Protegendo Endpoints Linux e macOS com o Microsoft Defender for Endpoint

14/10/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na implantação e configuração do Microsoft Defender for Endpoint (MDE) em sistemas operacionais Linux e macOS. Em um cenário corporativo cada vez mais diversificado, a proteção de endpoints vai além do ambiente Windows. O MDE estende sua capacidade de detecção e resposta a ameaças (EDR) para plataformas não-Windows, oferecendo uma visão unificada da postura de segurança e uma defesa robusta contra ataques cibernéticos em todo o parque tecnológico da organização [1].

Introdução

A proliferação de dispositivos Linux e macOS em ambientes corporativos, impulsionada por desenvolvedores, designers e outros profissionais, trouxe novos desafios para as equipes de segurança. Esses sistemas, embora frequentemente percebidos como menos vulneráveis, são alvos crescentes de ataques sofisticados. A necessidade de uma solução de segurança de endpoint que abranja todas as plataformas principais é fundamental para manter uma postura de segurança consistente e eficaz. O Microsoft Defender for Endpoint preenche essa lacuna, fornecendo recursos avançados de proteção, detecção e resposta para Linux e macOS, integrando-se perfeitamente com o portal do Microsoft Defender XDR para gerenciamento centralizado [2].

Este guia prático abordará os pré-requisitos, o processo de onboarding de dispositivos Linux e macOS no MDE, a configuração de políticas de segurança, a gestão de exclusões, a realização de testes de detecção e a validação da proteção. Serão fornecidas instruções passo a passo, exemplos de comandos de terminal e para que o leitor possa implementar e gerenciar o Microsoft Defender for Endpoint em ambientes heterogêneos, fortalecendo a segurança de seus endpoints e garantindo a conformidade com as políticas de segurança corporativas.

Por que o Microsoft Defender for Endpoint é crucial para Linux e macOS?

• Proteção Abrangente: Oferece recursos de antivírus de próxima geração, detecção e resposta de endpoint (EDR), gerenciamento de vulnerabilidades e controle de acesso para Linux e macOS.
• Visibilidade Unificada: Centraliza o monitoramento e gerenciamento de segurança de todos os endpoints (Windows, Linux, macOS, Android, iOS) no portal do Microsoft Defender XDR.
• Detecção Avançada de Ameaças: Utiliza inteligência de ameaças da Microsoft e aprendizado de máquina para identificar e mitigar ameaças sofisticadas específicas para cada plataforma.
• Resposta Rápida a Incidentes: Permite que as equipes de segurança investiguem e respondam a incidentes de segurança de forma rápida e eficaz em todas as plataformas.
• Conformidade e Governança: Ajuda a garantir que todos os endpoints, independentemente do sistema operacional, estejam em conformidade com as políticas de segurança e regulamentações.
• Integração com o Ecossistema Microsoft: Integra-se com outras soluções da Microsoft, como Microsoft Sentinel e Microsoft Intune, para uma abordagem de segurança holística.

Pré-requisitos

Para implantar o Microsoft Defender for Endpoint em Linux e macOS, você precisará dos seguintes itens:

1. Licenciamento: Licenças do Microsoft Defender for Endpoint (ex: Microsoft 365 E5, Microsoft 365 E3 com complemento de segurança, ou licença autônoma do MDE) [3].
2. Acesso Administrativo: Uma conta com a função de Administrador de Segurança ou Administrador Global no portal do Microsoft Defender XDR (https://security.microsoft.com).
3. Acesso de Root/Sudo: Permissões de root (Linux) ou sudo (macOS) nos dispositivos de destino para instalação e configuração.
4. Conectividade de Rede: Os dispositivos devem ter conectividade com os endpoints de serviço do MDE para comunicação e atualização de definições.
5. Sistemas Operacionais Suportados: Verifique a documentação da Microsoft para as versões específicas de distribuições Linux e macOS suportadas [4].

Passo a Passo: Onboarding e Configuração do MDE em Linux e macOS

Vamos abordar o processo de onboarding e as configurações básicas para ambas as plataformas.

1. Onboarding de Dispositivos no Microsoft Defender for Endpoint

O processo de onboarding envolve a obtenção de um pacote de integração do portal do Microsoft Defender XDR e sua implantação nos dispositivos.

1. Acessar o Portal do Microsoft Defender XDR:

   • Abra seu navegador e navegue até https://security.microsoft.com.
   • Faça login com uma conta que tenha as permissões necessárias.

2. Obter o Pacote de Onboarding:

   • No painel de navegação esquerdo, selecione Configurações > Endpoints.
   • Em Gerenciamento de dispositivos, selecione Integração.
   • Na seção 1. Selecione o sistema operacional para iniciar o processo de integração, escolha Linux Server ou macOS.
   • Na seção 2. Selecione o método de implantação, escolha Script local para uma instalação manual ou Ferramenta de gerenciamento de configuração (ex: Puppet, Ansible para Linux; Intune, JAMF para macOS) para implantações em larga escala.
   • Clique em Baixar pacote de integração.

1.1. Onboarding em Linux (Manual)

1. Instalar Pré-requisitos: Certifique-se de que os pacotes necessários estejam instalados. Para a maioria das distribuições, isso inclui curl, wget, gnupg, apt-transport-https (Debian/Ubuntu) ou yum-utils (RHEL/CentOS). ```bash # Exemplo para Ubuntu/Debian sudo apt-get update sudo apt-get install -y curl wget apt-transport-https gnupg

   Exemplo para RHEL/CentOS

   sudo yum install -y curl wget yum-utils gnupg ```

2. Adicionar o repositório da Microsoft: Isso permite que você instale o MDE usando o gerenciador de pacotes da sua distribuição. ```bash # Exemplo para Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg sudo install -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg sudo apt-get update

   Exemplo para RHEL/CentOS

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

3. Instalar o MDE: Instale o pacote mdatp. ```bash # Exemplo para Ubuntu/Debian sudo apt-get install -y mdatp

   Exemplo para RHEL/CentOS

   sudo yum install -y mdatp ```

4. Configurar o MDE com o Pacote de Onboarding: Copie o arquivo WindowsDefenderATPOnboardingPackage.zip baixado para o servidor Linux, descompacte-o e use o script de onboarding. ```bash # Copie o arquivo .zip para o servidor Linux # scp WindowsDefenderATPOnboardingPackage.zip user@your_linux_server:~/

   unzip WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp high-level-operations onboard --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

5. Verificar o Status: Verifique se o MDE está em execução e onboarded. bash mdatp health

1.2. Onboarding em macOS (Manual)

1. Instalar o MDE: Copie o arquivo MicrosoftDefenderATPOnboardingPackage.zip baixado para o dispositivo macOS. Descompacte-o. Você encontrará um arquivo .pkg (ex: wdav.pkg).

2. Instalar o Pacote: Execute o instalador .pkg. bash sudo installer -pkg wdav.pkg -target /

   • Siga as instruções na tela. Você precisará conceder permissões de acesso total ao disco e permissões de extensão de sistema para o MDE nas Preferências do Sistema > Segurança e Privacidade.

3. Configurar o MDE com o Pacote de Onboarding: Use o script de onboarding. bash # Copie o arquivo .zip para o Mac # Descompacte o arquivo .zip sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

   • Nota: O caminho exato para o script de onboarding pode variar. Verifique o conteúdo do arquivo .zip.

4. Verificar o Status: Verifique se o MDE está em execução e onboarded. bash mdatp health

2. Configurando Políticas de Segurança (Linux e macOS)

As políticas de segurança para MDE em Linux e macOS podem ser gerenciadas através de arquivos JSON (para implantação manual/script) ou por ferramentas como Intune, JAMF, Puppet, Ansible, etc.

Vamos usar um exemplo de configuração via arquivo JSON para controle de antivírus.

1. Criar um arquivo de configuração JSON: Crie um arquivo mdatp_config.json com as configurações desejadas. json { "antivirusEngine": { "enabled": true, "scans": { "quickScan": { "enabled": true, "schedule": { "type": "daily", "time": "02:00" } }, "fullScan": { "enabled": false } }, "realTimeProtection": { "enabled": true, "scanOnAccess": true, "scanOnModify": true }, "exclusions": [ { "path": "/var/log", "type": "directory" }, { "path": "/opt/app/data.db", "type": "file" } ] }, "cloudService": { "enabled": true, "diagnosticLevel": "full" } }

   • Este exemplo habilita a proteção em tempo real, configura uma verificação rápida diária e define exclusões para um diretório de log e um arquivo de banco de dados.

2. Aplicar a configuração: Use o comando mdatp config. bash sudo mdatp config set --path mdatp_config.json

3. Verificar a configuração aplicada: Você pode verificar as configurações ativas. bash mdatp config get --json

Dicas para Gerenciamento Centralizado (Intune/JAMF)

• Microsoft Intune (macOS): Para macOS, o Intune é a ferramenta preferencial para implantar e gerenciar o MDE. Você pode criar perfis de configuração para implantar o pacote do MDE e definir as configurações de segurança (proteção em tempo real, exclusões, etc.).

• Ferramentas de Gerenciamento de Configuração (Linux): Para Linux, ferramentas como Puppet, Ansible ou Chef são comumente usadas para automatizar a implantação e o gerenciamento de configurações do MDE em larga escala.

3. Gerenciando Exclusões

Exclusões são importantes para evitar conflitos com aplicações legítimas ou para melhorar o desempenho em sistemas com alta carga de I/O. No entanto, devem ser usadas com cautela para não criar lacunas de segurança.

1. Adicionar Exclusão via Linha de Comando (Linux/macOS): ```bash # Excluir um arquivo sudo mdatp exclusion add --path /path/to/file.log --type file

   Excluir um diretório

   sudo mdatp exclusion add --path /path/to/directory --type directory

   Excluir por extensão

   sudo mdatp exclusion add --extension .tmp --type extension ```

2. Listar Exclusões: Verifique as exclusões configuradas. bash mdatp exclusion list

3. Remover Exclusões: Remova uma exclusão se não for mais necessária. bash sudo mdatp exclusion remove --path /path/to/file.log

Validação e Teste

Validar a proteção do MDE em Linux e macOS é essencial para garantir que a solução está funcionando conforme o esperado.

1. Verificação de Status no Portal do Microsoft Defender XDR

1. No portal do Microsoft Defender XDR (https://security.microsoft.com), navegue até Ativos > Dispositivos.
2. Verifique se os dispositivos Linux e macOS onboarded aparecem na lista e se seu Status de integridade é Ativo.
3. Clique em um dispositivo para ver seus detalhes, incluindo Status de proteção e Recomendações de segurança.

2. Teste de Detecção de Antivírus (EICAR)

Use o arquivo de teste EICAR (European Institute for Computer Antivirus Research) para verificar se o antivírus está funcionando corretamente.

1. Gerar o arquivo EICAR: Crie um arquivo de texto com o seguinte conteúdo exato (sem espaços extras ou quebras de linha): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

   • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
   • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

2. Observar a Detecção: O MDE deve detectar e bloquear o arquivo EICAR imediatamente, se a proteção em tempo real estiver ativada.

3. Verificar Alertas no Portal do MDE: No portal do Microsoft Defender XDR, navegue até Incidentes e alertas > Alertas. Você deve ver um alerta relacionado à detecção do EICAR no dispositivo Linux/macOS.

3. Teste de Detecção EDR (Simulação de Ataque)

A Microsoft fornece scripts de teste para simular cenários de ataque e verificar a funcionalidade EDR do MDE.

1. Para Linux: Baixe e execute o script de teste de detecção do MDE para Linux. bash curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

2. Para macOS: Baixe e execute o script de teste de detecção do MDE para macOS. bash curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

3. Verificar Alertas no Portal do MDE: Após a execução do script, verifique o portal do Microsoft Defender XDR em Incidentes e alertas > Alertas. Você deve ver alertas relacionados às atividades simuladas, como Comando suspeito executado ou Atividade de script suspeita.

Dicas de Segurança e Melhores Práticas

• Gerenciamento Centralizado: Utilize ferramentas de gerenciamento de configuração (Intune, JAMF, Puppet, Ansible) para implantar e gerenciar o MDE em larga escala, garantindo consistência nas políticas.
• Mantenha o MDE Atualizado: Certifique-se de que o cliente do MDE e as definições de segurança estejam sempre atualizados para garantir a proteção contra as ameaças mais recentes.
• Gerencie Exclusões com Cautela: Revise e minimize as exclusões para evitar a criação de lacunas de segurança. Documente todas as exclusões e suas justificativas.
• Integração com SIEM/SOAR: Integre os alertas do MDE com seu SIEM (Security Information and Event Management) ou SOAR (Security Orchestration, Automation, and Response), como o Microsoft Sentinel, para uma visibilidade e resposta a incidentes aprimoradas.
• Monitoramento Contínuo: Monitore ativamente o portal do Microsoft Defender XDR para alertas e recomendações de segurança para seus endpoints Linux e macOS.
• Treinamento de Usuários: Eduque os usuários sobre a importância da segurança de endpoints e como relatar atividades suspeitas.
• Proteção contra Adulteração (Tamper Protection): Embora mais proeminente no Windows, verifique se existem controles equivalentes para impedir que usuários mal-intencionados desabilitem ou alterem as configurações do MDE em Linux/macOS.

Troubleshooting Comum

• MDE não instala/onboarda: Verifique os pré-requisitos (distribuição/versão do SO, pacotes necessários). Verifique os logs de instalação para erros. Certifique-se de que o pacote de onboarding está correto e não expirou. Verifique a conectividade de rede para os endpoints da Microsoft.
• MDE não reporta ao portal: Verifique o comando mdatp health para o status de onboarded e healthy. Confirme se o dispositivo tem conectividade com a internet e com os serviços do MDE. Verifique as configurações de proxy ou firewall que possam estar bloqueando a comunicação.
• Alto uso de CPU/Memória: Verifique os logs do MDE para identificar processos que podem estar causando o alto uso. Revise as exclusões configuradas. Otimize as configurações de verificação (ex: agende verificações completas para fora do horário de pico).
• Conflitos com Outras Soluções de Segurança: Se houver outras soluções antivírus ou de segurança de endpoint instaladas, elas podem causar conflitos. A Microsoft recomenda remover outras soluções antes de instalar o MDE.
• Alertas falsos positivos: Se o MDE estiver gerando muitos alertas falsos positivos, investigue a atividade que acionou o alerta. Considere adicionar exclusões para processos ou arquivos legítimos (com cautela) ou ajustar as políticas de detecção.
• Problemas de Permissão (macOS): No macOS, certifique-se de que todas as extensões do sistema e permissões de acesso total ao disco foram concedidas ao MDE nas Preferências do Sistema > Segurança e Privacidade.

Conclusão

O Microsoft Defender for Endpoint oferece uma solução de segurança de endpoint de última geração que se estende de forma eficaz para ambientes Linux e macOS. Ao unificar a proteção, detecção e resposta a ameaças em uma única plataforma, as organizações podem simplificar o gerenciamento de segurança e fortalecer sua postura contra ataques cibernéticos em todo o seu parque tecnológico. A implementação cuidadosa, a configuração adequada de políticas e o monitoramento contínuo são fundamentais para maximizar os benefícios do MDE. Com este guia prático, os profissionais de segurança estarão bem equipados para proteger seus endpoints Linux e macOS, garantindo que todos os dispositivos, independentemente do sistema operacional, contribuam para um ambiente corporativo mais seguro e resiliente.

Referências:

[1] Microsoft Learn. Microsoft Defender for Endpoint no Linux. Disponível em: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn. Microsoft Defender for Endpoint no macOS. Disponível em: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn. Requisitos de licenciamento do Microsoft Defender for Endpoint. Disponível em: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn. Pré-requisitos do Microsoft Defender for Endpoint no Linux. Disponível em: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. EICAR Test File. Disponível em: https://www.eicar.org/download-anti-malware-testfile/