Hace algunos días Microsoft dio a conocer mediante un anunció que agregó el soporte de aislamiento de dispositivos a Microsoft Defender para Endpoint (MDE) en dispositivos Linux integrados.
Cabe mencionar que tal vez para muchos, este tipo de acciones de MS, no sea la gran cosa ni mucho menos y ciertamente les puedo dar la razón, pero personalmente me pareció interesante la noticia, ya que para entornos empresariales y similares que se rigen bajos ciertos requisitos y documentación sobre todo, pueden tener ciertos beneficios y sobre todo es un pequeño grano de arena indirecto para que puedan tomar un poco más en cuenta a Linux, sobre todo en aquellos entornos que se rigen sobre el uso de productos de MS.
Sobre el tema, se menciona que ahora los administradores ahora pueden aislar manualmente las máquinas Linux inscritas mediante el Portal de Microsoft 365 Defender o mediante solicitudes de API.
Una vez aislados, si se llega presentar algún problema ya no se tendrán conexión con el sistema infectado, cortando su control y bloqueando actividades maliciosas como el robo de datos. La función Device Isolation está en versión preliminar pública y refleja lo que el producto ya hace para los sistemas Windows.
“Algunos escenarios de ataque pueden requerir que aísle un dispositivo de la red. Esta acción puede ayudar a evitar que el atacante controle el dispositivo comprometido y realice otras actividades, como la exfiltración de datos y el movimiento lateral. Al igual que los dispositivos de Windows, esta característica de aislamiento del dispositivo desconecta el dispositivo comprometido de la red mientras mantiene la conectividad con el servicio Defender for Endpoint, mientras continúa monitoreando el dispositivo”, explicó Microsoft. Según el gigante del software, cuando el dispositivo está aislado, está restringido en los procesos y destinos web que están permitidos.
Esto significa que, si se está detrás de un túnel VPN completo, no se podrá llegar a los servicios en la nube de Microsoft Defender for Endpoint. Microsoft recomienda que los clientes usen una VPN de túnel dividido para el tráfico basado en la nube tanto para Defender for Endpoint como para Defender Antivirus.
Una vez resuelta la situación que provocó el aislamiento, podrán volver a conectar el dispositivo a la red. El aislamiento del sistema se realiza mediante API. Los usuarios pueden acceder a la página de dispositivos de sistemas Linux a través del portal de Microsoft 365 Defender, donde verán una pestaña ‘Aislar dispositivo’ en la parte superior derecha, entre otras opciones.
-Microsoft ha descrito las API para aislar el dispositivo y liberarlo del bloqueo
Los dispositivos aislados se pueden volver a conectar a la red tan pronto como se haya mitigado la amenaza mediante el botón ‘Liberar del aislamiento’ en la página del dispositivo o una solicitud API HTTP ‘no aislada’. Los dispositivos Linux que pueden usar Microsoft Defender para Endpoint incluyen Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux y Amazon Web Services (AWS) Linux. Esta nueva función en los sistemas Linux refleja una función existente en los sistemas Microsoft Windows.
Para quienes desconocen de Microsoft Defender for Endpoint, deben saber que este es un producto de línea de comandos con características antimalware y de detección y respuesta de puntos finales (EDR) diseñado para enviar toda la información sobre las amenazas que detecta al Portal de Microsoft 365 Defender.
Linux Device Isolation es la característica de seguridad más reciente que Microsoft ha incorporado al servicio en la nube. A principios de este mes, la empresa amplió la protección contra manipulaciones de Defender para Endpoint para incluir exclusiones de antivirus. Todo esto es parte de un patrón más amplio de fortalecimiento de Defender con miras al código abierto.
En su feria Ignite en octubre de 2022, Microsoft anunció la integración de la plataforma de monitoreo de red de código abierto Zeek como parte de Defender para Endpoint para la inspección profunda de paquetes del tráfico de red.