Drücken Sie „Enter“, um den Inhalte zu überspringen

Microsoft erweitert Antivirus-Funktionen für Linux-Server

Last updated on Dezember 16, 2020

Ich kann mich noch an Gespräche vor ein paar Jahren mit Antivirus-Herstellern auf der CeBIT (RIP) erinnern, in denen es um die Aktivitäten von Microsoft in ihrem Stammgeschäft ging. Anfangs wurden die Anstrengungen aus Redmond, einen guten Virenscanner zu entwickeln, noch belächelt. Mittlerweile schlägt sich das mittlerweile Microsoft Defender Antivirus genannte Produkt aber immer besser. So erreicht es in Analysen des Magdeburger AV-Test Instituts nun regelmäßig die volle Punktzahl. Das damalige Schmunzeln dürfte bei manchen Beobachtern nun in Sorgenfalten übergegangen sein.

Dass der Microsoft-Virenscanner Teil jeder Windows-10-Installation ist, wissen die meisten. Weniger bekannt ist, dass Redmond auch zunehmend Druck auf das Enterprise-Segment macht. Erst vor ein paar Tagen gab Avira bekannt, dass man sich aus dem Markt für B2B-Antiviruslösungen zurückziehen und Ende 2021 den Support für Enterprise-Produkte einstellen werde.

Microsoft Defender ATP for Linux

Im Juni dieses Jahres präsentierte Microsoft bereits einen Virenscanner für Linux-Server, der sich via Puppet, Ansible oder einem anderen Management-Tool leicht installieren lässt. Microsoft Defender ATP for Linux soll die folgenden Distributionen vor Malware schützen:

  • RHEL 7.2+
  • CentOS Linux 7.2+
  • Ubuntu 16 LTS, or higher LTS
  • SLES 12+
  • Debian 9+
  • Oracle Linux 7.2

Jetzt hat das Unternehmen nachgelegt und die hauseigene Linux-AV-Lösung um EDR-Fähigkeiten (Endpoint Detection and Response) erweitert. Damit sollen sich Angriffe nun besser unter die Lupe nehmen und weitere Informationen sammeln lassen. So soll auch in Erfahrung gebracht werden können, wie eine Bedrohung in das System eindringen konnte und wie ein Schadprozess erstellt wurde. Letztlich verspricht Microsoft damit eine erleichterte Abwehr von Angriffen.

Momentan stehen die neuen EDR-Fähigkeiten aber nur als Vorschau bereit. Der Preview-Modus kann mit dem Befehl

sudo mdatp edr early-preview enable 

aktiviert werden. Anschließend lassen sich die neuen Funktionen zum Beispiel mit einem simulierten Angriff testen:

Verify that the onboarded Linux server appears in Microsoft Defender Security Center. If this is the first onboarding of the machine, it can take up to 20 minutes until it appears.

Download and extract the script file from here aka.ms/LinuxDIY to an onboarded Linux server and run the following command: “./mde_linux_edr_diy.sh”

After a few minutes, should be raised in Microsoft Defender Security Center. Look at the alert details, machine timeline, and perform your typical investigation steps.

Gib den ersten Kommentar ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.