvent accéder à la page du périphérique des systèmes Linux via le portail Microsoft 365 Defender, où ils verront un onglet "Isoler le périphérique" en haut à droite parmi d'autres options.
Microsoft a décrit les API permettant à la fois d'isoler le périphérique et de le libérer du verrouillage. Les périphériques isolés peuvent être reconnectés au réseau dès que la menace a été atténuée à l'aide du bouton "Release from isolation" sur la page du périphérique ou d'une requête API HTTP "unisolate". Les dispositifs Linux qui peuvent utiliser Microsoft Defender for Endpoint comprennent Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux et Amazon Web Services (AWS) Linux. Cette nouvelle fonctionnalité des systèmes Linux reflète une fonctionnalité existante sur les systèmes Windows de Microsoft.
Sur les terminaux Linux, Microsoft Defender for Endpoint est un produit en ligne de commande dotée de fonctionnalités de lutte contre les logiciels malveillants et EDR (endpoint detection and response - en français, détection et réponse aux points de terminaison) conçues pour envoyer toutes les informations sur les menaces qu'il détecte au portail Microsoft 365 Defender. Selon la firme de Redmond, les administrateurs disposant d'un abonnement à Microsoft Defender for Endpoint peuvent le déployer et le configurer sur les périphériques Linux manuellement ou à l'aide des outils de gestion de la configuration Puppet, Ansible et Chef.
L'isolation des périphériques Linux est la dernière fonctionnalité de sécurité récente que Microsoft a intégrée au service de cloud computing. Au début du mois, la société a étendu la protection contre la falsification pour Defender for Endpoint afin d'inclure des exclusions d'antivirus. Tout cela fait partie d'un modèle plus large de renforcement de Defender avec un œil sur l'open source. Lors de son salon Ignite en octobre 2022, Microsoft a annoncé l'intégration de la plateforme de surveillance réseau open source Zeek en tant que composant de Defender for Endpoint pour l'inspection approfondie des paquets du trafic réseau.
Toujours lors de l'événement, Redmond a évoqué les nouvelles capacités visant à permettre aux équipes d'opérations de sécurité de détecter plus tôt les attaques de commande et de contrôle (C2), ce qui leur permet de limiter la propagation des dégâts et de supprimer les binaires malveillants. Cette nouvelle fonctionnalité intervient également après que des mises à jour de Defender for Endpoint ont semé la panique chez les professionnels de la sécurité - le vendredi 13 - en supprimant par inadvertance des icônes et des raccourcis d'applications du bureau, de la barre des tâches et du menu Démarrer dans les systèmes Windows 10 et 11.
Microsoft a corrigé le problème, mais les utilisateurs se sont retrouvés avec des fichiers définitivement supprimés. Notons que la solution de sécurité des terminaux d'entreprise a été mise à disposition de manière générale pour Linux et Android en juin 2020 après être entrée en avant-première publique en février 2020, avec une prise en charge de plusieurs versions distribuées de serveurs Linux. Il y a deux ans, Microsoft a annoncé l'ajout de capacités de réponse en direct pour les appareils Linux dans Microsoft Defender for Endpoint et a inclus un support pour identifier et évaluer les configurations de sécurité des appareils Linux sur les réseaux d'entreprise.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Les nouvelles menaces de logiciels malveillants sur Linux ont augmenté de 50 % en 2022, pour atteindre 1,9 million, alors que Windows a enregistré une baisse de 40 % des nouveaux échantillons
Une nouvelle vulnérabilité d'élévation de privilèges est découverte dans le noyau Linux, elle permet à un attaquant local d'exécuter un logiciel malveillant sur les systèmes vulnérables
Microsoft ajoute la détection des attaques par ransomware Fusion à Azure Sentinel qui utilise une technologie d'apprentissage automatique pour déclencher des alertes en plusieurs étapes