De Linux-variant van Microsoft Defender for Endpoint is een stukje sterker geworden.

Microsoft Defender for Endpoint is Microsofts antwoord op de vraag naar tooling voor bestendigheid tegen endpointdreigingen in Windows, macOS en Linux. Functionaliteit verschilt per besturingssysteem. Microsoft maakt bekend dat Microsoft Defender for Endpoint on Linux van een reeks nieuwe functies is voorzien.

Live response

Allereerst: live response. De term omvat meerdere tools die het mogelijk moeten maken Linux-dreigingen in real-time aan te pakken en voor te zijn door scripts uit te voeren voor het onderzoeken van verdachte gebeurtenissen, verzamelen van forensische gegevens en automatische reageren op gebeurtenissen per device. Zowel afzonderlijke commands als Bash scripts – vooraf ingestelde reeks commands, veelal gebruikt voor automatisering in Linux – worden ondersteund.

Live response is vooralsnog uitsluitend beschikbaar per public preview: handmatige inschakeling via de settings van Microsoft Defender for Endpoint is benodigd.

Behavior monitoring

Ook runtime memory scanning en behavior monitoring maken een verschijning in Microsoft Defender for Endpoint on Linux. Beide toevoegingen dienen voor een effectievere preventie van dreigingen.

Runtime memory scanning verbetert het vermogen van Defender om werkprocessen – en de interacties tussen werkprocessen – te analyseren. Hierbij ligt het oog op de vondst van dreigingen die zich niet op de schijf, maar in het geheugen van endpoints afspelen. Microsoft noemt ‘Meterpreter’ als voorbeeld: een dreiging die direct in het werkgeheugen van een endpoint wordt uitgerold, niets op een schijf afschrijft en desondanks machtiging tot het systeem verkrijgt. Monitoring via runtime memory scanning brengt het dreigingssoort aan de oppervlakte.

Behavior monitoring biedt een schild tegen ransomware-aanvallen die gebruikmaken van legitieme tools voor de versleuteling van bestanden, en daarmee bovengemiddeld goed aan de radar van endpoint security voorbij gaan. GnuPG is een voorbeeld van dergelijke tools. De versleutelingssoftware, populair in Linux-omgevingen, werd eerder door ransomware Qwerty benut om systemen onopgemerkt te versleutelen. Het nieuwe behavior monitoring belooft ook dreigingen die grotendeels gebruikmaken van legitieme tools en processen te gaan herkennen.

Behavior monitoring wordt in de komende weken automatisch ingeschakeld voor gebruikers van Microsoft Defender for Endpoint on Linux. De inschakeling van cloud-delivered protection in de settings van Microsoft Defender for Endpoint is voorwaardelijk. Het referentiekader waarmee behavior monitoring endpoints analyseert komt immers uit de cloud.

Ondersteuning van Amazon Linux en Fedora

Microsoft Defender for Endpoint is voor een select aantal Linux distro’s en versies beschikbaar. Daaronder: RHEL, CentOS, Ubuntu, Debian, SUSE en Linux. In aanvulling op het bovengenoemde live response, runtime memory scanning en behavior monitoring voegt Microsoft ondersteuning voor twee nieuwe distro’s toe: Amazon Linux 2 en Fedora 33+.