當衛(wèi)士來到MacOSAS和Windows時，微軟宣布軟件的名稱正在改變，從Windows衛(wèi)士到微軟衛(wèi)士。 演示中隱藏著一個關于未來的提示：一臺帶有企鵝貼紙的Linux筆記本電腦。 現(xiàn)在，Linuxin的Micros of tDefenderATP正在公開預覽Red HatEnterpriseLinux7、CentOSLinux7、Ubuntu16LTS或更高版本、SLES12、Debian9和OracleEnterpriseLinux7。 但它究竟是什么保護了這些操作系統(tǒng)呢？

微軟已經(jīng)在Windows和Mac上的Defender代理中進行了Linux惡意軟件檢測，因為文件從一個設備移動到另一個設備，您希望在任何地方都能捕獲惡意軟件-理想情況下，在它進入脆弱系統(tǒng)之前。 如果您正在使用WSL，維護者已經(jīng)保護您免受威脅，如感染的NPM包，試圖安裝密碼。

微軟365安全公司副總裁羅伯·萊弗茨(RobLefferts)表示，Mac之所以名列第一，是因為這是微軟企業(yè)客戶要求的訂單。 “我們正在努力解決所有對我們的客戶有問題的端點，從Mac開始，轉到Linux，特別是服務器上的Linux，這是目前的重點，然后考慮iOS和Android，以及我們如何保護這些移動端點?！?/p>

萊弗茨說，長期的結果是全面的端點安全：“這包括下一代保護，如防病毒和行為[保護]，以及EDR[端點檢測和補救]。 我們?yōu)檗q護人所做的一切，我們都希望確保這種做法在他們最脆弱的地方的所有平臺上都能奏效。

對于智能手機，微軟似乎很可能專注于網(wǎng)絡釣魚，而不僅僅是在電子郵件中，而且也可能在消息應用程序中。 萊弗茨說：“我們在發(fā)現(xiàn)惡意活動和網(wǎng)站方面擁有大量非常廣泛的資產(chǎn)，我們正在利用這些資產(chǎn)來幫助移動。”

問題是，當你更好地保護像電子郵件這樣的區(qū)域時，攻擊者會移動到其他區(qū)域(這就是為什么Office365ATP現(xiàn)在覆蓋了Share Point)。

“移動設備上還有很多其他的通道被用于通信和協(xié)作，因為它是一個自然的地方。 這符合我們如何更全面地考慮安全性，安全性從你關心的所有端點開始。 “但是，讓我們走過終點——讓我們談談你的整個財產(chǎn)，你所有的用戶，你所有的數(shù)據(jù)和你在一個威脅保護環(huán)境中的所有通信工具?！?/p>

去年7月，微軟首次取笑Linux版本的Defender。

當DefenderATP在2020年年底通?？捎糜贚inux時，這種全面的端點保護將包括“與Windows上看到的完全相同的多種檢測工具”，Lefferts說。 “最初的版本并不包括我們在Windows中擁有的所有補救行動能力，但隨著時間的推移，它是我們渴望增加的。

雷弗茨指出，現(xiàn)在反病毒是一個棘手的術語，他說的是“即時采取行動的保護措施”，因為比病毒更多的威脅，特別是腳本和無文件攻擊。 “我們設想作為提供的一部分，但它開始更多地關注可執(zhí)行對象?！?/p>

預覽可以發(fā)現(xiàn)和阻止惡意軟件和“可能不需要的應用程序”(PUAS)。 Linux沒有太多的廣告軟件，但硬幣礦工可能是你安裝的東西，或者你被騙安裝的東西，甚至合法的遠程管理工具也是一個問題，如果是攻擊者把它們放在系統(tǒng)上。 同樣重要的是，它將這些信息發(fā)送給了辯護人安全中心。

辯護人真的是兩件事。 在端點上運行的代理：掃描文件、跟蹤操作系統(tǒng)中發(fā)生的事情、檢測設備上的惡意軟件并阻止或刪除它（以及給您控制應用程序可以運行的選項），還可以向Defender高級威脅保護云服務發(fā)送信號，其中來自多個系統(tǒng)的信息是相關的。

攻擊者不考慮單獨的設備和系統(tǒng)，甚至不考慮目標列表：他們考慮系統(tǒng)是如何相互連接的，以及如何在同一環(huán)境中從一個受感染的設備移動到其他設備，以獲得控制，提取最多的數(shù)據(jù)，并阻止安全團隊將。 一臺帶有病毒的筆記本電腦，一臺服務器上的十幾次密碼嘗試失敗，另一臺服務器上的異常文件訪問不是三個單獨的問題：它們是一個攻擊者，跨越網(wǎng)絡移動，并獲得對更多系統(tǒng)的訪問。

SEE：如何建立一個成功的開發(fā)人員職業(yè)(免費PD F)（技術共和國）

防御者需要相同類型的系統(tǒng)圖形視圖，而防御者ATP可以從更多的系統(tǒng)獲得信號，您將不得不攻擊的更清晰的視圖。 這是微軟安全圖背后的想法，它可以添加一些事件，比如用戶在Outlook中單擊一個設備上的釣魚消息，或者Word文檔中的一個鏈接，該鏈接下載一個宏，然后下載一個密碼器。 Lefferts解釋說，現(xiàn)在Linux系統(tǒng)可以輸入該圖形。

“這樣做的主要原因之一是將這種保護連接到您的企業(yè)系統(tǒng)中。 他說：“防御器是指對環(huán)境中的端點設備進行端到端的保護——它作為一個EDR系統(tǒng)插入防御器ATP，信號顯示在一個一致的儀表板中，它檢測事件和攻擊，并為安全團隊和SOC分析人員提供他們需要的工具來了解更大的情況。

“最后，攻擊者以一種或另一種形式跟蹤客戶的數(shù)據(jù)，不管是刪除、加密、doxx、偷竊等等。 但這條道路上的關鍵目標之一是在公司的服務器骨干環(huán)境中獲得持久性。 這是一個中心點，他們可以抓住其他一切，并相處，因為最終用戶總是回到這些。 有時這就是ActiveDirectory，有時這只是一個應用服務器，從那里我現(xiàn)在可以攻擊環(huán)境中的終端用戶。

目前，Linux的Defender完全由命令行驅動。

這就是為什么Linux上的維護者最初專注于服務器和DNS，Lefferts說：“Linux機器，整個機器，正在被用作應用程序的平臺”。 這包括在云中運行的VM，而且由于它是針對服務器的，Defender在Linux上沒有用戶界面-它都是從命令行運行的，它與通常的Linux管理工具一起工作，如Ansible、Chef和Puppet，配置選項都在JSON文件中。 您還需要確保在Micros of tDefender安全中心打開預覽功能，以查看受保護的Linux系統(tǒng)的詳細信息。

保持安全工具的更新是重要的，但與WSL發(fā)行版一樣，微軟正在避免自動更新，而是讓Linux用戶管理自己的維護者代理的更新計劃。 公司可能已經(jīng)有了這樣的流程，使用腳本，工具，如景觀或標準無人值守升級選項。 簽名和威脅定義將自動推送給維護者代理(在Windows上，每天發(fā)生幾次)。

如果您想保護Linux，沒有什么可以阻止您在運行Linux的開發(fā)人員筆記本上運行Defender。 “我們還沒有將Linux定位為桌面或用戶端點——這也是因為GUI問題，盡管它確實有效。 因此，如果你說的是像編碼器這樣的人，他們可能能夠在這種環(huán)境中生存，但這不是我們會對普通用戶放松的東西，“萊弗茨警告說。

如果您使用Linux作為開發(fā)平臺，并基于開源項目構建自己的自定義應用程序，那么這些應用程序可能會帶來漏洞，企業(yè)希望有助于捕捉這些漏洞。 開發(fā)工具在部署之前可能會對此有所幫助，但是當它們受到威脅時，Micros of tDefender已經(jīng)檢測到開源工具包，在服務器上也是如此。 萊弗茨說：“這不僅僅是這些比特出現(xiàn)在磁盤上，而是它們實際上正在被使用并加載到內存中?！?/p>

Linux的真正意義在于，組織中的所有系統(tǒng)都向同一個威脅監(jiān)測工具發(fā)送有關可能安全問題的信號。

有一些Linux系統(tǒng)的維護者不適合在這個階段。 Lefferts說：“當涉及到Linux使用的更廣泛的方式，即嵌入到物聯(lián)網(wǎng)設備或手機中，或者它最終可能出現(xiàn)的所有地方時，我們現(xiàn)在絕對沒有針對這些場景。” 例如，IoT的Azure安全中心是管理IoT安全的更好選擇。 在您的環(huán)境中查看所有最終用戶端點和服務器基礎設施的能力將是許多企業(yè)向前邁出的一步。 但是，將Defender引入Linux是更大的安全策略的一部分，從檢測攻擊到通過強化環(huán)境來防止攻擊-以及優(yōu)先處理問題。

萊弗茨指出：“如果防守者要想取得更大的成功，他們確實需要能夠像進攻者那樣看到風景，這就是所有的事情都在一個故事中聯(lián)系在一起。” “這不僅包括拉入服務器，還包括拉入電子郵件和身份重用，以及這種方式如何連接到云應用程序，將所有這些域切割成一個一致的事件，這是我們用來為維護者講述這一故事的對象?！?/p>

他說：“我們不僅可以在攻擊發(fā)生時告訴證券交易委員會的行動小組，還可以告訴安全管理員和更廣泛的信息技術小組關注的漏洞在哪里，并能夠根據(jù)環(huán)境中的威脅動態(tài)重新排序。 這將幫助該組織了解他們需要解決的最大安全態(tài)勢問題是什么。

如果你還沒有準備好這種大圖，Linux的防御器仍然是有用的，Lefferts堅持說。 如果你今天沒有使用任何東西來保護你的Linux遺產(chǎn)，你可以在它是GA的時候立即從Defender開始?；蛘呷绻闶褂靡粋€單獨的工具，你就不用再這樣做了：你實際上會通過部署與DefenderATP集成的東西來獲得更好的保護。