Microsoftは2023年1月30日、公式ブログの記事「Device isolation support for Linux on Microsoft Defender for Endpoint」において、Microsoft Defender for EndpointがLinuxデバイスの分離をサポートしたことをアナウンスした。Microsoft Defender for Endpointには、攻撃者によって侵害を受けたWindowsデバイスをネットワークから分離することで被害の拡大を防ぐ機能があるが、これまでLinuxデバイスはサポートされていなかった。Microsoftはこの機能のサポート対象をLinuxデバイスまで拡張を行っており、今回パブリックプレビューとして利用できるようになった。

  • Device isolation support for Linux on Microsoft Defender for Endpoint

    Device isolation support for Linux on Microsoft Defender for Endpoint

Microsoft Defender for Endpointでデバイスを分離した場合、そのデバイスからは特定のプロセスと宛先アドレスのみの通信が許可され、それ以外の通信はブロックされるようになる。攻撃者がデバイスのIPアドレスを変更したとしても、登録されているすべてのデバイスが新しいIPアドレスからの通信をブロックする。これによって攻撃の横展開を防ぐ一方で、Microsoft Defender for Endpointをはじめとするセキュリティサービスとの通信を維持することもできるようになっている。

Linuxデバイスの分離は、Windowsデバイスの場合と同様にMicrosoft 365 Defenderのポータルサイトで手動で設定できる。Linuxデバイスページに移動すると、アクションの項目の中に「Is olate Device」アクションが追加されている。また、APIを使用して分離を行うこともできるという。

  • Microsoft 365 DefenderポータルのLinuxデバイスページで分離を実施できる(引用:Microsoft Defender for Endpoint Blog)

    Microsoft 365 DefenderポータルのLinuxデバイスページで分離を実施できる(引用:Microsoft Defender for Endpoint Blog)

現時点ではLinuxデバイスのサポートはパブリックプレビューとして提供されており、Microsoftではユーザからのフィードバックを募集している。