Protection des points de terminaison Linux et macOS avec Microsoft Defender for Endpoint

Protection des points de terminaison Linux et macOS avec Microsoft Defender for Endpoint

14/10/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans le déploiement et la configuration de Microsoft Defender for Endpoint (MDE) sur les systèmes d'exploitation Linux et macOS. Dans un paysage d'entreprise de plus en plus diversifié, la protection des points finaux va au-delà de l'environnement Windows. MDE étend ses capacités de détection et de réponse aux menaces (EDR) aux plates-formes non Windows, offrant une vue unifiée de la posture de sécurité et une défense robuste contre les cyberattaques dans l'ensemble du parc technologique d'une organisation [1].

Présentation

La prolifération des appareils Linux et macOS dans les environnements d'entreprise, sous l'impulsion des développeurs, des concepteurs et d'autres professionnels, a posé de nouveaux défis aux équipes de sécurité. Ces systèmes, bien que souvent perçus comme moins vulnérables, sont de plus en plus la cible d’attaques sophistiquées. La nécessité d’une solution de sécurité des points finaux couvrant toutes les principales plates-formes est essentielle pour maintenir une posture de sécurité cohérente et efficace. Microsoft Defender for Endpoint comble cette lacune en fournissant des fonctionnalités avancées de protection, de détection et de réponse pour Linux et macOS, s'intégrant de manière transparente au portail Microsoft Defender XDR pour une gestion centralisée [2].

Ce guide pratique couvrira les prérequis, le processus d'intégration des appareils Linux et macOS dans MDE, la configuration des politiques de sécurité, la gestion des exclusions, l'exécution de tests de détection et la validation de la protection. Des instructions étape par étape, des exemples de commandes de terminal et des instructions seront fournis afin que le lecteur puisse déployer et gérer Microsoft Defender for Endpoint dans des environnements hétérogènes, renforçant ainsi la sécurité de leurs points de terminaison et garantissant le respect des politiques de sécurité de l'entreprise.

Pourquoi Microsoft Defender for Endpoint est-il crucial pour Linux et macOS ?

  • Protection complète : fournit des fonctionnalités d'antivirus de nouvelle génération, de détection et de réponse des points finaux (EDR), de gestion des vulnérabilités et de contrôle d'accès pour Linux et macOS.
  • Visibilité unifiée : centralise la surveillance de la sécurité et la gestion de tous les points de terminaison (Windows, Linux, macOS, Android, iOS) dans le portail Microsoft Defender XDR.
  • Détection avancée des menaces : utilise les renseignements sur les menaces et l'apprentissage automatique de Microsoft pour identifier et atténuer les menaces sophistiquées spécifiques à la plate-forme.
  • Réponse rapide aux incidents : permet aux équipes de sécurité d'enquêter et de répondre aux incidents de sécurité rapidement et efficacement sur toutes les plateformes.
  • Conformité et gouvernance : permet de garantir que tous les points de terminaison, quel que soit le système d'exploitation, sont conformes aux politiques et réglementations de sécurité.
  • Intégration de l'écosystème Microsoft : s'intègre à d'autres solutions Microsoft, telles que Microsoft Sentinel et Microsoft Intune, pour une approche de sécurité globale.

Prérequis

Pour déployer Microsoft Defender for Endpoint sur Linux et macOS, vous aurez besoin des éléments suivants :

  1. Licences : licences Microsoft Defender for Endpoint (par exemple Microsoft 365 E5, Microsoft 365 E3 avec module complémentaire de sécurité ou licence autonome MDE) [3].
  2. Accès administrateur : un compte avec le rôle « Administrateur de sécurité » ou « Administrateur global » dans le portail Microsoft Defender XDR (https://security.microsoft.com).
  3. Accès racine/Sudo : autorisations root (Linux) ou sudo (macOS) sur les appareils cibles pour l'installation et la configuration.
  4. Connectivité réseau : les appareils doivent disposer d'une connectivité aux points de terminaison du service MDE pour les mises à jour de communication et de définition.
  5. Systèmes d'exploitation pris en charge : consultez la documentation Microsoft pour connaître les versions spécifiques des distributions Linux et macOS prises en charge [4].

Étape par étape : intégration et configuration de MDE sur Linux et macOS

Voyons le processus d'intégration et les paramètres de base pour les deux plates-formes.

1. Intégration des appareils dans Microsoft Defender pour Endpoint

Le processus d'intégration implique l'obtention d'un package d'intégration à partir du portail Microsoft Defender XDR et son déploiement sur les appareils.

  1. Accédez au portail Microsoft Defender XRD :

    • Ouvrez votre navigateur et accédez à « https://security.microsoft.com ».
    • Connectez-vous avec un compte disposant des autorisations nécessaires.

  2. Obtenez le package d'intégration :

    • Dans le volet de navigation de gauche, sélectionnez Paramètres > Points de terminaison.
    • Sous « Gestion des appareils », sélectionnez Intégration.
    • Dans la section `1. Sélectionnez le système d'exploitation pour démarrer le processus d'intégration, choisissez « Linux Server » ou « macOS ».
    • Dans la section `2. Sélectionnez la méthode de déploiement, choisissez « Script local » pour une installation manuelle ou « Outil de gestion de configuration » (par exemple Puppet, Ansible pour Linux ; Intune, JAMF pour macOS) pour les déploiements à grande échelle.
    • Cliquez sur Télécharger le package d'intégration.

1.1. Intégration sous Linux (manuel)

  1. Prérequis d'installation : assurez-vous que les packages requis sont installés. Pour la plupart des distributions, cela inclut curl, wget, gnupg, apt-transport-https (Debian/Ubuntu) ou yum-utils (RHEL/CentOS). ```bash # Exemple pour Ubuntu/Debian sudo apt-get mise à jour sudo apt-get install -y curl wget apt-transport-https gnupg

    Exemple pour RHEL/CentOS

    sudo yum install -y curl wget yum-utils gnupg ```

  2. Ajouter un référentiel Microsoft : Cela vous permet d'installer MDE à l'aide du gestionnaire de packages de votre distribution. ```bash # Exemple pour Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg sudo install -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg sudo apt-get mise à jour

    Exemple pour RHEL/CentOS

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

  3. Installer MDE : Installez le package mdatp. ```bash # Exemple pour Ubuntu/Debian sudo apt-get install -y mdatp

    Exemple pour RHEL/CentOS

    sudo miam install -y mdatp ```

  4. Configurez MDE avec le package d'intégration : copiez le fichier téléchargé WindowsDefenderATPOnboardingPackage.zip sur le serveur Linux, décompressez-le et utilisez le script d'intégration. ```bash # Copiez le fichier .zip sur le serveur Linux # scp WindowsDefenderATPOnboardingPackage.zip utilisateur@votre_serveur_linux :~/

    décompressez WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp opérations de haut niveau à bord --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

  5. Vérifier l'état : Vérifiez si le MDE est en cours d'exécution et intégré. bash santé mdatp

1.2. Intégration sur macOS (manuel)

  1. Installez MDE : copiez le fichier « MicrosoftDefenderATPOnboardingPackage.zip » téléchargé sur votre appareil macOS. Décompressez-le. Vous trouverez un fichier .pkg (ex : wdav.pkg).

  2. Installez le package : exécutez le programme d'installation .pkg. bash sudo installer -pkg wdav.pkg -target /

    • Suivez les instructions à l'écran. Vous devrez accorder des autorisations d'accès complet au disque et des autorisations d'extension système à MDE dans « Préférences Système » > « Sécurité et confidentialité ».

  3. Configurez MDE avec le package d'intégration : utilisez le script d'intégration. bash # Copiez le fichier .zip sur Mac # Décompressez le fichier .zip sudo /Bibliothèque/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Bibliothèque/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

    • Remarque : Le chemin exact vers le script d'intégration peut varier. Vérifiez le contenu du fichier .zip.

  4. Vérifier l'état : Vérifiez si le MDE est en cours d'exécution et intégré. bash santé mdatp

2. Configuration des politiques de sécurité (Linux et macOS)

Les politiques de sécurité pour MDE sur Linux et macOS peuvent être gérées via des fichiers JSON (pour un déploiement manuel/script) ou via des outils tels que Intune, JAMF, Puppet, Ansible, etc.

Utilisons un exemple de configuration via un fichier JSON pour le contrôle antivirus.

  1. Créez un fichier de configuration JSON : Créez un fichier mdatp_config.json avec les paramètres souhaités. json { "antivirusMoteur": { "activé": vrai, "analyses": { "analyse rapide": { "activé": vrai, "horaire": { "type": "quotidien", "heure": "02:00" } }, "analyse complète": { "activé": faux } }, "ProtectionTempsRéel": { "activé": vrai, "scanOnAccess": vrai, "scanOnModify": vrai }, "exclusions": [ { "chemin": "/var/log", "type": "répertoire" }, { "chemin": "/opt/app/data.db", "type": "fichier" } ] }, "service cloud": { "activé": vrai, "diagnosticLevel": "complet" } }

    • Cet exemple active la protection en temps réel, configure une analyse rapide quotidienne et définit des exclusions pour un répertoire de journaux et un fichier de base de données.

  2. Appliquez la configuration : utilisez la commande mdatp config. bash sudo mdatp config set --path mdatp_config.json

  3. Vérifiez la configuration appliquée : Vous pouvez vérifier les configurations actives. bash mdatp config obtenir --json

Conseils pour une gestion centralisée (Intune/JAMF)

  • Microsoft Intune (macOS) : pour macOS, Intune est l'outil préféré pour le déploiement et la gestion de MDE. Vous pouvez créer des profils de configuration pour déployer le package MDE et configurer les paramètres de sécurité (protection en temps réel, exclusions, etc.).

  • Outils de gestion de configuration (Linux) : pour Linux, des outils tels que Puppet, Ansible ou Chef sont couramment utilisés pour automatiser le déploiement et la gestion de la configuration de MDE à grande échelle.

3. Gestion des exclusions

Les exclusions sont importantes pour éviter les conflits avec des applications légitimes ou pour améliorer les performances sur les systèmes avec une charge d'E/S élevée. Cependant, ils doivent être utilisés avec prudence pour éviter de créer des failles de sécurité.

  1. Ajouter une exclusion via la ligne de commande (Linux/macOS) : ```bash # Supprimer un fichier sudo mdatp exclusion add --path /path/to/file.log --type fichier

    Supprimer un répertoire

    sudo mdatp exclusion add --path /path/to/directory --type répertoire

    Supprimer par extension

    sudo mdatp exclusion add --extension .tmp --type extension ```

  2. Liste des exclusions : vérifiez les exclusions configurées. bash liste d'exclusions mdatp

  3. Supprimer les exclusions : supprimez une exclusion si elle n'est plus nécessaire. bash sudo mdatp exclusion supprimer --path /path/to/file.log

Validation et tests

La validation de la protection MDE sur Linux et macOS est essentielle pour garantir que la solution fonctionne comme prévu.

1. Vérifiez l'état sur le portail Microsoft Defender XDR

  1. Dans le portail Microsoft Defender XDR (https://security.microsoft.com), accédez à Actifs > Périphériques.
  2. Vérifiez que les appareils Linux et macOS intégrés apparaissent dans la liste et que leur « État de santé » est « Actif ».
  3. Cliquez sur un appareil pour afficher ses détails, y compris « État de protection » et « Recommandations de sécurité ».

2. Test de détection antivirus (EICAR)

Utilisez le fichier de test EICAR (Institut européen de recherche sur les antivirus informatiques) pour vérifier si votre antivirus fonctionne correctement.

  1. Générer un fichier EICAR : créez un fichier texte avec le contenu exact suivant (sans espaces ni sauts de ligne supplémentaires) : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    • Linux : echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS : echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. Observer la détection : MDE doit détecter et bloquer le fichier EICAR immédiatement si la protection en temps réel est activée.

  3. Rechercher les alertes dans le portail MDE : dans le portail Microsoft Defender XDR, accédez à Incidents et alertes > Alertes. Vous devriez voir une alerte liée à la détection EICAR sur le périphérique Linux/macOS.

3. Test de détection EDR (simulation d'attaque)

Microsoft fournit les scriptsste pour simuler des scénarios d'attaque et vérifier la fonctionnalité EDR du MDE.

  1. Pour Linux : téléchargez et exécutez le script de test de détection MDE pour Linux. bash curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

  2. Pour macOS : téléchargez et exécutez le script de test de détection MDE pour macOS. bash curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

  3. Vérifiez les alertes dans le portail MDE : après avoir exécuté le script, consultez le portail Microsoft Defender XDR sous Incidents et alertes > Alertes. Vous devriez voir des alertes liées aux activités simulées, telles que « Commande suspecte exécutée » ou « Activité de script suspecte ».

Conseils de sécurité et bonnes pratiques

  • Gestion centralisée : utilisez des outils de gestion de configuration (Intune, JAMF, Puppet, Ansible) pour déployer et gérer MDE à grande échelle, en garantissant la cohérence des politiques.
  • Gardez MDE à jour : assurez-vous que votre client MDE et vos définitions de sécurité sont toujours à jour pour garantir une protection contre les dernières menaces.
  • Gérez soigneusement les exclusions : examinez et minimisez les exclusions pour éviter de créer des failles de sécurité. Documentez toutes les exclusions et leurs justifications.
  • Intégration SIEM/SOAR : intégrez les alertes MDE à votre gestion des informations et des événements de sécurité (SIEM) ou à votre orchestration, automatisation et réponse de sécurité (SOAR), comme Microsoft Sentinel, pour une visibilité et une réponse aux incidents améliorées.
  • Surveillance continue : surveillez activement le portail Microsoft Defender XDR pour les alertes de sécurité et les recommandations pour vos points de terminaison Linux et macOS.
  • Formation des utilisateurs : sensibilisez les utilisateurs à l'importance de la sécurité des points de terminaison et à la manière de signaler les activités suspectes.
  • Protection contre les falsifications : bien que plus importante sous Windows, assurez-vous que des contrôles équivalents existent pour empêcher les utilisateurs malveillants de désactiver ou de modifier les paramètres MDE sous Linux/macOS.

Dépannage courant

  • MDE ne s'installe/n'intègre pas : Vérifiez les prérequis (distribution/version du système d'exploitation, packages requis). Vérifiez les journaux d'installation pour détecter les erreurs. Assurez-vous que le package d’intégration est correct et n’a pas expiré. Vérifiez la connectivité réseau aux points de terminaison Microsoft.
  • MDE ne fait pas de rapport au portail : Vérifiez la commande mdatp health pour l'état onboarded et healthy. Confirmez que l'appareil dispose d'une connectivité aux services Internet et MDE. Vérifiez tous les paramètres de proxy ou de pare-feu susceptibles de bloquer la communication.
  • Utilisation élevée du processeur/de la mémoire : vérifiez les journaux MDE pour identifier les processus susceptibles de provoquer une utilisation élevée. Passez en revue les exclusions configurées. Optimisez les paramètres d'analyse (par exemple, planifiez des analyses complètes pendant les heures creuses).
  • Conflits avec d'autres solutions de sécurité : si d'autres solutions antivirus ou de sécurité des points de terminaison sont installées, elles peuvent provoquer des conflits. Microsoft recommande de supprimer les autres solutions avant d'installer MDE.
  • Alertes de faux positifs : si MDE génère de nombreuses alertes de faux positifs, recherchez l'activité qui a déclenché l'alerte. Pensez à ajouter des exclusions pour les processus ou fichiers légitimes (avec prudence) ou à ajuster les politiques de détection.
  • Problèmes d'autorisation (macOS) : sur macOS, assurez-vous que toutes les extensions système et les autorisations d'accès complet au disque ont été accordées à MDE dans « Préférences Système > « Sécurité et confidentialité ».

Conclusion

Microsoft Defender for Endpoint offre une solution de sécurité des points de terminaison de nouvelle génération qui s'étend efficacement aux environnements Linux et macOS. En unifiant la protection, la détection et la réponse aux menaces sur une seule plateforme, les organisations peuvent simplifier la gestion de la sécurité et renforcer leur posture contre les cyberattaques dans l’ensemble de leur parc technologique. Une mise en œuvre minutieuse, une configuration de politique appropriée et une surveillance continue sont essentielles pour maximiser les avantages du MDE. Avec ce guide pratique, les professionnels de la sécurité seront bien équipés pour protéger leurs points de terminaison Linux et macOS, en garantissantTous les appareils, quel que soit le système d'exploitation, contribuent à un environnement d'entreprise plus sécurisé et plus résilient.

Références :

[1] Microsoft Apprendre. Microsoft Defender pour Endpoint sous Linux. Disponible sur : https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Apprendre. Microsoft Defender pour Endpoint sur macOS. Disponible sur : https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Apprendre. Exigences de licence Microsoft Defender pour Endpoint. Disponible sur : https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Apprendre. Prérequis pour Microsoft Defender pour Endpoint sous Linux. Disponible sur : https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. Fichier de test EICAR. Disponible sur : https://www.eicar.org/download-anti-malware-testfile/