微軟基于服務器的 Linux 保護計劃的公開預覽現在提供了改進的端點檢測和響應功能。

我知道你們中的一些人還很難接受，但微軟最近確實在支持 Linux。一個案例是：早在 6 月份，微軟就發布了面向 Linux 的 Microsoft Defender Advanced Threat Protection（ATP），供普通用戶使用。現在，微軟改進了 Linux 版本的 Microsoft Defender，公開預覽版增加了端點檢測和響應（EDR）功能。

這并不是一個你可以在獨立的 Linux 桌面上運行的 Microsoft Defender 版本。它的主要工作仍然是保護 Linux 服務器免受服務器和網絡威脅。如果你想為你的獨立桌面提供保護，可以使用 ClamAV 或 Sophos Antivirus for Linux 等程序。

但對于企業來說，由于現在在家上班的人在各種地方使用他們的 Mac 和 Windows PC，這就是另外一個需求了。雖然基于 Linux 服務器，但你能夠使用它來保護運行 macOS、Windows 8.1 和 Windows 10 的 PC。

通過這些新的 EDR 功能，Linux Defender 用戶可以檢測到涉及 Linux 服務器的高級攻擊，利用豐富的經驗，并快速補救威脅。這是在現有的預防性防病毒功能和通過 Microsoft Defender 安全中心提供的集中報告基礎上發展起來的。

具體來說，它包括：

豐富的調查體驗，包括機器時間線、進程創建、文件創建、網絡連接、登錄事件和高級狩獵。

在編譯過程和大型軟件部署中優化了性能增強的 CPU 利用率。

上下文反病毒檢測。就像 Windows 版一樣，你可以深入了解威脅的來源以及惡意進程或活動是如何創建的。

要運行更新后的程序，你需要以下 Linux 服務器之一：RHEL 7.2+、CentOS Linux 7.2+、Ubuntu 16.04 或更高的 LTS 版本、SLES 12+、Debian 或更高版本、或 Oracle Linux 7.2。

接下來，要嘗試這些公共預覽功能，你需要在 Microsoft Defender 安全中心里打開預覽功能。在這樣做之前，請確保你運行的是 101.12.99 或更高版本。你可以通過命令找出你正在運行的版本：

mdatp health

在任何情況下，你都不應該將在 Linux 上運行 Microsoft Defender for Endpoint 的所有服務器都切換到預覽模式。相反，微軟建議你僅將部分 Linux 服務器配置為預覽模式，使用以下命令切換：

$ sudo mdatp edr early-preview enable

這樣做了之后，如果你覺得自己很勇敢，想親自看看它是否有效，微軟提供了一種運行模擬攻擊的方法。要做到這一點，請按照下面的步驟在你的 Linux 服務器上模擬檢測，并調查情況：

驗證在場的 Linux 服務器是否出現在 Microsoft Defender 安全中心中。如果這是該機器的第一次上線，可能需要長達 20 分鐘才能出現。

從 aka.ms/LinuxDIY 這里下載并解壓腳本文件到已在場的 Linux 服務器上，并運行以下命令：。/mde_linux_edr_diy.sh。

幾分鐘后，應該會在 Microsoft Defender 安全中心發出警報。

查看警報詳情、機器時間線，并執行典型的調查步驟。
責編AJX