Defender for Endpoint en el servidor Linux obtuvo capacidades de detección y respuesta de endpoints (EDR) hace unos meses y ahora tiene capacidades adicionales para los clientes de Azure Defender. Tiene sentido que Microsoft desarrolle productos de seguridad para Linux, dado que las distribuciones de Linux dominan los sistemas operativos de las máquinas virtuales en su nube Azure.
Un cambio clave es que la detección de EDR de Linux y la respuesta en vivo ahora están en vista previa pública. La respuesta en vivo permite investigaciones en profundidad y contención rápida de amenazas al brindar a los equipos de seguridad datos forenses, la capacidad de ejecutar scripts, compartir entidades sospechosas y buscar posibles amenazas.
Microsoft también ha extendido el soporte para Amazon Linux 2 y Fedora 33+. Y ahora tiene una versión preliminar pública de RHEL6.7 +, CentOS 6.7+. Anteriormente, EDR estaba disponible para: RHEL 7.2+; CentOS Linux 7.2+; Ubuntu 16.04 o superior LTS; SLES 12+; Debian 9 o más reciente; o Oracle Linux 7.2 o superior. "El conjunto completo de las capacidades de antivirus (AV) y EDR lanzadas anteriormente ahora se aplica a estas distribuciones de Linux recién agregadas. La cobertura [gestión de amenazas y vulnerabilidades] se ampliará con Amazon Linux y Fedora en los próximos meses", dice Microsoft .
Los usuarios deben tener Microsoft Defender para Endpoint versión 101.45.13. También señala que las capacidades AV y EDR lanzadas anteriormente también se aplican a RHEL6.7 +, CentOS 6.7+. Las versiones de kernel compatibles se enumeran aquí . Microsoft también está llevando TVM a Linux Debian. En las próximas semanas estará disponible una vista previa pública de TVM para Debian 9+. También está haciendo que el antivirus Defender esté generalmente disponible en Linux, brindando la capacidad de monitorear procesos, actividades del sistema de archivos y cómo los procesos interactúan con el sistema operativo utilizando la seguridad en la nube de Microsoft.
"Con la supervisión del comportamiento, la protección de Microsoft Defender para Endpoint en Linux se amplía para interceptar de forma genérica clases completamente nuevas de amenazas, como rescate, recopilación de datos confidenciales, minería de criptomonedas y otras. Las alertas de supervisión del comportamiento aparecen en Microsoft 365 Defender junto con todas las demás alertas y se puede investigar eficazmente ", señala Microsoft.
romete abordar las amenazas de ransomware también con técnicas de aprendizaje automático. "El monitoreo del comportamiento proporciona medidas efectivas contra los ataques de ransomware que se pueden lograr utilizando una variedad de herramientas legítimas (por ejemplo, gpg, openssl) mientras llevan patrones similares desde la perspectiva del comportamiento del sistema operativo. Muchos de esos patrones pueden ser detectados por el motor de monitoreo del comportamiento en de una manera genérica ".
Los administradores también pueden explorar eventos de seguridad localmente mediante la interfaz de línea de comandos de Microsoft Defender para Endpoint en Linux.
Fuente: zdnet | somoslibres
