Microsoft actualiza Defender para bloquear dispositivos Linux • The Register
Las organizaciones que utilizan Microsoft Defender for Endpoint ahora podrán aislar los dispositivos Linux de sus redes para contener intrusiones y demás.
La capacidad de aislamiento del dispositivo está en versión preliminar pública y refleja lo que el producto ya hace para los sistemas Windows.
«Algunos escenarios de ataque pueden requerir que aísle un dispositivo de la red», escribió Microsoft en un entrada en el blog. “Esta acción puede ayudar a evitar que el atacante tome el control del dispositivo comprometido y realice otras actividades, como la exfiltración de datos y el movimiento lateral. Al igual que con los dispositivos de Windows, esta función de aislamiento de dispositivos”.
Los atacantes no podrán conectarse al dispositivo ni realizar operaciones como tomar el control no autorizado del sistema o robar datos confidenciales, afirma Microsoft.
Según el proveedor, cuando el dispositivo está aislado, está limitado en los procesos y destinos web permitidos. Esto significa que si están detrás de un túnel VPN completo, no podrán acceder a los servicios en la nube de Microsoft Defender for Endpoint.
Microsoft recomienda que las empresas usen una VPN de túnel dividido para el tráfico basado en la nube para Defender for Endpoint y Defender Antivirus. Una vez resuelta la situación que provocó el aislamiento, las organizaciones pueden volver a conectar el dispositivo a la red.
El aislamiento del sistema se realiza a través de API. Los usuarios pueden acceder a la página del dispositivo para sistemas Linux a través del portal de Microsoft 365 Defender, donde verán una pestaña «Aislar dispositivo» en la esquina superior derecha, entre otras acciones de respuesta. Microsoft ha esbozado las API para ambos aislando el dispositivo y liberando frenar.
Los dispositivos Linux que pueden usar Defender para Endpoint incluyen Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Desbian, SUSE Linux, Oracle Linux, Amazon Web Services (AWS) Linux y Fedora.
Linux Device Isolation es la característica de seguridad más reciente que Microsoft ha puesto en el servicio en la nube. A principios de este mes, la empresa amplió la protección contra manipulaciones de Defender for Endpoint para incluir exclusiones de antivirus.
Todo esto es parte de un patrón más amplio de fortalecimiento de Defender con miras al código abierto. En su feria Ignite en octubre de 2022, Microsoft anunció que estaba integrando la plataforma de monitoreo de red de código abierto Zeek como un componente de Defender para Endpoint para la inspección profunda de paquetes del tráfico de red.
También en el evento, Redmond habló sobre las nuevas capacidades diseñadas para permitir que los equipos de operaciones de seguridad detecten antes los ataques de comando y control (C2), lo que les permite limitar la propagación del daño y eliminar los archivos binarios maliciosos.
La nueva funcionalidad también llega poco más de dos semanas después de las actualizaciones de Defender para Endpoint. dio un susto en profesionales de la seguridad – el viernes 13el – Eliminación involuntaria de íconos de aplicaciones y accesos directos del escritorio, la barra de tareas y el menú Inicio en los sistemas Windows 10 y 11. Microsoft solucionó el problema, pero aún dejó a los usuarios con algunos archivos eliminados permanentemente. ®