حماية نقاط نهاية Linux وmacOS باستخدام Microsoft Defender لنقطة النهاية

14/10/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في نشر وتكوين Microsoft Defender for Endpoint (MDE) على أنظمة التشغيل Linux وmacOS. في مشهد الشركات المتنوع بشكل متزايد، تتجاوز حماية نقطة النهاية بيئة Windows. تعمل MDE على توسيع قدراتها في الكشف عن التهديدات والاستجابة لها (EDR) لتشمل الأنظمة الأساسية التي لا تعمل بنظام Windows، مما يوفر رؤية موحدة للوضع الأمني ​​ودفاعًا قويًا ضد الهجمات الإلكترونية عبر مجمع التكنولوجيا الخاص بالمؤسسة [1].

مقدمة

أدى انتشار أجهزة Linux وmacOS في بيئات الشركات، مدفوعًا بالمطورين والمصممين وغيرهم من المتخصصين، إلى ظهور تحديات جديدة لفرق الأمان. وعلى الرغم من أن هذه الأنظمة غالبًا ما يُنظر إليها على أنها أقل عرضة للخطر، إلا أنها أصبحت أهدافًا متزايدة للهجمات المتطورة. تعد الحاجة إلى حل أمني لنقطة النهاية يشمل جميع الأنظمة الأساسية الرئيسية أمرًا بالغ الأهمية للحفاظ على وضع أمني ثابت وفعال. يعمل Microsoft Defender for Endpoint على سد هذه الفجوة من خلال توفير إمكانات الحماية والكشف والاستجابة المتقدمة لنظامي التشغيل Linux وmacOS، والتكامل بسلاسة مع بوابة Microsoft Defender XDR للإدارة المركزية [2].

سيغطي هذا الدليل العملي المتطلبات الأساسية، وعملية دمج أجهزة Linux وmacOS في MDE، وتكوين سياسات الأمان، وإدارة الاستثناءات، وإجراء اختبارات الكشف، والتحقق من صحة الحماية. سيتم توفير إرشادات خطوة بخطوة، مثل الأوامر والتعليمات الطرفية حتى يتمكن القارئ من نشر Microsoft Defender for Endpoint وإدارته في بيئات غير متجانسة، مما يعزز أمان نقاط النهاية الخاصة بها ويضمن الامتثال لسياسات أمان الشركة.

ما سبب أهمية Microsoft Defender for Endpoint لنظامي التشغيل Linux وmacOS؟

• الحماية الشاملة: توفر الجيل التالي من برامج مكافحة الفيروسات، واكتشاف نقاط النهاية والاستجابة لها (EDR)، وإدارة الثغرات الأمنية، وإمكانات التحكم في الوصول لنظامي التشغيل Linux وmacOS.
• الرؤية الموحدة: مركزية مراقبة الأمان وإدارة جميع نقاط النهاية (Windows وLinux وmacOS وAndroid وiOS) في بوابة Microsoft Defender XDR.
• الكشف المتقدم عن التهديدات: يستخدم معلومات التهديدات من Microsoft والتعلم الآلي لتحديد التهديدات المعقدة الخاصة بالنظام الأساسي والتخفيف منها.
• الاستجابة السريعة للحوادث: تمكن فرق الأمان من التحقيق في الحوادث الأمنية والاستجابة لها بسرعة وفعالية عبر جميع الأنظمة الأساسية.
• الامتثال والحوكمة: يساعد على ضمان امتثال جميع نقاط النهاية، بغض النظر عن نظام التشغيل، لسياسات ولوائح الأمان.
• تكامل النظام البيئي لـ Microsoft: يتكامل مع حلول Microsoft الأخرى، مثل Microsoft Sentinel وMicrosoft Intune، لتحقيق نهج أمني شامل.

المتطلبات الأساسية

لنشر Microsoft Defender for Endpoint على Linux وmacOS، ستحتاج إلى العناصر التالية:

1. الترخيص: تراخيص Microsoft Defender لنقطة النهاية (مثل Microsoft 365 E5، أو Microsoft 365 E3 مع الوظيفة الإضافية للأمان، أو ترخيص MDE المستقل) [3].
2. الوصول الإداري: حساب بدور مسؤول الأمان أو المسؤول العام في بوابة Microsoft Defender XDR (https://security.microsoft.com).
3. Root/Sudo Access: أذونات الجذر (Linux) أو sudo (macOS) على الأجهزة المستهدفة للتثبيت والتكوين.
4. الاتصال بالشبكة: يجب أن تتمتع الأجهزة بإمكانية الاتصال بنقاط نهاية خدمة MDE لإجراء تحديثات الاتصال والتعريف.
5. أنظمة التشغيل المدعومة: تحقق من وثائق Microsoft للحصول على إصدارات محددة من توزيعات Linux وmacOS المدعومة [4].

خطوة بخطوة: إعداد MDE وتكوينه على Linux وmacOS

دعونا نغطي عملية الإعداد والإعدادات الأساسية لكلا النظامين الأساسيين.

1. إعداد الجهاز في Microsoft Defender لنقطة النهاية

تتضمن عملية الإعداد الحصول على حزمة تكامل من بوابة Microsoft Defender XDR ونشرها على الأجهزة.

1. الوصول إلى بوابة Microsoft Defender Xالدكتور :

   • افتح المتصفح الخاص بك وانتقل إلى https://security.microsoft.com.
   • قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.

2. احصل على باقة الإعداد:

   • في جزء التنقل الأيمن، حدد الإعدادات > نقاط النهاية.
   • ضمن "إدارة الأجهزة"، حدد التكامل.
   • في القسم `1. حدد نظام التشغيل لبدء عملية التكامل، واختر "Linux Server" أو "macOS".
   • في القسم `2. حدد طريقة النشر، واختر "Local Script" للتثبيت اليدوي أو "أداة إدارة التكوين" (على سبيل المثال، Puppet، Ansible for Linux؛ Intune، JAMF لنظام التشغيل macOS) لعمليات النشر واسعة النطاق.
   • انقر على "تنزيل حزمة التكامل".

1.1. الإعداد في Linux (يدويًا)

1. ** متطلبات التثبيت **: تأكد من تثبيت الحزم المطلوبة. بالنسبة لمعظم التوزيعات، يتضمن ذلك curl أو wget أو gnupg أو apt-transport-https (Debian/Ubuntu) أو yum-utils (RHEL/CentOS). ``` باش # مثال لأوبونتو/ديبيان سودو الرابطة بين الحصول على التحديث sudo apt-get install -y curl wget apt-transport-https gnupg

   مثال لـ RHEL/CentOS

   sudo yum install -y curl wget yum-utils gnupg ```

2. إضافة مستودع Microsoft: يتيح لك ذلك تثبيت MDE باستخدام مدير الحزم الخاص بالتوزيع. ``` باش # مثال لأوبونتو/ديبيان wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg تثبيت Sudo -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg سودو الرابطة بين الحصول على التحديث

   مثال لـ RHEL/CentOS

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

3. تثبيت MDE: قم بتثبيت الحزمة mdatp. ``` باش # مثال لأوبونتو/ديبيان sudo apt-get install -y mdatp

   مثال لـ RHEL/CentOS

   Sudo yum install -y mdatp ```

4. تكوين MDE باستخدام حزمة Onboarding: انسخ ملف WindowsDefenderATPOnboardingPackage.zip الذي تم تنزيله إلى خادم Linux، ثم قم بفك ضغطه واستخدم البرنامج النصي للإعداد. ``` باش # انسخ ملف .zip إلى خادم Linux # scp WindowsDefenderATPOnboardingPackage.zip user@your_linux_server:~/

   قم بفك ضغط WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp العمليات عالية المستوى على متن الطائرة - المسار mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

5. التحقق من الحالة: تحقق مما إذا كان MDE قيد التشغيل ومجهزًا. باش صحة mdatp

1.2. الإعداد على نظام التشغيل macOS (يدويًا)

1. تثبيت MDE: انسخ ملف MicrosoftDefenderATPOnboardingPackage.zip الذي تم تنزيله إلى جهاز macOS الخاص بك. قم بفك ضغطه. ستجد ملف .pkg (على سبيل المثال: wdav.pkg).

2. تثبيت الحزمة: قم بتشغيل برنامج التثبيت .pkg. باش مثبت Sudo -pkg wdav.pkg -target /

   • اتبع التعليمات التي تظهر على الشاشة. ستحتاج إلى منح أذونات الوصول الكامل إلى القرص وأذونات امتداد النظام إلى MDE في "تفضيلات النظام" > "الأمان والخصوصية".

3. تكوين MDE باستخدام حزمة الإعداد: استخدم البرنامج النصي الخاص بالإعداد. باش # انسخ ملف .zip إلى جهاز Mac # قم بفك ضغط الملف المضغوط Sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

   • ملاحظة: قد يختلف المسار الدقيق لبرنامج الإعداد. تحقق من محتويات الملف .zip.

4. التحقق من الحالة: تحقق مما إذا كان MDE قيد التشغيل ومجهزًا. باش صحة mdatp

2. تكوين سياسات الأمان (Linux وmacOS)

يمكن إدارة سياسات الأمان لـ MDE على Linux وmacOS من خلال ملفات JSON (للنشر اليدوي/البرنامج النصي) أو من خلال أدوات مثل Intune وJAMF وPuppet وAnsible وما إلى ذلك.

دعونا نستخدم مثالاً للتكوين عبر ملف JSON للتحكم في مكافحة الفيروسات.

1. إنشاء ملف تكوين JSON: قم بإنشاء ملف mdatp_config.json بالإعدادات المطلوبة. json { "محرك مكافحة الفيروسات": { "ممكّن": صحيح، "المسح": { "الفحص السريع": { "ممكّن": صحيح، "الجدول الزمني": { "النوع": "يوميًا"، "الوقت": "02:00" } }, "المسح الكامل": { "ممكّن": خطأ } }, "حماية الوقت الحقيقي": { "ممكّن": صحيح، "scanOnAccess": صحيح، "scanOnModify": صحيح }, "الاستثناءات": [ { "المسار": "/فار/سجل"، "النوع": "الدليل" }, { "المسار": "/opt/app/data.db"، "النوع": "ملف" } ] }, "الخدمة السحابية": { "ممكّن": صحيح، "مستوى التشخيص": "كامل" } }

   • يتيح هذا المثال الحماية في الوقت الفعلي، ويقوم بتكوين فحص سريع يوميًا، ويعين الاستثناءات لدليل السجل وملف قاعدة البيانات.

2. تطبيق التكوين: استخدم الأمر mdatp config. باش مجموعة التكوين sudo mdatp --path mdatp_config.json

3. التحقق من التكوين المطبق: يمكنك التحقق من التكوينات النشطة. باش احصل على تكوين mdatp --json

نصائح للإدارة المركزية (Intune/JAMF)

• Microsoft Intune (macOS): بالنسبة إلى macOS، يعد Intune الأداة المفضلة لنشر MDE وإدارته. يمكنك إنشاء ملفات تعريف التكوين لنشر حزمة MDE وتكوين إعدادات الأمان (الحماية في الوقت الحقيقي، والاستثناءات، وما إلى ذلك).

• أدوات إدارة التكوين (Linux): بالنسبة لنظام التشغيل Linux، تُستخدم أدوات مثل Puppet أو Ansible أو Chef بشكل شائع لأتمتة نشر MDE على نطاق واسع وإدارة التكوين.

3. إدارة الاستثناءات

تعتبر الاستثناءات مهمة لتجنب التعارضات مع التطبيقات الشرعية أو لتحسين الأداء على الأنظمة ذات تحميل الإدخال/الإخراج العالي. ومع ذلك، يجب استخدامها بحذر لتجنب خلق ثغرات أمنية.

1. إضافة الاستثناء عبر سطر الأوامر (Linux/macOS): ``` باش # حذف ملف إضافة استبعاد sudo mdatp --path /path/to/file.log --type file

   حذف الدليل

   إضافة استبعاد Sudo mdatp --path /path/to/directory --type Directory

   حذف بالامتداد

   إضافة استبعاد Sudo mdatp --extension .tmp --type Extension ```

2. قائمة الاستثناءات: تحقق من الاستثناءات التي تم تكوينها. باش قائمة استبعاد mdatp

3. إزالة الاستثناءات: قم بإزالة الاستثناء إذا لم تعد هناك حاجة إليه. باش إزالة استبعاد sudo mdatp --path /path/to/file.log

التحقق والاختبار

يعد التحقق من صحة حماية MDE على Linux وmacOS أمرًا ضروريًا لضمان عمل الحل كما هو متوقع.

1. تحقق من الحالة في بوابة Microsoft Defender XDR

1. في بوابة Microsoft Defender XDR (https://security.microsoft.com)، انتقل إلى الأصول > الأجهزة.
2. تأكد من ظهور أجهزة Linux وmacOS المدمجة في القائمة وأن "الحالة الصحية" الخاصة بها هي "نشطة".
3. انقر على أحد الأجهزة لعرض تفاصيله، بما في ذلك "حالة الحماية" و"التوصيات الأمنية".

2. اختبار الكشف عن الفيروسات (EICAR)

استخدم ملف اختبار EICAR (المعهد الأوروبي لأبحاث مكافحة فيروسات الكمبيوتر) للتحقق مما إذا كان برنامج مكافحة الفيروسات الخاص بك يعمل بشكل صحيح.

1. إنشاء ملف EICAR: قم بإنشاء ملف نصي بالمحتوى الدقيق التالي (بدون مسافات إضافية أو فواصل أسطر): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

   • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
   • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

2. ملاحظة الاكتشاف: يجب على MDE اكتشاف ملف EICAR وحظره فورًا في حالة تمكين الحماية في الوقت الفعلي.

3. التحقق من وجود تنبيهات في بوابة MDE: في بوابة Microsoft Defender XDR، انتقل إلى الحوادث والتنبيهات > التنبيهات. من المفترض أن ترى تنبيهًا يتعلق باكتشاف EICAR على جهاز Linux/macOS.

3. اختبار اكتشاف EDR (محاكاة الهجوم)

توفر Microsoft البرامج النصيةste لمحاكاة سيناريوهات الهجوم والتحقق من وظيفة EDR الخاصة بـ MDE.

1. بالنسبة لنظام التشغيل Linux: قم بتنزيل البرنامج النصي لاختبار اكتشاف MDE لنظام التشغيل Linux وتشغيله. باش حليقة -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

2. بالنسبة لنظام التشغيل macOS: قم بتنزيل البرنامج النصي لاختبار اكتشاف MDE لنظام التشغيل macOS وتشغيله. باش حليقة -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

3. التحقق من التنبيهات في بوابة MDE: بعد تشغيل البرنامج النصي، تحقق من بوابة Microsoft Defender XDR ضمن الحوادث والتنبيهات > التنبيهات. من المفترض أن تشاهد التنبيهات المتعلقة بالأنشطة التي تمت محاكاتها، مثل "تم تنفيذ أمر مريب" أو "نشاط نص مشبوه".

نصائح أمنية وأفضل الممارسات

• الإدارة المركزية: استخدم أدوات إدارة التكوين (Intune وJAMF وPuppet وAnsible) لنشر وإدارة MDE على نطاق واسع، مما يضمن الاتساق في السياسات.
• حافظ على تحديث MDE: تأكد من تحديث تعريفات عميل MDE والأمان دائمًا لضمان الحماية ضد أحدث التهديدات.
• إدارة الاستثناءات بعناية: قم بمراجعة الاستثناءات وتقليلها لتجنب إنشاء ثغرات أمنية. توثيق جميع الاستثناءات ومبرراتها.
• تكامل SIEM/SOAR: دمج تنبيهات MDE مع معلومات الأمان وإدارة الأحداث (SIEM) أو تنسيق الأمان والأتمتة والاستجابة (SOAR)، مثل Microsoft Sentinel، لتحسين الرؤية والاستجابة للحوادث.
• المراقبة المستمرة: قم بمراقبة بوابة Microsoft Defender XDR بشكل نشط للحصول على تنبيهات وتوصيات أمنية لنقاط نهاية Linux وmacOS.
• تدريب المستخدم: تثقيف المستخدمين حول أهمية أمان نقطة النهاية وكيفية الإبلاغ عن الأنشطة المشبوهة.
• الحماية من العبث: على الرغم من أنها أكثر بروزًا على نظام التشغيل Windows، تأكد من وجود عناصر تحكم مكافئة لمنع المستخدمين الضارين من تعطيل إعدادات MDE أو تغييرها على Linux/macOS.

استكشاف الأخطاء وإصلاحها الشائعة

• لم يتم تثبيت/تشغيل MDE: تحقق من المتطلبات الأساسية (إصدار التوزيع/نظام التشغيل، الحزم المطلوبة). تحقق من سجلات التثبيت بحثًا عن الأخطاء. تأكد من صحة حزمة الإعداد وعدم انتهاء صلاحيتها. تحقق من اتصال الشبكة بنقاط نهاية Microsoft.
• لا يقوم MDE بإبلاغ البوابة الإلكترونية: تحقق من الأمر mdatp health بحثًا عن الحالة onboarded وhealthy. تأكد من أن الجهاز متصل بالإنترنت وخدمات MDE. تحقق من أي إعدادات وكيل أو جدار حماية قد تمنع الاتصال.
• الاستخدام العالي لوحدة المعالجة المركزية/الذاكرة: تحقق من سجلات MDE لتحديد العمليات التي قد تسبب الاستخدام العالي. قم بمراجعة الاستثناءات التي تم تكوينها. تحسين إعدادات الفحص (على سبيل المثال، جدولة عمليات الفحص الكاملة خارج ساعات الذروة).
• تعارضات مع حلول أمنية أخرى: إذا تم تثبيت حلول أخرى لمكافحة الفيروسات أو حلول أمان نقطة النهاية، فقد تتسبب في حدوث تعارضات. توصي Microsoft بإزالة الحلول الأخرى قبل تثبيت MDE.
• التنبيهات الإيجابية الكاذبة: إذا كان MDE يقوم بإنشاء العديد من التنبيهات الإيجابية الكاذبة، فتحقق من النشاط الذي أدى إلى تشغيل التنبيه. فكر في إضافة استثناءات للعمليات أو الملفات المشروعة (بحذر) أو تعديل سياسات الكشف.
• مشكلات الأذونات (macOS): في نظام macOS، تأكد من منح جميع ملحقات النظام وأذونات الوصول الكامل إلى القرص إلى MDE في تفضيلات النظام > الأمان والخصوصية.

الخلاصة

يقدم Microsoft Defender for Endpoint حل أمان نقطة النهاية من الجيل التالي والذي يمتد بشكل فعال إلى بيئات Linux وmacOS. ومن خلال توحيد الحماية من التهديدات واكتشافها والاستجابة لها على منصة واحدة، يمكن للمؤسسات تبسيط إدارة الأمن وتعزيز موقفها ضد الهجمات الإلكترونية عبر مجمعها التكنولوجي بأكمله. يعد التنفيذ الدقيق والتكوين المناسب للسياسات والمراقبة المستمرة أمرًا بالغ الأهمية لتعظيم فوائد MDE. باستخدام هذا الدليل العملي، سيكون متخصصو الأمن مجهزين تجهيزًا جيدًا لحماية نقاط نهاية Linux وmacOS الخاصة بهم، مما يضمنتساهم جميع الأجهزة، بغض النظر عن نظام التشغيل، في توفير بيئة مؤسسية أكثر أمانًا ومرونة.

---

المراجع:

[1] مايكروسوفت تعلم. Microsoft Defender لنقطة النهاية على Linux. متوفر على: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] مايكروسوفت تعلم. Microsoft Defender لنقطة النهاية على نظام التشغيل macOS. متوفر على: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] مايكروسوفت تعلم. Microsoft Defender لمتطلبات ترخيص نقطة النهاية. متوفر على: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] مايكروسوفت تعلم. المتطلبات الأساسية لبرنامج Microsoft Defender لنقطة النهاية على Linux. متوفر على: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prequirements [5] إيكار. ملف اختبار EICAR. متاح على: https://www.eicar.org/download-anti-malware-testfile/