Protezione degli endpoint Linux e macOS con Microsoft Defender per Endpoint

Protezione degli endpoint Linux e macOS con Microsoft Defender per Endpoint

14/10/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella distribuzione e configurazione di Microsoft Defender per Endpoint (MDE) nei sistemi operativi Linux e macOS. In un panorama aziendale sempre più diversificato, la protezione degli endpoint va oltre l’ambiente Windows. MDE estende le sue capacità di rilevamento e risposta alle minacce (EDR) alle piattaforme non Windows, fornendo una visione unificata del livello di sicurezza e una solida difesa contro gli attacchi informatici nel parco tecnologico di un'organizzazione [1].

Introduzione

La proliferazione di dispositivi Linux e macOS negli ambienti aziendali, guidata da sviluppatori, progettisti e altri professionisti, ha portato nuove sfide ai team di sicurezza. Questi sistemi, anche se spesso percepiti come meno vulnerabili, sono sempre più bersaglio di attacchi sofisticati. La necessità di una soluzione di sicurezza degli endpoint che si estenda a tutte le principali piattaforme è fondamentale per mantenere un livello di sicurezza coerente ed efficace. Microsoft Defender per Endpoint colma questa lacuna fornendo funzionalità avanzate di protezione, rilevamento e risposta per Linux e macOS, integrandosi perfettamente con il portale Microsoft Defender XDR per la gestione centralizzata [2].

Questa guida pratica coprirà i prerequisiti, il processo di onboarding dei dispositivi Linux e macOS in MDE, la configurazione delle policy di sicurezza, la gestione delle esclusioni, l'esecuzione di test di rilevamento e la convalida della protezione. Verranno fornite istruzioni dettagliate, esempi di comandi terminale e istruzioni in modo che il lettore possa distribuire e gestire Microsoft Defender for Endpoint in ambienti eterogenei, rafforzando la sicurezza dei propri endpoint e garantendo la conformità con le policy di sicurezza aziendali.

Perché Microsoft Defender per Endpoint è fondamentale per Linux e macOS?

  • Protezione completa: fornisce antivirus di nuova generazione, rilevamento e risposta degli endpoint (EDR), gestione delle vulnerabilità e funzionalità di controllo degli accessi per Linux e macOS.
  • Visibilità unificata: centralizza il monitoraggio e la gestione della sicurezza di tutti gli endpoint (Windows, Linux, macOS, Android, iOS) nel portale Microsoft Defender XDR.
  • Rilevamento avanzato delle minacce: utilizza l'intelligence sulle minacce e il machine learning di Microsoft per identificare e mitigare le minacce sofisticate specifiche della piattaforma.
  • Risposta rapida agli incidenti: consente ai team di sicurezza di indagare e rispondere agli incidenti di sicurezza in modo rapido ed efficace su tutte le piattaforme.
  • Conformità e governance: aiuta a garantire che tutti gli endpoint, indipendentemente dal sistema operativo, siano conformi alle policy e alle normative di sicurezza.
  • Integrazione dell'ecosistema Microsoft: si integra con altre soluzioni Microsoft, come Microsoft Sentinel e Microsoft Intune, per un approccio olistico alla sicurezza.

Prerequisiti

Per distribuire Microsoft Defender per Endpoint su Linux e macOS, avrai bisogno dei seguenti elementi:

  1. Licenza: licenze Microsoft Defender per endpoint (ad esempio Microsoft 365 E5, Microsoft 365 E3 con componente aggiuntivo di sicurezza o licenza autonoma MDE) [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore della sicurezza" o "Amministratore globale" nel portale Microsoft Defender XDR (https://security.microsoft.com).
  3. Accesso Root/Sudo: autorizzazioni Root (Linux) o sudo (macOS) sui dispositivi di destinazione per l'installazione e la configurazione.
  4. Connettività di rete: i dispositivi devono disporre di connettività agli endpoint del servizio MDE per gli aggiornamenti delle comunicazioni e delle definizioni.
  5. Sistemi operativi supportati: consultare la documentazione Microsoft per versioni specifiche delle distribuzioni Linux e macOS supportate [4].

Passo dopo passo: onboarding e configurazione di MDE su Linux e macOS

Copriamo il processo di onboarding e le impostazioni di base per entrambe le piattaforme.

1. Onboarding del dispositivo in Microsoft Defender per endpoint

Il processo di onboarding prevede l'ottenimento di un pacchetto di integrazione dal portale Microsoft Defender XDR e la sua distribuzione sui dispositivi.

  1. Accedi al portale Microsoft Defender XDR:

    • Apri il browser e vai a "https://security.microsoft.com".
    • Accedi con un account che disponga delle autorizzazioni necessarie.

  2. Ottieni il pacchetto di onboarding:

    • Nel riquadro di navigazione a sinistra, seleziona Impostazioni > Endpoint.
    • In "Gestione dispositivi", seleziona Integrazione.
    • Nella sezione `1. Seleziona il sistema operativo per avviare il processo di integrazione", scegli "Linux Server" o "macOS".
    • Nella sezione `2. Seleziona il metodo di distribuzione", scegli "Script locale" per un'installazione manuale o "Strumento di gestione della configurazione" (ad esempio Puppet, Ansible per Linux; Intune, JAMF per macOS) per distribuzioni su larga scala.
    • Fare clic su "Scarica pacchetto di integrazione".

1.1. Onboarding in Linux (manuale)

  1. Prerequisiti di installazione: assicurati che i pacchetti richiesti siano installati. Per la maggior parte delle distribuzioni, ciò include "curl", "wget", "gnupg", "apt-transport-https" (Debian/Ubuntu) o "yum-utils" (RHEL/CentOS). "bash." # Esempio per Ubuntu/Debian sudo apt-get update sudo apt-get install -y curl wget apt-transport-https gnupg

    Esempio per RHEL/CentOS

    sudo yum install -y curl wget yum-utils gnupg ```

  2. Aggiungi repository Microsoft: ti consente di installare MDE utilizzando il gestore pacchetti della tua distribuzione. "bash." # Esempio per Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > pacchetti.microsoft.gpg sudo install -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg sudo apt-get update

    Esempio per RHEL/CentOS

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

  3. Installa MDE: installa il pacchetto mdatp. "bash." # Esempio per Ubuntu/Debian sudo apt-get install -y mdatp

    Esempio per RHEL/CentOS

    sudo yum install -y mdatp ```

  4. Configura MDE con il pacchetto di onboarding: Copia il file WindowsDefenderATPOnboardingPackage.zip scaricato sul server Linux, decomprimilo e utilizza lo script di onboarding. "bash." # Copia il file .zip sul server Linux # scp WindowsDefenderATPOnboardingPackage.zip utente@tuo_server_linux:~/

    decomprimere WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp operazioni di alto livello onboard --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

  5. Verifica stato: controlla se MDE è in esecuzione e integrato. "bash." salute mdatp ```

1.2. Onboarding su macOS (manuale)

  1. Installa MDE: copia il file MicrosoftDefenderATPOnboardingPackage.zip scaricato sul tuo dispositivo macOS. Decomprimilo. Troverai un file .pkg (es: wdav.pkg).

  2. Installa il pacchetto: esegui il programma di installazione .pkg. "bash." sudo installer -pkg wdav.pkg -target / ```

    • Seguire le istruzioni visualizzate sullo schermo. Dovrai concedere a MDE i permessi di accesso completo al disco e i permessi di estensione del sistema in "Preferenze di Sistema" > "Sicurezza e Privacy".

  3. Configura MDE con il pacchetto di onboarding: utilizza lo script di onboarding. "bash." # Copia il file .zip sul Mac # Decomprimere il file .zip sudo /Library/Application\Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh ```

    • Nota: il percorso esatto dello script di onboarding può variare. Controlla il contenuto del file .zip.

  4. Verifica stato: controlla se MDE è in esecuzione e integrato. "bash." salute mdatp ```

2. Configurazione delle policy di sicurezza (Linux e macOS)

Le policy di sicurezza per MDE su Linux e macOS possono essere gestite tramite file JSON (per la distribuzione manuale/script) o tramite strumenti come Intune, JAMF, Puppet, Ansible, ecc.

Utilizziamo una configurazione di esempio tramite file JSON per il controllo antivirus.

  1. Crea un file di configurazione JSON: crea un file mdatp_config.json con le impostazioni desiderate. json { "antivirusMotore": { "abilitato": vero, "scansioni": { "scansione rapida": { "abilitato": vero, "programma": { "tipo": "quotidiano", "ora": "02:00" } }, "scansione completa": { "abilitato": falso } }, "realTimeProtection": { "abilitato": vero, "scanOnAccess": vero, "scanOnModify": vero }, "esclusioni": [ { "percorso": "/var/log", "tipo": "directory" }, { "percorso": "/opt/app/data.db", "tipo": "file" } ] }, "serviziocloud": { "abilitato": vero, "diagnosticLevel": "completo" } }

    • Questo esempio abilita la protezione in tempo reale, configura una scansione rapida giornaliera e imposta le esclusioni per una directory di registro e un file di database.

  2. Applica la configurazione: utilizza il comando mdatp config. "bash." sudo mdatp config set --path mdatp_config.json ```

  3. Verifica la configurazione applicata: è possibile verificare le configurazioni attive. "bash." configurazione mdatp ottieni --json ```

Suggerimenti per la gestione centralizzata (Intune/JAMF)

  • Microsoft Intune (macOS): per macOS, Intune è lo strumento preferito per la distribuzione e la gestione di MDE. È possibile creare profili di configurazione per distribuire il pacchetto MDE e configurare le impostazioni di sicurezza (protezione in tempo reale, esclusioni, ecc.).

  • Strumenti di gestione della configurazione (Linux): per Linux, strumenti come Puppet, Ansible o Chef vengono comunemente utilizzati per automatizzare la distribuzione MDE su larga scala e la gestione della configurazione.

3. Gestione delle esclusioni

Le esclusioni sono importanti per evitare conflitti con applicazioni legittime o per migliorare le prestazioni su sistemi con carico I/O elevato. Tuttavia, devono essere utilizzati con cautela per evitare di creare lacune nella sicurezza.

  1. Aggiungi esclusione tramite riga di comando (Linux/macOS): "bash." # Elimina un file sudo mdatp Exclusion add --path /path/to/file.log --type file

    Elimina una directory

    sudo mdatp esclusione aggiungi --path /percorso/della/directory --type directory

    Elimina per estensione

    sudo mdatp esclusione aggiungi --extension .tmp --type extension ```

  2. Elenco esclusioni: controlla le esclusioni configurate. "bash." Elenco di esclusione MDATP ```

  3. Rimuovi esclusioni: rimuove un'esclusione se non è più necessaria. "bash." sudo mdatp esclusione rimuovi --path /path/to/file.log ```

Convalida e test

La convalida della protezione MDE su Linux e macOS è essenziale per garantire che la soluzione funzioni come previsto.

1. Controlla lo stato nel portale Microsoft Defender XDR

  1. Nel portale Microsoft Defender XDR (https://security.microsoft.com), vai a Risorse > Dispositivi.
  2. Verifica che i dispositivi Linux e macOS integrati siano presenti nell'elenco e che il loro "Stato di integrità" sia "Attivo".
  3. Fare clic su un dispositivo per visualizzarne i dettagli, inclusi "Stato di protezione" e "Raccomandazioni sulla sicurezza".

2. Test di rilevamento antivirus (EICAR)

Utilizza il file di test dell'EICAR (Istituto europeo per la ricerca sugli antivirus informatici) per verificare se il tuo antivirus funziona correttamente.

  1. Genera file EICAR: crea un file di testo con il seguente contenuto esatto (senza spazi aggiuntivi o interruzioni di riga): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-FILE-TEST-ANTIVIRUS!$H+H*

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. Osserva rilevamento: MDE dovrebbe rilevare e bloccare immediatamente il file EICAR se è abilitata la protezione in tempo reale.

  3. Controlla la presenza di avvisi nel portale MDE: nel portale Microsoft Defender XDR, vai a Incidenti e avvisi > Avvisi. Dovresti visualizzare un avviso relativo al rilevamento EICAR sul dispositivo Linux/macOS.

3. Test di rilevamento EDR (simulazione di attacco)

Microsoft fornisce gli scriptste per simulare scenari di attacco e verificare la funzionalità EDR del MDE.

  1. Per Linux: scaricare ed eseguire lo script di test di rilevamento MDE per Linux. "bash." curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh ```

  2. Per macOS: scarica ed esegui lo script di test di rilevamento MDE per macOS. "bash." curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh ```

  3. Controlla gli avvisi nel portale MDE: dopo aver eseguito lo script, controlla il portale Microsoft Defender XDR in Incidenti e avvisi > Avvisi. Dovresti visualizzare avvisi relativi alle attività simulate, come "Comando sospetto eseguito" o "Attività di script sospetta".

Suggerimenti e best practice per la sicurezza

  • Gestione centralizzata: utilizza gli strumenti di gestione della configurazione (Intune, JAMF, Puppet, Ansible) per distribuire e gestire MDE su larga scala, garantendo la coerenza delle policy.
  • Mantieni MDE aggiornato: assicurati che il client MDE e le definizioni di sicurezza siano sempre aggiornati per garantire la protezione contro le minacce più recenti.
  • Gestisci attentamente le esclusioni: rivedi e riduci al minimo le esclusioni per evitare di creare lacune nella sicurezza. Documentare tutte le esclusioni e le relative giustificazioni.
  • Integrazione SIEM/SOAR: integra gli avvisi MDE con il tuo Security Information and Event Management (SIEM) o Security Orchestration, Automation, and Response (SOAR), come Microsoft Sentinel, per una migliore visibilità e risposta agli incidenti.
  • Monitoraggio continuo: monitora attivamente il portale Microsoft Defender XDR per avvisi di sicurezza e consigli per i tuoi endpoint Linux e macOS.
  • Formazione per gli utenti: istruisci gli utenti sull'importanza della sicurezza degli endpoint e su come segnalare attività sospette.
  • Protezione dalle manomissioni: sebbene più importante su Windows, garantisce che esistano controlli equivalenti per impedire agli utenti malintenzionati di disattivare o modificare le impostazioni MDE su Linux/macOS.

Risoluzione dei problemi comuni

  • MDE non si installa/non esegue l'onboarding: verificare i prerequisiti (distribuzione/versione del sistema operativo, pacchetti richiesti). Controllare i log di installazione per eventuali errori. Assicurati che il pacchetto di onboarding sia corretto e non sia scaduto. Verifica la connettività di rete agli endpoint Microsoft.
  • MDE non segnala al portale: controlla il comando mdatp Health per lo stato "onboarded" e "healthy". Confermare che il dispositivo disponga di connettività a Internet e ai servizi MDE. Controlla eventuali impostazioni del proxy o del firewall che potrebbero bloccare la comunicazione.
  • Utilizzo elevato di CPU/memoria: controlla i registri MDE per identificare i processi che potrebbero causare un utilizzo elevato. Esamina le esclusioni configurate. Ottimizza le impostazioni di scansione (ad esempio pianifica scansioni complete per le ore non di punta).
  • Conflitti con altre soluzioni di sicurezza: se sono installate altre soluzioni antivirus o di sicurezza endpoint, potrebbero causare conflitti. Microsoft consiglia di rimuovere altre soluzioni prima di installare MDE.
  • Avvisi di falsi positivi: se MDE genera molti avvisi di falsi positivi, indagare sull'attività che ha attivato l'avviso. Valuta la possibilità di aggiungere esclusioni per processi o file legittimi (con cautela) o di modificare le policy di rilevamento.
  • Problemi di autorizzazione (macOS): su macOS, assicurati che tutte le estensioni di sistema e le autorizzazioni di accesso completo al disco siano state concesse a MDE in "Preferenze di Sistema" > "Sicurezza e Privacy".

Conclusione

Microsoft Defender per Endpoint offre una soluzione di sicurezza degli endpoint di nuova generazione che si estende in modo efficace agli ambienti Linux e macOS. Unificando la protezione, il rilevamento e la risposta alle minacce su un'unica piattaforma, le organizzazioni possono semplificare la gestione della sicurezza e rafforzare la propria posizione contro gli attacchi informatici nell'intero parco tecnologico. Un’implementazione attenta, un’appropriata configurazione delle politiche e un monitoraggio continuo sono fondamentali per massimizzare i benefici della MDE. Con questa guida pratica, i professionisti della sicurezza saranno ben attrezzati per proteggere i propri endpoint Linux e macOS, garantendo tTutti i dispositivi, indipendentemente dal sistema operativo, contribuiscono a un ambiente aziendale più sicuro e resiliente.

Riferimenti:

[1]Microsoft Learn. Microsoft Defender per endpoint su Linux. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2]Microsoft Learn. Microsoft Defender per Endpoint su macOS. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3]Microsoft Learn. Requisiti di licenza per Microsoft Defender per endpoint. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4]Microsoft Learn. Prerequisiti per Microsoft Defender per Endpoint su Linux. Disponibile su: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. File di prova EICAR. Disponibile su: https://www.eicar.org/download-anti-malware-testfile/