Anciennement connue sous l'appellation Defender ATP (advanced threat protection), la solution de protection des terminaux bout de réseau Defender for Endpoint de Microsoft bénéficie de nouvelles fonctions. Une version preview dédiée à la protection des systèmes tournant sous environnement Linux et dotée de capacités en détection et réponses à incident a en effet été lancée par Microsoft.

Parmi les fonctions analytiques, surveillance et remontée d'alertes supplémentaires, on notera la détection contextuelle de logiciels malveillants et de virus, la remontée d'incidents de type investigation numérique incluant chronologie d'infection, processus de création de fichiers malveillants, connexions réseau inappropriées... D'autre part, cette version de Defender pour endpoint Linux améliore la performance d'utilisation CPU lors de procédures de déploiement en masse. De la protection temps réel pour les types de systèmes de fichiers suivants est assurée : btrfs, ecryptfs, ext2, ext3 et ext4, fuse, fuseblk, jfs, nfs, overlay, ramfs, reiserfs, tmpfs, udf, vfat et xfs.

Déploiement et configuration possibles avec Ansible ou Puppet

Dans un document, Microsoft a précisé les configurations supportées pouvant bénéficier de cette version, à savoir les versions et distributions serveur Linux suivantes : Red Hat Enterprise Linux 7,2 ou version ultérieure, CentOS 7,2 ou version ultérieure, Ubuntu 16,04 LTS ou version ultérieure, LTS Debian 9 ou version ultérieure, SUSE Linux Enterprise Server 12 ou version ultérieure, et Oracle Linux 7,2 ou version ultérieure. Les administrateurs disposant de licences pour les serveurs peuvent le déployer et le configurer sur des appareils Linux à l'aide d'Ansible ou de Puppet, ainsi qu'avec tout outil de gestion de configuration Linux existant.