微软本周宣布Defender端点侦测及回应(Endpoint detection and response, EDR)功能,正式在Linux平台推出。
EDR是自动化搜集及侦测Linux机器上的活动事件,分析攻击手法及属性,并几近即时对管理员发出警告通知。这项功能已经推向Windows、macOS及Android与iOS版本。至于Linux版,微软是在2019年Ignite上首次展示,并分别于去年2月和6月推出Microsoft Defender for Endpoint杀毒软件的公测版及正式版。EDR功能则是去年11月才进入公测阶段。
完整Defender EDR for Linux需要较新版Linux发行版本,包括Red Hat Enterprise Linux (RHEL) 7.2+、CentOS Linux 7.2+、Ubuntu 16 LTS、SuSE Enterprise Server (SLES) 12+、Debian 9 +及Oracle Linux 7.2等。
微软强调Linux版本的新功能和Windows、macOS版完全相同,提供丰富的调查工具,包括用户创建流程、文件、网络连接或登录时间的时间轴;高端搜捕功能可查询30天内的资料来调查,并可分析恶意程序怎么进入系统或进行活动。它也能调查文件、流程、IP及通知之间的连接关系。
企业用户可以使用Puppet、Ansible或现有组态管理工具,来部署或设置Defender EDR for Linux。