Microsoft Defender для конечной точки в Linux

Microsoft Defender для конечной точки на Linux защищает рабочие нагрузки сервера Linux в локальных, облачных и гибридных средах. Это помогает предотвращать, обнаруживать, исследовать и реагировать на сложные угрозы с помощью единой видимости на портале Microsoft Defender.

Defender использует упрощенную архитектуру датчиков на основе eBPF без модулей ядра, обеспечивая защиту с минимальными издержками и нулевым перебоем рабочей нагрузки в системах с ограниченными ресурсами.

По мере того как угрозы Linux выходят за рамки традиционных вредоносных программ в атаки без файлов и в памяти, Defender объединяет антивирусную защиту нового поколения, обнаружение и реагирование на конечные точки на основе ИИ (EDR), аналитику поведения и аналитику угроз Майкрософт для обнаружения и нарушения методов злоумышленников. Эти методы включают программы-шантажисты, внедрение памяти, боковое перемещение и расширенные угрозы сохраняемости.

Благодаря широкой поддержке распространения Linux и глубокой интеграции с экосистемой Microsoft Defender вы можете стандартизировать операции безопасности, получить сквозную видимость и ускорить реагирование на угрозы с помощью единой платформы.

Возможности безопасности для сред сервера Linux

В следующей таблице описаны основные возможности безопасности, предоставляемые Microsoft Defender для конечной точки на Linux.

Возможность Описание
Защита нового поколения Обеспечивает защиту от вредоносных программ и новых угроз в режиме реального времени, анализируя шаблоны выполнения и блокируя вредоносные действия.
Обнаружение и нейтрализация атак на конечные точки (EDR) Обеспечивает глубокое представление о действиях конечной точки и обеспечивает быстрое исследование и реагирование на сложные атаки.
Управление уязвимостями Выявляет пробелы в системе безопасности и определяет приоритеты действий по исправлению для постоянного снижения риска.
Упрощенное управление и операции Упрощает подключение, настройку, мониторинг и управление Defender в средах с большим Linux.
Простая интеграция и расширяемость Расширяет видимость и реагирование за счет простого подключения с помощью средств безопасности, API и более широкой платформы Defender.

Защита нового поколения

Защита конечных точек Linux от вредоносных программ и расширенных угроз с помощью возможностей защиты в режиме реального времени, на основе поведения и облака.

Возможность Описание
Защита в режиме реального времени Антивирусная и антивредоносная защита с использованием методов на основе поведения, облачных технологий и машинного обучения.
Мониторинг поведения Отслеживает поведение процесса в режиме реального времени для обнаружения и блокировки вредоносных действий на основе шаблонов выполнения и намерений.
Пассивный режим Обеспечивает антивирусную защиту в пассивном состоянии без автоматического исправления, сохраняя при этом полную видимость EDR. Обеспечивает сосуществование с другими сторонними антивирусными решениями.
Облачная защита Использует машинное обучение и аналитику угроз для быстрого обнаружения новых угроз.
Запланированное сканирование и сканирование по запросу Обеспечивает гибкость для быстрого, полного или настраиваемого сканирования конечных точек на основе рабочих требований.

Обнаружение и нейтрализация атак на конечные точки (EDR)

Обнаружение, исследование и реагирование на сложные атаки на основе аналитики на основе ИИ, обнаружения поведения и Microsoft Threat Intelligence.

Функция Описание
Обнаружение на основе поведения Обнаруживает расширенные угрозы с помощью аналитики поведения на основе ИИ.
MITRE ATT&обнаружения, выровненные по CK Сопоставляет обнаружения с методами злоумышленника для более эффективного исследования.
Корреляция оповещений Группирует связанные оповещения в инциденты для упрощения исследования.
Временная шкала устройства Предоставляет подробное представление о действиях в конечной точке.
Расширенная охота Включает упреждающий поиск угроз с помощью анализа на основе запросов.
Динамический ответ Позволяет удаленное исследование, выполнение скриптов и исправление, например удаление файлов, завершение процесса и сбор доказательств.
Блокировать файл с помощью индикаторов файлов Блокирует или разрешает файлы в конечных точках с помощью пользовательских индикаторов, предотвращая выполнение известных вредоносных файлов.
Изоляция устройства Помогает содержать скомпрометированные устройства от бокового смещения.
Коллекция пакетов для исследования Собирает данные судебной экспертизы для более глубокого анализа.
Удаленное сканирование Инициирует антивирусную проверку для выявления и устранения угроз.

Управление уязвимостями

Непрерывно оценивать уязвимости, неправильные конфигурации и состояние безопасности, чтобы снизить риск и определить приоритеты для исправления.

Возможность Описание
Оценка уязвимостей Определяет уязвимости программного обеспечения и неправильные настройки на устройствах.
Рекомендации по безопасности Предоставляет практические рекомендации по снижению риска конечной точки.
Отслеживание исправлений Отслеживает действия по исправлению и снижение экспозиции.
Интеграция с оценкой безопасности Оценивает состояние безопасности и предоставляет действия по повышению общей безопасности.

Упрощенное управление и операции

Microsoft Defender для конечной точки на Linux предоставляет гибкие возможности подключения и централизованного управления через портал Defender, которые упрощают развертывание, настройку, мониторинг и интеграцию с другими средствами безопасности в средах Linux сервера.

Развертывание в большом масштабе

Microsoft Defender для конечной точки на Linux поддерживает несколько методов развертывания, обеспечивая эффективное подключение и управление в больших и разнообразных средах.

Возможность Описание
Развертывание на основе скриптов Используйте средство развертывания Defender на портале Defender, чтобы упростить установку и подключение с помощью одного сценария.
Развертывание Defender для облака Автоматическое подключение серверов Linux и управление ими с помощью Defender для облака для упрощения облачных и гибридных развертываний.
Сторонние средства управления Используйте такие средства, как Ansible, Chef и Puppet, для автоматизированных масштабируемых развертываний.
Развертывание золотого образа Предварительная настройка Defender в базовых образах для согласованного и повторяемого развертывания.
Ручное развертывание Установите Defender вручную с помощью интерфейса командной строки для тестирования или сценариев с ограниченным масштабом.

Defender поддерживает дистрибутивы Linux корпоративного уровня в архитектурах x64 и ARM64, обеспечивая согласованную защиту в разнородных средах. Матрица поддержки и рекомендации по развертыванию см. в разделе Предварительные требования для Defender для конечной точки на Linux.

Управление в большом масштабе

Возможности централизованного управления через портал Defender помогают организациям последовательно настраивать, обслуживать и отслеживать Linux серверных средах в большом масштабе, уменьшая эксплуатационные издержки.

Возможность Описание
Настройка параметров безопасности Централизованное управление параметрами антивирусной программы с помощью портала Defender или Intune и применение согласованных конфигураций в Linux средах, включая исключения.
Обновления программного обеспечения Обновления платформы . Ежемесячные обновления предоставляют улучшения безопасности и новые функции. Срок действия каждого выпуска истекает через девять месяцев; рекомендуется оставаться в последних трех версиях.

Автоматические обновления аналитики безопасности . Обеспечение защиты в актуальном состоянии с помощью последних определений аналитики угроз и безопасности.

Автономные обновления аналитики безопасности . Поддерживает обновление аналитики безопасности в средах без подключения к Интернету.
Мониторинг работоспособности устройства Обеспечивает видимость состояния антивирусной программы, результатов сканирования, версий платформы, подсистемы и аналитики с помощью портала и API.

Простая интеграция и расширяемость

Microsoft Defender интегрируется с существующими средствами безопасности и рабочими процессами с помощью возможностей уровня облака, которые применяются ко всем подключенным платформам. Она обеспечивает интеграцию с помощью API- интерфейсов, решений Power BI и SIEM/SOAR для централизованного мониторинга и автоматического реагирования, а также расширения Microsoft Defender XDR и сторонних экосистем для обеспечения единой видимости и скоординированных операций безопасности.

Возможность Описание
API-интерфейсы управления и автоматизации Автоматизируйте рабочие процессы и интегрируйте Defender для конечной точки в существующие процессы.
Интеграции с партнерами Интеграция с решениями майкрософт и сторонними решениями по обеспечению безопасности.