当卫士来到MacOSAS和Windows时，微软宣布软件的名称正在改变，从Windows卫士到微软卫士。 演示中隐藏着一个关于未来的提示：一台带有企鹅贴纸的Linux笔记本电脑。 现在，Linuxin的Micros of tDefenderATP正在公开预览Red HatEnterpriseLinux7、CentOSLinux7、Ubuntu16LTS或更高版本、SLES12、Debian9和OracleEnterpriseLinux7。 但它究竟是什么保护了这些操作系统呢?

　　微软已经在Windows和Mac上的Defender代理中进行了Linux恶意软件检测，因为文件从一个设备移动到另一个设备，您希望在任何地方都能捕获恶意软件-理想情况下，在它进入脆弱系统之前。 如果您正在使用WSL，维护者已经保护您免受威胁，如感染的NPM包，试图安装密码。

　　微软365安全公司副总裁罗伯·莱弗茨(RobLefferts)表示，Mac之所以名列第一，是因为这是微软企业客户要求的订单。 “我们正在努力解决所有对我们的客户有问题的端点，从Mac开始，转到Linux，特别是服务器上的Linux，这是目前的重点，然后考虑iOS和Android，以及我们如何保护这些移动端点。”

　　莱弗茨说，长期的结果是全面的端点安全：“这包括下一代保护，如防病毒和行为[保护]，以及EDR[端点检测和补救]。 我们为辩护人所做的一切，我们都希望确保这种做法在他们最脆弱的地方的所有平台上都能奏效。

　　对于智能手机，微软似乎很可能专注于网络钓鱼，而不仅仅是在电子邮件中，而且也可能在消息应用程序中。 莱弗茨说：“我们在发现恶意活动和网站方面拥有大量非常广泛的资产，我们正在利用这些资产来帮助移动。”

　　问题是，当你更好地保护像电子邮件这样的区域时，攻击者会移动到其他区域(这就是为什么Office365ATP现在覆盖了Share Point)。

　　“移动设备上还有很多其他的通道被用于通信和协作，因为它是一个自然的地方。 这符合我们如何更全面地考虑安全性，安全性从你关心的所有端点开始。 “但是，让我们走过终点——让我们谈谈你的整个财产，你所有的用户，你所有的数据和你在一个威胁保护环境中的所有通信工具。”

　　去年7月，微软首次取笑Linux版本的Defender。

　　当DefenderATP在2020年年底通常可用于Linux时，这种全面的端点保护将包括“与Windows上看到的完全相同的多种检测工具”，Lefferts说。 “最初的版本并不包括我们在Windows中拥有的所有补救行动能力，但随着时间的推移，它是我们渴望增加的。

　　雷弗茨指出，现在反病毒是一个棘手的术语，他说的是“即时采取行动的保护措施”，因为比病毒更多的威胁，特别是脚本和无文件攻击。 “我们设想作为提供的一部分，但它开始更多地关注可执行对象。”

　　预览可以发现和阻止恶意软件和“可能不需要的应用程序”(PUAS)。 Linux没有太多的广告软件，但硬币矿工可能是你安装的东西，或者你被骗安装的东西，甚至合法的远程管理工具也是一个问题，如果是攻击者把它们放在系统上。 同样重要的是，它将这些信息发送给了辩护人安全中心。

　　辩护人真的是两件事。 在端点上运行的代理：扫描文件、跟踪操作系统中发生的事情、检测设备上的恶意软件并阻止或删除它(以及给您控制应用程序可以运行的选项)，还可以向Defender高级威胁保护云服务发送信号，其中来自多个系统的信息是相关的。

　　攻击者不考虑单独的设备和系统，甚至不考虑目标列表：他们考虑系统是如何相互连接的，以及如何在同一环境中从一个受感染的设备移动到其他设备，以获得控制，提取最多的数据，并阻止安全团队将。 一台带有病毒的笔记本电脑，一台服务器上的十几次密码尝试失败，另一台服务器上的异常文件访问不是三个单独的问题：它们是一个攻击者，跨越网络移动，并获得对更多系统的访问。

　　SEE：如何建立一个成功的开发人员职业(免费PD F)(技术共和国)

　　防御者需要相同类型的系统图形视图，而防御者ATP可以从更多的系统获得信号，您将不得不攻击的更清晰的视图。 这是微软安全图背后的想法，它可以添加一些事件，比如用户在Outlook中单击一个设备上的钓鱼消息，或者Word文档中的一个链接，该链接下载一个宏，然后下载一个密码器。 Lefferts解释说，现在Linux系统可以输入该图形。

　　“这样做的主要原因之一是将这种保护连接到您的企业系统中。 他说：“防御器是指对环境中的端点设备进行端到端的保护——它作为一个EDR系统插入防御器ATP，信号显示在一个一致的仪表板中，它检测事件和攻击，并为安全团队和SOC分析人员提供他们需要的工具来了解更大的情况。

　　“最后，攻击者以一种或另一种形式跟踪客户的数据，不管是删除、加密、doxx、偷窃等等。 但这条道路上的关键目标之一是在公司的服务器骨干环境中获得持久性。 这是一个中心点，他们可以抓住其他一切，并相处，因为最终用户总是回到这些。 有时这就是ActiveDirectory，有时这只是一个应用服务器，从那里我现在可以攻击环境中的终端用户。

　　目前，Linux的Defender完全由命令行驱动。

　　这就是为什么Linux上的维护者最初专注于服务器和DNS，Lefferts说：“Linux机器，整个机器，正在被用作应用程序的平台”。 这包括在云中运行的VM，而且由于它是针对服务器的，Defender在Linux上没有用户界面-它都是从命令行运行的，它与通常的Linux管理工具一起工作，如Ansible、Chef和Puppet，配置选项都在JSON文件中。 您还需要确保在Micros of tDefender安全中心打开预览功能，以查看受保护的Linux系统的详细信息。

　　保持安全工具的更新是重要的，但与WSL发行版一样，微软正在避免自动更新，而是让Linux用户管理自己的维护者代理的更新计划。 公司可能已经有了这样的流程，使用脚本，工具，如景观或标准无人值守升级选项。 签名和威胁定义将自动推送给维护者代理(在Windows上，每天发生几次)。

　　如果您想保护Linux，没有什么可以阻止您在运行Linux的开发人员笔记本上运行Defender。 “我们还没有将Linux定位为桌面或用户端点——这也是因为GUI问题，尽管它确实有效。 因此，如果你说的是像编码器这样的人，他们可能能够在这种环境中生存，但这不是我们会对普通用户放松的东西，“莱弗茨警告说。

　　如果您使用Linux作为开发平台，并基于开源项目构建自己的自定义应用程序，那么这些应用程序可能会带来漏洞，企业希望有助于捕捉这些漏洞。 开发工具在部署之前可能会对此有所帮助，但是当它们受到威胁时，Micros of tDefender已经检测到开源工具包，在服务器上也是如此。 莱弗茨说：“这不仅仅是这些比特出现在磁盘上，而是它们实际上正在被使用并加载到内存中。”

　　Linux的真正意义在于，组织中的所有系统都向同一个威胁监测工具发送有关可能安全问题的信号。

　　有一些Linux系统的维护者不适合在这个阶段。 Lefferts说：“当涉及到Linux使用的更广泛的方式，即嵌入到物联网设备或手机中，或者它最终可能出现的所有地方时，我们现在绝对没有针对这些场景。” 例如，IoT的Azure安全中心是管理IoT安全的更好选择。 在您的环境中查看所有最终用户端点和服务器基础设施的能力将是许多企业向前迈出的一步。 但是，将Defender引入Linux是更大的安全策略的一部分，从检测攻击到通过强化环境来防止攻击-以及优先处理问题。

　　莱弗茨指出：“如果防守者要想取得更大的成功，他们确实需要能够像进攻者那样看到风景，这就是所有的事情都在一个故事中联系在一起。” “这不仅包括拉入服务器，还包括拉入电子邮件和身份重用，以及这种方式如何连接到云应用程序，将所有这些域切割成一个一致的事件，这是我们用来为维护者讲述这一故事的对象。”

　　他说：“我们不仅可以在攻击发生时告诉证券交易委员会的行动小组，还可以告诉安全管理员和更广泛的信息技术小组关注的漏洞在哪里，并能够根据环境中的威胁动态重新排序。 这将帮助该组织了解他们需要解决的最大安全态势问题是什么。

　　如果你还没有准备好这种大图，Linux的防御器仍然是有用的，Lefferts坚持说。 如果你今天没有使用任何东西来保护你的Linux遗产，你可以在它是GA的时候立即从Defender开始。或者如果你使用一个单独的工具，你就不用再这样做了：你实际上会通过部署与DefenderATP集成的东西来获得更好的保护。

　　责任编辑:张华