Защита конечных точек Linux и macOS с помощью Microsoft Defender для конечной точки

Защита конечных точек Linux и macOS с помощью Microsoft Defender для конечной точки

14.10.2024

Цель этой технической и образовательной статьи — помочь аналитикам безопасности, ИТ-администраторам и системным инженерам развернуть и настроить Microsoft Defender для конечной точки (MDE) в операционных системах Linux и macOS. В условиях все более разнообразной корпоративной среды защита конечных точек выходит за рамки среды Windows. MDE расширяет свои возможности обнаружения и реагирования на угрозы (EDR) на платформы, отличные от Windows, обеспечивая единое представление о состоянии безопасности и надежную защиту от кибератак во всем технологическом парке организации [1].

Введение

Распространение устройств Linux и macOS в корпоративных средах, вызванное разработчиками, дизайнерами и другими специалистами, поставило перед командами безопасности новые задачи. Эти системы, хотя их часто считают менее уязвимыми, все чаще становятся объектами изощренных атак. Потребность в решении для обеспечения безопасности конечных точек, охватывающем все основные платформы, имеет решающее значение для поддержания последовательного и эффективного уровня безопасности. Microsoft Defender для конечной точки устраняет этот разрыв, предоставляя расширенные возможности защиты, обнаружения и реагирования для Linux и macOS, а также органично интегрируясь с порталом Microsoft Defender XDR для централизованного управления [2].

В этом практическом руководстве будут рассмотрены предварительные условия, процесс подключения устройств Linux и macOS к MDE, настройка политик безопасности, управление исключениями, выполнение тестов обнаружения и проверка защиты. Будут предоставлены пошаговые инструкции, примеры команд терминала и инструкции, чтобы читатель мог развертывать Microsoft Defender для конечной точки и управлять ею в гетерогенных средах, усиливая безопасность своих конечных точек и обеспечивая соответствие корпоративным политикам безопасности.

Почему Microsoft Defender for Endpoint так важен для Linux и macOS?

  • Комплексная защита: обеспечивает антивирус нового поколения, обнаружение и реагирование на конечных точках (EDR), управление уязвимостями и возможности контроля доступа для Linux и macOS.
  • Единая видимость: централизует мониторинг безопасности и управление всеми конечными точками (Windows, Linux, macOS, Android, iOS) на портале Microsoft Defender XDR.
  • Расширенное обнаружение угроз: использует аналитику угроз и машинное обучение Microsoft для выявления и устранения сложных угроз, специфичных для конкретной платформы.
  • Быстрое реагирование на инциденты: позволяет группам безопасности быстро и эффективно расследовать инциденты безопасности и реагировать на них на всех платформах.
  • Соответствие требованиям и управление: помогает гарантировать, что все конечные точки, независимо от операционной системы, соответствуют политикам и нормам безопасности.
  • Интеграция с экосистемой Microsoft: интегрируется с другими решениями Microsoft, такими как Microsoft Sentinel и Microsoft Intune, для комплексного подхода к безопасности.

Предварительные условия

Чтобы развернуть Microsoft Defender для конечной точки в Linux и macOS, вам потребуются следующие элементы:

  1. Лицензирование: лицензии Microsoft Defender для конечных точек (например, Microsoft 365 E5, Microsoft 365 E3 с надстройкой безопасности или отдельная лицензия MDE) [3].
  2. Административный доступ: учетная запись с ролью «Администратор безопасности» или «Глобальный администратор» на портале XDR Microsoft Defender (https://security.microsoft.com).
  3. Доступ Root/Sudo: права root (Linux) или sudo (macOS) на целевых устройствах для установки и настройки.
  4. Сетевое подключение. Устройства должны иметь возможность подключения к конечным точкам службы MDE для обмена данными и обновления определений.
  5. Поддерживаемые операционные системы: проверьте документацию Microsoft на наличие конкретных версий поддерживаемых дистрибутивов Linux и macOS [4].

Шаг за шагом: подключение и настройка MDE в Linux и macOS

Давайте рассмотрим процесс регистрации и основные настройки для обеих платформ.

1. Подключение устройства в Microsoft Defender для конечной точки

Процесс адаптации включает получение пакета интеграции с портала Microsoft Defender XDR и его развертывание на устройствах.

  1. Доступ к порталу Microsoft Defender X.ДР:

    • Откройте браузер и перейдите по адресу https://security.microsoft.com.
    • Войдите в систему с учетной записью, имеющей необходимые разрешения.

  2. Получите стартовый пакет:

    • На левой панели навигации выберите Настройки > Конечные точки.
    • В разделе «Управление устройствами» выберите Интеграция.
    • В разделе `1. Выберите операционную систему, чтобы начать процесс интеграции, выберите «Linux Server» или «macOS».
    • В разделе `2. Выберите метод развертывания, выберите «Локальный сценарий» для установки вручную или «Инструмент управления конфигурацией» (например, Puppet, Ansible для Linux; Intune, JAMF для macOS) для крупномасштабного развертывания.
    • Нажмите «Загрузить пакет интеграции».

1.1. Адаптация в Linux (Руководство)

  1. Предварительные условия для установки: убедитесь, что установлены необходимые пакеты. Для большинства дистрибутивов сюда входят «curl», «wget», «gnupg», «apt-transport-https» (Debian/Ubuntu) или «yum-utils» (RHEL/CentOS). ``` баш # Пример для Ubuntu/Debian обновление sudo apt-get sudo apt-get install -y curl wget apt-transport-https gnupg

    Пример для RHEL/CentOS

    sudo yum install -y curl wget yum-utils gnupg ```

  2. Добавить репозиторий Microsoft. Это позволит вам установить MDE с помощью менеджера пакетов вашего дистрибутива. ``` баш # Пример для Ubuntu/Debian wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg sudo install -o root -g root -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg обновление sudo apt-get

    Пример для RHEL/CentOS

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ```

  3. Установить MDE: установите пакет mdatp. ``` баш # Пример для Ubuntu/Debian sudo apt-get install -y mdatp

    Пример для RHEL/CentOS

    sudo yum install -y mdatp ```

  4. Настройте MDE с пакетом адаптации. Скопируйте загруженный файл WindowsDefenderATPOnboardingPackage.zip на сервер Linux, разархивируйте его и используйте сценарий адаптации. ``` баш # Скопируйте ZIP-файл на сервер Linux. # scp WindowsDefenderATPOnboardingPackage.zip user@your_linux_server:~/

    разархивируйте WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding sudo mdatp встроенные операции высокого уровня --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ```

  5. Проверить статус: проверьте, работает ли MDE и подключен ли он к сети. баш здоровье mdatp

1.2. Регистрация в macOS (вручную)

  1. Установите MDE: скопируйте загруженный файл «MicrosoftDefenderATPOnboardingPackage.zip» на свое устройство MacOS. Разархивируйте его. Вы найдете файл .pkg (например: wdav.pkg).

  2. Установите пакет: запустите установщик .pkg. баш установщик sudo -pkg wdav.pkg -target /

    • Следуйте инструкциям на экране. Вам нужно будет предоставить MDE разрешения на полный доступ к диску и разрешения на расширение системы в разделе «Системные настройки» > «Безопасность и конфиденциальность».

  3. Настройте MDE с пакетом адаптации. Используйте сценарий адаптации. баш # Скопируйте ZIP-файл на Mac # Разархивируйте ZIP-файл sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh

    • Примечание. Точный путь к сценарию адаптации может отличаться. Проверьте содержимое файла .zip.

  4. Проверить статус: проверьте, работает ли MDE и подключен ли он к сети. баш здоровье mdatp

2. Настройка политик безопасности (Linux и macOS)

Политиками безопасности для MDE в Linux и macOS можно управлять с помощью файлов JSON (для развертывания вручную или с помощью сценариев) или с помощью таких инструментов, как Intune, JAMF, Puppet, Ansible и т. д.

Давайте воспользуемся примером конфигурации через файл JSON для антивирусного контроля.

  1. Создайте файл конфигурации JSON. Создайте файл mdatp_config.json с нужными настройками. json { "антивирусный движок": { «включено»: правда, "сканирует": { "быстрое сканирование": { «включено»: правда, "расписание": { «тип»: «ежедневно», "время": "02:00" } }, "полное сканирование": { «включено»: ложь } }, "realTimeProtection": { «включено»: правда, «scanOnAccess»: правда, «scanOnModify»: правда }, "исключения": [ { "путь": "/var/log", "тип": "каталог" }, { "path": "/opt/app/data.db", "тип": "файл" } ] }, "cloudService": { «включено»: правда, "diagnosticLevel": "полный" } }

    • Этот пример включает защиту в режиме реального времени, настраивает ежедневное быстрое сканирование и устанавливает исключения для каталога журнала и файла базы данных.

  2. Примените конфигурацию: используйте команду mdatp config. баш набор конфигурации sudo mdatp --path mdatp_config.json

  3. Проверьте примененную конфигурацию: вы можете проверить активные конфигурации. баш Конфигурация mdatp получить --json

Советы по централизованному управлению (Intune/JAMF)

  • Microsoft Intune (macOS): для macOS Intune является предпочтительным инструментом для развертывания и управления MDE. Вы можете создавать профили конфигурации для развертывания пакета MDE и настройки параметров безопасности (защита в режиме реального времени, исключения и т. д.).

  • Инструменты управления конфигурацией (Linux). В Linux такие инструменты, как Puppet, Ansible или Chef, обычно используются для автоматизации крупномасштабного развертывания MDE и управления конфигурацией.

3. Управление исключениями

Исключения важны, чтобы избежать конфликтов с законными приложениями или повысить производительность систем с высокой нагрузкой ввода-вывода. Однако их следует использовать с осторожностью, чтобы не создавать бреши в безопасности.

  1. Добавить исключение через командную строку (Linux/macOS): ``` баш # Удалить файл исключение sudo mdatp add --path /path/to/file.log --type file

    Удалить каталог

    sudo mdatp exclusion add --path /path/to/directory --type каталог

    Удалить по расширению

    исключение sudo mdatp add --extension .tmp --type расширение ```

  2. Список исключений: проверьте настроенные исключения. баш список исключений mdatp

  3. Удалить исключения. Удалите исключение, если оно больше не нужно. баш исключение sudo mdatp удалить --path /path/to/file.log

Проверка и тестирование

Проверка защиты MDE в Linux и macOS необходима для обеспечения правильной работы решения.

1. Проверка состояния на портале XDR Microsoft Defender

  1. На портале XDR Microsoft Defender (https://security.microsoft.com) перейдите в раздел Активы > Устройства.
  2. Убедитесь, что встроенные устройства Linux и macOS отображаются в списке и что их «Состояние работоспособности» имеет значение «Активно».
  3. Нажмите на устройство, чтобы просмотреть сведения о нем, включая «Состояние защиты» и «Рекомендации по безопасности».

2. Тест обнаружения антивируса (EICAR)

Используйте тестовый файл EICAR (Европейский институт компьютерных антивирусных исследований), чтобы проверить правильность работы вашего антивируса.

  1. Создать файл EICAR: создайте текстовый файл со следующим содержимым (без дополнительных пробелов и разрывов строк): X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. Наблюдение за обнаружением: MDE должен немедленно обнаружить и заблокировать файл EICAR, если включена защита в реальном времени.

  3. Проверьте наличие оповещений на портале MDE. На портале XDR Microsoft Defender перейдите в раздел Инциденты и оповещения > Оповещения. Вы должны увидеть предупреждение, связанное с обнаружением EICAR, на устройстве Linux/macOS.

3. Тест обнаружения EDR (симуляция атаки)

Microsoft предоставляет сценарииste для моделирования сценариев атак и проверки функциональности EDR MDE.

  1. Для Linux: Загрузите и запустите сценарий проверки обнаружения MDE для Linux. баш curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh

  2. Для macOS: загрузите и запустите сценарий проверки обнаружения MDE для macOS. баш curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh

  3. Проверьте оповещения на портале MDE. После запуска сценария проверьте портал XDR Microsoft Defender в разделе Инциденты и оповещения > Предупреждения. Вы должны увидеть оповещения, связанные с имитируемыми действиями, например «Выполнение подозрительной команды» или «Подозрительная активность сценария».

Советы и рекомендации по безопасности

  • Централизованное управление: используйте инструменты управления конфигурацией (Intune, JAMF, Puppet, Ansible) для развертывания и управления MDE в больших масштабах, обеспечивая согласованность политик.
  • Обновляйте MDE: убедитесь, что ваш клиент MDE и определения безопасности всегда актуальны, чтобы обеспечить защиту от новейших угроз.
  • Тщательно управляйте исключениями. Просматривайте и минимизируйте исключения, чтобы не создавать брешей в безопасности. Документируйте все исключения и их обоснования.
  • Интеграция SIEM/SOAR: интегрируйте оповещения MDE с вашей информацией о безопасности и управлением событиями (SIEM) или системой управления безопасностью, автоматизацией и реагированием (SOAR), например Microsoft Sentinel, для улучшения видимости и реагирования на инциденты.
  • Непрерывный мониторинг: активно отслеживайте портал XDR Microsoft Defender на наличие предупреждений безопасности и рекомендаций для ваших конечных точек Linux и macOS.
  • Обучение пользователей: расскажите пользователям о важности безопасности конечных точек и о том, как сообщать о подозрительной активности.
  • Защита от несанкционированного доступа: хотя она более заметна в Windows, убедитесь, что существуют эквивалентные элементы управления, чтобы злоумышленники не могли отключить или изменить настройки MDE в Linux/macOS.

Распространенное устранение неполадок

  • MDE не устанавливается/не подключается: проверьте предварительные требования (дистрибутив/версию ОС, необходимые пакеты). Проверьте журналы установки на наличие ошибок. Убедитесь, что регистрационный пакет правильный и срок его действия не истек. Проверьте сетевое подключение к конечным точкам Microsoft.
  • MDE не отправляет отчеты на портал: проверьте команду mdatp health на предмет статуса «onboarded» и «healthy». Убедитесь, что устройство имеет подключение к Интернету и службам MDE. Проверьте все настройки прокси-сервера или брандмауэра, которые могут блокировать связь.
  • Высокая загрузка ЦП/памяти: проверьте журналы MDE, чтобы определить процессы, которые могут вызывать высокую загрузку. Просмотрите настроенные исключения. Оптимизируйте настройки сканирования (например, запланируйте полное сканирование на непиковое время).
  • Конфликты с другими решениями безопасности. Если установлены другие антивирусные решения или решения безопасности конечных точек, они могут вызывать конфликты. Microsoft рекомендует удалить другие решения перед установкой MDE.
  • Ложно-положительные оповещения. Если MDE генерирует много ложноположительных оповещений, выясните, какое действие вызвало оповещение. Рассмотрите возможность добавления исключений для законных процессов или файлов (с осторожностью) или настройки политик обнаружения.
  • Проблемы с разрешениями (macOS). В macOS убедитесь, что все системные расширения и разрешения на полный доступ к диску предоставлены MDE в разделе «Системные настройки» > «Безопасность и конфиденциальность».

Заключение

Microsoft Defender для конечных точек предлагает решение для обеспечения безопасности конечных точек нового поколения, которое эффективно распространяется на среды Linux и macOS. Объединив защиту, обнаружение и реагирование на угрозы на единой платформе, организации могут упростить управление безопасностью и укрепить свою защиту от кибератак во всем своем технологическом парке. Тщательная реализация, соответствующая настройка политики и постоянный мониторинг имеют решающее значение для максимизации преимуществ MDE. Благодаря этому практическому руководству специалисты по безопасности будут хорошо подготовлены к защите своих конечных точек Linux и macOS, гарантируяВсе устройства, независимо от операционной системы, способствуют созданию более безопасной и отказоустойчивой корпоративной среды.

Ссылки:

[1] Microsoft Learn. Защитник Microsoft для конечной точки в Linux. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn. Защитник Microsoft для конечной точки в macOS. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn. Требования к лицензированию Microsoft Defender для конечной точки. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn. Предварительные требования для Microsoft Defender для конечной точки в Linux. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prequires [5] ЭИКАР. Тестовый файл EICAR. Доступно по адресу: https://www.eicar.org/download-anti-malware-testfile/