Neuerungen in Microsoft Defender for Endpoint unter Linux

Dieser Artikel wird regelmäßig aktualisiert, um Ihnen mitzuteilen, was in den neuesten Versionen von Microsoft Defender for Endpoint für Linux neu ist.

• Neuerungen in Defender für Endpunkt unter macOS
• Neuerungen in Defender für Endpunkt unter iOS

Wichtig

Ab Version 101.2408.0004unterstützt Defender für Endpunkt unter Linux den Auditd Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen. Diese Änderung ermöglicht eine bessere Leistung, einen geringeren Ressourcenverbrauch und insgesamt eine verbesserte Stabilität. eBPF-Unterstützung ist seit August 2023 verfügbar und vollständig in alle Updates von Defender für Endpunkt für Linux (Version 101.23082.0006 und höher) integriert. Wir empfehlen Ihnen dringend, den eBPF-Build zu übernehmen, da er gegenüber Auditd erhebliche Verbesserungen bietet. Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditd zu bleiben, haben Sie die folgenden Optionen:

1. Verwenden Sie den Build 101.24072.0000 von Defender für Endpunkt unter Linux weiterhin mit Auditd. Dieser Build wird für mehrere Monate weiterhin unterstützt, sodass Sie Zeit haben, Ihre Migration zu eBPF zu planen und auszuführen.

2. Wenn Sie höhere Versionen als 101.24072.0000verwenden, verwendet netlink Defender für Endpunkt für Linux als ergänzenden Sicherungsereignisanbieter. Im Fall eines Fallbacks werden alle Prozessvorgänge weiterhin nahtlos ausgeführt.

Überprüfen Sie Ihre aktuelle Bereitstellung von Defender für Endpunkt unter Linux, und beginnen Sie mit der Planung Ihrer Migration zum von eBPF unterstützten Build. Weitere Informationen zu eBPF und seiner Funktionsweise finden Sie unter Verwenden eines eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux.

Wenn Sie während dieser Umstellung Bedenken haben oder Unterstützung benötigen, wenden Sie sich an den Support.

Okt-2024 (Build: 101.24082.0004 | Releaseversion: 30.124082.0004.0)

Sept-2024 Build: 101.24082.0004 | Releaseversion: 30.124082.0004.0

 Veröffentlicht: 15. Oktober 2024
 Veröffentlicht: 15. Oktober 2024
 Build: 101.24082.0004
 Releaseversion: 30.124082.0004
 Modulversion: 1.1.24080.9
 Signaturversion: 1.417.659.0

Neuerungen

• Ab dieser Version wird Defender für Endpunkt unter Linux nicht mehr als ergänzender Ereignisanbieter unterstützt AuditD . Um die Stabilität und Leistung zu verbessern, haben wir vollständig auf eBPF umgestellt. Wenn Sie eBPF deaktivieren oder wenn eBPF auf einem bestimmten Kernel nicht unterstützt wird, wechselt Defender für Endpunkt unter Linux automatisch zurück zu Netlink als ergänzender Fallback-Ereignisanbieter. Netlink bietet reduzierte Funktionalität und verfolgt nur prozessbezogene Ereignisse nach. In diesem Fall werden alle Prozessvorgänge weiterhin nahtlos ausgeführt, aber Sie könnten bestimmte datei- und socketbezogene Ereignisse verpassen, die eBPF andernfalls erfassen würde. Weitere Informationen finden Sie unter Verwenden des eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux. Wenn Sie während dieser Umstellung Bedenken haben oder Unterstützung benötigen, wenden Sie sich an den Support.
• Stabilitäts- und Leistungsverbesserungen
• Weitere Fehlerbehebungen

Sept-2024 (Build: 101.24072.0001 | Releaseversion: 30.124072.0001.0)

Sept-2024 Build: 101.24072.0001 | Releaseversion: 30.124072.0001.0

 Veröffentlicht: 23. September 2024
 Veröffentlicht: 23. September 2024
 Build: 101.24072.0001
 Releaseversion: 30.124072.0001.0
 Modulversion: 1.1.24060.6
 Signaturversion: 1.415.228.0

Neuerungen

• Unterstützung für Ubuntu 24.04 hinzugefügt
• Die Standardversion der Engine wurde auf 1.1.24060.6 und die Standardsignaturversion auf 1.415.228.0aktualisiert.

Juli-2024 (Build: 101.24062.0001 | Releaseversion: 30.124062.0001.0)

Juli-2024 Build: 101.24062.0001 | Releaseversion: 30.124062.0001.0

 Veröffentlicht: 31. Juli 2024
 Veröffentlicht: 31. Juli 2024
 Build: 101.24062.0001
 Releaseversion: 30.124062.0001.0
 Modulversion: 1.1.24050.7
 Signaturversion: 1.411.410.0

Neuerungen

In dieser Version gibt es mehrere Korrekturen und neue Änderungen.

• Behebt einen Fehler, bei dem infizierte Befehlszeilenbedrohungsinformationen im Sicherheitsportal nicht ordnungsgemäß angezeigt wurden.
• Behebt einen Fehler, bei dem das Deaktivieren einer Vorschaufunktion einen Defender von Endpunkt erforderte, um es zu deaktivieren.
• Das Feature "Globale Ausschlüsse" mit verwaltetem JSON-Code befindet sich jetzt in der öffentlichen Vorschau. verfügbar in Insider langsam ab 101.23092.0012. Weitere Informationen finden Sie unter Linux-Ausschlüsse.
• Die Linux-Standard-Engine-Version wurde auf 1.1.24050.7 und die Standardversion der Sigs auf 1.411.410.0 aktualisiert.
• Stabilitäts- und Leistungsverbesserungen.
• Andere Fehlerbehebungen.

Juni-2024 (Build: 101.24052.0002 | Releaseversion: 30.124052.0002.0)

Build juni-2024: 101.24052.0002 | Releaseversion: 30.124052.0002.0

 Veröffentlicht: 24. Juni 2024
 Veröffentlicht: 24. Juni 2024
 Build: 101.24052.0002
 Releaseversion: 30.124052.0002.0
 Modulversion: 1.1.24040.2
 Signaturversion: 1.411.153.0

Neuerungen

In dieser Version gibt es mehrere Korrekturen und neue Änderungen.

• Dieses Release behebt einen Fehler im Zusammenhang mit einer hohen Arbeitsspeicherauslastung, die schließlich zu einer hohen CPU-Auslastung aufgrund eines eBPF-Speicherverlusts im Kernelspeicher führt, was dazu führt, dass Server in unbrauchbare Zustände geraten. Dies wirkte sich nur auf die Kernelversionen 3.10x und <= 4.16x aus, hauptsächlich auf RHEL/CentOS-Distributionen. Aktualisieren Sie auf die neueste MDE Version, um Auswirkungen zu vermeiden.
• Wir haben nun die Ausgabe von vereinfacht. mdatp health --detail features
• Stabilitäts- und Leistungsverbesserungen.
• Andere Fehlerbehebungen.

Mai-2024 (Build: 101.24042.0002 | Releaseversion: 30.124042.0002.0)

Build mai-2024: 101.24042.0002 | Releaseversion: 30.124042.0002.0

 Veröffentlicht: 29. Mai 2024
 Veröffentlicht: 29. Mai 2024
 Build: 101.24042.0002
 Releaseversion: 30.124042.0002.0
 Modulversion: 1.1.24030.4
 Signaturversion: 1.407.521.0

Neuerungen

In diesem Release gibt es mehrere Korrekturen und neue Änderungen:

• In Version 24032.0007 gab es ein bekanntes Problem, bei dem die Registrierung von Geräten bei MDE Sicherheitsverwaltung fehlgeschlagen ist, wenn der Mechanismus "Gerätetagging" über die mdatp_managed.json-Datei verwendet wurde. Dieses Problem wurde in der aktuellen Version behoben.
• Stabilitäts- und Leistungsverbesserungen.
• Andere Fehlerbehebungen.

Mai-2024 (Build: 101.24032.0007 | Releaseversion: 30.124032.0007.0)

Mai-2024 Build: 101.24032.0007 | Releaseversion: 30.124032.0007.0

 Veröffentlicht: 15. Mai 2024
 Veröffentlicht: 15. Mai 2024
 Build: 101.24032.0007
 Releaseversion: 30.124032.0007.0
 Modulversion: 1.1.24020.3
 Signaturversion: 1.403.3500.0

Neuerungen

In diesem Release gibt es mehrere Korrekturen und neue Änderungen:

• Im passiven und bedarfsgesteuerten Modus verbleibt das Antivirenmodul im Leerlauf und wird nur während geplanter benutzerdefinierter Überprüfungen verwendet. Daher haben wir im Rahmen der Leistungsverbesserungen Änderungen vorgenommen, um die AV-Engine im passiven und bedarfsgesteuerten Modus zu halten, außer bei geplanten benutzerdefinierten Scans. Wenn der Echtzeitschutz aktiviert ist, ist das Antivirenmodul immer aktiv. Dies hat in keinem Modus Auswirkungen auf ihren Serverschutz.

  Um Benutzer über den Status der Antiviren-Engine auf dem Laufenden zu halten, haben wir ein neues Feld namens "engine_load_status" als Teil der MDATP-Integrität eingeführt. Es gibt an, ob die Antiviren-Engine derzeit ausgeführt wird.

  Field name	engine_load_status
  Mögliche Werte	Engine nicht geladen (AV-Engine-Prozess ist ausgefallen), Engine load succeeded (AV Engine Process up and running)

  Fehlerfreie Szenarien:

  • Wenn RTP aktiviert ist, sollte engine_load_status "Engine load succeeded" (Engine load succeeded) sein.
  • Wenn sich MDE im bedarfsgesteuerten oder passiven Modus befindet und die benutzerdefinierte Überprüfung nicht ausgeführt wird, sollte "engine_load_status" "Engine nicht geladen" sein.
  • Wenn sich MDE im bedarfsgesteuerten oder passiven Modus befindet und eine benutzerdefinierte Überprüfung ausgeführt wird, sollte "engine_load_status" auf "Engine load succeeded" (Engine load succeeded) festgelegt werden.

• Fehlerbehebung zur Verbesserung von Verhaltenserkennungen.

• Stabilitäts- und Leistungsverbesserungen.

• Andere Fehlerbehebungen.

Bekannte Probleme

• Es gibt ein bekanntes Problem, bei dem die Registrierung von Geräten für MDE Sicherheitsverwaltung über den Mechanismus "Gerätetagging" mit mdatp_managed.json in 24032.0007 fehlschlägt. Um dieses Problem zu beheben, verwenden Sie den folgenden mdatp CLI-Befehl, um Geräte zu markieren:

  sudo mdatp edr tag set --name GROUP --value MDE-Management
  

  Das Problem wurde in Build 101.24042.0002 behoben.

März-2024 (Build: 101.24022.0001 | Releaseversion: 30.124022.0001.0)

März-2024 Build: 101.24022.0001 | Releaseversion: 30.124022.0001.0

 Veröffentlicht: 22. März 2024
 Veröffentlicht: 22. März 2024
 Build: 101.24022.0001
 Releaseversion: 30.124022.0001.0
 Modulversion: 1.1.23110.4
 Signaturversion: 1.403.87.0

Neuerungen

In diesem Release gibt es mehrere Korrekturen und neue Änderungen:

• Das Hinzufügen einer neuen Protokolldatei : microsoft_defender_scan_skip.log. Dadurch werden die Dateinamen protokolliert, die aus verschiedenen Antivirenscans von Microsoft Defender for Endpoint aus irgendeinem Grund übersprungen wurden.
• Stabilitäts- und Leistungsverbesserungen.
• Fehlerbehebungen.

März-2024 (Build: 101.24012.0001 | Releaseversion: 30.124012.0001.0)

März-2024 Build: 101.24012.0001 | Releaseversion: 30.124012.0001.0

 Veröffentlicht: 12. März 2024
 Veröffentlicht: 12. März 2024
 Build: 101.24012.0001
 Releaseversion: 30.124012.0001.0
 Modulversion: 1.1.23110.4
 Signaturversion: 1.403.87.0

Neuerungen In diesem Release gibt es mehrere Korrekturen und neue Änderungen:

• Die Standardversion der Engine wurde auf 1.1.23110.4und die Standardsignaturversion auf 1.403.87.0aktualisiert.
• Stabilitäts- und Leistungsverbesserungen.
• Fehlerbehebungen.

Februar-2024 (Build: 101.23122.0002 | Releaseversion: 30.123122.0002.0)

Februar-2024 Build: 101.23122.0002 | Releaseversion: 30.123122.0002.0

 Veröffentlicht: 5. Februar 2024
 Veröffentlicht: 5. Februar 2024
 Build: 101.23122.0002
 Releaseversion: 30.123122.0002.0
 Modulversion: 1.1.23100.2010
 Signaturversion: 1.399.1389.0

Neuerungen In diesem Release gibt es mehrere Korrekturen und neue Änderungen:

• Die Standardversion der Engine wurde auf 1.1.23100.2010und die Standardsignaturversion auf 1.399.1389.0aktualisiert.

• Allgemeine Stabilitäts- und Leistungsverbesserungen.

• Fehlerbehebungen.

• Microsoft Defender for Endpoint unter Linux unterstützt jetzt offiziell die folgenden Distributionen und Versionen:

  Distributionsversion &	Ring	Paket
  Mariner 2	Produktion	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  Rocky 8.7 und höher	Insider langsam	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  Rocky 9.2 und höher	Insider langsam	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  Alma 8.4 und höher	Insider langsam	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  Alma 9.2 und höher	Insider langsam	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

Wenn Defender für Endpunkt bereits in einer dieser Distributionen ausgeführt wird und Probleme in den älteren Versionen auftreten, führen Sie ein Upgrade auf die neueste Version von Defender für Endpunkt aus dem entsprechenden oben erwähnten Ring aus. Weitere Informationen finden Sie in unserer Dokumentation zur öffentlichen Bereitstellung .

Hinweis

Bekannte Probleme:

Microsoft Defender for Endpoint für Linux auf Rocky und Alma weist derzeit die folgenden bekannten Probleme auf:

• Live Response und Threat Vulnerability Management werden derzeit nicht unterstützt (wird ausgeführt).
• Betriebssysteminformationen für Geräte sind im Microsoft Defender-Portal nicht sichtbar

Januar-2024 (Build: 101.23112.0009 | Releaseversion: 30.123112.0009.0)

Januar-2024 Build: 101.23112.0009 | Releaseversion: 30.123112.0009.0

 Veröffentlicht: 29. Januar 2024
 Veröffentlicht: 29. Januar 2024
 Build: 101.23112.0009
 Releaseversion: 30.123112.0009.0
 Modulversion: 1.1.23100.2010
 Signaturversion: 1.399.1389.0

Neuerungen

• Die Standardversion der Engine wurde auf 1.1.23110.4und die Standardsignaturversion auf 1.403.1579.0aktualisiert.
• Allgemeine Stabilitäts- und Leistungsverbesserungen.
• Fehlerbehebung für die Konfiguration der Verhaltensüberwachung.
• Fehlerbehebungen.

November-2023 (Build: 101.23102.0003 | Releaseversion: 30.123102.0003.0)

November-2023 Build: 101.23102.0003 | Releaseversion: 30.123102.0003.0

 Veröffentlicht: 28. November 2023
 Veröffentlicht: 28. November 2023
 Build: 101.23102.0003
 Releaseversion: 30.123102.0003.0
 Modulversion: 1.1.23090.2008
 Signaturversion: 1.399.690.0

Neuerungen

• Die Standardversion der Engine wurde auf 1.1.23090.2008und die Standardsignaturversion auf 1.399.690.0aktualisiert.
• Libcurl-Bibliothek wurde auf version 8.4.0 aktualisiert, um kürzlich offengelegte Sicherheitsrisiken mit der älteren Version zu beheben.
• Die Openssl-Bibliothek wurde auf version 3.1.1 aktualisiert, um kürzlich offengelegte Sicherheitsrisiken mit der älteren Version zu beheben.
• Allgemeine Stabilitäts- und Leistungsverbesserungen.
• Fehlerbehebungen.

November-2023 (Build: 101.23092.0012 | Releaseversion: 30.123092.0012.0)

November-2023 Build: 101.23092.0012 | Releaseversion: 30.123092.0012.0

 Veröffentlicht: 14. November 2023
 Veröffentlicht: 14. November 2023
 Build: 101.23092.0012
 Releaseversion: 30.123092.0012.0
 Modulversion: 1.1.23080.2007
 Signaturversion: 1.395.1560.0

Neuerungen

In diesem Release gibt es mehrere Korrekturen und neue Änderungen:

• Unterstützung für die Wiederherstellung der Bedrohung basierend auf dem ursprünglichen Pfad mithilfe des folgenden Befehls hinzugefügt:

sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]

• Ab diesem Release werden Microsoft Defender for Endpoint unter Linux keine Lösung mehr für RHEL 6 ausgeliefert.

  RHEL 6 "Erweiterter Support für das Ende der Lebensdauer" endet am 30. Juni 2024, und Kunden wird empfohlen, ihre RHEL-Upgrades entsprechend den Empfehlungen von Red Hat zu planen. Kunden, die Defender für Endpunkt auf RHEL 6-Servern ausführen müssen, können weiterhin version 101.23082.0011 (läuft nicht vor dem 30. Juni 2024 ab) nutzen, die für Kernelversionen 2.6.32-754.49.1.el6.x86_64 oder früher unterstützt wird.

  • Engine update to and Signatures Ver (Engine Update to 1.1.23080.2007 and Signatures Ver): 1.395.1560.0.
  • Die optimierte Gerätekonnektivität befindet sich jetzt im öffentlichen Vorschaumodus. öffentlicher Blog
  • Leistungsverbesserungen & Fehlerbehebungen.

Bekannte Probleme

• Die CPU-Sperrung in kernel version 5.15.0-0.30.20 im ebpf-Modus finden Sie unter Verwenden des eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux.

November-2023 (Build: 101.23082.0011 | Releaseversion: 30.123082.0011.0)

Build november-2023: 101.23082.0011 | Releaseversion: 30.123082.0011.0

 Veröffentlicht: 1. November 2023
 Veröffentlicht: 1. November 2023
 Build: 101.23082.0011
 Releaseversion: 30.123082.0011.0
 Modulversion: 1.1.23070.1002
 Signaturversion: 1.393.1305.0

Neuerungen Dieses neue Release wird im Oktober 2023-Release ('101.23082.0009') erstellt, und es wurden die folgenden Änderungen hinzugefügt. Für andere Kunden gibt es keine Änderung, und ein Upgrade ist optional.

Korrektur für den unveränderlichen Überwachungsmodus, wenn das ergänzende Subsystem ebpf ist: Im ebpf-Modus sollten alle mdatp-Überwachungsregeln nach dem Wechsel zu ebpf und einem Neustart bereinigt werden. Nach dem Neustart wurden mdatp-Überwachungsregeln nicht bereinigt, was dazu führte, dass der Server hängen blieb. Die Korrektur bereinigt diese Regeln. Benutzer sollten beim Neustart keine mdatp-Regeln geladen sehen

Korrektur für MDE nicht unter RHEL 6 gestartet wird.

Bekannte Probleme

Beim Upgrade von mdatp-Version 101.75.43 oder 101.78.13 tritt möglicherweise ein Kernel-Fehler auf. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05 zu aktualisieren. Weitere Informationen zum zugrunde liegenden Problem finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Oktober-2023 (Build: 101.23082.0009 | Releaseversion: 30.123082.0009.0)

Oktober-2023 Build: 101.23082.0009 | Releaseversion: 30.123082.0009.0

 Veröffentlicht: 9. Oktober 2023
 Veröffentlicht: 9. Oktober 2023
 Build: 101.23082.0009
 Releaseversion: 30.123082.0009.0
 Modulversion: 1.1.23070.1002
 Signaturversion: 1.393.1305.0

Neuerungen

• Dieses neue Release wird im Oktober 2023-Release ('101.23082.0009') erstellt, und es wurden neue Zertifizierungsstellenzertifikate hinzugefügt. Für andere Kunden gibt es keine Änderung, und ein Upgrade ist optional.

Bekannte Probleme

Beim Upgrade von mdatp-Version 101.75.43 oder 101.78.13 tritt möglicherweise ein Kernel-Fehler auf. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05 zu aktualisieren. Weitere Informationen zum zugrunde liegenden Problem finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Oktober-2023 (Build: 101.23082.0006 | Releaseversion: 30.123082.0006.0)

Oktober-2023 Build: 101.23082.0006 | Releaseversion: 30.123082.0006.0

 Veröffentlicht: 9. Oktober 2023
 Veröffentlicht: 9. Oktober 2023
 Build: 101.23082.0006
 Releaseversion: 30.123082.0006.0
 Modulversion: 1.1.23070.1002
 Signaturversion: 1.393.1305.0

Neuerungen

• Featureupdates und neue Änderungen

  • Der eBPF-Sensor ist jetzt der Standardanbieter für ergänzende Ereignisse für Endpunkte.
  • Microsoft Intune Feature zum Anfügen von Mandanten befindet sich in der öffentlichen Vorschau (Mitte Juli)
    • Sie müssen "*.dm.microsoft.com" zu Firewallausschlüssen hinzufügen, damit das Feature ordnungsgemäß funktioniert.
  • Defender für Endpunkt ist jetzt für Debian 12 und Amazon Linux 2023 verfügbar.
  • Unterstützung zum Aktivieren der Signaturüberprüfung heruntergeladener Updates

    • Beachten Sie, dass Sie die manajed.json wie unten gezeigt aktualisieren müssen.

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • Voraussetzung für die Aktivierung des Features

      • Die Modulversion auf dem Gerät muss "1.1.23080.007" oder höher sein. Überprüfen Sie Ihre Engine-Version mithilfe des folgenden Befehls. mdatp health --field engine_version
  • Option zur Unterstützung der Überwachung von NFS- und FUSE-Bereitstellungspunkten. Diese werden standardmäßig ignoriert. Das folgende Beispiel zeigt, wie das gesamte Dateisystem überwacht wird, während nur NFS ignoriert wird:

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  Beispiel für die Überwachung aller Dateisysteme, einschließlich NFS und FUSE:

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • Weitere Leistungsverbesserungen
  • Fehlerbehebungen

Bekannte Probleme

• Beim Upgrade von mdatp-Version 101.75.43 oder 101.78.13 tritt möglicherweise ein Kernel-Fehler auf. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05 zu aktualisieren. Weitere Informationen zum zugrunde liegenden Problem finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code. Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

September-2023 (Build: 101.23072.0021 | Releaseversion: 30.123072.0021.0)

September-2023 Build: 101.23072.0021 | Releaseversion: 30.123072.0021.0

 Veröffentlicht: 11. September 2023
 Veröffentlicht: 11. September 2023
 Build: 101.23072.0021
 Releaseversion: 30.123072.0021.0
 Modulversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.
  • In mde_installer.sh v0.6.3 können Benutzer das --channel Argument verwenden, um den Kanal des konfigurierten Repositorys während der Bereinigung bereitzustellen. Beispiel: sudo ./mde_installer --clean --channel prod
  • Die Netzwerkerweiterung kann jetzt von Administratoren mithilfe mdatp network-protection resetvon zurückgesetzt werden.
  • Weitere Leistungsverbesserungen
  • Fehlerbehebungen

Bekannte Probleme

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Juli-2023 (Build: 101.23062.0010 | Releaseversion: 30.123062.0010.0)

Juli-2023 Build: 101.23062.0010 | Releaseversion: 30.123062.0010.0

 Veröffentlicht: 26. Juli 2023
 Veröffentlicht: 26. Juli 2023
 Build: 101.23062.0010
 Releaseversion: 30.123062.0010.0
 Modulversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.

  • Wenn ein Proxy für Defender für Endpunkt festgelegt ist, wird er in der mdatp health Befehlsausgabe angezeigt.
  • Mit diesem Release haben wir zwei Optionen in mdatp diagnostic hot-event-sources bereitgestellt:
    1. Dateien
    2. Ausführbare Dateien
  • Netzwerkschutz: Connections, die vom Netzwerkschutz blockiert werden und die von Benutzern überschrieben werden, werden jetzt ordnungsgemäß an Microsoft Defender XDR
  • Verbesserte Protokollierung in Block- und Überwachungsereignissen für das Debuggen im Netzwerkschutz

• Weitere Korrekturen und Verbesserungen

  • Ab dieser Version befindet sich enforcementLevel standardmäßig im passiven Modus, sodass Administratoren mehr Kontrolle darüber erhalten, wo sie "RTP on" in ihrem Bestand verwenden möchten.
  • Diese Änderung gilt nur für neue MDE Bereitstellungen, z. B. Server, auf denen Defender für Endpunkt zum ersten Mal bereitgestellt wird. In Updateszenarien werden Server, auf denen Defender für Endpunkt mit RTP ON bereitgestellt wurde, auch nach dem Update auf Version 101.23062.0010 weiterhin mit RTP ON betrieben.

• Fehlerbehebungen

  • Problem mit einer Beschädigung der RPM-Datenbank in Defender Vulnerability Management Baseline wurde behoben

• Weitere Leistungsverbesserungen

Bekannte Probleme

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Juli-2023 (Build: 101.23052.0009 | Releaseversion: 30.123052.0009.0)

Juli-2023 Build: 101.23052.0009 | Releaseversion: 30.123052.0009.0

 Veröffentlicht: 10. Juli 2023
 Veröffentlicht: 10. Juli 2023
 Build: 101.23052.0009
 Releaseversion: 30.123052.0009.0
 Modulversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Neuerungen

• In diesem Release gibt es mehrere Korrekturen und neue Änderungen: Das Buildversionsschema wird von diesem Release aus aktualisiert. Während die Hauptversionsnummer mit 101 identisch bleibt, weist die Nebenversionsnummer jetzt fünf Ziffern auf, gefolgt von einer vierstelligen Patchnummer, 101.xxxxx.yyy also – Verbesserter Netzwerkschutz-Speicherverbrauch unter Belastung
  • Die Modulversion wurde auf 1.1.20300.5 und die Signaturversion auf 1.391.2837.0aktualisiert.
  • Fehlerbehebungen.

Bekannte Probleme

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Juni-2023 (Build: 101.98.89 | Releaseversion: 30.123042.19889.0)

Build juni-2023: 101.98.89 | Releaseversion: 30.123042.19889.0

 Veröffentlicht: 12. Juni 2023
 Veröffentlicht: 12. Juni 2023
 Build: 101.98.89
 Releaseversion: 30.123042.19889.0
 Modulversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.
  • Verbesserte Behandlung des Netzwerkschutzproxys.
  • Im passiven Modus überprüft Defender für Endpunkt nicht mehr, wenn das Definitionsupdate erfolgt.
  • Geräte werden auch nach Ablauf des Defender für Endpunkt-Agents weiterhin geschützt. Es wird empfohlen, den Defender für Endpunkt Linux-Agent auf die neueste verfügbare Version zu aktualisieren, um Fehlerbehebungen, Features und Leistungsverbesserungen zu erhalten.
  • Semanage-Paketabhängigkeit entfernt.
  • Engine update to and Signatures Ver (Engine Update to 1.1.20100.7 and Signatures Ver): 1.385.1648.0.
  • Fehlerbehebungen.

Bekannte Probleme

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Mai-2023 (Build: 101.98.64 | Releaseversion: 30.123032.19864.0)

Mai-2023 Build: 101.98.64 | Releaseversion: 30.123032.19864.0

 Veröffentlicht: 3. Mai 2023
 Veröffentlicht: 3. Mai 2023
 Build: 101.98.64
 Releaseversion: 30.123032.19864.0
 Modulversion: 1.1.20100.6
 Signaturversion: 1.385.68.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.
  • Verbesserungen der Integritätsmeldung, um Details zu überwachten Fehlern zu erfassen.
  • Verbesserungen bei der Behandlung von Augenregeln, die zu Installationsfehlern geführt haben.
  • Regelmäßige Speicherbereinigung im Engine-Prozess.
  • Behebung eines Speicherproblems im mdatp audisp-Plug-In.
  • Fehlender Plug-In-Verzeichnispfad während der Installation behandelt.
  • Wenn eine in Konflikt stehende Anwendung blockierende Fanotify verwendet, zeigt die mdatp-Integrität mit der Standardkonfiguration fehlerhaft an. Dieses Problem wurde behoben.
  • Unterstützung für die ICMP-Datenverkehrsuntersuchung in BM.
  • Engine update to and Signatures Ver (Engine Update to 1.1.20100.6 and Signatures Ver): 1.385.68.0.
  • Fehlerbehebungen.

Bekannte Probleme

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

April-2023 (Build: 101.98.58 | Releaseversion: 30.123022.19858.0)

April-2023 Build: 101.98.58 | Releaseversion: 30.123022.19858.0

 Veröffentlicht: 20. April 2023
 Veröffentlicht: 20. April 2023
 Build: 101.98.58
 Releaseversion: 30.123022.19858.0
 Modulversion: 1.1.20000.2
 Signaturversion: 1.381.3067.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.
  • Verbesserungen bei der Protokollierung und Fehlerberichterstattung für auditd.
  • Behandeln Sie fehler beim erneuten Laden der überwachten Konfiguration.
  • Behandlung leerer überwachter Regeldateien während MDE Installation.
  • Engine update to and Signatures Ver (Engine Update to 1.1.20000.2 and Signatures Ver): 1.381.3067.0.
  • Es wurde ein Integritätsproblem in mdatp behoben, das aufgrund von Selinux-Ablehnungen auftritt.
  • Fehlerbehebungen.

Bekannte Probleme

• Beim Upgrade von mdatp auf version 101.94.13 oder höher stellen Sie möglicherweise fest, dass die Integrität falsch ist, wobei health_issues als "kein aktiver ergänzender Ereignisanbieter" angegeben ist. Dies kann aufgrund von falsch konfigurierten/in Konflikt stehenden Überwachungsregeln auf vorhandenen Computern auftreten. Um das Problem zu beheben, müssen die überwachten Regeln auf den vorhandenen Computern behoben werden. Die folgenden Befehle können Ihnen helfen, solche überwachten Regeln zu identifizieren (Befehle müssen als Superbenutzer ausgeführt werden). Erstellen Sie eine Sicherung der folgenden Datei: /etc/audit/rules.d/audit.rules, da diese Schritte nur zum Identifizieren von Fehlern dienen.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann ein Kernel hängen bleiben. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:

1. Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

März-2023 (Build: 101.98.30 | Releaseversion: 30.123012.19830.0)

März-2023 Build: 101.98.30 | Releaseversion: 30.123012.19830.0

 Veröffentlicht: März , 20,2023
 Veröffentlicht: 20. März 2023
 Build: 101.98.30
 Releaseversion: 30.123012.19830.0
 Modulversion: 1.1.19900.2
 Signaturversion: 1.379.1299.0
Neuerungen

• Diese neue Version wurde im März 2023-Release ('101.98.05') erstellt, mit einem Fix für Live-Antwortbefehle, die für einen unserer Kunden fehlschlagen. Für andere Kunden gibt es keine Änderung, und das Upgrade ist optional.

Bekannte Probleme

• Bei mdatp Version 101.98.30 kann in einigen Fällen ein Problem mit der Integrität falsch auftreten, da SELinux-Regeln für bestimmte Szenarien nicht definiert sind. Die Integritätswarnung könnte in etwa wie folgt aussehen:

SELinux-Denialen innerhalb des letzten Tages gefunden. Wenn MDATP kürzlich installiert wurde, löschen Sie die vorhandenen Überwachungsprotokolle, oder warten Sie einen Tag, bis dieses Problem automatisch behoben wird. Verwenden Sie den Befehl : "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "denied", um Details zu finden

Das Problem kann durch Ausführen der folgenden Befehle behoben werden.

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

Hier stellt my-mdatpaudisppl_v1 den Namen des Richtlinienmoduls dar. Nachdem Sie die Befehle ausgeführt haben, warten Sie entweder 24 Stunden, oder löschen/archivieren Sie die Überwachungsprotokolle. Die Überwachungsprotokolle können archiviert werden, indem Sie den folgenden Befehl ausführen:

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

Falls das Problem mit einigen anderen Ablehnungen erneut angezeigt wird. Wir müssen die Entschärfung erneut mit einem anderen Modulnamen ausführen (z. B. my-mdatpaudisppl_v2).

März-2023 (Build: 101.98.05 | Releaseversion: 30.123012.19805.0)

März-2023 (Build: 101.98.05 | Releaseversion: 30.123012.19805.0)

 Veröffentlicht: März , 08,2023
 Veröffentlicht: 08. März 2023
 Build: 101.98.05
 Releaseversion: 30.123012.19805.0
 Modulversion: 1.1.19900.2
 Signaturversion: 1.379.1299.0

Neuerungen

In dieser Version gibt es mehrere Korrekturen und neue Änderungen.

• Verbesserte Datenvollständigkeit für Netzwerkverbindungsereignisse
• Verbesserte Datensammlungsfunktionen für Änderungen des Dateibesitzes/der Berechtigungen
• seManage in einem Teil des Pakets, damit seLinux-Richtlinien in unterschiedlichen Distributionen (fest) konfiguriert werden können.
• Verbesserte Stabilität des Unternehmensdaemons
• AuditD-Stopppfad sauber nach oben
• Verbesserte Stabilität des mdatp-Stoppflusses.
• Neues Feld zu wdavstate hinzugefügt, um die Plattformupdatezeit nachzuverfolgen.
• Stabilitätsverbesserungen beim Analysieren des Onboarding-Blobs von Defender für Endpunkt.
• Die Überprüfung wird nicht fortgesetzt, wenn keine gültige Lizenz vorhanden ist (behoben)
• Die Option für die Leistungsablaufverfolgung wurde zu xPlatClientAnalyzer hinzugefügt, wobei der mdatp-Prozess die Ablaufverfolgung aktiviert hat, um den Flow in all_process.zip Datei abzuspeichern, die für die Analyse von Leistungsproblemen verwendet werden kann.
• Unterstützung in Defender für Endpunkt für die folgenden RHEL-6-Kernelversionen hinzugefügt:
  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64
• Weitere Korrekturen

Bekannte Probleme

• Beim Upgrade von mdatp auf Version 101.94.13 stellen Sie möglicherweise fest, dass die Integrität false ist, wobei health_issues als "kein aktiver ergänzender Ereignisanbieter" angegeben ist. Dies kann aufgrund von falsch konfigurierten/in Konflikt stehenden Überwachungsregeln auf vorhandenen Computern auftreten. Um das Problem zu beheben, müssen die überwachten Regeln auf den vorhandenen Computern behoben werden. Die folgenden Schritte können Ihnen helfen, solche überwachten Regeln zu identifizieren (diese Befehle müssen als Superbenutzer ausgeführt werden). Stellen Sie sicher, dass Sie die folgende Datei sichern: "/etc/audit/rules.d/audit.rules", da diese Schritte nur zum Identifizieren von Fehlern dienen.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, das Problem beim Upgrade zu beheben.

Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren. Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Falls Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Jan-2023 (Build: 101.94.13 | Releaseversion: 30.122112.19413.0)

Jan-2023 (Build: 101.94.13 | Releaseversion: 30.122112.19413.0)

 Veröffentlicht: 10. Januar 2023
 Veröffentlicht: 10. Januar 2023
 Build: 101.94.13
 Releaseversion: 30.122112.19413.0
 Modulversion: 1.1.19700.3
 Signaturversion: 1.377.550.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.
  • Überspringen Sie standardmäßig die Quarantäne von Bedrohungen im passiven Modus.
  • Die neue Konfiguration nonExecMountPolicy kann jetzt verwendet werden, um das Verhalten von RTP auf dem Als noexec gekennzeichneten Bereitstellungspunkt anzugeben.
  • Die neue Konfiguration unmonitoredFilesystems kann verwendet werden, um die Überwachung bestimmter Dateisysteme aufzuheben.
  • Verbesserte Leistung bei hoher Auslastung und in Testszenarien mit hoher Geschwindigkeit.
  • Behebt ein Problem mit dem Zugriff auf SMB-Freigaben hinter Cisco AnyConnect VPN-Verbindungen.
  • Behebt ein Problem mit Netzwerkschutz und SMB.
  • Lttng-Unterstützung der Leistungsablaufverfolgung.
  • Verbesserungen an TVM, eBPF, auditd, Telemetrie und mdatp CLI.
  • mdatp health meldet jetzt behavior_monitoring
  • Andere Korrekturen.

Bekannte Probleme

• Beim Upgrade von mdatp auf version 101.94.13stellen Sie möglicherweise fest, dass die Integrität falsch ist, wobei health_issues als "kein aktiver ergänzender Ereignisanbieter" angegeben ist. Dies kann aufgrund von falsch konfigurierten/in Konflikt stehenden Überwachungsregeln auf vorhandenen Computern auftreten. Um das Problem zu beheben, müssen die überwachten Regeln auf den vorhandenen Computern behoben werden. Die folgenden Schritte können Ihnen helfen, solche überwachten Regeln zu identifizieren (diese Befehle müssen als Superbenutzer ausgeführt werden). Erstellen Sie eine Sicherung der folgenden Datei: /etc/audit/rules.d/audit.rules Da diese Schritte nur zum Identifizieren von Fehlern dienen.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.94.13 zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, das Problem beim Upgrade zu beheben.

Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

Alternativ zu den obigen Anweisungen können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .

Falls Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Nov-2022 (Build: 101.85.27 | Releaseversion: 30.122092.18527.0)

Nov-2022 (Build: 101.85.27 | Releaseversion: 30.122092.18527.0)

 Veröffentlicht: 02. November 2022
 Veröffentlicht: 02. November 2022
 Build: 101.85.27
 Releaseversion: 30.122092.18527.0
 Modulversion: 1.1.19500.2
 Signaturversion: 1.371.1369.0

Neuerungen

• Dieses Release enthält mehrere Fixes und neue Änderungen.
  • V2-Engine ist in diesem Release standardmäßig, und V1-Engine-Bits werden aus Sicherheitsgründen entfernt.
  • V2-Engine unterstützt den Konfigurationspfad für AV-Definitionen. (mdatp-Definitionssatzpfad)
  • Abhängigkeiten externer Pakete aus MDE Paket entfernt. Entfernte Abhängigkeiten sind libatomic1, libselinux, libseccomp, libfuse und libuuid
  • Falls die Absturzsammlung durch die Konfiguration deaktiviert wird, wird der Absturzüberwachungsprozess nicht gestartet.
  • Leistungskorrekturen zur optimalen Verwendung von Systemereignissen für AV-Funktionen.
  • Stabilitätsverbesserung beim Neustarten von mdatp und Laden von epsext-Problemen.
  • Weitere Korrekturen

Bekannte Probleme

• Beim Upgrade von der mdatp-Version 101.75.43 oder 101.78.13kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.85.21 zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Es gibt zwei Möglichkeiten, das Problem beim Upgrade zu beheben.

Verwenden Sie Ihren Paket-Manager, um die 101.75.43 mdatp-Version oder 101.78.13 zu deinstallieren.

Beispiel:

sudo apt purge mdatp
sudo apt-get install mdatp

Führen Sie alternativ die Anweisungen zum Deinstallieren aus, und installieren Sie dann die neueste Version des Pakets.

Falls Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Sep-2022 (Build: 101.80.97 | Releaseversion: 30.122072.18097.0)

Sep-2022 (Build: 101.80.97 | Releaseversion: 30.122072.18097.0)

 Veröffentlicht: 14. September 2022
 Veröffentlicht: 14. September 2022
 Build: 101.80.97
 Releaseversion: 30.122072.18097.0
 Modulversion: 1.1.19300.3
 Signaturversion: 1.369.395.0

Neuerungen

• Behebt einen Kernelfehler, der bei ausgewählten Kundenworkloads mit mdatp-Version 101.75.43beobachtet wurde. Nach der Fehlerursachenanalyse wurde dies einer Racebedingung zugeordnet, während der Besitz eines Sensordateideskriptors freigegeben wurde. Die Racebedingung wurde aufgrund einer kürzlich vorgenommenen Produktänderung im Herunterfahren-Pfad verfügbar gemacht. Kunden mit neueren Kernelversionen (5.1 und höher) sind von diesem Problem nicht betroffen. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.

Bekannte Probleme

• Wenn Sie ein Upgrade von der mdatp-Version 101.75.43 oder 101.78.13durchführen, kann es vorkommen, dass der Kernel nicht reagiert. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.80.97zu aktualisieren. Diese Aktion sollte verhindern, dass das Problem auftritt.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Nachdem Sie die Befehle ausgeführt haben, verwenden Sie ihren Paket-Manager, um das Upgrade durchzuführen.

Führen Sie alternativ die Anweisungen zum Deinstallieren aus, und installieren Sie dann die neueste Version des Pakets.

Aug-2022 (Build: 101.78.13 | Releaseversion: 30.122072.17813.0)

Aug-2022 (Build: 101.78.13 | Releaseversion: 30.122072.17813.0)

 Veröffentlicht: 24. August 2022
 Veröffentlicht: 24. August 2022
 Build: 101.78.13
 Releaseversion: 30.122072.17813.0
 Modulversion: 1.1.19300.3
 Signaturversion: 1.369.395.0

Neuerungen

• Rollback aufgrund von Zuverlässigkeitsproblemen

Aug-2022 (Build: 101.75.43 | Releaseversion: 30.122071.17543.0)

Aug-2022 (Build: 101.75.43 | Releaseversion: 30.122071.17543.0)

 Veröffentlicht: 2. August 2022
 Veröffentlicht: 2. August 2022
 Build: 101.75.43
 Releaseversion: 30.122071.17543.0
 Modulversion: 1.1.19300.3
 Signaturversion: 1.369.395.0

Neuerungen

• Unterstützung für Red Hat Enterprise Linux Version 9.0 hinzugefügt
• In der Ausgabe von mdatp health wurde ein neues Feld hinzugefügt, das zum Abfragen der Erzwingungsebene des Netzwerkschutzfeatures verwendet werden kann. Das neue Feld wird aufgerufen network_protection_enforcement_level und kann einen der folgenden Werte annehmen: audit, blockoder disabled.
• Es wurde ein Produktfehler behoben, bei dem mehrere Erkennungen desselben Inhalts zu doppelten Einträgen im Bedrohungsverlauf führen konnten.
• Es wurde ein Problem behoben, bei dem einer der vom Produkt erzeugten Prozesse (mdatp_audisp_plugin) manchmal nicht ordnungsgemäß beendet wurde, als der Dienst beendet wurde.
• Weitere Fehlerbehebungen
  

Jul-2022 (Build: 101.73.77 | Releaseversion: 30.122062.17377.0)

Jul-2022 (Build: 101.73.77 | Releaseversion: 30.122062.17377.0)

 Veröffentlicht: 21. Juli 2022
 Veröffentlicht: 21. Juli 2022
 Build: 101.73.77
 Releaseversion: 30.122062.17377.0
 Modulversion: 1.1.19200.3
 Signaturversion: 1.367.1011.0

Neuerungen

• Option zum Konfigurieren der Dateihashberechnung hinzugefügt
• Ab diesem Build verfügt das Produkt standardmäßig über die neue Antischadsoftware-Engine.
• Leistungsverbesserungen für Dateikopiervorgänge
• Fehlerbehebungen
  

Jun-2022 (Build: 101.71.18 | Releaseversion: 30.122052.17118.0)

 Veröffentlicht: 24. Juni 2022
 Veröffentlicht: 24. Juni 2022
 Build: 101.71.18
 Releaseversion: 30.122052.17118.0

Neuerungen

• Korrektur zur Unterstützung von Definitionsspeicher an nicht standardmäßigen Speicherorten (außerhalb von /var) für v2-Definitionsupdates
• Es wurde ein Problem im Produktsensor behoben, der unter RHEL 6 verwendet wurde und zu einer Hängenbleiben des Betriebssystems führen konnte.
• mdatp connectivity test wurde um eine zusätzliche URL erweitert, die für die ordnungsgemäße Funktion des Produkts erforderlich ist. Die neue URL lautet https://go.microsoft.com/fwlink/?linkid=2144709.
• Bisher wurde der Produktprotokolliergrad zwischen Produktneustarts nicht beibehalten. Ab dieser Version gibt es einen neuen Befehlszeilentoolschalter, mit dem die Protokollebene beibehalten wird. Der neue Befehl ist mdatp log level persist --level <level>.
• Die Abhängigkeit python von wurde aus dem Produktinstallationspaket entfernt.
• Leistungsverbesserungen für Dateikopiervorgänge und die Verarbeitung von Netzwerkereignissen, die von stammen auditd
• Fehlerbehebungen
  

Mai-2022 (Build: 101.68.80 | Releaseversion: 30.122042.16880.0)

Mai-2022 (Build: 101.68.80 | Releaseversion: 30.122042.16880.0)

 Veröffentlicht: 23. Mai 2022
 Veröffentlicht: 23. Mai 2022
 Build: 101.68.80
 Releaseversion: 30.122042.16880.0

Neuerungen

• Unterstützung für Kernelversion 2.6.32-754.47.1.el6.x86_64 hinzugefügt, wenn unter RHEL 6 ausgeführt wird
• Unter RHEL 6 kann das Produkt jetzt auf Geräten installiert werden, auf denen Unbreakable Enterprise Kernel (UEK) ausgeführt wird.
• Es wurde ein Problem behoben, bei dem der Prozessname bei der Ausführung manchmal fälschlicherweise als unknown angezeigt wurde. mdatp diagnostic real-time-protection-statistics
• Ein Fehler wurde behoben, bei dem das Produkt manchmal Dateien im Quarantäneordner fälschlicherweise erkannt hat.
• Es wurde ein Problem behoben, bei dem das mdatp Befehlszeilentool nicht funktionierte, wenn /opt als Softlink eingebunden wurde.
• Leistungsverbesserungen & Fehlerbehebungen
  

Mai-2022 (Build: 101.65.77 | Releaseversion: 30.122032.16577.0)

Mai-2022 (Build: 101.65.77 | Releaseversion: 30.122032.16577.0)

 Veröffentlicht: 2. Mai 2022
 Veröffentlicht: 2. Mai 2022
 Build: 101.65.77
 Releaseversion: 30.122032.16577.0

Neuerungen

• conflicting_applications Das Feld in mdatp health wurde verbessert, um nur die letzten 10 Prozesse anzuzeigen und auch die Prozessnamen einzuschließen. Dadurch lässt sich leichter erkennen, welche Prozesse potenziell mit Microsoft Defender for Endpoint für Linux in Konflikt stehen.
• Fehlerbehebungen

Mar-2022 (Build: 101.62.74 | Releaseversion: 30.122022.16274.0)

 Veröffentlicht: 24. März 2022
 Veröffentlicht: 24. März 2022
 Build: 101.62.74
 Releaseversion: 30.122022.16274.0

Neuerungen

• Es wurde ein Problem behoben, bei dem das Produkt den Zugriff auf Dateien mit einer Größe von mehr als 2 GB fälschlicherweise blockierte, wenn es unter älteren Kernelversionen ausgeführt wurde.
• Fehlerbehebungen

Mar-2022 (Build: 101.60.93 | Releaseversion: 30.122012.16093.0)

Mar-2022 (Build: 101.60.93 | Releaseversion: 30.122012.16093.0)

 Veröffentlicht: 9. März 2022
 Veröffentlicht: 9. März 2022
 Build: 101.60.93
 Releaseversion: 30.122012.16093.0

Neuerungen

• Diese Version enthält ein Sicherheitsupdate für CVE-2022-23278.

Mar-2022 (Build: 101.60.05 | Releaseversion: 30.122012.16005.0)

 Veröffentlicht: 3. März 2022
 Veröffentlicht: 3. März 2022
 Build: 101.60.05
 Releaseversion: 30.122012.16005.0

Neuerungen

• Unterstützung für Kernelversion 2.6.32-754.43.1.el6.x86_64 für RHEL 6.10 hinzugefügt
• Fehlerbehebungen

Februar-2022 (Build: 101.58.80 | Releaseversion: 30.122012.15880.0)

Februar-2022 (Build: 101.58.80 | Releaseversion: 30.122012.15880.0)

 Veröffentlicht: 20. Februar 2022
 Veröffentlicht: 20. Februar 2022
 Build: 101.58.80
 Releaseversion: 30.122012.15880.0

Neuerungen

• Das Befehlszeilentool unterstützt jetzt die Wiederherstellung von unter Quarantäne stehenden Dateien an einem anderen Speicherort als dem Speicherort, an dem die Datei ursprünglich erkannt wurde. Dies kann über mdatp threat quarantine restore --id [threat-id] --path [destination-folder]erfolgen.
• Ab dieser Version kann der Netzwerkschutz für Linux bedarfsgesteuert ausgewertet werden.
• Fehlerbehebungen

Jan-2022 (Build: 101.56.62 | Releaseversion: 30.121122.15662.0)

Jan-2022 (Build: 101.56.62 | Releaseversion: 30.121122.15662.0)

 Veröffentlicht: 26. Januar 2022
 Veröffentlicht: 26. Januar 2022
 Build: 101.56.62
 Releaseversion: 30.121122.15662.0

Neuerungen

• Es wurde ein Produktabsturz behoben, der in Version 101.53.02 eingeführt wurde und sich auf mehrere Kunden auswirkte.

Jan-2022 (Build: 101.53.02 | Releaseversion: (30.121112.15302.0)

 Veröffentlicht: 8. Januar 2022
 Veröffentlicht: 8. Januar 2022
 Build: 101.53.02
 Releaseversion: 30.121112.15302.0

Neuerungen

• Leistungsverbesserungen & Fehlerbehebungen

Releases

2021

(Build: 101.52.57 | Releaseversion: 30.121092.15257.0)

Build: 101.52.57
Releaseversion: 30.121092.15257.0

Neuerungen

• Es wurde eine Funktion zum Erkennen anfälliger log4j-JAR-Dateien hinzugefügt, die von Java-Anwendungen verwendet werden. Der Computer wird regelmäßig auf die Ausführung von Java-Prozessen mit geladenen log4j-JAR-Dateien überprüft. Die Informationen werden dem Microsoft Defender for Endpoint-Back-End gemeldet und im Bereich Sicherheitsrisikoverwaltung des Portals verfügbar gemacht.

(Build: 101.47.76 | Releaseversion: 30.121092.14776.0)

Build: 101.47.76
Releaseversion: 30.121092.14776.0

Neuerungen

Dem Befehlszeilentool wurde ein neuer Schalter hinzugefügt, um zu steuern, ob Archive bei bedarfsgesteuerten Überprüfungen überprüft werden. Dies kann über mdatp config scan-archives --value [enabled/disabled] konfiguriert werden. Standardmäßig ist diese Einstellung auf aktiviert festgelegt.

• Fehlerbehebungen

(Build: 101.45.13 | Releaseversion: 30.121082.14513.0)

Build: 101.45.13
Releaseversion: 30.121082.14513.0

Neuerungen

• Ab dieser Version wird Microsoft Defender for Endpoint Unterstützung für die folgenden Distributionen bereitgestellt:

  • Versionen RHEL6.7-6.10 und CentOS6.7-6.10.
  • Amazon Linux 2
  • Fedora 33 oder höher

• Fehlerbehebungen

(Build: 101.45.00 | Releaseversion: 30.121072.14500.0)

Build: 101.45.00
Releaseversion: 30.121072.14500.0

Neuerungen

• Dem Befehlszeilentool wurden neue Schalter hinzugefügt:
  • Steuern des Parallelitätsgrads für bedarfsgesteuerte Scans. Dies kann über mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]konfiguriert werden. Standardmäßig wird ein Grad an Parallelität von 2 verwendet.
  • Steuern Sie, ob Überprüfungen nach Security Intelligence-Updates aktiviert oder deaktiviert sind. Dies kann über mdatp config scan-after-definition-update --value [enabled/disabled]konfiguriert werden. Standardmäßig ist diese Einstellung auf enabledfestgelegt.
• Das Ändern des Produktprotokolliergrads erfordert jetzt erhöhte Rechte.
• Fehlerbehebungen

(Build: 101.39.98 | Releaseversion: 30.121062.13998.0)

Build: 101.39.98
Releaseversion: 30.121062.13998.0

Neuerungen

Leistungsverbesserungen & Fehlerbehebungen

(Build: 101.34.27 | Releaseversion: 30.121052.13427.0)

Build: 101.34.27
Releaseversion: 30.121052.13427.0

Neuerungen

Leistungsverbesserungen & Fehlerbehebungen

(Build: 101.29.64 | Releaseversion: 30.121042.12964.0)

Build: 101.29.64
Releaseversion: 30.121042.12964.0

Neuerungen

• Ab dieser Version werden Bedrohungen, die bei bedarfsgesteuerten Antivirenscans erkannt werden, die über den Befehlszeilenclient ausgelöst werden, automatisch behoben. Bedrohungen, die bei Überprüfungen erkannt werden, die über die Benutzeroberfläche ausgelöst werden, erfordern weiterhin manuelle Maßnahmen.
• mdatp diagnostic real-time-protection-statistics unterstützt jetzt zwei weitere Switches:
  • --sort: sortiert die Ausgabe absteigend nach der Gesamtzahl der gescannten Dateien.
  • --top N: zeigt die obersten N Ergebnisse an (funktioniert nur, wenn --sort ebenfalls angegeben ist)
• Leistungsverbesserungen & Fehlerbehebungen

(Build: 101.25.72 | Releaseversion: 30.121022.12563.0)

Build: 101.25.72
Releaseversion: 30.121022.12563.0

Neuerungen

Microsoft Defender for Endpoint unter Linux ist jetzt als Vorschauversion für US-Behörden verfügbar. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint für US Government-Kunden.

• Es wurde ein Problem behoben, bei dem die Verwendung von Microsoft Defender for Endpoint unter Linux auf Systemen mit FUSE-Dateisystemen dazu führte, dass das Betriebssystem nicht mehr reagierte.
• Leistungsverbesserungen & anderen Fehlerbehebungen

(Build: 101.25.63 | Releaseversion: 30.121022.12563.0)

Build: 101.25.63
Releaseversion: 30.121022.12563.0

Neuerungen

Leistungsverbesserungen & Fehlerbehebungen

(Build: 101.23.64 | Releaseversion: 30.121021.12364.0)

Build: 101.23.64
Releaseversion: 30.121021.12364.0

Neuerungen

Leistungsverbesserung für die Situation, in der der Antivirenausschlussliste ein vollständiger Bereitstellungspunkt hinzugefügt wird. Vor dieser Version stammt die Produktprozessdateiaktivität vom Bereitstellungspunkt. Ab dieser Version wird die Dateiaktivität für ausgeschlossene Bereitstellungspunkte unterdrückt, was zu einer besseren Produktleistung führt.

• Dem Befehlszeilentool wurde eine neue Option hinzugefügt, um Informationen zum letzten bedarfsgesteuerten Scan anzuzeigen. Führen Sie aus, um Informationen zur letzten bedarfsgesteuerten Überprüfung anzuzeigen. mdatp health --details antivirus
• Weitere Leistungsverbesserungen & Fehlerbehebungen

(Build: 101.18.53)

Build: 101.18.53

Neuerungen

EDR für Linux ist jetzt allgemein verfügbar

• Neuer Befehlszeilenschalter (--ignore-exclusions) hinzugefügt, um AV-Ausschlüsse während benutzerdefinierter Überprüfungen zu ignorieren (mdatp scan custom)
• Erweitert mdatp diagnostic create um einen neuen Parameter (--path [directory]), mit dem die Diagnoseprotokolle in einem anderen Verzeichnis gespeichert werden können
• Leistungsverbesserungen & Fehlerbehebungen