Beskerm Linux- en macOS-eindpunte met Microsoft Defender for Endpoint

Beskerm Linux- en macOS-eindpunte met Microsoft Defender for Endpoint

14/10/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en konfigurasie van Microsoft Defender for Endpoint (MDE) op Linux- en macOS-bedryfstelsels. In 'n toenemend diverse korporatiewe landskap gaan eindpuntbeskerming verder as die Windows-omgewing. MDE brei sy bedreigingopsporing en -reaksie (EDR) vermoëns uit na nie-Windows-platforms, wat 'n verenigde siening van sekuriteitsposisie en robuuste verdediging teen kuberaanvalle oor 'n organisasie se tegnologiepark bied [1].

Inleiding

Die verspreiding van Linux- en macOS-toestelle in korporatiewe omgewings, aangedryf deur ontwikkelaars, ontwerpers en ander professionele persone, het nuwe uitdagings vir sekuriteitspanne gebring. Hierdie stelsels, hoewel dit dikwels as minder kwesbaar beskou word, word toenemend teikens van gesofistikeerde aanvalle. Die behoefte aan 'n eindpuntsekuriteitsoplossing wat oor alle groot platforms strek, is van kritieke belang om 'n konsekwente en effektiewe sekuriteitsposisie te handhaaf. Microsoft Defender for Endpoint oorbrug hierdie gaping deur gevorderde beskerming, opsporing en reaksievermoëns vir Linux en macOS te verskaf, wat naatloos integreer met die Microsoft Defender XDR-portaal vir gesentraliseerde bestuur [2].

Hierdie praktiese gids sal voorvereistes dek, die proses om Linux- en macOS-toestelle in MDE te plaas, sekuriteitsbeleide op te stel, uitsluitings te bestuur, opsporingstoetse uit te voer en beskerming te valideer. Stap-vir-stap instruksies, voorbeeld terminale opdragte en instruksies sal verskaf word sodat die leser Microsoft Defender for Endpoint in heterogene omgewings kan ontplooi en bestuur, wat die sekuriteit van hul eindpunte versterk en voldoening aan korporatiewe sekuriteitsbeleide verseker.

Waarom is Microsoft Defender vir Endpoint van kardinale belang vir Linux en macOS?

  • Omvattende beskerming: Verskaf die volgende generasie antivirus, eindpuntopsporing en -reaksie (EDR), kwesbaarheidsbestuur en toegangsbeheervermoëns vir Linux en macOS.
  • Verenigde sigbaarheid: Sentraliseer sekuriteitsmonitering en bestuur van alle eindpunte (Windows, Linux, macOS, Android, iOS) in die Microsoft Defender XDR-portaal.
  • Gevorderde Bedreigingsopsporing: Gebruik Microsoft bedreigingsintelligensie en masjienleer om gesofistikeerde, platformspesifieke bedreigings te identifiseer en te versag.
  • Snelle insidentreaksie: Stel sekuriteitspanne in staat om sekuriteitsinsidente vinnig en doeltreffend op alle platforms te ondersoek en daarop te reageer.
  • Nakoming en Bestuur: Help om te verseker dat alle eindpunte, ongeag die bedryfstelsel, aan sekuriteitsbeleide en -regulasies voldoen.
  • Microsoft-ekosisteem-integrasie: Integreer met ander Microsoft-oplossings, soos Microsoft Sentinel en Microsoft Intune, vir 'n holistiese sekuriteitsbenadering.

Voorvereistes

Om Microsoft Defender for Endpoint op Linux en macOS te ontplooi, sal jy die volgende items benodig:

  1. Lisensiëring: Microsoft Defender vir Endpoint-lisensies (bv. Microsoft 365 E5, Microsoft 365 E3 met sekuriteitbyvoeging, of MDE-selfstandige lisensie) [3].
  2. Administratiewe toegang: 'n Rekening met die rol van Sekuriteitsadministrateur of Globale administrateur in die Microsoft Defender XDR-portaal (https://security.microsoft.com).
  3. Root/Sudo Access: Wortel- (Linux) of sudo (macOS)-toestemmings op teikentoestelle vir installasie en konfigurasie.
  4. Netwerkkonnektiwiteit: Toestelle moet verbinding hê met MDE-dienseindpunte vir kommunikasie en definisie-opdaterings.
  5. Ondersteunde bedryfstelsels: Gaan Microsoft-dokumentasie na vir spesifieke weergawes van ondersteunde Linux- en macOS-verspreidings [4].

Stap vir stap: aanboord en opstel van MDE op Linux en macOS

Kom ons dek die aanboordproses en basiese instellings vir beide platforms.

1. Toestel onboarding in Microsoft Defender for Endpoint

Die aanboordproses behels die verkryging van 'n integrasiepakket vanaf die Microsoft Defender XDR-portaal en die ontplooiing daarvan op toestelle.

  1. ** Gaan na die Microsoft Defender X-portaalDR**:

    • Maak jou blaaier oop en navigeer na https://security.microsoft.com.
    • Meld aan met 'n rekening wat die nodige toestemmings het.

  2. Kry die aanboordpakket:

    • Kies Instellings > Eindpunte in die linkernavigasiepaneel.
    • Onder Toestelbestuur, kies Integrasie.
    • In afdeling 1. Kies die bedryfstelsel om die integrasieproses te begin, kiesLinux ServerofmacOS`.
    • In afdeling 2. Kies ontplooiingsmetode, kies Local Script vir 'n handmatige installasie of Configuration Management Tool (bv. Puppet, Ansible for Linux; Intune, JAMF vir macOS) vir grootskaalse ontplooiings.
    • Klik op Laai integrasiepakket af.

1.1. Aanboord in Linux (Handmatig)

  1. Installeer Voorvereistes: Maak seker dat die vereiste pakkette geïnstalleer is. Vir die meeste verspreidings sluit dit curl, wget, gnupg, apt-transport-https (Debian/Ubuntu) of yum-utils (RHEL/CentOS) in. ``` bash # Voorbeeld vir Ubuntu/Debian sudo apt-get update sudo apt-get install -y curl wget apt-transport-https gnupg

    Voorbeeld vir RHEL/CentOS

    sudo yum installeer -y krul wget yum-utils gnupg ```

  2. Voeg Microsoft Repository by: Dit laat jou toe om MDE te installeer deur jou verspreiding se pakketbestuurder te gebruik. ``` bash # Voorbeeld vir Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg sudo installeer -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg sudo apt-get update

    Voorbeeld vir RHEL/CentOS

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

  3. Installeer MDE: Installeer die mdatp-pakket. ``` bash # Voorbeeld vir Ubuntu/Debian sudo apt-get install -y mdatp

    Voorbeeld vir RHEL/CentOS

    sudo yum installeer -y mdatp ```

  4. Konfigureer MDE met die Onboarding Package: Kopieer die afgelaaide WindowsDefenderATPOnboardingPackage.zip lêer na die Linux-bediener, pak dit uit en gebruik die onboarding script. ``` bash # Kopieer die .zip-lêer na die Linux-bediener # scp WindowsDefenderATPOnboardingPackage.zip gebruiker@jou_linux_bediener:~/

    unzip WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp hoëvlak-operasies aan boord --pad mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

  5. Gaan Status: Kyk of die MDE loop en aan boord is. bash mdatp gesondheid

1.2. Aanboord op macOS (Handmatig)

  1. Installeer MDE: Kopieer die afgelaaide MicrosoftDefenderATPOnboardingPackage.zip-lêer na jou macOS-toestel. Pak dit uit. Jy sal 'n .pkg-lêer vind (byvoorbeeld: wdav.pkg).

  2. Installeer die pakket: Begin die .pkg installeerder. bash sudo installeerder -pkg wdav.pkg -target /

    • Volg die instruksies op die skerm. Jy sal volle skyftoegangtoestemmings en stelseluitbreidingstoestemmings aan MDE moet gee in Stelselvoorkeure > Sekuriteit en privaatheid.

  3. Konfigureer MDE met die aanboordpakket: Gebruik die aanboordskrif. bash # Kopieer die .zip-lêer na Mac # Pak die .zip-lêer uit sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

    • Let wel: Die presiese pad na die aanboordskrif kan verskil. Gaan die inhoud van die .zip-lêer na.

  4. Gaan Status: Kontroleer of die MDE loop en aan boord is. bash mdatp gesondheid

2. Stel sekuriteitsbeleide op (Linux en macOS)

Sekuriteitsbeleide vir MDE op Linux en macOS kan bestuur word deur JSON-lêers (vir handleiding/script-ontplooiing) of deur nutsmiddels soos Intune, JAMF, Puppet, Ansible, ens.

Kom ons gebruik 'n voorbeeldkonfigurasie via JSON-lêer vir antivirusbeheer.

  1. Skep 'n JSON-konfigurasielêer: Skep 'n mdatp_config.json-lêer met die verlangde instellings. json { "antivirusEngine": { "enabled": waar, "skanderings": { "quickScan": { "enabled": waar, "skedule": { "type": "daagliks", "tyd": "02:00" } }, "fullScan": { "enabled": vals } }, "realTimeProtection": { "enabled": waar, "scanOnAccess": waar, "scanOnModify": waar }, "uitsluitings": [ { "pad": "/var/log", "type": "gids" }, { "pad": "/opt/app/data.db", "type": "lêer" } ] }, "cloudService": { "enabled": waar, "diagnosticLevel": "vol" } }

    • Hierdie voorbeeld maak intydse beskerming moontlik, stel 'n daaglikse vinnige skandering op en stel uitsluitings vir 'n loggids en 'n databasislêer.

  2. Pas die konfigurasie toe: Gebruik die mdatp config opdrag. bash sudo mdatp config stel --pad mdatp_config.json

  3. Gaan die toegepaste konfigurasie na: Jy kan die aktiewe konfigurasies nagaan. bash mdatp config kry --json

Wenke vir Gesentraliseerde Bestuur (Intune/JAMF)

  • Microsoft Intune (macOS): Vir macOS is Intune die voorkeurinstrument om MDE te ontplooi en te bestuur. U kan konfigurasieprofiele skep om die MDE-pakket te ontplooi en sekuriteitsinstellings op te stel (intydse beskerming, uitsluitings, ens.).

  • Konfigurasiebestuurnutsmiddels (Linux): Vir Linux word nutsmiddels soos Puppet, Ansible of Chef algemeen gebruik om grootskaalse MDE-ontplooiing en konfigurasiebestuur te outomatiseer.

3. Bestuur uitsluitings

Uitsluitings is belangrik om konflikte met wettige toepassings te vermy of om werkverrigting op stelsels met hoë I/O-lading te verbeter. Hulle moet egter met omsigtigheid gebruik word om te verhoed dat sekuriteitsgapings geskep word.

  1. Voeg uitsluiting by via opdragreël (Linux/macOS): ``` bash # Vee 'n lêer uit sudo mdatp-uitsluiting voeg --pad /pad/na/file.log --tipe lêer by

    Vee 'n gids uit

    sudo mdatp uitsluiting voeg --pad /pad/na/gids --tipe gids by

    Vee uit met uitbreiding

    sudo mdatp uitsluiting voeg --uitbreiding .tmp --tipe uitbreiding by ```

  2. Lysuitsluitings: Gaan die gekonfigureerde uitsluitings na. bash mdatp-uitsluitingslys

  3. Verwyder uitsluitings: Verwyder 'n uitsluiting as dit nie meer nodig is nie. bash sudo mdatp uitsluiting verwyder --pad /path/to/file.log

Bekragtiging en toetsing

Die validering van MDE-beskerming op Linux en macOS is noodsaaklik om te verseker dat die oplossing werk soos verwag.

1. Gaan Status in die Microsoft Defender XDR-portaal na

  1. In die Microsoft Defender XDR-portaal (https://security.microsoft.com), navigeer na Bates > Toestelle.
  2. Verifieer dat die aangeboorde Linux- en macOS-toestelle in die lys verskyn en dat hul Gesondheidstatus Aktief is.
  3. Klik op 'n toestel om sy besonderhede te sien, insluitend Beskermingstatus en Sekuriteitsaanbevelings.

2. Antivirus-opsporingstoets (EICAR)

Gebruik die EICAR (European Institute for Computer Antivirus Research) toetslêer om te kyk of jou antivirus reg werk.

  1. Genereer EICAR-lêer: Skep 'n tekslêer met die volgende presiese inhoud (geen ekstra spasies of reëlbreuke nie): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDAARD-ANTIVIRUS-TOETS-LÊER!$H+H*

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDAARD-ANTIVIRUS-TOETSLÊER!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDAARD-ANTIVIRUS-TOETSLÊER!$H+H*' > eicar.com

  2. ** Waarneem opsporing**: MDE behoort die EICAR-lêer onmiddellik op te spoor en te blokkeer as intydse beskerming geaktiveer is.

  3. Kyk vir waarskuwings in die MDE-portaal: In die Microsoft Defender XDR-portaal, navigeer na Incidents and Alerts > Alerts. Jy behoort 'n waarskuwing te sien wat verband hou met EICAR-opsporing op die Linux/macOS-toestel.

3. EDR-opsporingstoets (aanvalsimulasie)

Microsoft verskaf die skrifteste om aanvalscenario's te simuleer en die EDR-funksionaliteit van die MDE te verifieer.

  1. Vir Linux: Laai die MDE-opsporingstoetsskrip vir Linux af en voer dit uit. bash krul -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

  2. Vir macOS: Laai die MDE-opsporingstoetsskrip vir macOS af en voer dit uit. bash krul -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

  3. Gaan waarskuwings in die MDE-portaal na: Nadat u die skrip uitgevoer het, gaan die Microsoft Defender XDR-portaal na onder Incidents & Alerts > Alerts. Jy behoort waarskuwings te sien wat verband hou met die gesimuleerde aktiwiteite, soos Verdagte opdrag uitgevoer of Verdagte skripaktiwiteit.

Sekuriteitswenke en beste praktyke

  • Gesentraliseerde bestuur: Gebruik konfigurasiebestuurnutsmiddels (Intune, JAMF, Puppet, Ansible) om MDE op groot skaal te ontplooi en te bestuur, wat konsekwentheid in beleide verseker.
  • Hou MDE opgedateer: Maak seker dat jou MDE-kliënt en sekuriteitsdefinisies altyd op datum is om beskerming teen die nuutste bedreigings te verseker.
  • Bestuur uitsluitings versigtig: Hersien en verminder uitsluitings om te verhoed dat sekuriteitsgapings geskep word. Dokumenteer alle uitsluitings en hul regverdigings.
  • SIEM/SOAR-integrasie: Integreer MDE-waarskuwings met jou Sekuriteitsinligting en Gebeurtenisbestuur (SIEM) of Sekuriteitsorkesering, Outomatisering en Reaksie (SOAR), soos Microsoft Sentinel, vir verbeterde sigbaarheid en insidentreaksie.
  • Deurlopende monitering: Monitor die Microsoft Defender XDR-portaal aktief vir sekuriteitwaarskuwings en aanbevelings vir jou Linux- en macOS-eindpunte.
  • Gebruikersopleiding: Leer gebruikers op oor die belangrikheid van eindpuntsekuriteit en hoe om verdagte aktiwiteit aan te meld.
  • Peuterbeskerming: Alhoewel meer prominent op Windows, maak seker dat ekwivalente kontroles bestaan ​​om te verhoed dat kwaadwillige gebruikers MDE-instellings op Linux/macOS deaktiveer of verander.

Algemene probleemoplossing

  • MDE installeer/aan boord nie: Gaan voorvereistes na (verspreiding/bedryfstelselweergawe, vereiste pakkette). Gaan die installasielogboeke na vir foute. Maak seker dat die aanboordpakket korrek is en nie verval het nie. Verifieer netwerkverbinding met Microsoft-eindpunte.
  • MDE rapporteer nie aan portaal nie: Gaan die mdatp health-opdrag na vir aanboord en gesonde status. Bevestig dat die toestel verbinding met die internet en MDE-dienste het. Gaan enige instaanbediener- of firewall-instellings na wat kommunikasie moontlik blokkeer.
  • Hoë SVE/Geheuegebruik: Gaan MDE-logboeke na om prosesse te identifiseer wat hoë gebruik kan veroorsaak. Hersien die gekonfigureerde uitsluitings. Optimaliseer skanderinginstellings (bv. skeduleer volledige skanderings vir buite-spitsure).
  • Konflik met ander sekuriteitsoplossings: As ander antivirus- of eindpuntsekuriteitsoplossings geïnstalleer is, kan dit konflikte veroorsaak. Microsoft beveel aan dat ander oplossings verwyder word voordat MDE geïnstalleer word.
  • Vals positiewe waarskuwings: As MDE baie vals positiewe waarskuwings genereer, ondersoek die aktiwiteit wat die waarskuwing veroorsaak het. Oorweeg dit om uitsluitings vir wettige prosesse of lêers by te voeg (met omsigtigheid) of om opsporingbeleide aan te pas.
  • Toestemmingskwessies (macOS): Op macOS, maak seker dat alle stelseluitbreidings en volle skyftoegangtoestemmings aan MDE toegestaan ​​is in Stelselvoorkeure > Sekuriteit en privaatheid.

Gevolgtrekking

Microsoft Defender for Endpoint bied 'n volgende-generasie eindpunt-sekuriteitsoplossing wat effektief uitbrei na Linux- en macOS-omgewings. Deur bedreigingbeskerming, opsporing en reaksie op 'n enkele platform te verenig, kan organisasies sekuriteitsbestuur vereenvoudig en hul houding teen kuberaanvalle oor hul hele tegnologiepark versterk. Versigtige implementering, toepaslike beleidkonfigurasie en deurlopende monitering is van kritieke belang om MDE-voordele te maksimeer. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om hul Linux- en macOS-eindpunte te beskerm, om te verseker dat tAlle toestelle, ongeag die bedryfstelsel, dra by tot 'n veiliger en veerkragtiger korporatiewe omgewing.

Verwysings:

[1] Microsoft Learn. Microsoft Defender vir eindpunt op Linux. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn. Microsoft Defender vir eindpunt op macOS. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn. Microsoft Defender vir Endpoint-lisensievereistes. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn. Voorvereistes vir Microsoft Defender vir Endpoint op Linux. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. EICAR-toetslêer. Beskikbaar by: https://www.eicar.org/download-anti-malware-testfile/