Microsoft Defender Advanced Threat Protection w służbie Linuksa
Nie wiem jak tysiące czytelników, ale autor niniejszego od dekad jeśli nie dziesięcioleci oczekiwał takiego rozwinięcia akcji. Ok, żarty na bok. Microsoft Defender Advanced Threat Protection w wersji dla Linuksa to zupełnie nowy rozdział w historii obronności naszego ulubionego systemu. Tak, dobrze przeczytaliście. Microsoft i na dodatek Defender. Taki oto produkt zaoferowała nam znana ze swej dobroczynności korporacja.
Jeżeli ktoś nie jest w temacie, to bez obaw. Do dzisiaj Windows Defendera traktowałem z równie ignoranckim podejściem co i za chwilę.
Windows Defender – program antywirusowy chroniący przed wszelkimi typami szkodliwego oprogramowania, w tym przed oprogramowaniem szpiegującym (spyware).
Zatem, Windows Defender to podstawowa i pierwsza linia obrony w Windowsie, która ma za zadanie wyeliminować wszelkie zakusy wrażych botów i innych na nasz system. Pamiętając czasy Windows XP, Windowsa 7, wszyscy wiemy jak się ten Defender spisywał. Jednak Windows 10 to już zupełnie inna bajka i bardziej „linuksowe” podejście. Ten Defender naprawdę coś tam robi. Ale jak to się ma do Linuksa?
Zacznijmy od tego, że ATP w wersji podglądowej jest/będzie dostępny dla użytkowników rozwiązań serwerowych. No i aby dopełnić czarę goryczy zwykłego użytkownika – to Azure Sentinel będzie posłańcem niosącym tę dobrą wiadomość. Jak wiemy, powyższe zainteresuje jedynie osoby związane z chmurą Azure (Microsoft? Znowu?) i linuksowych instancji tamże. To oczywiście ogromny skrót możliwości jakie niesie ze sobą ATP. Za jego pomocą będzie możliwe:
- automatyczne blokowanie ataków i eliminowanie ich efektów,
- wyższy priorytet incydentów do późniejszej analizy,
- automatyczne rozwiązywanie problemów,
- specjalistyczne analizowanie problemów cross-domain,
Wow. Prawda? Większość nic z tego nie rozumie. I prawidłowo – powyższe to zaledwie skrót możliwości, które Microsoft Defender zamierza zaproponować użytkownikom Linuksa.
Aby jednak nie popaść w nihilizm. Microsoft Defender dla Linuksa i to nawet tylko w chmurze Azure będzie spełniał swoją rolę. Po pierwsze, jest to rozwiązanie sprzęgnięte z rozwiązaniami giganta. Po drugie – użytkownicy instancji Azure poczują się pewniej. Po trzecie – to kolejna serduszko jakie Microsftu oferuje Linuksowi. Kto zna historię, ten wie, że zwyciężamy. I nie ma w tym nic z prześmiewczej ironii. Po prostu, każdy produkt Microsoftu dla Linuksa definiuje nowe. Płaszczyzny, możliwości, spekulacje – niepotrzebne skreślić.
Ja podziękuję.
Jeśli MS kupi Canonical to użytkownicy desktopów z Ubuntu otrzymają dedykowaną wersję.
Nie używam na Windowsie – nie będę, tym bardziej na pingwinie. Szczerze, to nie podobają mi się te uśmiechy ze strony MS do linuksa. Ta firma od samego początku zabija wszystko, czego się dotknie.
Ze względu na wymogi działu bezpieczeństwa w moim kropo na instancjach z systemem mamy to po instalowane z włączonym EDR i innymi – niestety po ponad roku użytkownika tego mogę napisać:
Wsparcie tylko dla kilku kluczowych dystrybucji;
Bajzel z skryptami instalacyjnymi i instrukcjami (.i.e proponowanie instalacji z repo insaider);
Jeżeli pojawią się problemy związane z performance lub dziwnym zachowaniem systemu to wsparcie się praktycznie kończy (na niektórych instancjach musiałem na systemd ograniczać ilość ram per procesy aby nie zawaliło serwera po crash’ach – wersja 101.53.02 na wspieranym oficjalnie systemie );
False-positive to codzienność – np. ktoś połączyć się do serwera z zewnątrz nawiązał sesje SSH (w tym przypadku serwer SFTP), spróbował się zalogować i nie zgadł hasła lub próbował logować się na root, lub nieistnijące konta, a EDR już krzyczy że udało się nawiązać sesje i zalogować i trzeba bezpiecznikom tłumaczyć i pokazywać logi;
Jednak to rozwiązanie ma swoje plusy też:
Na moim serwerach (w mojej administracji) są dokonywane regularnie aktualizacje i zmienia się z czasem konfiguracja. Natomiast to narzędzie jest bardziej dla wanabe admin – jak zawsze twierdze “Admin D*pa system K*pa”. Przykładowo wiem o kilku takich serwerach zwykle w “bezpiecznym” DMZ wewnątrz sieci za NAT, które jeszcze jadą na CentOS 5.11 final i tam żaden “defender” nie pomoże (pewnie do czasu włamu).
Pozdrawiam