Microsoftは1月11日(米国時間)、「EDR for Linux is now generally available - Microsoft Tech Community」において、Microsoft Defender for EndpointにおいてLinux向けのEDR(エンドポイントでの検出と対応)の一般提供を開始したと伝えた。同社はMicrosoft Defender for Endpointにおける主要プラットフォーム(Windows、Linux、macOS、AndroidおよびiOS)のサポートを進めてきたが、Linux向けEDRのサポートのその一貫として提供されることになり、より広範なプラットフォームにけるセキュリティインシデント発生時の迅速な対応を実現する。

Linux向けEDRのフルセットは、次の6つのディストリビューションでサポートされている。PuppetやAnsibleをはじめとするLinux構成管理ツールを使用して導入することができる。

  • Red Hat Enterprise Linux(RHEL) 7.2以降
  • CentOS Linux 7.2以降
  • Ubuntu 16以降のLTS
  • SUSE Linux Enterprise Server(SLES) 12以降
  • Debian 9以降
  • Oracle Linux 7.2

Microsoft Defender for EndpointにLinux向けEDRが追加されたことで、WindowsやmacOSなどと同じポータルにLinuxサーバを配置し、単一の画面でアラートを表示できるようになる。次のスクリーンショットは、Microsoft Defender Security CenterにおいてLinuxデバイスのタイムラインを表示した例になる。タイムラインタブには、プロセスの作成やネットワーク接続、ファイルの作成、ログインイベントに関する情報などが含まれている。

  • Microsoft Defender Security CenterにおけるLinuxデバイスのタイムライン表示例 − 画像: Microsoft Tech Communityブログより

    Microsoft Defender Security CenterにおけるLinuxデバイスのタイムライン表示例 引用:Microsoft Tech Communityブログ

Linux向けEDRで、侵入した脅威を検出してアラートを表示するPost-Breach検出機能も利用できる。次の図は、誰でも書き込み可能なディレクトリから疑わしいプロセスが起動されたことを検出した際のアラートの例になる。

  • 疑わしいプロセスが検出された際のアラートの例 − 画像: Microsoft Tech Communityブログより

    疑わしいプロセスが検出された際のアラートの例 引用:Microsoft Tech Communityブログ

タイムラインのほかにも、クエリを使用して自由形式で脅威の検索ができる高度なハンティングツール(Advanced hunting)なども利用可能。この機能では、Linuxサーバ全体に対して最大30日間の生データを探索できるという。

Linux向けのMicrosoft Defender for Endpointを利用するにはサーバーライセンスが必要。利用方法の詳細は下記ドキュメントで解説されている。