Sdílet prostřednictvím

Konfigurace offline aktualizací bezpečnostních funkcí pro Microsoft Defender for Endpoint v Linuxu

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Jak fungují offline aktualizace bezpečnostních funkcí

Tento článek popisuje, jak nakonfigurovat offline aktualizace bezpečnostních funkcí v Defenderu for Endpoint v Linuxu. Tato funkce umožňuje aktualizovat inteligentní informace zabezpečení ( označované také jako definice nebo podpisy ) na zařízeních s Linuxem, která mají omezené nebo žádné vystavení internetu. V této konfiguraci použijete místní hostitelský server označovaný jako zrcadlový server, který se připojí ke cloudu Microsoftu a stáhne aktualizace bezpečnostních informací. Jiná zařízení s Linuxem tyto aktualizace stahují ze zrcadlového serveru v předdefinovaných intervalech.

Výhody používání offline aktualizací bezpečnostních informací

Mezi klíčové výhody patří:

  • Váš bezpečnostní tým může řídit a spravovat frekvenci stahování podpisů na místním serveru a frekvenci, s jakou koncové body vyžádají podpisy z místního serveru.
  • Máte další vrstvu ochrany a kontroly, protože stažené podpisy je možné testovat na testovacím zařízení předtím, než se rozšíří do celého vozového parku.
  • Potřebujete menší šířku pásma sítě, protože pouze jeden místní server získává nejnovější aktualizace z cloudu Microsoftu jménem celé vaší flotily.
  • Na vašem zrcadleném serveru může běžet Windows, Mac nebo Linux a na tento server nemusíte instalovat Defender for Endpoint.
  • Získáte nejaktuálnější antivirovou ochranu, protože podpisy se vždy stahují spolu s nejnovějším kompatibilním antivirovým modulem.
  • Starší verze podpisů (n-1) se v každé iteraci přesunou do záložní složky na zrcadlovém serveru. Pokud dojde k problému s nejnovějšími aktualizacemi, můžete si do svých zařízení stáhnout n-1 verzi podpisu ze záložní složky.
  • Ve výjimečných případě, že offline aktualizace selže, můžete nakonfigurovat záložní možnost pro získání online aktualizací z cloudu Microsoftu.

Jak offline aktualizace bezpečnostních informací funguje

  • Nastavíte zrcadlový server, což je místní webový server nebo server NFS, který je dostupný v cloudu Microsoftu.
  • Podpisy se stáhnou z cloudu Microsoftu na tomto zrcadlovém serveru spuštěním skriptu pomocí úlohy cron nebo plánovače úloh na místním serveru.
  • Koncové body Linuxu s Defenderem for Endpoint přetahují stažené podpisy ze zrcadlového serveru v předdefinovaném časovém intervalu.
  • Podpisy načtené na zařízení s Linuxem z místního serveru se nejprve ověří, než se načtou do antivirového modulu.
  • Pokud chcete spustit a nakonfigurovat proces aktualizace, můžete aktualizovat soubor JSON spravované konfigurace na zařízeních s Linuxem.
  • Stav aktualizací můžete zobrazit v rozhraní příkazového řádku mdatp.

Diagram toku procesu na zrcadlovém serveru pro stažení aktualizací bezpečnostních informací

Obr. 1: Diagram toku procesu na zrcadlovém serveru pro stažení aktualizací bezpečnostních informací

Diagram toku procesu na koncovém bodu Linuxu pro aktualizace bezpečnostních informací

Obr. 2: Diagram toku procesu na koncovém bodu Linuxu pro aktualizace bezpečnostních informací

Na zrcadleném serveru může běžet kterýkoli z následujících operačních systémů:

  • Linux (jakýkoliv příchuť)
  • Windows (libovolná verze)
  • Mac (libovolná verze)

Požadavky

  • Na koncových bodech Linuxu musí být nainstalovaný Defender for Endpoint verze 101.24022.0001 nebo novější.

  • Koncové body Linuxu musí mít připojení k zrcadleně serveru.

  • Na koncovém bodu Linuxu musí běžet libovolná distribuce podporovaná službou Defender for Endpoint. (Viz Podporované distribuce Linuxu.)

  • Zrcadleným serverem může být server HTTP/HTTPS nebo server sdílené síťové složky, například Server NFS.

  • Zrcadlový server musí mít přístup k následujícím adresám URL:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709

  • Zrcadlový server by měl podporovat Bash nebo PowerShell.

  • Zrcadlový server vyžaduje následující minimální systémové specifikace:

    CPU Core BERAN Volný disk Vyměnit
    2 jádra (preferované 4 jádra) 1 GB min (upřednostňované 4 GB) 2 GB Závislé na systému

    Poznámka

    Tato konfigurace se může lišit v závislosti na počtu požadavků, které jsou obsluhovány, a zatížení, které musí každý server zpracovat.

Konfigurace zrcadlového serveru

Poznámka

  • Správa a vlastnictví zrcadlového serveru je výhradně na zákazníkovi, protože se nachází v jeho privátním prostředí.
  • Zrcadlový server nemusí mít nainstalovaný Defender for Endpoint.

Získání offline skriptu stahovacího modulu pro analýzu zabezpečení

Microsoft v tomto úložišti GitHub hostuje offline skript nástroje pro stahování informací o zabezpečení.

Skript downloaderu získáte provedením následujících kroků:

Možnost 1: Klonování úložiště (upřednostňované)

  1. Nainstalujte git na zrcadlový server.

  2. Přejděte do adresáře, do kterého chcete naklonovat úložiště.

  3. Spusťte následující příkaz: git clone https://github.com/microsoft/mdatp-xplat.git

Možnost 2: Stažení souboru ZIP

  1. Stáhněte si komprimovaný soubor.

  2. Zkopírujte stažený soubor do složky, ve které chcete zachovat skript.

  3. Extrahujte komprimovanou složku.

  4. Naplánujte úlohu nebo úlohu Cron tak, aby se soubor ZIP úložiště nebo stažený soubor pravidelně aktualizoval na nejnovější verzi.

Struktura místního adresáře po klonování úložiště nebo stažení komprimovaného souboru

Po naklonování úložiště nebo stažení komprimovaného souboru by místní adresářová struktura měla vypadat takto:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Poznámka

Projděte si soubor a README.md podrobně se seznamte s tím, jak skript používat.

Soubor settings.json se skládá z několika proměnných, které může uživatel nakonfigurovat k určení výstupu spuštění skriptu.

Název pole Hodnota Popis
downloadFolder řetězec Namapuje se do umístění, kam skript soubory stáhne.
downloadLinuxUpdates Bool Při nastavení na , trueskript stáhne aktualizace specifické pro Linux do .downloadFolder
logFilePath řetězec Nastaví diagnostické protokoly v dané složce. Pokud dojde k problémům, můžete tento soubor sdílet s Microsoftem pro ladění skriptu.
downloadMacUpdates Bool Skript stáhne aktualizace specifické pro Mac do .downloadFolder
downloadPreviewUpdates Bool Stáhne verzi Preview aktualizací dostupných pro konkrétní operační systém.
backupPreviousUpdates Bool Umožňuje skriptu zkopírovat předchozí aktualizaci do _back složky a nové aktualizace se stáhnou do downloadFolder.

Spuštění offline skriptu stahovacího modulu pro analýzu zabezpečení

Pokud chcete ručně spustit stahovací skript, nakonfigurujte parametry v settings.json souboru podle popisu v předchozí části a použijte jeden z následujících příkazů založených na operačním systému zrcadlového serveru:

  • Udeřit:

    ./xplat_offline_updates_download.sh

  • PowerShell:

    ./xplat_offline_updates_download.ps1

Poznámka

Naplánujte úlohu cron , která spustí tento skript, aby se v pravidelných intervalech stáhly nejnovější aktualizace bezpečnostních informací na zrcadlovém serveru.

Hostování offline aktualizací bezpečnostních funkcí na zrcadleném serveru

Po spuštění skriptu se nejnovější podpisy stáhnou do složky nakonfigurované v settings.json souboru (updates.zip).

Po stažení souboru ZIP podpisů lze k jeho hostování použít zrcadlový server. Zrcadlový server je možné hostovat pomocí libovolného serveru HTTP/HTTPS/síťové sdílené složky nebo místního nebo vzdáleného přípojného bodu.

Po hostování zkopírujte absolutní cestu hostovaného serveru (až do adresáře a bez tohoto arch_* adresáře).

Poznámka

Pokud se například skript stahovacího modulu spustí pomocí downloadFolder=/tmp/wdav-updatea server HTTP (www.example.server.com:8000) je hostitelem /tmp/wdav-update cesty, odpovídající identifikátor URI: www.example.server.com:8000/linux/production/ (ověřte, že v adresáři existují arch_* adresáře).

Můžete také použít absolutní cestu k adresáři (místní/vzdálený přípojný bod). Pokud jsou například soubory staženy skriptem do adresáře /tmp/wdav-update, odpovídající identifikátor URI je:/tmp/wdav-update/linux/production.

Po nastavení zrcadlového serveru musíte tento identifikátor URI rozšířit do koncových bodů Linuxu jako offlineDefinitionUpdateUrl identifikátor ve spravované konfiguraci, jak je popsáno v další části.

Konfigurace koncových bodů

Použijte následující ukázku mdatp_managed.json a aktualizujte parametry podle konfigurace a zkopírujte soubor do umístění /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}
Název pole Hodnoty Komentáře
automaticDefinitionUpdateEnabled True/False Určuje chování programu Defender for Endpoint, který se pokouší provést aktualizace automaticky, je zapnutý nebo vypnutý.
definitionUpdatesInterval Číselný Doba intervalu mezi každou automatickou aktualizací podpisů (v sekundách)
offlineDefinitionUpdateUrl String Hodnota adresy URL vygenerovaná jako součást nastavení zrcadlového serveru. To může být buď z hlediska adresy URL vzdáleného serveru, nebo adresáře (místního nebo vzdáleného přípojného bodu). Informace o tom, jak tuto cestu zadat, najdete v předchozí části.
offlineDefinitionUpdate enabled/disabled Pokud je tato možnost nastavená na enabled, je povolená funkce offline aktualizace bezpečnostních informací a naopak.
offlineDefinitionUpdateFallbackToCloud True/False Určete přístup k aktualizaci bezpečnostních funkcí Defenderu for Endpoint v případě, že se offline zrcadlený server nepodaří obslouží žádost o aktualizaci. Pokud je tato možnost nastavená na true, bude se aktualizace opakovat prostřednictvím cloudu Microsoftu v případě selhání offline aktualizace bezpečnostních informací. V opačném případě naopak.
offlineDefinitionUpdateVerifySig enabled/disabled Pokud je nastavená hodnota enabled, stažené definice se ověřují na koncových bodech, jinak naopak.

Poznámka

V současné době je možné offline aktualizace bezpečnostních funkcí nakonfigurovat na koncových bodech Linuxu jenom prostřednictvím spravovaného kódu JSON. Integrace se správou nastavení zabezpečení defenderu for Endpoint na portálu Microsoft Defender je v plánu, ale zatím není dostupná.

Ověření konfigurace

Pokud chcete otestovat, jestli se nastavení správně použilo na koncových bodech Linuxu, spusťte následující příkaz:

mdatp health --details definitions

Ukázkový výstup by vypadal jako následující fragment kódu:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Aktivace offline aktualizací bezpečnostních informací

Automatická aktualizace

  • Pokud je úroveň vynucení pro antivirový modul nastavená na real_timea pole automaticDefinitionUpdateEnabled a offline_definition_update ve spravovaném kódu JSON jsou nastavená na true, pak se offline aktualizace bezpečnostních informací aktivují automaticky v pravidelných intervalech.
  • Ve výchozím nastavení je tento pravidelný interval 8 hodin. Dá se ale nakonfigurovat nastavením parametru definitionUpdatesInterval ve spravovaném kódu JSON.

Ruční aktualizace

  • Pokud chcete ručně aktivovat offline aktualizaci bezpečnostních funkcí a stáhnout podpisy ze zrcadlového serveru v koncových bodech Linuxu, spusťte následující příkaz:

    mdatp definitions update

Kontrola stavu aktualizace

  • Po aktivaci offline aktualizací bezpečnostních informací pomocí automatické nebo ruční metody ověřte, že aktualizace proběhla úspěšně, spuštěním příkazu : mdatp health --details --definitions.

  • Ověřte následující pole:

    user@vm:~$ mdatp health --details definitions
...
definitions_status                          : "up_to_date"
...
definitions_update_fail_reason              : ""
...

Řešení potíží a diagnostika

Pokud aktualizace selžou, zablokují se nebo se nespustí, postupujte při řešení potíží takto:

  1. Pomocí následujícího příkazu zkontrolujte stav offline aktualizací bezpečnostních informací:

    mdatp health --details definitions

    Vyhledejte informace v části definitions_update_fail_reason .

  2. Ujistěte se, že offline_definition_update jsou povolené a offline_definition_update_verify_sig .

  3. Ujistěte se, že definitions_update_source_uri se rovná hodnotě offline_definition_url_configured.

    • definitions_update_source_uri je zdroj, ze kterého byly podpisy staženy.
    • offline_definition_url_configured je zdroj, ze kterého by se měly stahovat podpisy, ten, který je uvedený ve spravovaném konfiguračním souboru.

  4. Zkuste provést test připojení a zkontrolovat, jestli je zrcadlový server dostupný z hostitele:

    mdatp connectivity test

  5. Zkuste zahájit ruční aktualizaci pomocí následujícího příkazu:

    mdatp definitions update

Viz také

  • Last updated on