Schutz von Linux- und macOS-Endpunkten mit Microsoft Defender for Endpoint

Schutz von Linux- und macOS-Endpunkten mit Microsoft Defender for Endpoint

14.10.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Bereitstellung und Konfiguration von Microsoft Defender für Endpoint (MDE) auf Linux- und macOS-Betriebssystemen unterstützen. In einer zunehmend vielfältigen Unternehmenslandschaft geht der Endpoint-Schutz über die Windows-Umgebung hinaus. MDE erweitert seine Funktionen zur Bedrohungserkennung und -reaktion (EDR) auf Nicht-Windows-Plattformen und bietet so einen einheitlichen Überblick über die Sicherheitslage und eine robuste Abwehr von Cyberangriffen im gesamten Technologiepark eines Unternehmens [1].

Einführung

Die von Entwicklern, Designern und anderen Fachleuten vorangetriebene Verbreitung von Linux- und macOS-Geräten in Unternehmensumgebungen hat Sicherheitsteams vor neue Herausforderungen gestellt. Obwohl diese Systeme oft als weniger anfällig gelten, werden sie zunehmend zum Ziel raffinierter Angriffe. Der Bedarf an einer Endpunkt-Sicherheitslösung, die alle wichtigen Plattformen umfasst, ist für die Aufrechterhaltung einer konsistenten und effektiven Sicherheitslage von entscheidender Bedeutung. Microsoft Defender für Endpoint schließt diese Lücke, indem es erweiterte Schutz-, Erkennungs- und Reaktionsfunktionen für Linux und macOS bereitstellt und sich nahtlos in das Microsoft Defender XDR-Portal für eine zentrale Verwaltung integriert [2].

Dieser praktische Leitfaden behandelt die Voraussetzungen, den Prozess der Integration von Linux- und macOS-Geräten in MDE, die Konfiguration von Sicherheitsrichtlinien, die Verwaltung von Ausschlüssen, die Durchführung von Erkennungstests und die Validierung des Schutzes. Es werden Schritt-für-Schritt-Anleitungen, Beispiel-Terminalbefehle und Anweisungen bereitgestellt, damit der Leser Microsoft Defender für Endpoint in heterogenen Umgebungen bereitstellen und verwalten kann, wodurch die Sicherheit seiner Endpunkte gestärkt und die Einhaltung der Sicherheitsrichtlinien des Unternehmens sichergestellt wird.

Warum ist Microsoft Defender für Endpoint für Linux und macOS von entscheidender Bedeutung?

  • Umfassender Schutz: Bietet Antiviren-, Endpoint Detection and Response (EDR)-, Schwachstellenmanagement- und Zugriffskontrollfunktionen der nächsten Generation für Linux und macOS.
  • Einheitliche Sichtbarkeit: Zentralisiert die Sicherheitsüberwachung und -verwaltung aller Endpunkte (Windows, Linux, macOS, Android, iOS) im Microsoft Defender XDR-Portal.
  • Erweiterte Bedrohungserkennung: Nutzt Bedrohungsinformationen und maschinelles Lernen von Microsoft, um komplexe, plattformspezifische Bedrohungen zu identifizieren und abzuwehren.
  • Schnelle Reaktion auf Vorfälle: Ermöglicht Sicherheitsteams die schnelle und effektive Untersuchung und Reaktion auf Sicherheitsvorfälle auf allen Plattformen.
  • Compliance und Governance: Trägt dazu bei, sicherzustellen, dass alle Endpunkte, unabhängig vom Betriebssystem, den Sicherheitsrichtlinien und -vorschriften entsprechen.
  • Microsoft Ecosystem Integration: Integriert sich in andere Microsoft-Lösungen wie Microsoft Sentinel und Microsoft Intune für einen ganzheitlichen Sicherheitsansatz.

Voraussetzungen

Um Microsoft Defender für Endpoint unter Linux und macOS bereitzustellen, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Microsoft Defender für Endpoint-Lizenzen (z. B. Microsoft 365 E5, Microsoft 365 E3 mit Sicherheits-Add-on oder MDE-Standalone-Lizenz) [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Sicherheitsadministrator“ oder „Globaler Administrator“ im Microsoft Defender XDR-Portal („https://security.microsoft.com“).
  3. Root/Sudo-Zugriff: Root- (Linux) oder Sudo- (macOS) Berechtigungen auf Zielgeräten für Installation und Konfiguration.
  4. Netzwerkkonnektivität: Geräte müssen für Kommunikation und Definitionsaktualisierungen über Konnektivität zu MDE-Dienstendpunkten verfügen.
  5. Unterstützte Betriebssysteme: Überprüfen Sie die Microsoft-Dokumentation auf bestimmte Versionen unterstützter Linux- und macOS-Distributionen [4].

Schritt für Schritt: Onboarding und Konfiguration von MDE unter Linux und macOS

Lassen Sie uns den Onboarding-Prozess und die Grundeinstellungen für beide Plattformen behandeln.

1. Geräte-Onboarding in Microsoft Defender für Endpoint

Der Onboarding-Prozess umfasst den Erwerb eines Integrationspakets vom Microsoft Defender XDR-Portal und dessen Bereitstellung auf Geräten.

  1. Greifen Sie auf das Microsoft Defender X-Portal zuDR:

    • Öffnen Sie Ihren Browser und navigieren Sie zu „https://security.microsoft.com“.
    • Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.

  2. Holen Sie sich das Onboarding-Paket:

    • Wählen Sie im linken Navigationsbereich Einstellungen > Endpunkte aus.
    • Wählen Sie unter „Geräteverwaltung“ die Option „Integration“ aus.
    • Im Abschnitt „1. Wählen Sie das Betriebssystem aus, um den Integrationsprozess zu starten, wählen Sie „Linux Server“ oder „macOS“.
    • Im Abschnitt „2. Wählen Sie die Bereitstellungsmethode aus, wählen Sie „Lokales Skript“ für eine manuelle Installation oder „Configuration Management Tool“ (z. B. Puppet, Ansible für Linux; Intune, JAMF für macOS) für umfangreiche Bereitstellungen.
    • Klicken Sie auf „Integrationspaket herunterladen“.

1.1. Onboarding unter Linux (manuell)

  1. Installationsvoraussetzungen: Stellen Sie sicher, dass die erforderlichen Pakete installiert sind. Bei den meisten Distributionen umfasst dies „curl“, „wget“, „gnupg“, „apt-transport-https“ (Debian/Ubuntu) oder „yum-utils“ (RHEL/CentOS). „Bash # Beispiel für Ubuntu/Debian sudo apt-get update sudo apt-get install -y curl wget apt-transport-https gnupg

    Beispiel für RHEL/CentOS

    sudo yum install -y curl wget yum-utils gnupg „

  2. Microsoft Repository hinzufügen: Dies ermöglicht Ihnen die Installation von MDE mit dem Paketmanager Ihrer Distribution. „Bash # Beispiel für Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packets.microsoft.gpg sudo install -o root -g root -m 644 packets.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packets.microsoft.gpg sudo apt-get update

    Beispiel für RHEL/CentOS

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo „

  3. MDE installieren: Installieren Sie das „mdatp“-Paket. „Bash # Beispiel für Ubuntu/Debian sudo apt-get install -y mdatp

    Beispiel für RHEL/CentOS

    sudo yum install -y mdatp „

  4. Konfigurieren Sie MDE mit dem Onboarding-Paket: Kopieren Sie die heruntergeladene Datei „WindowsDefenderATPOnboardingPackage.zip“ auf den Linux-Server, entpacken Sie sie und verwenden Sie das Onboarding-Skript. „Bash # Kopieren Sie die ZIP-Datei auf den Linux-Server # scp WindowsDefenderATPOnboardingPackage.zip user@your_linux_server:~/

    entpacken Sie WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp high-level-operations onboard --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh „

  5. Status prüfen: Überprüfen Sie, ob die MDE ausgeführt und integriert ist. „Bash MDATP-Gesundheit „

1.2. Onboarding unter macOS (manuell)

  1. MDE installieren: Kopieren Sie die heruntergeladene Datei „MicrosoftDefenderATPOnboardingPackage.zip“ auf Ihr macOS-Gerät. Entpacken Sie es. Sie finden eine „.pkg“-Datei (z. B. „wdav.pkg“).

  2. Paket installieren: Führen Sie das „.pkg“-Installationsprogramm aus. „Bash sudo installer -pkg wdav.pkg -target / „

    • Befolgen Sie die Anweisungen auf dem Bildschirm. Sie müssen MDE unter „Systemeinstellungen“ > „Sicherheit und Datenschutz“ vollständige Festplattenzugriffsberechtigungen und Systemerweiterungsberechtigungen erteilen.

  3. MDE mit dem Onboarding-Paket konfigurieren: Verwenden Sie das Onboarding-Skript. „Bash # Kopieren Sie die ZIP-Datei auf den Mac # Entpacken Sie die ZIP-Datei sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh „

    • Hinweis: Der genaue Pfad zum Onboarding-Skript kann variieren. Überprüfen Sie den Inhalt der „.zip“-Datei.

  4. Status prüfen: Überprüfen Sie, ob die MDE ausgeführt und integriert ist. „Bash MDATP-Gesundheit „

2. Sicherheitsrichtlinien konfigurieren (Linux und macOS)

Sicherheitsrichtlinien für MDE unter Linux und macOS können über JSON-Dateien (für die manuelle/Skriptbereitstellung) oder über Tools wie Intune, JAMF, Puppet, Ansible usw. verwaltet werden.

Lassen Sie uns eine Beispielkonfiguration über eine JSON-Datei zur Antivirenkontrolle verwenden.

  1. Erstellen Sie eine JSON-Konfigurationsdatei: Erstellen Sie eine „mdatp_config.json“-Datei mit den gewünschten Einstellungen. „json { "antivirusEngine": { „aktiviert“: wahr, „scans“: { „quickScan“: { „aktiviert“: wahr, „Zeitplan“: { „Typ“: „täglich“, „Zeit“: „02:00“ } }, „fullScan“: { „aktiviert“: falsch } }, „realTimeProtection“: { „aktiviert“: wahr, „scanOnAccess“: true, „scanOnModify“: wahr }, „Ausschlüsse“: [ { „Pfad“: „/var/log“, „Typ“: „Verzeichnis“ }, { „Pfad“: „/opt/app/data.db“, „Typ“: „Datei“ } ] }, „cloudService“: { „aktiviert“: wahr, „diagnosticLevel“: „voll“ } } „

    • Dieses Beispiel aktiviert den Echtzeitschutz, konfiguriert einen täglichen Schnellscan und legt Ausschlüsse für ein Protokollverzeichnis und eine Datenbankdatei fest.

  2. Anwenden der Konfiguration: Verwenden Sie den Befehl „mdatp config“. „Bash sudo mdatp config set --path mdatp_config.json „

  3. Überprüfen Sie die angewendete Konfiguration: Sie können die aktiven Konfigurationen überprüfen. „Bash mdatp config get --json „

Tipps für die zentrale Verwaltung (Intune/JAMF)

  • Microsoft Intune (macOS): Für macOS ist Intune das bevorzugte Tool zum Bereitstellen und Verwalten von MDE. Sie können Konfigurationsprofile erstellen, um das MDE-Paket bereitzustellen und Sicherheitseinstellungen (Echtzeitschutz, Ausschlüsse usw.) zu konfigurieren.

  • Konfigurationsverwaltungstools (Linux): Unter Linux werden häufig Tools wie Puppet, Ansible oder Chef verwendet, um die groß angelegte MDE-Bereitstellung und Konfigurationsverwaltung zu automatisieren.

3. Ausschlüsse verwalten

Ausschlüsse sind wichtig, um Konflikte mit legitimen Anwendungen zu vermeiden oder die Leistung auf Systemen mit hoher E/A-Last zu verbessern. Sie müssen jedoch mit Vorsicht eingesetzt werden, um Sicherheitslücken zu vermeiden.

  1. Ausschluss über die Befehlszeile hinzufügen (Linux/macOS): „Bash # Eine Datei löschen sudo mdatp-Ausschluss add --path /path/to/file.log --type Datei

    Ein Verzeichnis löschen

    sudo mdatp-Ausschluss add --path /path/to/directory --type Verzeichnis

    Durch Erweiterung löschen

    sudo mdatp-Ausschluss add --extension .tmp --type Erweiterung „

  2. Ausschlüsse auflisten: Überprüfen Sie die konfigurierten Ausschlüsse. „Bash MDATP-Ausschlussliste „

  3. Ausschlüsse entfernen: Entfernen Sie einen Ausschluss, wenn er nicht mehr benötigt wird. „Bash Sudo MDATP Exclusion Remove --path /path/to/file.log „

Validierung und Tests

Die Validierung des MDE-Schutzes unter Linux und macOS ist unerlässlich, um sicherzustellen, dass die Lösung wie erwartet funktioniert.

1. Überprüfen Sie den Status im Microsoft Defender XDR-Portal

  1. Navigieren Sie im Microsoft Defender XDR-Portal („https://security.microsoft.com“) zu Assets > Geräte.
  2. Stellen Sie sicher, dass die integrierten Linux- und macOS-Geräte in der Liste angezeigt werden und dass ihr „Gesundheitsstatus“ „Aktiv“ ist.
  3. Klicken Sie auf ein Gerät, um dessen Details anzuzeigen, einschließlich „Schutzstatus“ und „Sicherheitsempfehlungen“.

2. Antivirus-Erkennungstest (EICAR)

Verwenden Sie die Testdatei des EICAR (European Institute for Computer Antivirus Research), um zu überprüfen, ob Ihr Antivirenprogramm ordnungsgemäß funktioniert.

  1. EICAR-Datei generieren: Erstellen Sie eine Textdatei mit dem folgenden genauen Inhalt (ohne zusätzliche Leerzeichen oder Zeilenumbrüche): „ X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* „

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. Erkennung beobachten: MDE sollte die EICAR-Datei sofort erkennen und blockieren, wenn der Echtzeitschutz aktiviert ist.

  3. Im MDE-Portal nach Warnungen suchen: Navigieren Sie im Microsoft Defender XDR-Portal zu Vorfälle und Warnungen > Warnungen. Auf dem Linux-/macOS-Gerät sollte eine Warnung bezüglich der EICAR-Erkennung angezeigt werden.

3. EDR-Erkennungstest (Angriffssimulation)

Microsoft stellt die Skripte zur Verfügungste, Angriffsszenarien zu simulieren und die EDR-Funktionalität der MDE zu überprüfen.

  1. Für Linux: Laden Sie das MDE-Erkennungstestskript für Linux herunter und führen Sie es aus. „Bash curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh „

  2. Für macOS: Laden Sie das MDE-Erkennungstestskript für macOS herunter und führen Sie es aus. „Bash curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh „

  3. Überprüfen Sie Warnungen im MDE-Portal: Überprüfen Sie nach dem Ausführen des Skripts das Microsoft Defender XDR-Portal unter Vorfälle und Warnungen > Warnungen. Sie sollten Warnungen im Zusammenhang mit den simulierten Aktivitäten sehen, z. B. „Verdächtiger Befehl ausgeführt“ oder „Verdächtige Skriptaktivität“.

Sicherheitstipps und Best Practices

  • Zentralisierte Verwaltung: Verwenden Sie Konfigurationsverwaltungstools (Intune, JAMF, Puppet, Ansible), um MDE in großem Umfang bereitzustellen und zu verwalten und so die Konsistenz der Richtlinien sicherzustellen.
  • MDE auf dem neuesten Stand halten: Stellen Sie sicher, dass Ihr MDE-Client und Ihre Sicherheitsdefinitionen immer auf dem neuesten Stand sind, um Schutz vor den neuesten Bedrohungen zu gewährleisten.
  • Ausschlüsse sorgfältig verwalten: Überprüfen und minimieren Sie Ausschlüsse, um die Entstehung von Sicherheitslücken zu vermeiden. Dokumentieren Sie alle Ausschlüsse und ihre Begründungen.
  • SIEM/SOAR-Integration: Integrieren Sie MDE-Warnungen in Ihr Security Information and Event Management (SIEM) oder Security Orchestration, Automation, and Response (SOAR) wie Microsoft Sentinel, um die Sichtbarkeit und Reaktion auf Vorfälle zu verbessern.
  • Kontinuierliche Überwachung: Überwachen Sie das Microsoft Defender XDR-Portal aktiv auf Sicherheitswarnungen und Empfehlungen für Ihre Linux- und macOS-Endpunkte.
  • Benutzerschulung: Informieren Sie Benutzer über die Bedeutung der Endpunktsicherheit und darüber, wie sie verdächtige Aktivitäten melden.
  • Manipulationsschutz: Obwohl unter Windows wichtiger, stellen Sie sicher, dass gleichwertige Kontrollen vorhanden sind, um zu verhindern, dass böswillige Benutzer die MDE-Einstellungen unter Linux/macOS deaktivieren oder ändern.

Allgemeine Fehlerbehebung

  • MDE wird nicht installiert/integriert: Überprüfen Sie die Voraussetzungen (Distribution/Betriebssystemversion, erforderliche Pakete). Überprüfen Sie die Installationsprotokolle auf Fehler. Stellen Sie sicher, dass das Onboarding-Paket korrekt ist und nicht abgelaufen ist. Überprüfen Sie die Netzwerkkonnektivität zu Microsoft-Endpunkten.
  • MDE meldet nicht an das Portal: Überprüfen Sie den Befehl „mdatp health“ auf den Status „onboarded“ und „healthy“. Stellen Sie sicher, dass das Gerät über eine Verbindung zum Internet und zu MDE-Diensten verfügt. Überprüfen Sie alle Proxy- oder Firewall-Einstellungen, die möglicherweise die Kommunikation blockieren.
  • Hohe CPU-/Speicherauslastung: Überprüfen Sie die MDE-Protokolle, um Prozesse zu identifizieren, die möglicherweise eine hohe Auslastung verursachen. Überprüfen Sie die konfigurierten Ausschlüsse. Optimieren Sie die Scaneinstellungen (z. B. planen Sie vollständige Scans außerhalb der Hauptverkehrszeiten).
  • Konflikte mit anderen Sicherheitslösungen: Wenn andere Antiviren- oder Endpoint-Sicherheitslösungen installiert sind, kann es zu Konflikten kommen. Microsoft empfiehlt, vor der Installation von MDE andere Lösungen zu entfernen.
  • Falsch-positive Warnungen: Wenn MDE viele falsch-positive Warnungen generiert, untersuchen Sie die Aktivität, die die Warnung ausgelöst hat. Erwägen Sie das Hinzufügen von Ausschlüssen für legitime Prozesse oder Dateien (mit Vorsicht) oder die Anpassung der Erkennungsrichtlinien.
  • Berechtigungsprobleme (macOS): Stellen Sie unter macOS sicher, dass MDE unter „Systemeinstellungen“ > „Sicherheit und Datenschutz“ alle Systemerweiterungen und vollständigen Festplattenzugriffsberechtigungen gewährt wurden.

Fazit

Microsoft Defender for Endpoint bietet eine Endpunktsicherheitslösung der nächsten Generation, die sich effektiv auf Linux- und macOS-Umgebungen erstreckt. Durch die Vereinheitlichung von Bedrohungsschutz, -erkennung und -reaktion auf einer einzigen Plattform können Unternehmen das Sicherheitsmanagement vereinfachen und ihre Abwehrkräfte gegen Cyberangriffe in ihrem gesamten Technologiepark stärken. Eine sorgfältige Implementierung, geeignete Richtlinienkonfiguration und laufende Überwachung sind entscheidend für die Maximierung der MDE-Vorteile. Mit diesem praktischen Leitfaden sind Sicherheitsexperten bestens gerüstet, um ihre Linux- und macOS-Endpunkte zu schützen und sicherzustellen, dass tAlle Geräte, unabhängig vom Betriebssystem, tragen zu einer sichereren und widerstandsfähigeren Unternehmensumgebung bei.

Referenzen:

[1] Microsoft Learn. Microsoft Defender für Endpoint unter Linux. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn. Microsoft Defender für Endpoint auf macOS. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn. Microsoft Defender für Endpoint-Lizenzanforderungen. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn. Voraussetzungen für Microsoft Defender für Endpoint unter Linux. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. EICAR-Testdatei. Verfügbar unter: https://www.eicar.org/download-anti-malware-testfile/