Microsoft Defender for Endpoint Linux

Microsoft は本日、オンボード Linux デバイス上の Microsoft Defender for Endpoint (MDE) にデバイス分離サポートを追加したことを発表しました。

エンタープライズ管理者は、Microsoft 365 Defender ポータルまたはAPI 要求を使用して、パブリック プレビューの一部として登録された Linux マシンを手動で分離できます。

隔離されると、攻撃者は侵害されたシステムに接続できなくなり、制御が遮断され、データ盗難などの悪意のある活動がブロックされます。

「一部の攻撃シナリオでは、ネットワークからデバイスを分離する必要がある場合があります。このアクションは、攻撃者が侵害されたデバイスを制御し、データの流出や横方向の移動などのさらなる活動を実行するのを防ぐのに役立ちます」と Microsoft は説明しました。

「Windows デバイスと同様に、このデバイス分離機能は、デバイスの監視を継続しながら、Defender for Endpoint サービスへの接続を維持しながら、侵害されたデバイスをネットワークから切断します。」

隔離されたデバイスは、デバイス ページの [隔離からの解放] ボタンまたは「隔離されていない」HTTP API 要求を使用して脅威が緩和されるとすぐに、ネットワークに再接続できます。

この新機能は、 システム要件のページに記載されているすべての MDE Linux 対応ディストリビューションでサポートされています。

M365 Defender ポータルによる Linux デバイスの分離
M365 Defender ポータル (Microsoft) による Linux デバイスの分離

Linux エンドポイントでは、Microsoft Defender for Endpoint は、検出したすべての脅威情報を Microsoft 365 Defender ポータルに送信するように設計された、マルウェア対策と EDR (エンドポイントの検出と応答) 機能を備えたコマンドライン製品です。

MDE サブスクリプションを持つ管理者は、 手動で、または Puppet、Ansible、および Chef 構成管理ツールを使用して、Linux デバイスにデプロイおよび構成できます。

エンタープライズ エンドポイント セキュリティ ソリューションは、 2020 年 2 月にパブリック プレビューに入った後、2020 年 6 月に Linux および Android 向けに一般提供され、複数の Linux サーバー分散バージョンがサポートされています。

2 年前、Microsoft は、Microsoft Defender for Endpoint に Linux デバイス用のライブ応答機能を追加したことも発表し、エンタープライズ ネットワーク上の Linux デバイスのセキュリティ構成を識別および評価するためのサポートを含めました。

同年、MDE のエンドポイントの検出と応答 (EDR) 機能、2020 年 11 月に開始されたパブリック プレビュー段階に続いて、Linux サーバーで一般的に利用できるようになりました。