Compartir a través de


Configuración de la actualización de inteligencia de seguridad sin conexión para Microsoft Defender para punto de conexión en Linux

Se aplica a:

En este documento se describe la característica de actualización de inteligencia de seguridad sin conexión de Microsoft Defender para punto de conexión en Linux.

Esta característica permite a una organización actualizar la inteligencia de seguridad (también conocida como "definiciones" o "firmas" en este documento) en puntos de conexión de Linux con una exposición limitada o no a Internet mediante un servidor de hospedaje local (denominado servidor reflejado en este documento).

El servidor reflejado es cualquier servidor del entorno del cliente que pueda conectarse a la nube de Microsoft para descargar las firmas. Otros puntos de conexión de Linux extraen las firmas del servidor reflejado en un intervalo predefinido.

Entre las principales ventajas se encuentran:

  • Capacidad de controlar y administrar la frecuencia de las descargas de firmas en el servidor local y la frecuencia con la que los puntos de conexión extraen las firmas del servidor local.
  • Adición de una capa adicional de protección y control, ya que las firmas descargadas se pueden probar en un dispositivo de prueba antes de propagarse a toda la flota.
  • Reducción del ancho de banda de red, ya que ahora solo un servidor local sondeará la nube de MS para obtener las firmas más recientes en nombre de toda la flota.
  • Capacidad del servidor local para ejecutar cualquiera de los tres sistemas operativos: Windows, Mac y Linux; no es necesario instalar Defender para punto de conexión.
  • Aprovisione la protección antivirus más actualizada, ya que las firmas siempre se descargan junto con el motor antivirus compatible más reciente.
  • Migración de la firma con la versión n-1 a una carpeta de copia de seguridad en el servidor local, en cada iteración. Aprovisione para extraer la versión de firma n-1 de la carpeta de copia de seguridad a los puntos de conexión, si hay algún problema con la firma más reciente.
  • Opción para revertir a las actualizaciones en línea desde la nube de Microsoft (método tradicional), en caso de una rara ocasión de un error de actualización sin conexión.

Funcionamiento de la actualización de inteligencia de seguridad sin conexión

  • Las organizaciones deben configurar un servidor reflejado, que es un servidor web/NFS local al que puede acceder la nube de Microsoft.
  • Las firmas se descargan desde la nube de Microsoft en este servidor reflejado mediante la ejecución de un script mediante el programador de tareas o trabajos cron en el servidor local.
  • Los puntos de conexión de Linux que ejecutan Defender para punto de conexión extraen las firmas descargadas de este servidor reflejado en un intervalo de tiempo definido por el usuario.
  • Las firmas extraídas en los puntos de conexión de Linux del servidor local se comprueban primero antes de cargarse en el motor de AV.
  • Para desencadenar y configurar el proceso de actualización, actualice el archivo json de configuración administrada en los puntos de conexión de Linux.
  • El estado de la actualización se puede ver en la CLI de mdatp.

Diagrama de flujo de procesos en el servidor reflejado para descargar las actualizaciones de inteligencia de seguridad

Fig. 1: Diagrama de flujo de proceso en el servidor reflejado para descargar las actualizaciones de inteligencia de seguridad

Diagrama de flujo de procesos en el punto de conexión de Linux para las actualizaciones de inteligencia de seguridad

Fig. 2: Diagrama de flujo de procesos en el punto de conexión de Linux para las actualizaciones de inteligencia de seguridad

El servidor reflejado puede ejecutar cualquiera de los siguientes sistemas operativos:

  • Linux (cualquier tipo)
  • Windows (cualquier versión)
  • Mac (cualquier versión)

Requisitos previos

  • La versión 101.24022.0001 de Defender para punto de conexión o posterior debe instalarse en los puntos de conexión de Linux.

  • Los puntos de conexión de Linux deben tener conectividad con el servidor reflejado.

  • El punto de conexión de Linux debe ejecutar cualquiera de las distribuciones compatibles con Defender para punto de conexión.

  • El servidor reflejado puede ser un servidor HTTP/HTTPS o un servidor compartido de red, por ejemplo, un servidor NFS.

  • El servidor reflejado debe tener acceso a las siguientes direcciones URL:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709
  • El servidor reflejado debe admitir Bash o PowerShell.

  • Se requieren las siguientes especificaciones mínimas del sistema para el servidor reflejado:

    Núcleo de CPU RAM Disco libre Intercambio
    2 núcleos (4 núcleos preferidos) 1 GB min (4 GB preferidos) 2 GB Dependiente del sistema

    Nota:

    Esta configuración puede variar en función del número de solicitudes que se atienden y la carga que debe procesar cada servidor.

Configuración del servidor reflejado

Nota:

  • La administración y propiedad del servidor reflejado se encuentra únicamente con el cliente, ya que reside en el entorno privado del cliente.
  • El servidor reflejado no necesita tener Instalado Defender para punto de conexión.

Obtención del script de descargador de inteligencia de seguridad sin conexión

Microsoft hospeda un script de descargador de inteligencia de seguridad sin conexión en este repositorio de GitHub.

Siga estos pasos para obtener el script de descargador:

Opción 1: Clonar el repositorio (preferido)

  • Instale git en el servidor reflejado.
  • Vaya al directorio donde desea clonar el repositorio.
  • Ejecute el comando: git clone https://github.com/microsoft/mdatp-xplat.git

Opción 2: Descargar el archivo ZIP

  • Descargue el archivo ZIP del repositorio desde aquí.

  • Copie el archivo ZIP en la carpeta donde desea conservar el script.

  • Extraiga el archivo ZIP.

Nota:

Programe un trabajo cron para mantener el archivo ZIP descargado o del repositorio actualizado a la versión más reciente a intervalos regulares.

Después de clonar el repositorio o el archivo zip descargado, la estructura de directorios local debe ser la siguiente:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Nota:

Revise el README.md archivo para comprender con detalle cómo usar el script.

El settings.json archivo consta de algunas variables que el usuario puede configurar para determinar la salida de la ejecución del script.

Nombre del campo Valor Descripción
downloadFolder string Se asigna a la ubicación en la que el script descarga los archivos.
downloadLinuxUpdates bool Cuando se establece en true, el script descarga las actualizaciones específicas de Linux en downloadFolder.
logFilePath string Configura los registros de diagnóstico en una carpeta determinada. Este archivo se puede compartir con Microsoft para depurar el script si hay algún problema.
downloadMacUpdates bool El script descarga las actualizaciones específicas de Mac en .downloadFolder
downloadPreviewUpdates bool Descarga la versión preliminar de las actualizaciones disponibles para el sistema operativo específico.
backupPreviousUpdates bool Permite que el script copie la actualización anterior en la _back carpeta y que se descarguen nuevas actualizaciones en downloadFolder.

Ejecución del script de descargador de inteligencia de seguridad sin conexión

Para ejecutar manualmente el script de descargador, configure los parámetros del settings.json archivo según la descripción de la sección anterior y use uno de los siguientes comandos basados en el sistema operativo del servidor reflejado:

  • Juerga:

    ./xplat_offline_updates_download.sh
    
  • PowerShell:

    ./xplat_offline_updates_download.ps1
    

Nota:

Programe un trabajo cron para ejecutar este script para descargar las últimas actualizaciones de inteligencia de seguridad en el servidor reflejado a intervalos regulares.

Hospedar las actualizaciones de inteligencia de seguridad sin conexión en el servidor reflejado

Una vez que se ejecuta el script, las firmas más recientes se descargan en la carpeta configurada en el settings.json archivo (updates.zip).

Una vez descargado el archivo ZIP de firmas, se puede usar el servidor reflejado para hospedarlo. El servidor reflejado se puede hospedar mediante cualquiera de los servidores compartidos HTTP/HTTPS/network.

Una vez hospedado, copie la ruta de acceso absoluta del servidor hospedado (hasta y sin incluir el arch_* directorio).

Por ejemplo, si el script se ejecuta con downloadFolder=/tmp/wdav-updatey el servidor HTTP (www.example.server.com:8000) hospeda la /tmp/wdav-update ruta de acceso, el URI correspondiente es: www.example.server.com:8000/linux/production/.

También podemos usar la ruta de acceso absoluta del directorio (punto de montaje local o remoto) como /tmp/wdav-update/linux/production.

Una vez configurado el servidor reflejado, es necesario propagar esta dirección URL a los puntos de conexión de Linux como offlineDefinitionUpdateUrl en la configuración administrada, tal como se describe en la sección siguiente.

Configuración de los puntos de conexión

Use el ejemplo mdatp_managed.json siguiente y actualice los parámetros según la configuración y copie el archivo en la ubicación /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}
Nombre del campo Valores Comentarios
automaticDefinitionUpdateEnabled True/False Determina el comportamiento de Defender para punto de conexión que intenta realizar actualizaciones automáticamente, está activado o desactivado, respectivamente.
definitionUpdatesInterval Numérico Tiempo de intervalo entre cada actualización automática de firmas (en segundos).
offlineDefinitionUpdateUrl Cadena Valor de dirección URL generado como parte de la configuración del servidor reflejado. Esto puede ser en términos de la dirección URL del servidor remoto o un directorio (punto de montaje local o remoto).
offlineDefinitionUpdate enabled/disabled Cuando se establece en enabled, la característica "actualización de inteligencia de seguridad sin conexión" está habilitada y viceversa.
offlineDefinitionUpdateFallbackToCloud True/False Determine el enfoque de actualización de inteligencia de seguridad de Defender para punto de conexión cuando el "servidor reflejado sin conexión" no puede atender la solicitud de actualización. Si se establece en , la actualización se vuelve a trueintentar a través de la nube de Microsoft cuando se produce un error en la "actualización de inteligencia de seguridad sin conexión"; en caso contrario, viceversa.
offlineDefinitionUpdateVerifySig enabled/disabled Cuando se establece enableden , las definiciones descargadas se comprueban en los puntos de conexión; de lo contrario, viceversa.

Nota:

A partir de hoy, la característica "actualización de inteligencia de seguridad sin conexión" se puede configurar en puntos de conexión de Linux solo a través de json administrado. La integración con la administración de la configuración de seguridad en el portal de seguridad está en nuestra hoja de ruta.

Comprobación de la configuración

Para probar si la configuración se aplica correctamente en los puntos de conexión de Linux, ejecute el siguiente comando:

mdatp health --details definitions

Una salida de ejemplo tendría un aspecto similar al siguiente fragmento de código:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Desencadenamiento de las actualizaciones de inteligencia de seguridad sin conexión

Actualización automática

  • Si el nivel de cumplimiento del motor antivirus está establecido real_timeen y los campos automaticDefinitionUpdateEnabled y offline_definition_update en el json administrado se establecen trueen , las actualizaciones de inteligencia de seguridad sin conexión se desencadenan automáticamente a intervalos periódicos.
  • De forma predeterminada, este intervalo periódico es de 8 horas. Pero se puede configurar estableciendo el definitionUpdatesInterval parámetro en el json administrado.

Actualización manual

  • Para desencadenar la "actualización de inteligencia de seguridad sin conexión" manualmente para descargar las firmas del servidor reflejado en los puntos de conexión de Linux, ejecute el siguiente comando:

    mdatp definitions update
    

Comprobación del estado de la actualización

  • Después de desencadenar la "actualización de inteligencia de seguridad sin conexión" mediante el método automático o manual, compruebe que la actualización se realizó correctamente mediante la ejecución del comando : mdatp health --details --definitions.

  • Compruebe los campos siguientes:

    user@vm:~$ mdatp health --details definitions
    ...
    definitions_status                          : "up_to_date"
    ...
    definitions_update_fail_reason              : ""
    ...
    

Solución de problemas y diagnósticos

Problemas: Error de actualización de MDATP

  • La actualización se bloqueó o la actualización no se desencadenó.
  • Error en la actualización.

Pasos habituales para la solución de problemas

  • Compruebe el estado de la característica "actualización de inteligencia de seguridad sin conexión" mediante el siguiente comando:

    mdatp health --details definitions
    
    • Este comando debe proporcionarnos algún mensaje descriptivo en la definitions_update_fail_reason sección .
    • Compruebe si offline_definition_update y offline_definition_update_verify_sig están habilitados.
    • Compruebe si definitions_update_source_uri es igual a offline_definition_url_configured.
      • definitions_update_source_uri es el origen desde el que se descargaron las firmas.
      • offline_definition_url_configured es el origen desde el que se deben descargar las firmas, la que se menciona en el archivo de configuración administrado.
  • Pruebe a realizar la prueba de conectividad para comprobar si el servidor reflejado es accesible desde el host:

    mdatp connectivity test
    
  • Intente desencadenar una actualización manual con el siguiente comando:

    mdatp definitions update