Protección de puntos finales de Linux y macOS con Microsoft Defender para puntos finales

14/10/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación y configuración de Microsoft Defender para Endpoint (MDE) en sistemas operativos Linux y macOS. En un panorama corporativo cada vez más diverso, la protección de terminales va más allá del entorno de Windows. MDE extiende sus capacidades de detección y respuesta a amenazas (EDR) a plataformas que no son Windows, proporcionando una visión unificada de la postura de seguridad y una defensa sólida contra ataques cibernéticos en todo el parque tecnológico de una organización [1].

Introducción

La proliferación de dispositivos Linux y macOS en entornos corporativos, impulsada por desarrolladores, diseñadores y otros profesionales, ha traído nuevos desafíos a los equipos de seguridad. Estos sistemas, aunque a menudo se perciben como menos vulnerables, son cada vez más objetivos de ataques sofisticados. La necesidad de una solución de seguridad de endpoints que abarque todas las plataformas principales es fundamental para mantener una postura de seguridad coherente y eficaz. Microsoft Defender for Endpoint cierra esta brecha al brindar capacidades avanzadas de protección, detección y respuesta para Linux y macOS, integrándose perfectamente con el portal Microsoft Defender XDR para una administración centralizada [2].

Esta guía práctica cubrirá los requisitos previos, el proceso de incorporación de dispositivos Linux y macOS en MDE, la configuración de políticas de seguridad, la gestión de exclusiones, la realización de pruebas de detección y la validación de la protección. Se proporcionarán instrucciones paso a paso, comandos de terminal de ejemplo e instrucciones para que el lector pueda implementar y administrar Microsoft Defender para Endpoint en entornos heterogéneos, fortaleciendo la seguridad de sus endpoints y garantizando el cumplimiento de las políticas de seguridad corporativas.

¿Por qué Microsoft Defender para Endpoint es crucial para Linux y macOS?

• Protección integral: proporciona antivirus de última generación, detección y respuesta de endpoints (EDR), gestión de vulnerabilidades y capacidades de control de acceso para Linux y macOS.
• Visibilidad unificada: centraliza el monitoreo y la administración de seguridad de todos los puntos finales (Windows, Linux, macOS, Android, iOS) en el portal Microsoft Defender XDR.
• Detección avanzada de amenazas: utiliza la inteligencia de amenazas y el aprendizaje automático de Microsoft para identificar y mitigar amenazas sofisticadas específicas de la plataforma.
• Respuesta rápida a incidentes: permite a los equipos de seguridad investigar y responder a incidentes de seguridad de forma rápida y eficaz en todas las plataformas.
• Cumplimiento y gobernanza: ayuda a garantizar que todos los puntos finales, independientemente del sistema operativo, cumplan con las políticas y regulaciones de seguridad.
• Integración del ecosistema de Microsoft: se integra con otras soluciones de Microsoft, como Microsoft Sentinel y Microsoft Intune, para un enfoque de seguridad integral.

Requisitos previos

Para implementar Microsoft Defender para Endpoint en Linux y macOS, necesitará los siguientes elementos:

1. Licencias: licencias de Microsoft Defender para endpoints (por ejemplo, Microsoft 365 E5, Microsoft 365 E3 con complemento de seguridad o licencia independiente MDE) [3].
2. Acceso administrativo: una cuenta con la función de Administrador de seguridad o Administrador global en el portal Microsoft Defender XDR (https://security.microsoft.com).
3. Acceso raíz/Sudo: permisos de raíz (Linux) o sudo (macOS) en los dispositivos de destino para instalación y configuración.
4. Conectividad de red: los dispositivos deben tener conectividad con los puntos finales del servicio MDE para comunicaciones y actualizaciones de definiciones.
5. Sistemas operativos compatibles: consulte la documentación de Microsoft para conocer versiones específicas de distribuciones compatibles de Linux y macOS [4].

Paso a paso: incorporación y configuración de MDE en Linux y macOS

Cubramos el proceso de incorporación y la configuración básica para ambas plataformas.

1. Incorporación de dispositivos en Microsoft Defender para endpoints

El proceso de incorporación implica obtener un paquete de integración del portal Microsoft Defender XDR e implementarlo en los dispositivos.

1. Acceda al Portal de Microsoft Defender XDR:

   • Abra su navegador y navegue hasta https://security.microsoft.com.
   • Inicie sesión con una cuenta que tenga los permisos necesarios.

2. Obtenga el paquete de incorporación:

   • En el panel de navegación izquierdo, seleccione Configuración > Puntos finales.
   • En Administración de dispositivos, seleccione Integración.
   • En el apartado 1. Seleccione el sistema operativo para iniciar el proceso de integración, elija Linux Server o macOS.
   • En el apartado 2. Seleccione el método de implementación, elijaScript localpara una instalación manual oHerramienta de administración de configuración` (por ejemplo, Puppet, Ansible para Linux; Intune, JAMF para macOS) para implementaciones a gran escala.
   • Haga clic en Descargar paquete de integración.

1.1. Incorporación en Linux (Manual)

1. Requisitos previos de instalación: asegúrese de que los paquetes necesarios estén instalados. Para la mayoría de las distribuciones, esto incluye curl, wget, gnupg, apt-transport-https (Debian/Ubuntu) o yum-utils (RHEL/CentOS). ```golpecito # Ejemplo para Ubuntu/Debian sudo apt-obtener actualización sudo apt-get install -y curl wget apt-transport-https gnupg

   Ejemplo para RHEL/CentOS

   sudo yum install -y curl wget yum-utils gnupg ```

2. Agregar repositorio de Microsoft: esto le permite instalar MDE usando el administrador de paquetes de su distribución. ```golpecito # Ejemplo para Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > paquetes.microsoft.gpg sudo install -o root -g root -m 644 paquetes.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm paquetes.microsoft.gpg sudo apt-obtener actualización

   Ejemplo para RHEL/CentOS

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

3. Instalar MDE: Instale el paquete mdatp. ```golpecito # Ejemplo para Ubuntu/Debian sudo apt-get install -y mdatp

   Ejemplo para RHEL/CentOS

   sudo yum instalar -y mdatp ```

4. Configure MDE con el paquete de incorporación: copie el archivo WindowsDefenderATPOnboardingPackage.zip descargado al servidor Linux, descomprímalo y use el script de incorporación. ```golpecito # Copiar el archivo .zip al servidor Linux # scp WindowsDefenderATPOnboardingPackage.zip usuario@su_servidor_linux:~/

   descomprimir WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp operaciones de alto nivel integradas --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

5. Verificar estado: verifique si el MDE está ejecutándose y está incorporado. golpecito salud mdatp

1.2. Incorporación en macOS (manual)

1. Instale MDE: copie el archivo MicrosoftDefenderATPOnboardingPackage.zip descargado en su dispositivo macOS. Descomprímelo. Encontrará un archivo .pkg (por ejemplo: wdav.pkg).

2. Instale el paquete: ejecute el instalador .pkg. golpecito instalador sudo -pkg wdav.pkg -target /

   • Siga las instrucciones en pantalla. Deberá otorgar permisos completos de acceso al disco y permisos de extensión del sistema a MDE en "Preferencias del sistema" > "Seguridad y privacidad".

3. Configure MDE con el paquete de incorporación: utilice el script de incorporación. golpecito # Copie el archivo .zip a Mac # Descomprimir el archivo .zip sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

   • Nota: La ruta exacta al script de incorporación puede variar. Verifique el contenido del archivo .zip.

4. Verificar estado: Verifique si el MDE está ejecutándose y está incorporado. golpecito salud mdatp

2. Configuración de políticas de seguridad (Linux y macOS)

Las políticas de seguridad para MDE en Linux y macOS se pueden administrar a través de archivos JSON (para implementación manual/script) o mediante herramientas como Intune, JAMF, Puppet, Ansible, etc.

Usemos una configuración de ejemplo mediante un archivo JSON para el control antivirus.

1. Cree un archivo de configuración JSON: cree un archivo mdatp_config.json con la configuración deseada. json { "antivirusEngine": { "habilitado": verdadero, "escaneos": { "escaneo rápido": { "habilitado": verdadero, "horario": { "tipo": "diario", "hora": "02:00" } }, "escaneo completo": { "habilitado": falso } }, "protección en tiempo real": { "habilitado": verdadero, "scanOnAccess": verdadero, "scanOnModify": verdadero }, "exclusiones": [ { "ruta": "/var/log", "tipo": "directorio" }, { "ruta": "/opt/app/data.db", "tipo": "archivo" } ] }, "servicio en la nube": { "habilitado": verdadero, "diagnosticLevel": "completo" } }

   • Este ejemplo habilita la protección en tiempo real, configura un análisis rápido diario y establece exclusiones para un directorio de registro y un archivo de base de datos.

2. Aplicar la configuración: Utilice el comando mdatp config. golpecito conjunto de configuración sudo mdatp --ruta mdatp_config.json

3. Comprueba la configuración aplicada: Puedes comprobar las configuraciones activas. golpecito configuración mdatp obtener --json

Consejos para la gestión centralizada (Intune/JAMF)

• Microsoft Intune (macOS): para macOS, Intune es la herramienta preferida para implementar y administrar MDE. Puede crear perfiles de configuración para implementar el paquete MDE y configurar ajustes de seguridad (protección en tiempo real, exclusiones, etc.).

• Herramientas de administración de configuración (Linux): para Linux, herramientas como Puppet, Ansible o Chef se usan comúnmente para automatizar la implementación de MDE y la administración de configuración a gran escala.

3. Gestión de exclusiones

Las exclusiones son importantes para evitar conflictos con aplicaciones legítimas o para mejorar el rendimiento en sistemas con alta carga de E/S. Sin embargo, deben usarse con precaución para evitar crear brechas de seguridad.

1. Agregar exclusión mediante la línea de comando (Linux/macOS): ```golpecito # Eliminar un archivo exclusión sudo mdatp agregar --path /path/to/file.log --type archivo

   Eliminar un directorio

   exclusión sudo mdatp agregar --ruta /ruta/al/directorio --tipo directorio

   Eliminar por extensión

   exclusión sudo mdatp agregar --extensión .tmp --tipo extensión ```

2. Listar exclusiones: Verifique las exclusiones configuradas. golpecito lista de exclusión de mdatp

3. Eliminar exclusiones: elimine una exclusión si ya no es necesaria. golpecito exclusión de sudo mdatp eliminar --path /path/to/file.log

Validación y pruebas

Validar la protección MDE en Linux y macOS es esencial para garantizar que la solución funcione como se esperaba.

1. Verificar el estado en el portal Microsoft Defender XDR

1. En el portal de Microsoft Defender XDR (https://security.microsoft.com), navegue hasta Activos > Dispositivos.
2. Verifique que los dispositivos Linux y macOS integrados aparezcan en la lista y que su "Estado de salud" sea "Activo".
3. Haga clic en un dispositivo para ver sus detalles, incluidos "Estado de protección" y "Recomendaciones de seguridad".

2. Prueba de detección de antivirus (EICAR)

Utilice el archivo de prueba EICAR (Instituto Europeo para la Investigación de Antivirus Informáticos) para comprobar si su antivirus funciona correctamente.

1. Generar archivo EICAR: cree un archivo de texto con el siguiente contenido exacto (sin espacios adicionales ni saltos de línea): X5O!P%@AP[4\PZX54(P^)7CC)7}$ARCHIVO-de-PRUEBA-ANTIVIRUS-ESTÁNDAR-EICAR!$H+H*

   • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
   • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

2. Observar detección: MDE debería detectar y bloquear el archivo EICAR inmediatamente si la protección en tiempo real está habilitada.

3. Buscar alertas en el portal MDE: en el portal Microsoft Defender XDR, navegue hasta Incidentes y alertas > Alertas. Debería ver una alerta relacionada con la detección de EICAR en el dispositivo Linux/macOS.

3. Prueba de detección de EDR (simulación de ataque)

Microsoft proporciona los scriptsste para simular escenarios de ataque y verificar la funcionalidad EDR del MDE.

1. Para Linux: descargue y ejecute el script de prueba de detección de MDE para Linux. golpecito curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

2. Para macOS: descargue y ejecute el script de prueba de detección de MDE para macOS. golpecito curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

3. Verifique las alertas en el portal MDE: después de ejecutar el script, consulte el portal Microsoft Defender XDR en Incidentes y alertas > Alertas. Debería ver alertas relacionadas con las actividades simuladas, como "Comando sospechoso ejecutado" o "Actividad de script sospechosa".

Consejos de seguridad y mejores prácticas

• Gestión centralizada: Utilice herramientas de gestión de configuración (Intune, JAMF, Puppet, Ansible) para implementar y gestionar MDE a gran escala, garantizando coherencia en las políticas.
• Mantenga MDE actualizado: asegúrese de que su cliente MDE y las definiciones de seguridad estén siempre actualizados para garantizar la protección contra las amenazas más recientes.
• Administre las exclusiones con cuidado: revise y minimice las exclusiones para evitar crear brechas de seguridad. Documente todas las exclusiones y sus justificaciones.
• Integración SIEM/SOAR: Integre alertas MDE con su Gestión de eventos e información de seguridad (SIEM) o Orquestación, automatización y respuesta de seguridad (SOAR), como Microsoft Sentinel, para mejorar la visibilidad y la respuesta a incidentes.
• Monitoreo continuo: supervise activamente el portal Microsoft Defender XDR para detectar alertas de seguridad y recomendaciones para sus puntos finales de Linux y macOS.
• Capacitación de usuarios: eduque a los usuarios sobre la importancia de la seguridad de los terminales y cómo informar actividades sospechosas.
• Protección contra manipulaciones: aunque es más destacada en Windows, asegúrese de que existan controles equivalentes para evitar que usuarios malintencionados deshabiliten o cambien la configuración de MDE en Linux/macOS.

Solución de problemas comunes

• MDE no se instala/integra: verifique los requisitos previos (distribución/versión del sistema operativo, paquetes requeridos). Verifique los registros de instalación para detectar errores. Asegúrese de que el paquete de incorporación sea correcto y no haya caducado. Verifique la conectividad de red con los puntos finales de Microsoft.
• MDE no informa al portal: Verifique el comando mdatp health para ver el estado integrado y saludable. Confirme que el dispositivo tenga conectividad a Internet y a los servicios MDE. Verifique cualquier configuración de proxy o firewall que pueda estar bloqueando la comunicación.
• Uso elevado de CPU/memoria: consulte los registros de MDE para identificar los procesos que pueden estar provocando un uso elevado. Revise las exclusiones configuradas. Optimice la configuración de escaneo (por ejemplo, programe escaneos completos para horas de menor actividad).
• Conflictos con otras soluciones de seguridad: si se instalan otros antivirus o soluciones de seguridad para terminales, pueden causar conflictos. Microsoft recomienda eliminar otras soluciones antes de instalar MDE.
• Alertas de falsos positivos: si MDE genera muchas alertas de falsos positivos, investigue la actividad que desencadenó la alerta. Considere agregar exclusiones para procesos o archivos legítimos (con precaución) o ajustar las políticas de detección.
• Problemas de permisos (macOS): en macOS, asegúrese de que todas las extensiones del sistema y los permisos completos de acceso al disco se hayan otorgado a MDE en Preferencias del sistema > Seguridad y privacidad.

Conclusión

Microsoft Defender for Endpoint ofrece una solución de seguridad de terminales de próxima generación que se extiende de manera efectiva a entornos Linux y macOS. Al unificar la protección, detección y respuesta a amenazas en una única plataforma, las organizaciones pueden simplificar la gestión de la seguridad y fortalecer su postura contra los ciberataques en todo su parque tecnológico. Una implementación cuidadosa, una configuración de políticas adecuada y un monitoreo continuo son fundamentales para maximizar los beneficios de MDE. Con esta guía práctica, los profesionales de la seguridad estarán bien equipados para proteger sus puntos finales Linux y macOS, asegurando tTodos los dispositivos, independientemente del sistema operativo, contribuyen a un entorno corporativo más seguro y resistente.

---

Referencias:

[1] Microsoft aprende. Microsoft Defender para endpoint en Linux. Disponible en: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft aprende. Microsoft Defender para Endpoint en macOS. Disponible en: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft aprende. Requisitos de licencia de Microsoft Defender para endpoints. Disponible en: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft aprende. Requisitos previos para Microsoft Defender para Endpoint en Linux. Disponible en: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prequires [5] EICAR. Archivo de prueba EICAR. Disponible en: https://www.eicar.org/download-anti-malware-testfile/