Microsoftは1月11日(米国時間)、「EDR for Linux is now generally available – Microsoft Tech Community」において、Microsoft Defender for EndpointにおいてLinux向けのEDR(エンドポイントでの検出と対応)の一般提供を開始したと伝えた。同社はMicrosoft Defender for Endpointにおける主要プラットフォーム(Windows、Linux、macOS、AndroidおよびiOS)のサポートを進めてきたが、Linux向けEDRのサポートのその一貫として提供されることになり、より広範なプラットフォームにけるセキュリティインシデント発生時の迅速な対応を実現する。

Linux向けEDRのフルセットは、次の6つのディストリビューションでサポートされている。PuppetやAnsibleをはじめとするLinux構成管理ツールを使用して導入することができる。

Red Hat Enterprise Linux(RHEL) 7.2以降

CentOS Linux 7.2以降

Ubuntu 16以降のLTS

SUSE Linux Enterprise Server(SLES) 12以降

Debian 9以降

Oracle Linux 7.2

Microsoft Defender for EndpointにLinux向けEDRが追加されたことで、WindowsやmacOSなどと同じポータルにLinuxサーバを配置し、単一の画面でアラートを表示できるようになる。次のスクリーンショットは、Microsoft Defender Security CenterにおいてLinuxデバイスのタイムラインを表示した例になる。タイムラインタブには、プロセスの作成やネットワーク接続、ファイルの作成、ログインイベントに関する情報などが含まれている。

Linux向けEDRで、侵入した脅威を検出してアラートを表示するPost-Breach検出機能も利用できる。次の図は、誰でも書き込み可能なディレクトリから疑わしいプロセスが起動されたことを検出した際のアラートの例になる。

タイムラインのほかにも、クエリを使用して自由形式で脅威の検索ができる高度なハンティングツール(Advanced hunting)なども利用可能。この機能では、Linuxサーバ全体に対して最大30日間の生データを探索できるという。

Linux向けのMicrosoft Defender for Endpointを利用するにはサーバーライセンスが必要。利用方法の詳細は下記ドキュメントで解説されている。Microsoft Defender ATP for Linux – Windows security | Microsoft Docs