Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Microsoft Defender : l’Advanced Threat Protection (ATP) disponible pour Linux et AndroidCrédits : nevarpp/iStock/Thinkstock

ATP existe depuis plusieurs années et est une extension de Defender. Solution destinée surtout aux entreprises, elle fonctionne avec le portail Security Center et a pour mission de combattre d’éventuelles tentatives d’intrusion dans l’infrastructure.

Cette protection prend maintenant en charge Linux, en plus de Windows et macOS. Les distributions officiellement supportées sont RHEL 7.2, CentOS Linux 7.2, Ubuntu 16.04 LTS, SLES 12, Debian 9, Oracle Linux 7.2 et leurs versions ultérieures. Dans le cas d’Ubuntu, seules les moutures LTS sont concernées, donc 18.04 et la récente 20.04.

Selon la documentation de Microsoft, les administrateurs devront s’y connaître un peu en scripts Linux et Bash pour installer ATP. Le déploiement et la configuration peuvent être assurés par Puppet, Ansible ou un outil de gestion existant.

La compatibilité d’ATP est également étendue à Android, en préversion pour l’instant. La protection s’étend notamment aux adresses visitées dans le navigateur, se servant de SmartScreen pour prévenir l’utilisateur en cas de mauvaise réputation ou de site carrément détecté comme frauduleux.

ATP surveille également l’installation d’applications, là encore en repérant les réputations faibles ou celles reconnues comme malveillantes. Si l’entreprise dispose en plus de Endpoint Manager, les administrateurs pourront bloquer l’accès des applications non autorisées aux ressources d’entreprise.

Actuellement, seul Intune est supporté comme outil permettant de définir les règles de déploiement et de conformité. Cet aspect devrait être développé au cours des prochains mois, puisque la préversion va durer un moment.

Microsoft compte fournir ATP pour iOS « plus tard dans l’année ». Il y a des chances cependant que la protection y soit moins efficace, car iOS n’a pas la souplesse d’Android pour laisser ce genre d’outil faire son travail. 

On l’a vu récemment avec la préversion du contrôle parental lancée par Microsoft : les fonctions sont beaucoup moins nombreuses sur la plateforme d’Apple que celle de Google.

10 commentaires
Avatar de tiret Abonné
Avatar de tirettiret- 24/06/20 à 09:09:33

Pour le coup je ne vois pas l'intérêt d'un antivirus résident sous Linux. Le problème est que ces systèmes sont obligés de tourner avec des privilèges très élevés et l'expérience montre qu'ils sont plus souvent des sources de vulnérabilités qu'autre chose. Cela dit je connais hélas des entreprises très friandes de ce genre de produit.

Édité par tiret le 24/06/2020 à 09:10
Avatar de Ozwel INpactien
Avatar de OzwelOzwel- 24/06/20 à 09:17:51

Il s'agit d'un EDR, pas d'un antivirus.

Son intérêt est de prendre place sur chaque poste d'un immense parc informatique pour détecter les comportements louches/inhabituels, entre 50 000 autres choses. Les intrusions silencieuses, les attaques "fileless", les zerodays, les mouvements latéraux, etc. sont la cible principale d'un EDR / UBA.      

Bref, si on peut l'installer sur des postes linux en plus des postes Windows, c'est toujours une source d'informations supplémentaire de pris, donc une meilleure visibilité sur ce qu'il se passe.
Édité par Ozwel le 24/06/2020 à 09:20
Avatar de ToMMyBoaY Abonné
Avatar de ToMMyBoaYToMMyBoaY- 24/06/20 à 09:23:28

Defender ATP est vraiment en train de devenir le meilleur produit du marché. Reste à voir la pertinence des logs remontés pour les systèmes Linux. Pour en avoir testé un paquet, on a vite tendance à générer du "bruit" pour aller tamponner son produit comme disposant d'une composante EDR.

Mais quoi qu'il en soit, je ne peux que recommander cette solution pour la partie Crosoft.

Avatar de johanns INpactien
Avatar de johannsjohanns- 24/06/20 à 09:41:06

c'est un produit gratuit (comme par exemple WSUS à condition qu'on a une licence serveurs M$)?

Avatar de Trucifix Abonné
Avatar de TrucifixTrucifix- 24/06/20 à 11:27:13

Non il faut une licence E5

Avatar de flan_ Abonné
Avatar de flan_flan_- 25/06/20 à 06:14:39

tiret a écrit :

Pour le coup je ne vois pas l'intérêt d'un antivirus résident sous Linux. Le problème est que ces systèmes sont obligés de tourner avec des privilèges très élevés et l'expérience montre qu'ils sont plus souvent des sources de vulnérabilités qu'autre chose. Cela dit je connais hélas des entreprises très friandes de ce genre de produit.

Comment veux-tu détecter des pièces jointes vérolées dans des mails, par exemple ?
Penses-tu vraiment qu'il n'y pas de faille sur Linux ?

Avatar de tiret Abonné
Avatar de tirettiret- 25/06/20 à 06:57:48

Il y a des failles dans Linux bien évidemment - mais l'ironie de l'histoire veut que les antivirus résidents en rajoutent souvent, cf. le billet du développeur de Firefox qui disait ce qu'il pensait de ces produits et ce n'est pas le seul.

Après la meilleure politique est de n'utiliser ta bécane en admin qu'au minimum et d'être réactif sur l'application des patches de sécurité. Et tant pis pour les concours d'uptime quand il y a une mise à jour du noyau ou de certains services comme systemd.

Avatar de tuxicoman INpactien
Avatar de tuxicomantuxicoman- 25/06/20 à 13:57:16

Sur quelle tests tu te bases pour avancer cela?

De mon coté, en quelques minutes, j'ai pu vérifier que leur protection de liens étant du flan complet :
https://tuxicoman.jesuislibre.net/2020/05/microsoft-safe-links.html

Ils ont juste des bons commerciaux pour vendre aux beotiens.

Avatar de ToMMyBoaY Abonné
Avatar de ToMMyBoaYToMMyBoaY- 26/06/20 à 06:35:50

tuxicoman a écrit :

Sur quelle tests tu te bases pour avancer cela?

De mon coté, en quelques minutes, j'ai pu vérifier que leur protection de liens étant du flan complet :
https://tuxicoman.jesuislibre.net/2020/05/microsoft-safe-links.html

Ils ont juste des bons commerciaux pour vendre aux beotiens.

Sur mon propre benchmarking dans la prévention et le threat hunt pour Defender ATP sur Win10. J'ai comparé 5 solutions en prenant le framework MITRE et en vérifiant ce que chaque solution était capable de faire. ATP était loin devant sur le global.

Au passage, Microsoft365 ATP n'est pas Defender ATP. Mes propos ne contredise donc en rien ta constatation.

Avatar de Bylon INpactien
Avatar de BylonBylon- 28/06/20 à 17:03:16

Ce qui est remarquable c'est que c'est un produit d'entreprise pour poste de travail et que M$ se sent devoir fournir ce logiciel pour Linux, signe que même en entreprise Linux sur poste de travail commence à gagner du terrain !..

Il n'est plus possible de commenter cette actualité.