Ochrana koncových bodů Linux a macOS pomocí programu Microsoft Defender for Endpoint

1. 1. 2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při nasazování a konfiguraci Microsoft Defender for Endpoint (MDE) na operačních systémech Linux a macOS. Ve stále rozmanitějším podnikovém prostředí přesahuje ochrana koncových bodů prostředí Windows. MDE rozšiřuje své schopnosti detekce hrozeb a odezvy (EDR) na platformy jiné než Windows, čímž poskytuje jednotný pohled na bezpečnostní pozici a robustní obranu proti kybernetickým útokům v rámci technologického parku organizace [1].

Úvod

Šíření zařízení se systémem Linux a macOS v podnikových prostředích, řízené vývojáři, designéry a dalšími profesionály, přineslo bezpečnostním týmům nové výzvy. Tyto systémy, i když jsou často vnímány jako méně zranitelné, jsou stále častěji terčem sofistikovaných útoků. Potřeba řešení zabezpečení koncových bodů, které pokrývá všechny hlavní platformy, je zásadní pro udržení konzistentního a efektivního zabezpečení. Microsoft Defender for Endpoint překlenuje tuto mezeru tím, že poskytuje pokročilé možnosti ochrany, detekce a odezvy pro Linux a macOS a bezproblémovou integraci s portálem Microsoft Defender XDR pro centralizovanou správu [2].

Tato praktická příručka pokryje předpoklady, proces začleňování zařízení Linux a macOS do MDE, konfiguraci zásad zabezpečení, správu výjimek, provádění testů detekce a ověřování ochrany. Budou poskytnuty podrobné pokyny, ukázkové příkazy terminálu a pokyny, aby čtenář mohl nasadit a spravovat Microsoft Defender for Endpoint v heterogenních prostředích, čímž posílí zabezpečení svých koncových bodů a zajistí soulad s firemními bezpečnostními zásadami.

Proč je Microsoft Defender pro Endpoint zásadní pro Linux a macOS?

• Komplexní ochrana: Poskytuje antivirus nové generace, detekci a odezvu koncových bodů (EDR), správu zranitelnosti a možnosti řízení přístupu pro Linux a macOS.
• Sjednocená viditelnost: Centralizuje monitorování a správu zabezpečení všech koncových bodů (Windows, Linux, macOS, Android, iOS) na portálu Microsoft Defender XDR.
• Pokročilá detekce hrozeb: Využívá inteligenci Microsoft hrozeb a strojové učení k identifikaci a zmírnění sofistikovaných hrozeb pro konkrétní platformy.
• Rychlá reakce na incidenty: Umožňuje bezpečnostním týmům rychle a efektivně vyšetřovat bezpečnostní incidenty a reagovat na ně na všech platformách.
• Soulad a řízení: Pomáhá zajistit, aby všechny koncové body, bez ohledu na operační systém, byly v souladu s bezpečnostními politikami a předpisy.
• Microsoft Ecosystem Integration: Integruje se s dalšími řešeními společnosti Microsoft, jako jsou Microsoft Sentinel a Microsoft Intune, pro holistický přístup k zabezpečení.

Předpoklady

Chcete-li nasadit Microsoft Defender for Endpoint na Linux a macOS, budete potřebovat následující položky:

1. Licencování: Licence Microsoft Defender pro koncové body (např. Microsoft 365 E5, Microsoft 365 E3 s doplňkem zabezpečení nebo samostatná licence MDE) [3].
2. Administrativní přístup: Účet s rolí „Správce zabezpečení“ nebo „Globální správce“ na portálu Microsoft Defender XDR („https://security.microsoft.com“).
3. Root/Sudo Access: Oprávnění root (Linux) nebo sudo (macOS) na cílových zařízeních pro instalaci a konfiguraci.
4. Síťová konektivita: Zařízení musí mít konektivitu ke koncovým bodům služby MDE pro komunikaci a aktualizace definic.
5. Podporované operační systémy: Konkrétní verze podporovaných distribucí Linuxu a macOS naleznete v dokumentaci společnosti Microsoft [4].

Krok za krokem: Přihlášení a konfigurace MDE v systémech Linux a macOS

Pojďme se podívat na proces onboardingu a základní nastavení pro obě platformy.

1. Začlenění zařízení do programu Microsoft Defender for Endpoint

Proces onboardingu zahrnuje získání integračního balíčku z portálu Microsoft Defender XDR a jeho nasazení do zařízení.

1. Přístup k portálu Microsoft Defender X PortalDR:

   • Otevřete prohlížeč a přejděte na https://security.microsoft.com.
   • Přihlaste se pomocí účtu, který má potřebná oprávnění.

2. Získejte vstupní balíček:

   • V levém navigačním podokně vyberte Nastavení > Koncové body.
   • V části Správa zařízení vyberte Integrace.
   • V části 1. Vyberte operační systém pro zahájení integračního procesu, zvolte Linux Server nebo macOS.
   • V části 2. Vyberte metodu nasazení, zvolte Local Script pro ruční instalaci nebo Configuration Management Tool (např. Puppet, Ansible pro Linux; Intune, JAMF pro macOS) pro rozsáhlá nasazení.
   • Klikněte na „Stáhnout integrační balíček“.

1.1. Registrace v Linuxu (ručně)

1. Předpoklady instalace: Ujistěte se, že jsou nainstalovány požadované balíčky. U většiny distribucí to zahrnuje curl, wget, gnupg, apt-transport-https (Debian/Ubuntu) nebo yum-utils (RHEL/CentOS). ``` bash # Příklad pro Ubuntu/Debian aktualizace sudo apt-get sudo apt-get install -y curl wget apt-transport-https gnupg

   Příklad pro RHEL/CentOS

   sudo yum install -y curl wget yum-utils gnupg ```

2. Přidat úložiště Microsoft: To vám umožní nainstalovat MDE pomocí správce balíčků vaší distribuce. ``` bash # Příklad pro Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg sudo install -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg aktualizace sudo apt-get

   Příklad pro RHEL/CentOS

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

3. Instalovat MDE: Nainstalujte balíček mdatp. ``` bash # Příklad pro Ubuntu/Debian sudo apt-get install -y mdatp

   Příklad pro RHEL/CentOS

   sudo yum install -y mdatp ```

4. Nakonfigurujte MDE pomocí balíčku Onboarding Package: Zkopírujte stažený soubor WindowsDefenderATPOnboardingPackage.zip na server Linux, rozbalte jej a použijte onboarding skript. ``` bash # Zkopírujte soubor .zip na server Linux # scp WindowsDefenderATPOnboardingPackage.zip uživatel@váš_linuxový_server:~/

   rozbalte balíček WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp operace na vysoké úrovni na desce --cesta mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

5. Check Status: Zkontrolujte, zda je MDE spuštěné a nainstalované. bash zdraví mdatp

1.2. Registrace v systému macOS (ručně)

1. Nainstalujte MDE: Zkopírujte stažený soubor MicrosoftDefenderATPOnboardingPackage.zip do svého zařízení macOS. Rozepněte jej. Najdete soubor .pkg (např.: wdav.pkg).

2. Instalujte balíček: Spusťte instalační program .pkg. bash sudo instalační program -pkg wdav.pkg -target /

   • Postupujte podle pokynů na obrazovce. Budete muset udělit oprávnění k úplnému přístupu k disku a oprávnění k rozšíření systému MDE v Předvolby systému > Zabezpečení a soukromí.

3. Nakonfigurujte MDE s balíčkem Onboarding: Použijte onboarding skript. bash # Zkopírujte soubor .zip na Mac # Rozbalte soubor .zip sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

   • Poznámka: Přesná cesta k onboarding skriptu se může lišit. Zkontrolujte obsah souboru .zip.

4. Check Status: Zkontrolujte, zda je MDE spuštěné a nainstalované. bash zdraví mdatp

2. Konfigurace zásad zabezpečení (Linux a macOS)

Zásady zabezpečení pro MDE na Linuxu a macOS lze spravovat prostřednictvím souborů JSON (pro ruční/scriptové nasazení) nebo pomocí nástrojů jako Intune, JAMF, Puppet, Ansible atd.

Pro antivirovou kontrolu použijeme příklad konfigurace přes soubor JSON.

1. Vytvořte konfigurační soubor JSON: Vytvořte soubor mdatp_config.json s požadovanými nastaveními. json { "antivirusEngine": { "povoleno": true, "skenuje": { "quickScan": { "povoleno": true, "plán": { "type": "denně", "time": "02:00" } }, "fullScan": { "povoleno": nepravda } }, "realTimeProtection": { "povoleno": true, "scanOnAccess": true, "scanOnModify": pravda }, "výjimky": [ { "path": "/var/log", "type": "adresář" }, { "path": "/opt/app/data.db", "type": "soubor" } ] }, "cloudService": { "povoleno": true, "diagnosticLevel": "plné" } }

   • Tento příklad umožňuje ochranu v reálném čase, konfiguruje denní rychlou kontrolu a nastavuje výjimky pro adresář protokolu a databázový soubor.

2. Použijte konfiguraci: Použijte příkaz mdatp config. bash sudo mdatp konfigurační sada --path mdatp_config.json

3. Zkontrolujte použitou konfiguraci: Můžete zkontrolovat aktivní konfigurace. bash mdatp config get --json

Tipy pro centralizovanou správu (Intune/JAMF)

• Microsoft Intune (macOS): Pro macOS je Intune preferovaným nástrojem pro nasazení a správu MDE. Můžete vytvořit konfigurační profily pro nasazení balíčku MDE a nakonfigurovat nastavení zabezpečení (ochrana v reálném čase, výjimky atd.).

• ** Nástroje pro správu konfigurace (Linux)**: Pro Linux se běžně používají nástroje jako Puppet, Ansible nebo Chef k automatizaci rozsáhlého nasazení a správy konfigurace MDE.

3. Správa výjimek

Výjimky jsou důležité, aby se předešlo konfliktům s legitimními aplikacemi nebo aby se zlepšil výkon v systémech s vysokou I/O zátěží. Je však nutné je používat opatrně, aby nevznikly bezpečnostní mezery.

1. Přidat vyloučení pomocí příkazového řádku (Linux/macOS): ``` bash # Smazat soubor sudo mdatp vyloučení přidat --cesta /cesta/k/souboru.log --typ souboru

   Smazat adresář

   sudo mdatp vyloučení přidat --cesta /cesta/k/adresáři --typ adresáře

   Smazat podle přípony

   sudo mdatp vyloučení add --extension .tmp --type extension ```

2. Seznam vyloučení: Zkontrolujte nakonfigurovaná vyloučení. bash seznam vyloučení mdatp

3. Remove Exclusions: Odstraňte vyloučení, pokud již není potřeba. bash sudo vyloučení mdatp remove --path /cesta/k/souboru.log

Validace a testování

Ověření ochrany MDE v systémech Linux a macOS je nezbytné, aby řešení fungovalo podle očekávání.

1. Zkontrolujte stav na portálu Microsoft Defender XDR Portal

1. Na portálu Microsoft Defender XDR (https://security.microsoft.com) přejděte na Assets > Devices.
2. Ověřte, že se integrovaná zařízení Linux a macOS zobrazují v seznamu a že jejich „Stav zdraví“ je „Aktivní“.
3. Kliknutím na zařízení zobrazíte jeho podrobnosti, včetně „Stav ochrany“ a „Doporučení zabezpečení“.

2. Antivirový detekční test (EICAR)

Pomocí testovacího souboru EICAR (European Institute for Computer Antivirus Research) zkontrolujte, zda váš antivirus funguje správně.

1. Vygenerujte soubor EICAR: Vytvořte textový soubor s následujícím přesným obsahem (bez dalších mezer nebo zalomení řádků): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDNÍ-ANTIVIROVÝ-TESTOVACÍ SOUBOR!$H+H*

   • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
   • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

2. Observe Detection: MDE by mělo okamžitě detekovat a zablokovat soubor EICAR, pokud je povolena ochrana v reálném čase.

3. Kontrola výstrah na portálu MDE: Na portálu Microsoft Defender XDR přejděte na Incidents and Alerts > Upozornění. Na zařízení se systémem Linux/macOS by se mělo zobrazit upozornění související s detekcí EICAR.

3. Test detekce EDR (simulace útoku)

Microsoft poskytuje skriptyste k simulaci scénářů útoku a ověření funkčnosti EDR MDE.

1. Pro Linux: Stáhněte a spusťte testovací skript detekce MDE pro Linux. bash curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

2. Pro macOS: Stáhněte a spusťte testovací skript detekce MDE pro macOS. bash curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

3. Zkontrolujte výstrahy na portálu MDE: Po spuštění skriptu zkontrolujte portál Microsoft Defender XDR v části Incidents & Alerts > Upozornění. Měli byste vidět výstrahy související se simulovanými aktivitami, jako je Proveden podezřelý příkaz nebo Podezřelá aktivita skriptu.

Bezpečnostní tipy a doporučené postupy

• Centralizovaná správa: Použijte nástroje pro správu konfigurace (Intune, JAMF, Puppet, Ansible) k nasazení a správě MDE ve velkém měřítku, čímž zajistíte konzistenci politik.
• Udržujte MDE aktualizované: Zajistěte, aby váš klient MDE a definice zabezpečení byly vždy aktuální, aby byla zajištěna ochrana před nejnovějšími hrozbami.
• Opatrně spravujte výjimky: Zkontrolujte a minimalizujte výjimky, abyste předešli vytváření mezer v zabezpečení. Zdokumentujte všechna vyloučení a jejich zdůvodnění.
• Integrace SIEM/SOAR: Integrujte výstrahy MDE s vaší správou bezpečnostních informací a událostí (SIEM) nebo Security Orchestration, Automation, and Response (SOAR), jako je Microsoft Sentinel, pro lepší viditelnost a odezvu na incidenty.
• Nepřetržité monitorování: Aktivně sledujte na portálu Microsoft Defender XDR bezpečnostní upozornění a doporučení pro vaše koncové body Linux a macOS.
• Školení uživatelů: Poučte uživatele o důležitosti zabezpečení koncových bodů a o tom, jak hlásit podezřelou aktivitu.
• Ochrana před neoprávněným zásahem: Přestože je ve Windows výraznější, zajistěte, aby existovaly ekvivalentní ovládací prvky, které zabrání uživatelům se zlými úmysly zakázat nebo změnit nastavení MDE na Linuxu/macOS.

Běžné odstraňování problémů

• MDE se nenainstaluje/nezabuduje: Zkontrolujte předpoklady (distribuce/verze operačního systému, požadované balíčky). Zkontrolujte protokoly instalace, zda neobsahují chyby. Ujistěte se, že vstupní balíček je správný a nevypršela platnost. Ověřte síťové připojení ke koncovým bodům Microsoftu.
• MDE se nehlásí na portál: Zkontrolujte v příkazu mdatp health stav onboarded a zdravý. Ověřte, že je zařízení připojeno k internetu a službám MDE. Zkontrolujte všechna nastavení proxy nebo brány firewall, která mohou blokovat komunikaci.
• Vysoké využití CPU/paměti: Zkontrolujte protokoly MDE a identifikujte procesy, které mohou způsobovat vysoké využití. Zkontrolujte nakonfigurovaná vyloučení. Optimalizujte nastavení kontroly (např. naplánujte úplné kontroly na hodiny mimo špičku).
• Konflikty s jinými řešeními zabezpečení: Pokud jsou nainstalovány jiné antiviry nebo řešení zabezpečení koncových bodů, mohou způsobit konflikty. Společnost Microsoft doporučuje před instalací MDE odebrat jiná řešení.
• Falešně pozitivní výstrahy: Pokud MDE generuje mnoho falešně pozitivních výstrah, prozkoumejte aktivitu, která výstrahu spustila. Zvažte přidání výjimek pro legitimní procesy nebo soubory (opatrně) nebo úpravu zásad detekce.
• Problémy s oprávněním (macOS): V systému macOS se ujistěte, že všechna systémová rozšíření a oprávnění k úplnému přístupu k disku byla udělena MDE v Předvolby systému > Zabezpečení a soukromí.

Závěr

Microsoft Defender for Endpoint nabízí řešení zabezpečení koncových bodů nové generace, které se efektivně rozšiřuje na prostředí Linux a macOS. Sjednocením ochrany, detekce a reakce na hrozby na jediné platformě mohou organizace zjednodušit správu zabezpečení a posílit svou pozici proti kybernetickým útokům v celém svém technologickém parku. Pečlivá implementace, vhodná konfigurace zásad a průběžné monitorování jsou zásadní pro maximalizaci výhod MDE. S tímto praktickým průvodcem budou bezpečnostní profesionálové dobře vybaveni k ochraně svých koncových bodů Linux a macOS, což zajistíVšechna zařízení, bez ohledu na operační systém, přispívají k bezpečnějšímu a odolnějšímu podnikovému prostředí.

---

Reference:

[1] Microsoft Learn. Microsoft Defender for Endpoint na Linuxu. Dostupné na: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn. Microsoft Defender for Endpoint na macOS. Dostupné na: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn. Požadavky na licencování programu Microsoft Defender for Endpoint. Dostupné na: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn. Předpoklady pro Microsoft Defender for Endpoint na Linuxu. Dostupné na: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prequires [5] EICAR. Testovací soubor EICAR. Dostupné na: https://www.eicar.org/download-anti-malware-testfile/