La première préversion de Microsoft Defender Advanced Threat Protection pour Linux est disponible

Dans un effort de Microsoft « d'aller encore plus loin dans l'amélioration de la sécurité pour tous »

Durant l’édition 2019 de la conférence Ignite, Microsoft a annoncé qu’Advanced Threat Protection (ATP) arriverait sur les serveurs Linux « l’an prochain ». La manœuvre de l’éditeur s’inscrivait dans le cadre de l’extension des possibilités offertes par ses outils de détection d’activités suspectes et d’autres problèmes sur les terminaux au sein des réseaux d’entreprise.

« Nous prévoyons d'offrir Microsoft Defender ATP pour les serveurs Linux, ce, pour offrir une protection supplémentaire pour les réseaux hétérogènes de nos clients », avait insisté un responsable de l’entreprise.

Il aura fallu attendre le mois de mars pour que la préversion soit disponible.


En savoir plus sur Microsoft Defender ATP

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) est une plateforme unifiée de protection préventive, de détection après effraction, d’examen automatisé et de réponse. Microsoft Defender ATP protège les points de terminaison des cybercriminels, détecte les attaques avancées et les violations de données, automatise les incidents de sécurité et améliore la sécurité.

Gestion des menaces et des vulnérabilités

Defender ATP dispose d'une fonctionnalité intégrée qui utilise une approche basée sur le risque en matière de découverte, de hiérarchisation et de correction des vulnérabilités de point de terminaison et des configurations incorrectes. Elle sert d’infrastructure pour la réduction de l’exposition de l’organisation, le renforcement de la surface de point de terminaison et l’augmentation de la résilience de l’organisation.

Elle permet aux organisations de détecter des vulnérabilités et des configurations incomplètes en temps réel, en fonction de capteurs, sans nécessiter d’agent ou de numérisation périodique. Elle établit une priorité sur les vulnérabilités en fonction du paysage des menaces, des menaces détectées au sein de votre organisation, des informations sensibles sur les appareils vulnérables et du contexte professionnel.

Réduction de la surface d'attaque

Selon Microsoft, Defender ATP vous aide à réduire la surface d'attaque en réduisant les endroits où votre organisation est vulnérable aux cybermenaces et aux attaques. Microsoft met à la disposition des administrateurs un ensemble de ressources pour configurer la protection des appareils et applications de leur organisation, notamment :

• une isolation matérielle, pour apporter une protection et un maintien de l’intégrité d’un système lors du démarrage et de son exécution. Validez l’intégrité du système via l’attestation locale et à distance. L'un des outils embarqués dans Defender ATP qui est prévu pour cet effet est Defender Application Guard. Il permet d’isoler les sites non approuvés définis par l’entreprise, en protégeant votre entreprise lorsque vos employés naviguent sur Internet. En tant qu’administrateur d’entreprise, vous définissez les sites Web approuvés, les ressources de cloud et les réseaux internes. Tout ce qui ne figure pas sur votre liste est considéré comme non approuvé.
  
  Si un employé accède à un site non approuvé par le biais de Microsoft Edge ou Internet Explorer, Microsoft Edge ouvre le site dans un conteneur isolé, activé par Hyper-V et distinct du système d’exploitation hôte. Grâce à l’isolement du conteneur, l’ordinateur hôte est protégé et l’attaquant ne peut pas accéder à vos données d’entreprise si le site non approuvé se révèle malveillant. Par exemple, cette approche anonymise le conteneur isolé, afin qu’une personne malveillante ne puisse pas accéder aux informations d’identification d’entreprise de votre employé.
  
  
  
• un contrôle des applications afin que seules les applications de confiance puissent être exécutées. Dans la plupart des organisations, il est impératif de veiller à ce que seuls les utilisateurs approuvés aient accès à certaines informations. Toutefois, lorsqu’un utilisateur exécute un processus, ce dernier bénéficie du même niveau d’accès aux données que celui dont dispose l’utilisateur. Par conséquent, des informations sensibles peuvent facilement être supprimées ou transmises hors de l’organisation si un utilisateur exécute intentionnellement ou involontairement des logiciels malveillants.
  
  Le contrôle des applications peut aider à limiter ces types de menaces de sécurité en restreignant les applications que les utilisateurs sont autorisés à exécuter et le code qui s’exécute dans le noyau du système. Les stratégies de contrôle d’application peuvent également bloquer les scripts et MSI non signés, et limiter Windows PowerShell pour qu’ils s’exécutent en Constrained Language Mode.
• un accès contrôlé aux dossiers pour protéger vos données importantes des applications malveillantes et autres menaces comme les ransomware. Cette fonctionnalité protège vos données en effectuant une recherche dans une liste d’applications connues et approuvées.

Détection et réponse au niveau des points de terminaison

Ces fonctionnalités permettent de détecter des attaques avancées quasiment en temps réel. Les analystes de la sécurité peuvent hiérarchiser efficacement les alertes, obtenir une visibilité sur l’ensemble des violations et prendre des mesures pour remédier aux menaces.

En cas de détection d’une menace, des alertes sont créées dans le système pour qu’un analyste l'examine. Les alertes associées aux mêmes techniques d’attaque ou affectées au même attaquant sont agrégées dans une entité appelée incident. L’agrégation des alertes de cette manière permet aux analystes de rechercher et de répondre à des menaces collectivement.

Installation de Microsoft Defender ATP pour Linux

Avant tout, il faut :

• avoir accès au portail du centre de sécurité Microsoft Defender ;
• disposer au moins d'une expérience niveau débutant pour les scripts Linux et BASH ;
• disposer des privilèges d’administration sur le périphérique (en cas de déploiement manuel).

Configuration requise

• Versions et distributions du serveur Linux prises en charge:
  
  • Red Hat Enterprise Linux 7,2 ou version ultérieure
  • CentOS 7,2 ou version ultérieure
  • Ubuntu 16,04 LTS ou version ultérieure LTS
  • Debian 9 ou version ultérieure
  • SUSE Linux Enterprise Server 12 ou version ultérieure
  • Oracle Linux 7,2 ou version ultérieure
  
  
• Version minimale du kernel 2.6.38
• L'option kernel fanotify doit être activée
• Espace disque : 650 Mo ;
• La solution fournit actuellement une protection en temps réel pour les types de systèmes de fichiers suivants:
  
  • btrfs
  • ext2
  • ext3
  • ext4
  • tmpfs
  • xfs
  
  D’autres types de systèmes de fichiers seront ajoutés plus tard.

Après avoir activé le service, vous devrez peut-être configurer votre réseau ou un pare-feu pour autoriser les connexions sortantes entre ce service et vos points de terminaison.

Source : Microsoft

Voir aussi :

Pourquoi Linux n'a-t-il pas de succès sur desktop ? Entretien avec Mark Shuttleworth, fondateur et PDG de Canonical, éditeur d'Ubuntu
Microsoft publie le code source du noyau Linux léger utilisé dans WSL2 sous licence GPL version 2
Machines virtuelles Azure : Linux met fin au règne de Windows Server et est désormais (par moment) l'OS le plus utilisé sur le cloud de Microsoft
Microsoft : Linux est maintenant exécuté sur 40 % des machines virtuelles Azure, une nette hausse depuis l'année dernière
Marché des PC : quels sont les problèmes qui freinent l'adoption de Linux ? Partagez vos avis
Linux exécuté sur près d'un tiers des machines virtuelles Azure, Microsoft annonce de nouvelles possibilités d'exécuter les containers dans le cloud