Linux- en macOS-eindpunten beschermen met Microsoft Defender voor eindpunten

Linux- en macOS-eindpunten beschermen met Microsoft Defender voor eindpunten

14-10-2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en configureren van Microsoft Defender for Endpoint (MDE) op Linux- en macOS-besturingssystemen. In een steeds diverser wordend bedrijfslandschap gaat eindpuntbescherming verder dan de Windows-omgeving. MDE breidt zijn mogelijkheden voor detectie en respons (EDR) uit naar niet-Windows-platforms, waardoor een uniform beeld ontstaat van de beveiligingspositie en robuuste verdediging tegen cyberaanvallen in het technologiepark van een organisatie [1].

Introductie

De proliferatie van Linux- en macOS-apparaten in bedrijfsomgevingen, aangedreven door ontwikkelaars, ontwerpers en andere professionals, heeft nieuwe uitdagingen voor beveiligingsteams met zich meegebracht. Hoewel deze systemen vaak als minder kwetsbaar worden ervaren, zijn ze steeds vaker het doelwit van geavanceerde aanvallen. De behoefte aan een eindpuntbeveiligingsoplossing die alle grote platforms omvat, is van cruciaal belang voor het handhaven van een consistente en effectieve beveiligingshouding. Microsoft Defender for Endpoint overbrugt deze kloof door geavanceerde beschermings-, detectie- en responsmogelijkheden te bieden voor Linux en macOS, en naadloos te integreren met de Microsoft Defender XDR-portal voor gecentraliseerd beheer [2].

Deze praktische gids behandelt de vereisten, het proces van het onboarden van Linux- en macOS-apparaten in MDE, het configureren van beveiligingsbeleid, het beheren van uitsluitingen, het uitvoeren van detectietests en het valideren van de beveiliging. Er worden stapsgewijze instructies, voorbeeldterminalopdrachten en instructies gegeven, zodat de lezer Microsoft Defender for Endpoint in heterogene omgevingen kan implementeren en beheren, waardoor de beveiliging van hun eindpunten wordt versterkt en naleving van het bedrijfsbeveiligingsbeleid wordt gegarandeerd.

Waarom is Microsoft Defender voor Endpoint cruciaal voor Linux en macOS?

  • Uitgebreide bescherming: Biedt de volgende generatie antivirus-, eindpuntdetectie en -respons (EDR), kwetsbaarheidsbeheer en toegangscontrolemogelijkheden voor Linux en macOS.
  • Unified Visibility: Centraliseert de beveiligingsmonitoring en het beheer van alle eindpunten (Windows, Linux, macOS, Android, iOS) in de Microsoft Defender XDR-portal.
  • Geavanceerde detectie van bedreigingen: maakt gebruik van Microsoft-bedreigingsinformatie en machine learning om geavanceerde, platformspecifieke bedreigingen te identificeren en te beperken.
  • Rapid Incident Response: Stelt beveiligingsteams in staat om beveiligingsincidenten snel en effectief op alle platforms te onderzoeken en erop te reageren.
  • Compliance en governance: Helpt ervoor te zorgen dat alle eindpunten, ongeacht het besturingssysteem, voldoen aan het beveiligingsbeleid en de regelgeving.
  • Microsoft Ecosysteem-integratie: Integreert met andere Microsoft-oplossingen, zoals Microsoft Sentinel en Microsoft Intune, voor een holistische beveiligingsaanpak.

Vereisten

Om Microsoft Defender for Endpoint op Linux en macOS te implementeren, hebt u de volgende items nodig:

  1. Licenties: Microsoft Defender for Endpoint-licenties (bijv. Microsoft 365 E5, Microsoft 365 E3 met beveiligingsadd-on of zelfstandige MDE-licentie) [3].
  2. Beheerderstoegang: een account met de rol van Security Administrator of Global Administrator in de Microsoft Defender XDR-portal (https://security.microsoft.com).
  3. Root/Sudo-toegang: Root- (Linux) of sudo (macOS)-machtigingen op doelapparaten voor installatie en configuratie.
  4. Netwerkconnectiviteit: Apparaten moeten connectiviteit hebben met MDE-service-eindpunten voor communicatie en definitie-updates.
  5. Ondersteunde besturingssystemen: Raadpleeg de Microsoft-documentatie voor specifieke versies van ondersteunde Linux- en macOS-distributies [4].

Stap voor stap: MDE onboarden en configureren op Linux en macOS

Laten we het onboardingproces en de basisinstellingen voor beide platforms bespreken.

1. Onboarding van apparaten in Microsoft Defender voor Endpoint

Het onboardingproces omvat het verkrijgen van een integratiepakket van de Microsoft Defender XDR-portal en het implementeren ervan op apparaten.

  1. Toegang tot de Microsoft Defender X-portalDR:

    • Open uw browser en navigeer naar https://security.microsoft.com.
    • Log in met een account dat over de benodigde rechten beschikt.

  2. Ontvang het onboardingpakket:

    • Selecteer in het linkernavigatievenster Instellingen > Eindpunten.
    • Selecteer onder Apparaatbeheer Integratie.
    • In sectie `1. Selecteer het besturingssysteem om het integratieproces te starten, kies 'Linux Server' of 'macOS'.
    • In sectie `2. Selecteer de implementatiemethode, kies 'Lokaal script' voor een handmatige installatie of 'Configuration Management Tool' (bijv. Puppet, Ansible voor Linux; Intune, JAMF voor macOS) voor grootschalige implementaties.
    • Klik op 'Integratiepakket downloaden'.

1.1. Onboarding in Linux (handmatig)

  1. Installatievereisten: Zorg ervoor dat de vereiste pakketten zijn geïnstalleerd. Voor de meeste distributies omvat dit curl, wget, gnupg, apt-transport-https (Debian/Ubuntu) of yum-utils (RHEL/CentOS). ``` bash # Voorbeeld voor Ubuntu/Debian sudo apt-get-update sudo apt-get install -y curl wget apt-transport-https gnupg

    Voorbeeld voor RHEL/CentOS

    sudo yum install -y curl wget yum-utils gnupg ```

  2. Microsoft Repository toevoegen: Hiermee kunt u MDE installeren met behulp van de pakketbeheerder van uw distributie. ``` bash # Voorbeeld voor Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > pakketten.microsoft.gpg sudo install -o root -g root -m 644 pakketten.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm-pakketten.microsoft.gpg sudo apt-get-update

    Voorbeeld voor RHEL/CentOS

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

  3. MDE installeren: Installeer het mdatp-pakket. ``` bash # Voorbeeld voor Ubuntu/Debian sudo apt-get install -y mdatp

    Voorbeeld voor RHEL/CentOS

    sudo yum install -y mdatp ```

  4. Configureer MDE met het Onboarding-pakket: Kopieer het gedownloade WindowsDefenderATPOnboardingPackage.zip-bestand naar de Linux-server, pak het uit en gebruik het onboarding-script. ``` bash # Kopieer het .zip-bestand naar de Linux-server # scp WindowsDefenderATPOnboardingPackage.zip gebruiker@uw_linux_server:~/

    pak WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding uit sudo mdatp bewerkingen op hoog niveau aan boord --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

  5. Status controleren: Controleer of de MDE actief en onboarded is. bash mdatp-gezondheid

1.2. Onboarding op macOS (handmatig)

  1. MDE installeren: Kopieer het gedownloade bestand MicrosoftDefenderATPOnboardingPackage.zip naar uw macOS-apparaat. Pak het uit. U zult een .pkg-bestand vinden (bijvoorbeeld: wdav.pkg).

  2. Installeer het pakket: Voer het .pkg-installatieprogramma uit. bash sudo installatieprogramma -pkg wdav.pkg -target / *Volg de instructies op het scherm. U moet volledige schijftoegangsmachtigingen en systeemextensiemachtigingen verlenen aan MDE in 'Systeemvoorkeuren' > 'Beveiliging en privacy'.

  3. Configureer MDE met het Onboarding-pakket: gebruik het onboarding-script. bash # Kopieer het .zip-bestand naar Mac # Pak het .zip-bestand uit sudo /Bibliotheek/Applicatie\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /pad/naar/MicrosoftDefenderATPOnboardingScript.sh

    • Opmerking: het exacte pad naar het onboarding-script kan variëren. Controleer de inhoud van het .zip-bestand.

  4. Status controleren: controleer of de MDE actief en onboarded is. bash mdatp-gezondheid

2. Beveiligingsbeleid configureren (Linux en macOS)

Beveiligingsbeleid voor MDE op Linux en macOS kan worden beheerd via JSON-bestanden (voor handmatige/scriptimplementatie) of via tools zoals Intune, JAMF, Puppet, Ansible, enz.

Laten we een voorbeeldconfiguratie via JSON-bestand gebruiken voor antiviruscontrole.

  1. Maak een JSON-configuratiebestand: Maak een mdatp_config.json-bestand met de gewenste instellingen. Json { "antivirusEngine": { "ingeschakeld": waar, "scannen": { "quickscan": { "ingeschakeld": waar, "schema": { "type": "dagelijks", "tijd": "02:00" } }, "volledige scan": { "ingeschakeld": onwaar } }, "realTimeProtection": { "ingeschakeld": waar, "scanOnAccess": waar, "scanOnModify": waar }, "uitsluitingen": [ { "pad": "/var/log", "type": "map" }, { "pad": "/opt/app/data.db", "type": "bestand" } ] }, "cloudService": { "ingeschakeld": waar, "diagnosticLevel": "vol" } }

    • Dit voorbeeld maakt real-time bescherming mogelijk, configureert een dagelijkse snelle scan en stelt uitsluitingen in voor een logmap en een databasebestand.

  2. Pas de configuratie toe: Gebruik de opdracht mdatp config. bash sudo mdatp config set --path mdatp_config.json

  3. Controleer de toegepaste configuratie: u kunt de actieve configuraties controleren. bash mdatp-configuratie get --json

Tips voor gecentraliseerd beheer (Intune/JAMF)

  • Microsoft Intune (macOS): voor macOS is Intune de voorkeurstool voor het implementeren en beheren van MDE. U kunt configuratieprofielen maken om het MDE-pakket te implementeren en beveiligingsinstellingen te configureren (real-time bescherming, uitsluitingen, enz.).

  • Configuratiebeheertools (Linux): Voor Linux worden tools zoals Puppet, Ansible of Chef vaak gebruikt om grootschalige MDE-implementatie en configuratiebeheer te automatiseren.

3. Uitsluitingen beheren

Uitsluitingen zijn belangrijk om conflicten met legitieme applicaties te voorkomen of om de prestaties op systemen met een hoge I/O-belasting te verbeteren. Ze moeten echter met voorzichtigheid worden gebruikt om te voorkomen dat er gaten in de beveiliging ontstaan.

  1. Uitsluiting toevoegen via opdrachtregel (Linux/macOS): ``` bash # Verwijder een bestand sudo mdatp uitsluiting add --path /path/to/file.log --type bestand

    Verwijder een map

    sudo mdatp uitsluiting add --path /path/to/directory --type map

    Verwijderen bij extensie

    sudo mdatp uitsluiting add --extension .tmp --type extensie ```

  2. Lijst met uitsluitingen: controleer de geconfigureerde uitsluitingen. bash mdatp-uitsluitingslijst

  3. Uitsluitingen verwijderen: verwijder een uitsluiting als deze niet langer nodig is. bash sudo mdatp uitsluiting remove --path /path/to/file.log

Validatie en testen

Het valideren van MDE-beveiliging op Linux en macOS is essentieel om ervoor te zorgen dat de oplossing werkt zoals verwacht.

1. Controleer de status in de Microsoft Defender XDR Portal

  1. Navigeer in de Microsoft Defender XDR-portal (https://security.microsoft.com) naar Assets > Apparaten.
  2. Controleer of de ingebouwde Linux- en macOS-apparaten in de lijst verschijnen en dat hun 'Gezondheidsstatus' 'Actief' is.
  3. Klik op een apparaat om de details ervan te bekijken, waaronder 'Beschermingsstatus' en 'Beveiligingsaanbevelingen'.

2. Antivirusdetectietest (EICAR)

Gebruik het EICAR (European Institute for Computer Antivirus Research) testbestand om te controleren of uw antivirus correct werkt.

  1. Genereer een EICAR-bestand: maak een tekstbestand met de volgende exacte inhoud (geen extra spaties of regeleinden): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDAARD-ANTIVIRUS-TEST-BESTAND!$H+H*

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. Detectie observeren: MDE zou het EICAR-bestand onmiddellijk moeten detecteren en blokkeren als realtime bescherming is ingeschakeld.

  3. Controleer op waarschuwingen in de MDE-portal: ga in de Microsoft Defender XDR-portal naar Incidenten en waarschuwingen > Waarschuwingen. U zou een waarschuwing moeten zien met betrekking tot EICAR-detectie op het Linux/macOS-apparaat.

3. EDR-detectietest (aanvalssimulatie)

Microsoft levert de scriptsste om aanvalsscenario's te simuleren en de EDR-functionaliteit van de MDE te verifiëren.

  1. Voor Linux: download het MDE-detectietestscript voor Linux en voer het uit. bash curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

  2. Voor macOS: download het MDE-detectietestscript voor macOS en voer het uit. bash curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

  3. Controleer waarschuwingen in de MDE-portal: nadat u het script hebt uitgevoerd, controleert u de Microsoft Defender XDR-portal onder Incidenten en waarschuwingen > Waarschuwingen. U zou waarschuwingen moeten zien die verband houden met de gesimuleerde activiteiten, zoals 'Verdachte opdracht uitgevoerd' of 'Verdachte scriptactiviteit'.

Beveiligingstips en best practices

  • Gecentraliseerd beheer: gebruik tools voor configuratiebeheer (Intune, JAMF, Puppet, Ansible) om MDE op grote schaal te implementeren en te beheren, waardoor consistentie in het beleid wordt gegarandeerd.
  • Houd MDE bijgewerkt: Zorg ervoor dat uw MDE-client en beveiligingsdefinities altijd up-to-date zijn om bescherming tegen de nieuwste bedreigingen te garanderen.
  • Beheer uitsluitingen zorgvuldig: controleer en minimaliseer uitsluitingen om te voorkomen dat er beveiligingslekken ontstaan. Documenteer alle uitsluitingen en hun rechtvaardigingen.
  • SIEM/SOAR-integratie: Integreer MDE-waarschuwingen met uw Security Information and Event Management (SIEM) of Security Orchestration, Automation, and Response (SOAR), zoals Microsoft Sentinel, voor verbeterde zichtbaarheid en incidentrespons.
  • Continu toezicht: controleer actief de Microsoft Defender XDR-portal op beveiligingswaarschuwingen en aanbevelingen voor uw Linux- en macOS-eindpunten.
  • Gebruikerstraining: Informeer gebruikers over het belang van eindpuntbeveiliging en hoe u verdachte activiteiten kunt melden.
  • Beveiliging tegen manipulatie: Hoewel deze prominenter aanwezig is op Windows, moet u ervoor zorgen dat er gelijkwaardige controles bestaan ​​om te voorkomen dat kwaadwillende gebruikers MDE-instellingen op Linux/macOS uitschakelen of wijzigen.

Algemene probleemoplossing

  • MDE wordt niet geïnstalleerd/onboard: Controleer de vereisten (distributie-/OS-versie, vereiste pakketten). Controleer de installatielogboeken op fouten. Zorg ervoor dat het onboardingpakket correct is en niet is verlopen. Controleer de netwerkconnectiviteit met Microsoft-eindpunten.
  • MDE rapporteert niet aan de portal: Controleer de opdracht mdatp health voor de status onboarded en healthy. Controleer of het apparaat verbinding heeft met internet en MDE-services. Controleer eventuele proxy- of firewall-instellingen die de communicatie mogelijk blokkeren.
  • Hoog CPU-/geheugengebruik: Controleer MDE-logboeken om processen te identificeren die mogelijk een hoog gebruik veroorzaken. Controleer de geconfigureerde uitsluitingen. Optimaliseer scaninstellingen (bijvoorbeeld volledige scans plannen voor daluren).
  • Conflicten met andere beveiligingsoplossingen: als er andere antivirus- of eindpuntbeveiligingsoplossingen zijn geïnstalleerd, kunnen deze conflicten veroorzaken. Microsoft raadt aan andere oplossingen te verwijderen voordat u MDE installeert.
  • False-positieve waarschuwingen: als MDE veel vals-positieve waarschuwingen genereert, onderzoek dan de activiteit die de waarschuwing heeft geactiveerd. Overweeg om (met voorzichtigheid) uitsluitingen toe te voegen voor legitieme processen of bestanden of om het detectiebeleid aan te passen.
  • Permissieproblemen (macOS): Zorg er op macOS voor dat alle systeemextensies en volledige schijftoegangsrechten zijn verleend aan MDE in Systeemvoorkeuren > Beveiliging en privacy.

Conclusie

Microsoft Defender for Endpoint biedt een endpoint-beveiligingsoplossing van de volgende generatie die zich effectief uitbreidt naar Linux- en macOS-omgevingen. Door de bescherming, detectie en reactie op bedreigingen op één platform te verenigen, kunnen organisaties het beveiligingsbeheer vereenvoudigen en hun houding tegen cyberaanvallen in hun hele technologiepark versterken. Zorgvuldige implementatie, passende beleidsconfiguratie en voortdurende monitoring zijn van cruciaal belang voor het maximaliseren van de MDE-voordelen. Met deze praktische gids zullen beveiligingsprofessionals goed toegerust zijn om hun Linux- en macOS-eindpunten te beschermen en ervoor te zorgen dat tAlle apparaten, ongeacht het besturingssysteem, dragen bij aan een veiligere en veerkrachtigere bedrijfsomgeving.

Referenties:

[1] Microsoft Leer. Microsoft Defender voor Endpoint op Linux. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Leer. Microsoft Defender voor Endpoint op macOS. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Leer. Microsoft Defender for Endpoint-licentievereisten. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Leer. Vereisten voor Microsoft Defender voor Endpoint op Linux. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. EICAR-testbestand. Beschikbaar op: https://www.eicar.org/download-anti-malware-testfile/