微軟基于服務(wù)器的 Linux 保護(hù)計(jì)劃的公開預(yù)覽現(xiàn)在提供了改進(jìn)的端點(diǎn)檢測和響應(yīng)功能。

我知道你們中的一些人還很難接受，但微軟最近確實(shí)在支持 Linux。一個(gè)案例是：早在 6 月份，微軟就發(fā)布了面向 Linux 的 Microsoft Defender Advanced Threat Protection（ATP），供普通用戶使用。現(xiàn)在，微軟改進(jìn)了 Linux 版本的 Microsoft Defender，公開預(yù)覽版增加了端點(diǎn)檢測和響應(yīng)（EDR）功能。

這并不是一個(gè)你可以在獨(dú)立的 Linux 桌面上運(yùn)行的 Microsoft Defender 版本。它的主要工作仍然是保護(hù) Linux 服務(wù)器免受服務(wù)器和網(wǎng)絡(luò)威脅。如果你想為你的獨(dú)立桌面提供保護(hù)，可以使用 ClamAV 或 Sophos Antivirus for Linux 等程序。

但對于企業(yè)來說，由于現(xiàn)在在家上班的人在各種地方使用他們的 Mac 和 Windows PC，這就是另外一個(gè)需求了。雖然基于 Linux 服務(wù)器，但你能夠使用它來保護(hù)運(yùn)行 macOS、Windows 8.1 和 Windows 10 的 PC。

通過這些新的 EDR 功能，Linux Defender 用戶可以檢測到涉及 Linux 服務(wù)器的高級攻擊，利用豐富的經(jīng)驗(yàn)，并快速補(bǔ)救威脅。這是在現(xiàn)有的預(yù)防性防病毒功能和通過 Microsoft Defender 安全中心提供的集中報(bào)告基礎(chǔ)上發(fā)展起來的。

具體來說，它包括：

• 豐富的調(diào)查體驗(yàn)，包括機(jī)器時(shí)間線、進(jìn)程創(chuàng)建、文件創(chuàng)建、網(wǎng)絡(luò)連接、登錄事件和高級狩獵。
• 在編譯過程和大型軟件部署中優(yōu)化了性能增強(qiáng)的 CPU 利用率。
• 上下文反病毒檢測。就像 Windows 版一樣，你可以深入了解威脅的來源以及惡意進(jìn)程或活動(dòng)是如何創(chuàng)建的。

要運(yùn)行更新后的程序，你需要以下 Linux 服務(wù)器之一：RHEL 7.2+、CentOS Linux 7.2+、Ubuntu 16.04 或更高的 LTS 版本、SLES 12+、Debian 或更高版本、或 Oracle Linux 7.2。

接下來，要嘗試這些公共預(yù)覽功能，你需要在 Microsoft Defender 安全中心里打開預(yù)覽功能。在這樣做之前，請確保你運(yùn)行的是 101.12.99 或更高版本。你可以通過命令找出你正在運(yùn)行的版本：

mdatp health

在任何情況下，你都不應(yīng)該將在 Linux 上運(yùn)行 Microsoft Defender for Endpoint 的所有服務(wù)器都切換到預(yù)覽模式。相反，微軟建議你僅將部分 Linux 服務(wù)器配置為預(yù)覽模式，使用以下命令切換：

$ sudo mdatp edr early-preview enable 

這樣做了之后，如果你覺得自己很勇敢，想親自看看它是否有效，微軟提供了一種運(yùn)行模擬攻擊的方法。要做到這一點(diǎn)，請按照下面的步驟在你的 Linux 服務(wù)器上模擬檢測，并調(diào)查情況：

• 驗(yàn)證在場的 Linux 服務(wù)器是否出現(xiàn)在 Microsoft Defender 安全中心中。如果這是該機(jī)器的第一次上線，可能需要長達(dá) 20 分鐘才能出現(xiàn)。
• 從 aka.ms/LinuxDIY 這里下載并解壓腳本文件到已在場的 Linux 服務(wù)器上，并運(yùn)行以下命令：./mde_linux_edr_diy.sh。
• 幾分鐘后，應(yīng)該會(huì)在 Microsoft Defender 安全中心發(fā)出警報(bào)。
• 查看警報(bào)詳情、機(jī)器時(shí)間線，并執(zhí)行典型的調(diào)查步驟。