Microsoft Defender pour Linux présente son EDR en preview
Je sais qu’il est encore difficile pour certains d’entre vous de s’y retrouver, mais Microsoft soutient vraiment Linux ces jours-ci. Un exemple concret : en juin dernier, Microsoft a publié Microsoft Defender Advanced Threat Protection (ATP) pour Linux. Aujourd’hui, Microsoft a amélioré la version Linux de Defender en ajoutant un aperçu public des capacités de détection et de réponse des terminaux (EDR).
Ce n’est pas encore une version de Microsoft Defender que vous pouvez exécuter sur un bureau Linux autonome. Sa tâche principale reste de protéger les serveurs Linux contre les menaces pesant sur les serveurs et le réseau. Si vous souhaitez protéger votre bureau autonome, utilisez des outils tels que ClamAV ou Sophos Antivirus for Linux.
Mais pour les entreprises, où les travailleurs à domicile utilisent désormais leurs Mac et leurs PC Windows, c’est une autre histoire. Bien que Linux Defender soit basé sur des serveurs Linux, vous pourrez l’utiliser pour protéger les PC fonctionnant sous MacOS, Windows 8.1 et Windows 10.
Grâce à ces nouvelles capacités EDR, les utilisateurs de Linux Defender peuvent détecter des attaques avancées qui impliquent des serveurs Linux et répondre rapidement aux menaces. Ces fonctionnalités s’appuient sur les capacités antivirus préventives existantes et sur les rapports centralisés disponibles via le centre de sécurité Microsoft Defender.
Plus précisément, il comprend :
- Une outil d’enquête, qui comprend la chronologie des machines, la création de processus, la création de fichiers, les connexions réseau, les événements de connexion et la chasse avancée.
- Une utilisation optimisée des performances de l’unité centrale dans les procédures de compilation et les déploiements de logiciels à grande échelle.
Détection AV en contexte. Tout comme avec l’édition Windows, vous aurez un aperçu de la provenance d’une menace et de la manière dont le processus ou l’activité malveillante a été créé.
Pour exécuter le programme mis à jour, vous aurez besoin de l’un des serveurs Linux suivants : RHEL 7.2+ ; CentOS Linux 7.2+ ; Ubuntu 16.04 ou supérieur LTS ; SLES 12+ ; Debian ou supérieur ; ou Oracle Linux 7.2.
Ensuite, pour essayer cette preview publique, vous devrez activer les fonctions preview du centre de sécurité Microsoft Defender. Avant de le faire, assurez-vous que vous utilisez la version 101.12.99 ou une version supérieure. Vous pouvez savoir quelle version vous utilisez avec la commande :
mdatp health
Vous ne devriez en aucun cas basculer tous vos serveurs exécutant Microsoft Defender for Endpoint sous Linux vers la version preview. Microsoft vous recommande plutôt de ne configurer que certains de vos serveurs Linux en mode Preview, avec la commande suivante :
$ sudo mdatp edr early-preview enable
Une fois que c’est fait, si vous vous sentez courageux et que vous voulez voir par vous-même si cela fonctionne, Microsoft propose un moyen de simuler une attaque. Pour ce faire, suivez les étapes ci-dessous pour simuler une détection sur votre serveur Linux et voir ce que ça donne.
- Vérifiez que le serveur Linux embarqué apparaît dans le Microsoft Defender Security Center. Si c’est la première fois que la machine est embarquée, cela peut prendre jusqu’à 20 minutes avant qu’elle n’apparaisse.
- Téléchargez et extrayez le fichier script aka.ms/LinuxDIY sur un serveur Linux embarqué et exécutez la commande suivante :
./mde_linux_edr_diy.sh
- après quelques minutes, elle devrait être signalée dans le centre de sécurité de Microsoft Defender.
- Examinez les détails de l’alerte, la chronologie de la machine, et effectuez votre investigation habituelle.
Bonne chance !
Source : “ZDNet.com”
