Microsoft hat eine öffentliche Vorschau einer neuen Funktion von Microsoft Defender für Endpoint angekündigt, die es ermöglicht, Linux-Geräte zu isolieren.
Das Unternehmen erklärt, dass es möglich ist, ein Linux-Gerät mithilfe von APIs zu isolieren, oder über das Microsoft 365 Defender-Portal. Das Update bedeutet, dass es nun möglich ist, Linux-Geräte im Falle einer Sicherheitsverletzung von einem Netzwerk zu trennen, so wie es mit Windows-Geräten möglich war.
Siehe auch:
In einem Blogbeitrag über die neuen Fähigkeiten sagt Microsoft: „Einige Angriffsszenarien erfordern möglicherweise, dass Sie ein Gerät vom Netzwerk isolieren. Diese Aktion kann dazu beitragen, den Angreifer daran zu hindern, das kompromittierte Gerät zu kontrollieren und weitere Aktivitäten wie Datenexfiltration und laterale Bewegung durchzuführen”.
Das Unternehmen fährt fort:
Genau wie bei Windows-Geräten trennt diese Geräteisolationsfunktion das kompromittierte Gerät vom Netzwerk, während die Verbindung zum Defender for Endpoint-Dienst, während das Gerät weiterhin überwacht wird.
Microsoft weist darauf hin, dass beim Isolieren eines Geräts nur bestimmte Prozesse und Webziele zulässig sind. Dies bedeutet, dass Geräte hinter einem vollständigen VPN-Tunnel den Microsoft Defender für Endpoint-Clouddienst nicht erreichen können, nachdem das Gerät isoliert wurde. Das Unternehmen empfiehlt die Verwendung eines Split-Tunneling-VPN für Microsoft Defender for Endpoint-und Microsoft Defender Antivirus-Cloud-basierten Schutz-bezogenen Datenverkehr.
Ein weiterer Punkt des Unternehmens ist, dass der Ausschluss für die Linux-Isolation nicht unterstützt wird.
Weitere Informationen zum manuellen Isolieren von Linux-Geräten oder zum Verwenden von APIs finden Sie unter hier.
Bildnachweis: monticello/depositphotos