Defender ATP for Linuxの挙動

パブリックベータ版での実証なのでブログに書くべきかもしれませんが

インストールは以下のとおり。
「WindowsDefenderATPOnboarding.py」は
https://securitycenter.windows.com/preferences2/onboarding
 のOnboardingから自社のものを。

sudo yum-config-manager –add-repo=https://packages.microsoft.com/config/centos/7/insiders-fast.repo

curl https://packages.microsoft.com/keys/microsoft.asc > microsoft.asc

sudo rpm –import microsoft.asc

sudo yum-config-manager –add-repo=https://packages.microsoft.com/config/centos/7/insiders-fast.repo

sudo yum install mdatp

python WindowsDefenderATPOnboarding.py

mdatp –health orgId

(5分程度まつ)

mdatp –health healthy
→1が出ればOK

動作確認1:事前にあったeicarファイルを開こうとしたらどうなるか。

[[email protected] ~]# ls
eicar.com.txt
[[email protected] ~]# cat eicar.com.txt
cat: eicar.com.txt: 許可されていない操作です
[[email protected] ~]# ls

→catで許可がないと言われ、ファイルが消える

動作確認2:eicarファイルをcurlでダウンロードする。

[[email protected] ~]# curl -o eicar http://www.eicar.org/download/eicar.com.txt
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 68 100 68 0 0 108 0 –:–:– –:–:– –:–:– 108
[[email protected] ~]# ls

→ダウンロードは成功しているが消えた

動作確認3:表示だけならどうか

[[email protected] ~]# curl http://www.eicar.org/download/eicar.com.txt
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
→見えた。ファイル確認だけ?

動作確認4:Webサーバへのアップロード

自社内で本番利用しているRedmineで試した。

アップロードできてるけど

ダウンロードできない状態になった。
Redmineはファイルをそのままフォルダに置くタイプ(DBに入れたりしない)のでリスク少なそう。

 

今後の検証として
・DBにファイルを格納するタイプだとどうか(JIRA Confluenceとかで試す)
・OSアップグレードなどで問題が起こらないか
などを検証する

Was this article helpful?

Related Articles

Leave A Comment?