Configuración de la actualización de inteligencia de seguridad sin conexión para Microsoft Defender para punto de conexión en Linux
Se aplica a:
- Servidor de Microsoft Defender para punto de conexión
- Microsoft Defender para servidores
En este documento se describe la característica de actualización de inteligencia de seguridad sin conexión de Microsoft Defender para punto de conexión en Linux.
Esta característica permite a una organización actualizar la inteligencia de seguridad (también conocida como "definiciones" o "firmas" en este documento) en puntos de conexión de Linux con una exposición limitada o no a Internet mediante un servidor de hospedaje local (denominado servidor reflejado en este documento).
El servidor reflejado es cualquier servidor del entorno del cliente que pueda conectarse a la nube de Microsoft para descargar las firmas. Otros puntos de conexión de Linux extraen las firmas del servidor reflejado en un intervalo predefinido.
Entre las principales ventajas se encuentran:
- Capacidad de controlar y administrar la frecuencia de las descargas de firmas en el servidor local y la frecuencia con la que los puntos de conexión extraen las firmas del servidor local.
- Adición de una capa adicional de protección y control, ya que las firmas descargadas se pueden probar en un dispositivo de prueba antes de propagarse a toda la flota.
- Reducción del ancho de banda de red, ya que ahora solo un servidor local sondeará la nube de MS para obtener las firmas más recientes en nombre de toda la flota.
- Capacidad del servidor local para ejecutar cualquiera de los tres sistemas operativos: Windows, Mac y Linux; no es necesario instalar Defender para punto de conexión.
- Aprovisione la protección antivirus más actualizada, ya que las firmas siempre se descargan junto con el motor antivirus compatible más reciente.
- Migración de la firma con la versión n-1 a una carpeta de copia de seguridad en el servidor local, en cada iteración. Aprovisione para extraer la versión de firma n-1 de la carpeta de copia de seguridad a los puntos de conexión, si hay algún problema con la firma más reciente.
- Opción para revertir a las actualizaciones en línea desde la nube de Microsoft (método tradicional), en caso de una rara ocasión de un error de actualización sin conexión.
Funcionamiento de la actualización de inteligencia de seguridad sin conexión
- Las organizaciones deben configurar un servidor reflejado, que es un servidor web/NFS local al que puede acceder la nube de Microsoft.
- Las firmas se descargan desde la nube de Microsoft en este servidor reflejado mediante la ejecución de un script mediante el programador de tareas o trabajos cron en el servidor local.
- Los puntos de conexión de Linux que ejecutan Defender para punto de conexión extraen las firmas descargadas de este servidor reflejado en un intervalo de tiempo definido por el usuario.
- Las firmas extraídas en los puntos de conexión de Linux del servidor local se comprueban primero antes de cargarse en el motor de AV.
- Para desencadenar y configurar el proceso de actualización, actualice el archivo json de configuración administrada en los puntos de conexión de Linux.
- El estado de la actualización se puede ver en la CLI de mdatp.
Fig. 1: Diagrama de flujo de proceso en el servidor reflejado para descargar las actualizaciones de inteligencia de seguridad
Fig. 2: Diagrama de flujo de procesos en el punto de conexión de Linux para las actualizaciones de inteligencia de seguridad
El servidor reflejado puede ejecutar cualquiera de los siguientes sistemas operativos:
- Linux (cualquier tipo)
- Windows (cualquier versión)
- Mac (cualquier versión)
Requisitos previos
La versión
101.24022.0001
de Defender para punto de conexión o posterior debe instalarse en los puntos de conexión de Linux.Los puntos de conexión de Linux deben tener conectividad con el servidor reflejado.
El punto de conexión de Linux debe ejecutar cualquiera de las distribuciones compatibles con Defender para punto de conexión.
El servidor reflejado puede ser un servidor HTTP/HTTPS o un servidor compartido de red, por ejemplo, un servidor NFS.
El servidor reflejado debe tener acceso a las siguientes direcciones URL:
https://github.com/microsoft/mdatp-xplat.git
https://go.microsoft.com/fwlink/?linkid=2144709
El servidor reflejado debe admitir Bash o PowerShell.
Se requieren las siguientes especificaciones mínimas del sistema para el servidor reflejado:
Núcleo de CPU RAM Disco libre Intercambio 2 núcleos (4 núcleos preferidos) 1 GB min (4 GB preferidos) 2 GB Dependiente del sistema Nota:
Esta configuración puede variar en función del número de solicitudes que se atienden y la carga que debe procesar cada servidor.
Configuración del servidor reflejado
Nota:
- La administración y propiedad del servidor reflejado se encuentra únicamente con el cliente, ya que reside en el entorno privado del cliente.
- El servidor reflejado no necesita tener Instalado Defender para punto de conexión.
Obtención del script de descargador de inteligencia de seguridad sin conexión
Microsoft hospeda un script de descargador de inteligencia de seguridad sin conexión en este repositorio de GitHub.
Siga estos pasos para obtener el script de descargador:
Opción 1: Clonar el repositorio (preferido)
- Instale git en el servidor reflejado.
- Vaya al directorio donde desea clonar el repositorio.
- Ejecute el comando:
git clone https://github.com/microsoft/mdatp-xplat.git
Opción 2: Descargar el archivo ZIP
Descargue el archivo ZIP del repositorio desde aquí.
Copie el archivo ZIP en la carpeta donde desea conservar el script.
Extraiga el archivo ZIP.
Nota:
Programe un trabajo cron para mantener el archivo ZIP descargado o del repositorio actualizado a la versión más reciente a intervalos regulares.
Después de clonar el repositorio o el archivo zip descargado, la estructura de directorios local debe ser la siguiente:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Nota:
Revise el README.md
archivo para comprender con detalle cómo usar el script.
El settings.json
archivo consta de algunas variables que el usuario puede configurar para determinar la salida de la ejecución del script.
Nombre del campo | Valor | Descripción |
---|---|---|
downloadFolder |
string | Se asigna a la ubicación en la que el script descarga los archivos. |
downloadLinuxUpdates |
bool | Cuando se establece en true , el script descarga las actualizaciones específicas de Linux en downloadFolder . |
logFilePath |
string | Configura los registros de diagnóstico en una carpeta determinada. Este archivo se puede compartir con Microsoft para depurar el script si hay algún problema. |
downloadMacUpdates |
bool | El script descarga las actualizaciones específicas de Mac en .downloadFolder |
downloadPreviewUpdates |
bool | Descarga la versión preliminar de las actualizaciones disponibles para el sistema operativo específico. |
backupPreviousUpdates |
bool | Permite que el script copie la actualización anterior en la _back carpeta y que se descarguen nuevas actualizaciones en downloadFolder . |
Ejecución del script de descargador de inteligencia de seguridad sin conexión
Para ejecutar manualmente el script de descargador, configure los parámetros del settings.json
archivo según la descripción de la sección anterior y use uno de los siguientes comandos basados en el sistema operativo del servidor reflejado:
Juerga:
./xplat_offline_updates_download.sh
PowerShell:
./xplat_offline_updates_download.ps1
Nota:
Programe un trabajo cron para ejecutar este script para descargar las últimas actualizaciones de inteligencia de seguridad en el servidor reflejado a intervalos regulares.
Hospedar las actualizaciones de inteligencia de seguridad sin conexión en el servidor reflejado
Una vez que se ejecuta el script, las firmas más recientes se descargan en la carpeta configurada en el settings.json
archivo (updates.zip
).
Una vez descargado el archivo ZIP de firmas, se puede usar el servidor reflejado para hospedarlo. El servidor reflejado se puede hospedar mediante cualquiera de los servidores compartidos HTTP/HTTPS/network.
Una vez hospedado, copie la ruta de acceso absoluta del servidor hospedado (hasta y sin incluir el arch_*
directorio).
Por ejemplo, si el script se ejecuta con downloadFolder=/tmp/wdav-update
y el servidor HTTP (www.example.server.com:8000
) hospeda la /tmp/wdav-update
ruta de acceso, el URI correspondiente es: www.example.server.com:8000/linux/production/
.
También podemos usar la ruta de acceso absoluta del directorio (punto de montaje local o remoto) como /tmp/wdav-update/linux/production
.
Una vez configurado el servidor reflejado, es necesario propagar esta dirección URL a los puntos de conexión de Linux como offlineDefinitionUpdateUrl
en la configuración administrada, tal como se describe en la sección siguiente.
Configuración de los puntos de conexión
Use el ejemplo mdatp_managed.json
siguiente y actualice los parámetros según la configuración y copie el archivo en la ubicación /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
Nombre del campo | Valores | Comentarios |
---|---|---|
automaticDefinitionUpdateEnabled |
True /False |
Determina el comportamiento de Defender para punto de conexión que intenta realizar actualizaciones automáticamente, está activado o desactivado, respectivamente. |
definitionUpdatesInterval |
Numérico | Tiempo de intervalo entre cada actualización automática de firmas (en segundos). |
offlineDefinitionUpdateUrl |
Cadena | Valor de dirección URL generado como parte de la configuración del servidor reflejado. Esto puede ser en términos de la dirección URL del servidor remoto o un directorio (punto de montaje local o remoto). |
offlineDefinitionUpdate |
enabled /disabled |
Cuando se establece en enabled , la característica "actualización de inteligencia de seguridad sin conexión" está habilitada y viceversa. |
offlineDefinitionUpdateFallbackToCloud |
True /False |
Determine el enfoque de actualización de inteligencia de seguridad de Defender para punto de conexión cuando el "servidor reflejado sin conexión" no puede atender la solicitud de actualización. Si se establece en , la actualización se vuelve a true intentar a través de la nube de Microsoft cuando se produce un error en la "actualización de inteligencia de seguridad sin conexión"; en caso contrario, viceversa. |
offlineDefinitionUpdateVerifySig |
enabled /disabled |
Cuando se establece enabled en , las definiciones descargadas se comprueban en los puntos de conexión; de lo contrario, viceversa. |
Nota:
A partir de hoy, la característica "actualización de inteligencia de seguridad sin conexión" se puede configurar en puntos de conexión de Linux solo a través de json administrado. La integración con la administración de la configuración de seguridad en el portal de seguridad está en nuestra hoja de ruta.
Comprobación de la configuración
Para probar si la configuración se aplica correctamente en los puntos de conexión de Linux, ejecute el siguiente comando:
mdatp health --details definitions
Una salida de ejemplo tendría un aspecto similar al siguiente fragmento de código:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Desencadenamiento de las actualizaciones de inteligencia de seguridad sin conexión
Actualización automática
- Si el nivel de cumplimiento del motor antivirus está establecido
real_time
en y los camposautomaticDefinitionUpdateEnabled
yoffline_definition_update
en el json administrado se establecentrue
en , las actualizaciones de inteligencia de seguridad sin conexión se desencadenan automáticamente a intervalos periódicos. - De forma predeterminada, este intervalo periódico es de 8 horas. Pero se puede configurar estableciendo el
definitionUpdatesInterval
parámetro en el json administrado.
Actualización manual
Para desencadenar la "actualización de inteligencia de seguridad sin conexión" manualmente para descargar las firmas del servidor reflejado en los puntos de conexión de Linux, ejecute el siguiente comando:
mdatp definitions update
Comprobación del estado de la actualización
Después de desencadenar la "actualización de inteligencia de seguridad sin conexión" mediante el método automático o manual, compruebe que la actualización se realizó correctamente mediante la ejecución del comando :
mdatp health --details --definitions
.Compruebe los campos siguientes:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Solución de problemas y diagnósticos
Problemas: Error de actualización de MDATP
- La actualización se bloqueó o la actualización no se desencadenó.
- Error en la actualización.
Pasos habituales para la solución de problemas
Compruebe el estado de la característica "actualización de inteligencia de seguridad sin conexión" mediante el siguiente comando:
mdatp health --details definitions
- Este comando debe proporcionarnos algún mensaje descriptivo en la
definitions_update_fail_reason
sección . - Compruebe si
offline_definition_update
yoffline_definition_update_verify_sig
están habilitados. - Compruebe si
definitions_update_source_uri
es igual aoffline_definition_url_configured
.-
definitions_update_source_uri
es el origen desde el que se descargaron las firmas. -
offline_definition_url_configured
es el origen desde el que se deben descargar las firmas, la que se menciona en el archivo de configuración administrado.
-
- Este comando debe proporcionarnos algún mensaje descriptivo en la
Pruebe a realizar la prueba de conectividad para comprobar si el servidor reflejado es accesible desde el host:
mdatp connectivity test
Intente desencadenar una actualización manual con el siguiente comando:
mdatp definitions update