Microsoft a annoncé une préversion publique d’une nouvelle fonctionnalité de Microsoft Defender pour Endpoint qui permet d’isoler les appareils Linux.
La société explique qu’il est possible d’isoler un appareil Linux à l’aide d’API, ou via le portail Microsoft 365 Defender. La mise à jour signifie qu’en cas de faille de sécurité, il est désormais possible de couper les appareils Linux d’un réseau, tout comme il a été possible de le faire avec les appareils Windows.
Voir aussi :
Dans un article de blog sur les nouvelles fonctionnalités, Microsoft déclare:”Certains scénarios d’attaque peuvent vous obliger à isoler un appareil du réseau. Cette action peut aider à empêcher l’attaquant de contrôler l’appareil compromis et d’effectuer d’autres activités telles que l’exfiltration de données et le mouvement latéral”.”.
L’entreprise poursuit :
Tout comme dans les appareils Windows, cette fonctionnalité d’isolation de l’appareil déconnecte l’appareil compromis du réseau tout en conservant la connectivité au Defender pour le service Endpoint, tout en continuant à surveiller l’appareil.
Microsoft souligne que lors de l’isolement d’un appareil, seuls certains processus et destinations Web sont autorisés. Cela signifie que les appareils derrière un tunnel VPN complet ne pourront pas atteindre le service cloud Microsoft Defender pour Endpoint une fois l’appareil isolé. La société recommande d’utiliser un VPN à tunnel partagé pour Microsoft Defender pour Endpoint et le trafic lié à la protection basée sur le cloud de Microsoft Defender Antivirus.
Un autre point soulevé par la société est que l’exclusion n’est pas prise en charge pour l’isolation Linux.
Plus d’informations sur la façon d’isoler manuellement les périphériques Linux ou de le faire à l’aide d’API sont disponibles ici.
Crédit image : monticello/depositphotoos