微軟為Linux服務(wù)器添加端點檢測和響應(yīng)功能

微軟基于服務(wù)器的 Linux 保護(hù)計劃的公開預(yù)覽現(xiàn)在提供了改進(jìn)的端點檢測和響應(yīng)功能。

我知道你們中的一些人還很難接受，但微軟最近確實在支持 Linux。一個案例是：早在 6 月份，微軟就發(fā)布了面向 Linux 的 Microsoft Defender Advanced Threat Protection（ATP），供普通用戶使用?，F(xiàn)在，微軟改進(jìn)了 Linux 版本的 Microsoft Defender，公開預(yù)覽版增加了端點檢測和響應(yīng)（EDR）功能。

這并不是一個你可以在獨立的 Linux 桌面上運行的 Microsoft Defender 版本。它的主要工作仍然是保護(hù) Linux 服務(wù)器免受服務(wù)器和網(wǎng)絡(luò)威脅。如果你想為你的獨立桌面提供保護(hù)，可以使用 ClamAV 或 Sophos Antivirus for Linux 等程序。

但對于企業(yè)來說，由于現(xiàn)在在家上班的人在各種地方使用他們的 Mac 和 Windows PC，這就是另外一個需求了。雖然基于 Linux 服務(wù)器，但你能夠使用它來保護(hù)運行 macOS、Windows 8.1 和 Windows 10 的 PC。

通過這些新的 EDR 功能，Linux Defender 用戶可以檢測到涉及 Linux 服務(wù)器的高級攻擊，利用豐富的經(jīng)驗，并快速補救威脅。這是在現(xiàn)有的預(yù)防性防病毒功能和通過 Microsoft Defender 安全中心提供的集中報告基礎(chǔ)上發(fā)展起來的。

具體來說，它包括：

豐富的調(diào)查體驗，包括機器時間線、進(jìn)程創(chuàng)建、文件創(chuàng)建、網(wǎng)絡(luò)連接、登錄事件和高級狩獵。

在編譯過程和大型軟件部署中優(yōu)化了性能增強的 CPU 利用率。

上下文反病毒檢測。就像 Windows 版一樣，你可以深入了解威脅的來源以及惡意進(jìn)程或活動是如何創(chuàng)建的。

要運行更新后的程序，你需要以下 Linux 服務(wù)器之一：RHEL 7.2+、CentOS Linux 7.2+、Ubuntu 16.04 或更高的 LTS 版本、SLES 12+、Debian 或更高版本、或 Oracle Linux 7.2。

接下來，要嘗試這些公共預(yù)覽功能，你需要在 Microsoft Defender 安全中心里打開預(yù)覽功能。在這樣做之前，請確保你運行的是 101.12.99 或更高版本。你可以通過命令找出你正在運行的版本：

mdatp health

在任何情況下，你都不應(yīng)該將在 Linux 上運行 Microsoft Defender for Endpoint 的所有服務(wù)器都切換到預(yù)覽模式。相反，微軟建議你僅將部分 Linux 服務(wù)器配置為預(yù)覽模式，使用以下命令切換：

$ sudo mdatp edr early-preview enable

這樣做了之后，如果你覺得自己很勇敢，想親自看看它是否有效，微軟提供了一種運行模擬攻擊的方法。要做到這一點，請按照下面的步驟在你的 Linux 服務(wù)器上模擬檢測，并調(diào)查情況：

驗證在場的 Linux 服務(wù)器是否出現(xiàn)在 Microsoft Defender 安全中心中。如果這是該機器的第一次上線，可能需要長達(dá) 20 分鐘才能出現(xiàn)。

從 aka.ms/LinuxDIY 這里下載并解壓腳本文件到已在場的 Linux 服務(wù)器上，并運行以下命令：。/mde_linux_edr_diy.sh。

幾分鐘后，應(yīng)該會在 Microsoft Defender 安全中心發(fā)出警報。

查看警報詳情、機器時間線，并執(zhí)行典型的調(diào)查步驟。
責(zé)編AJX