Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per endpoint in Linux protegge Linux carichi di lavoro del server in ambienti locali, cloud e ibridi. Consente di prevenire, rilevare, analizzare e rispondere alle minacce avanzate con visibilità unificata tramite il portale di Microsoft Defender.
Defender usa un'architettura di sensori leggera basata su eBPF senza moduli kernel, offrendo protezione con sovraccarico minimo e zero interruzioni del carico di lavoro nei sistemi con risorse limitate.
Man mano che Linux minacce si evolvono oltre il malware tradizionale in attacchi senza file e in memoria, Defender combina la protezione antivirus di nuova generazione, il rilevamento e la risposta degli endpoint basati su IA, l'analisi comportamentale e Microsoft Threat Intelligence per rilevare e interrompere le tecniche degli utenti malintenzionati. Queste tecniche includono ransomware, inserimento di memoria, movimento laterale e minacce avanzate di persistenza.
Con un ampio supporto per la distribuzione Linux e una profonda integrazione con l'ecosistema Microsoft Defender, è possibile standardizzare le operazioni di sicurezza, ottenere visibilità end-to-end e accelerare la risposta alle minacce tramite una piattaforma unificata.
Funzionalità di sicurezza per ambienti server Linux
Nella tabella seguente vengono descritte le funzionalità di sicurezza di base offerte da Microsoft Defender per endpoint in Linux.
| Funzionalità | Descrizione |
|---|---|
| Protezione di nuova generazione | Fornisce la prevenzione in tempo reale contro il malware e le minacce emergenti analizzando i modelli di esecuzione e bloccando le attività dannose. |
| Rilevamento e risposta degli endpoint (EDR) | Offre visibilità approfondita sulle attività degli endpoint e consente un'analisi e una risposta rapide agli attacchi avanzati. |
| Gestione delle vulnerabilità | Identifica le lacune di sicurezza e assegna priorità alle azioni di correzione per ridurre continuamente l'esposizione ai rischi. |
| Gestione e operazioni semplificate | Semplifica l'onboarding, la configurazione, il monitoraggio e la gestione di Defender in ambienti di Linux di grandi dimensioni. |
| Integrazione ed estendibilità senza problemi | Estende la visibilità e la risposta grazie alla connettività senza problemi con strumenti di sicurezza, API e la più ampia piattaforma Defender. |
Protezione di nuova generazione
Proteggere gli endpoint Linux da malware e minacce avanzate usando funzionalità di protezione in tempo reale, basate sul comportamento e basate sul cloud.
| Funzionalità | Descrizione |
|---|---|
| Protezione in tempo reale | Protezione antivirus e antimalware con tecniche basate sul comportamento, distribuite nel cloud e machine learning. |
| Monitoraggio comportamentale | Monitora il comportamento dei processi in tempo reale per rilevare e bloccare le attività dannose in base ai modelli di esecuzione e alla finalità. |
| Modalità passiva | Fornisce protezione antivirus in uno stato passivo senza correzione automatica, mantenendo al tempo stesso la visibilità edr completa. Consente la coesistenza con altre soluzioni antivirus di terze parti. |
| Protezione fornita dal cloud | Usa l'apprendimento automatico e l'intelligence sulle minacce per rilevare rapidamente le minacce emergenti. |
| Analisi pianificate e su richiesta | Offre flessibilità per eseguire analisi rapide, complete o personalizzate sugli endpoint in base ai requisiti operativi. |
Rilevamento e risposta degli endpoint (EDR)
Rilevare, analizzare e rispondere a attacchi sofisticati basati su analisi basate su intelligenza artificiale, rilevamenti comportamentali e Microsoft Threat Intelligence.
| Funzionalità | Descrizione |
|---|---|
| Rilevamenti basati sul comportamento | Rileva le minacce avanzate usando l'analisi comportamentale basata sull'intelligenza artificiale. |
| MITRE ATT&rilevamenti allineati a CK | Esegue il mapping dei rilevamenti alle tecniche degli utenti malintenzionati per un'indagine migliore. |
| Correlazione degli avvisi | Raggruppa gli avvisi correlati in eventi imprevisti per un'indagine semplificata. |
| Sequenza temporale del dispositivo | Fornisce una visualizzazione dettagliata dell'attività nell'endpoint. |
| Rilevazione avanzata | Consente la ricerca proattiva delle minacce usando l'analisi basata su query. |
| Risposta in tempo reale | Consente l'analisi remota, l'esecuzione di script e la correzione, ad esempio l'eliminazione di file, la terminazione del processo e la raccolta di prove. |
| Bloccare il file usando indicatori di file | Blocca o consente file negli endpoint usando indicatori personalizzati, impedendo l'esecuzione di file dannosi noti. |
| Isolamento del dispositivo | Consente di contenere i dispositivi compromessi dallo spostamento laterale. |
| Raccolta di pacchetti di analisi | Raccoglie dati forensi per un'analisi più approfondita. |
| Analisi remota | Avvia le analisi antivirus per identificare e correggere le minacce. |
Gestione delle vulnerabilità
Valutare continuamente vulnerabilità, errori di configurazione e postura di sicurezza per ridurre l'esposizione ai rischi e assegnare priorità alla correzione.
| Funzionalità | Descrizione |
|---|---|
| Valutazione delle vulnerabilità | Identifica le vulnerabilità software e le configurazioni non corrette nei dispositivi. |
| Consigli sulla sicurezza | Fornisce indicazioni utili per ridurre il rischio di endpoint. |
| Rilevamento delle correzioni | Tiene traccia delle attività di correzione e della riduzione dell'esposizione. |
| Integrazione del punteggio di sicurezza | Valuta il comportamento di sicurezza e fornisce azioni per migliorare la sicurezza complessiva. |
Gestione e operazioni semplificate
Microsoft Defender per endpoint in Linux offre funzionalità di onboarding flessibili e gestione centralizzata tramite il portale di Defender progettato per semplificare la distribuzione, la configurazione, il monitoraggio e l'integrazione con altri strumenti di sicurezza negli ambienti server Linux.
Distribuzione su larga scala
Microsoft Defender per endpoint in Linux supporta più metodi di distribuzione, consentendo l'onboarding e la gestione efficienti in ambienti di grandi dimensioni e diversi.
| Funzionalità | Descrizione |
|---|---|
| Distribuzione basata su script | Usare Defender Deployment Tool dal portale di Defender per semplificare l'installazione e l'onboarding tramite un singolo script. |
| Distribuzione di Defender per cloud | Eseguire automaticamente l'onboarding e la gestione dei server Linux tramite Defender per il cloud per distribuzioni ibride e cloud semplificate. |
| Strumenti di gestione di terze parti | Usare strumenti come Ansible, Chef e Puppet per distribuzioni automatizzate su larga scala. |
| Distribuzione di immagini golden | Pre-configurare Defender nelle immagini di base per una distribuzione coerente e ripetibile. |
| Distribuzione manuale | Installare Defender manualmente usando l'interfaccia della riga di comando per scenari di test o su scala limitata. |
Defender supporta distribuzioni di Linux di livello aziendale in architetture x64 e ARM64, consentendo una protezione coerente in ambienti eterogenei. Per le indicazioni sulla matrice di supporto e sulla distribuzione, vedere Prerequisiti per Defender per endpoint in Linux.
Gestione su larga scala
Le funzionalità di gestione centralizzata tramite il portale di Defender consentono alle organizzazioni di configurare, gestire e monitorare in modo coerente Linux ambienti server su larga scala, riducendo al tempo stesso il sovraccarico operativo.
| Funzionalità | Descrizione |
|---|---|
| Configurazione delle impostazioni di sicurezza | Gestire centralmente le impostazioni antivirus tramite il portale di Defender o Intune e applicare configurazioni coerenti negli ambienti Linux, incluse le esclusioni. |
| Aggiornamenti software |
Aggiornamenti della piattaforma : gli aggiornamenti mensili offrono miglioramenti della sicurezza e nuove funzionalità. Ogni versione scade dopo nove mesi; è consigliabile rimanere all'interno delle tre versioni più recenti. Aggiornamenti automatici dell'intelligence di sicurezza : mantiene la protezione aggiornata con le definizioni di sicurezza e intelligence sulle minacce più recenti. Aggiornamenti dell'intelligence di sicurezza offline : supporta l'aggiornamento dell'intelligence di sicurezza in ambienti senza connettività Internet. |
| Monitoraggio dell'integrità dei dispositivi | Fornisce visibilità sulla postura antivirus, i risultati dell'analisi, la piattaforma, il motore e le versioni di intelligence tramite il portale e le API. |
Integrazione ed estendibilità senza problemi
Microsoft Defender si integra con gli strumenti di sicurezza e i flussi di lavoro esistenti tramite funzionalità a livello di cloud applicabili a tutte le piattaforme di cui è stato caricato l'onboarding. Consente l'integrazione tramite API, Power BI e soluzioni SIEM/SOAR per il monitoraggio centralizzato e la risposta automatizzata, estendendosi nel contempo in ecosistemi Microsoft Defender XDR e di terze parti per offrire visibilità unificata e operazioni di sicurezza coordinate.
| Funzionalità | Descrizione |
|---|---|
| API di gestione e automazione | Automatizzare i flussi di lavoro e integrare Defender per endpoint nei processi esistenti. |
| Integrazioni con i partner | Eseguire l'integrazione con soluzioni di sicurezza Microsoft e non Microsoft. |
Contenuto correlato
- Novità di Defender per endpoint in Linux
- Verificare i prerequisiti per Defender per endpoint in Linux
- Configurare le impostazioni di sicurezza di Defender per endpoint
- Implementare aggiornamenti per Microsoft Defender per endpoint su Linux
- Report sull'integrità dei dispositivi in Microsoft Defender per endpoint