Linux 上的Microsoft Defender for Endpoint可保护本地、云和混合环境中的Linux服务器工作负载。 它可帮助你通过Microsoft Defender门户以统一的可见性来预防、检测、调查和响应高级威胁。
Defender 使用不带内核模块的基于 eBPF 的 轻型传感器体系结构,在资源受限的系统上以最小的开销和零工作负载中断提供保护。
随着Linux威胁从传统恶意软件演变为无文件和内存中攻击,Defender 将下一代防病毒保护、AI 驱动的终结点检测和响应 (EDR) 、行为分析和Microsoft威胁情报相结合,以检测和中断攻击者技术。 这些技术包括勒索软件、内存注入、横向移动和高级持久性威胁。
通过广泛的Linux分发支持,并与 Microsoft Defender 生态系统进行深度集成,你可以通过统一的平台标准化安全操作、获得端到端可见性并加速威胁响应。
Linux服务器环境的安全功能
下表描述了 Microsoft Defender for Endpoint 在 Linux 上提供的核心安全功能。
| 功能 | 说明 |
|---|---|
| 下一代保护 | 通过分析执行模式和阻止恶意活动,提供针对恶意软件和新出现威胁的实时防护。 |
| 终结点检测和响应 (EDR) | 深入了解终结点活动,并支持快速调查和响应高级攻击。 |
| 漏洞管理 | 识别安全漏洞并确定修正操作的优先级,以持续降低风险。 |
| 简化的管理和操作 | 简化了大型Linux环境中的 Defender 的载入、配置、监视和管理。 |
| 无缝集成和扩展性 | 通过与安全工具、API 和更广泛的 Defender 平台的无缝连接来扩展可见性和响应。 |
下一代保护
使用实时、基于行为和云的保护功能保护Linux终结点免受恶意软件和高级威胁的侵害。
| 功能 | 说明 |
|---|---|
| 实时保护 | 使用基于行为的云交付和机器学习技术进行防病毒和反恶意软件保护。 |
| 行为监视 | 实时监视进程行为,以基于执行模式和意图检测和阻止恶意活动。 |
| 被动模式 | 在不自动修正的情况下以被动状态提供防病毒保护,同时保留完整的 EDR 可见性。 允许与其他第三方防病毒解决方案共存。 |
| 云提供的保护 | 使用机器学习和威胁情报快速检测新出现的威胁。 |
| 计划扫描和按需扫描 | 提供根据操作要求在终结点上执行快速、完全或自定义扫描的灵活性。 |
终结点检测和响应 (EDR)
检测、调查和响应由 AI 驱动的分析、行为检测和Microsoft威胁智能提供支持的复杂攻击。
| 功能 | 说明 |
|---|---|
| 基于行为的检测 | 使用 AI 驱动的行为分析检测高级威胁。 |
| MITRE ATT&CK 对齐的检测 | 将检测映射到攻击者技术,以便进行更好的调查。 |
| 警报关联 | 将相关警报分组到事件中,以简化调查。 |
| 设备日程表 | 提供终结点上活动的详细视图。 |
| 高级搜寻 | 使用基于查询的分析启用主动威胁搜寻。 |
| 实时响应 | 允许远程调查、脚本执行和修正,例如文件删除、进程终止和证据收集。 |
| 使用文件指示器阻止文件 | 使用自定义指示器阻止或允许终结点上的文件,帮助防止已知的恶意文件执行。 |
| 设备隔离 | 帮助包含来自横向移动的受损设备。 |
| 调查包集合 | 收集取证数据,以便进行更深入的分析。 |
| 远程扫描 | 启动防病毒扫描以识别和修正威胁。 |
漏洞管理
持续评估漏洞、错误配置和安全状况,以减少风险暴露并确定修正的优先级。
| 功能 | 说明 |
|---|---|
| 漏洞评估 | 识别设备上的软件漏洞和错误配置。 |
| 安全建议 | 提供可操作的指导来降低终结点风险。 |
| 修正跟踪 | 跟踪修正活动和减少暴露。 |
| 安全功能分数集成 | 评估安全状况并提供提高整体安全性的操作。 |
简化的管理和操作
Linux上的Microsoft Defender for Endpoint通过 Defender 门户提供灵活的载入和集中管理功能,旨在简化部署、配置、监视以及与Linux服务器环境中其他安全工具的集成。
大规模部署
Linux 上的Microsoft Defender for Endpoint支持多种部署方法,从而在大型、多样化的环境中实现高效的载入和管理。
| 功能 | 说明 |
|---|---|
| 基于脚本的部署 | 使用 Defender 门户中的 Defender 部署工具通过单个脚本简化安装和载入。 |
| Defender for Cloud 部署 | 通过 Defender for Cloud 自动载入和管理Linux服务器,以简化云和混合部署。 |
| 第三方管理工具 | 使用 Ansible、Chef 和 Puppet 等工具进行大规模自动化部署。 |
| 黄金映像部署 | 在基础映像中预配置 Defender,实现一致且可重复的部署。 |
| 手动部署 | 使用 CLI 手动安装 Defender,以用于测试或有限规模方案。 |
Defender 支持 x64 和 ARM64 体系结构上的企业级Linux分发,从而在异类环境中实现一致的保护。 有关支持矩阵和部署指南,请参阅 Linux 上的 Defender for Endpoint 先决条件。
大规模管理
通过 Defender 门户的集中式管理功能可帮助组织大规模一致地配置、维护和监视Linux服务器环境,同时降低运营开销。
| 功能 | 说明 |
|---|---|
| 安全设置配置 | 通过 Defender 或 Intune 门户集中管理防病毒设置,并在Linux环境中强制实施一致的配置,包括排除项。 |
| 软件更新 |
平台更新 - 每月更新提供安全增强功能和新功能。 每个版本在 9 个月后过期;建议使用最新的三个版本。 自动安全智能更新 - 使用最新的威胁情报和安全定义使保护保持最新。 脱机安全智能更新 - 支持在没有 Internet 连接的环境中更新安全智能。 |
| 设备运行状况监视 | 通过门户和 API 提供防病毒状态、扫描结果、平台、引擎和智能版本的可见性。 |
无缝集成和扩展性
Microsoft Defender通过适用于所有载入平台的云级别功能与现有安全工具和工作流集成。 它通过 API、Power BI 和 SIEM/SOAR 解决方案实现集成,以实现集中监视和自动响应,同时扩展到Microsoft Defender XDR和第三方生态系统,以提供统一的可见性和协调安全操作。
| 功能 | 说明 |
|---|---|
| 管理和自动化 API | 自动执行工作流并将 Defender for Endpoint 集成到现有流程中。 |
| 合作伙伴集成 | 与Microsoft和非Microsoft安全解决方案集成。 |