complemento de Microsoft Defender para punto de conexión para Subsistema de Windows para Linux (WSL)

Información general

El Subsistema de Windows para Linux (WSL) 2, que reemplaza a la versión anterior de WSL (compatible con Microsoft Defender para punto de conexión sin un complemento), proporciona un entorno Linux que se integra perfectamente con Windows pero aislado mediante la tecnología de virtualización. El complemento Microsoft Defender para punto de conexión para Subsistema de Windows para Linux 2 (WSL) permite que Defender para punto de conexión proporcione más visibilidad sobre todos los contenedores WSL en ejecución, conectando al subsistema aislado.

Problemas y limitaciones conocidos

Tenga en cuenta lo siguiente antes de empezar:

1. El complemento no admite actualizaciones automáticas en versiones anteriores a 0.24.426.1. En la versión 0.24.426.1 y versiones posteriores, las actualizaciones se admiten a través de Windows Update en todos los anillos. Novedades a través de los servicios de Windows Server Update (WSUS), System Center Configuration Manager (SCCM) y el catálogo de Microsoft Update solo se admiten en el anillo producción para garantizar la estabilidad del paquete.

2. Dado que el complemento tarda unos minutos en crear una instancia completa y hasta 30 minutos para que una instancia de WSL2 se incorpore a sí misma, las instancias de contenedor de WSL de corta duración podrían dar lugar a que la instancia de WSL2 no se muestre en el portal de Microsoft Defender (https://security.microsoft.com). Una vez que una distribución (cualquiera) se ha estado ejecutando durante el tiempo suficiente (al menos 30 minutos), aparece.

3. En esta versión se admite la ejecución de un kernel personalizado y una línea de comandos de kernel personalizado. Sin embargo, el complemento no proporciona ninguna garantía con respecto a la visibilidad dentro de WSL al ejecutar un kernel personalizado y una línea de comandos de kernel personalizado.

Requisitos previos de software

• WSL versión 2.0.7 o posterior debe ejecutarse con al menos una distribución activa.

  Ejecute wsl --update para asegurarse de que está en la versión más reciente. Si wsl -–version muestra una versión anterior a la 2.0.7, ejecute wsl -–update –pre-release para obtener la actualización más reciente.

• Defender para punto de conexión debe incorporarse y ejecutarse en el sistema operativo host de Windows.

• El sistema operativo host debe ejecutar Windows 10 cliente, versión 2004 y posteriores (compilación 19044 y posteriores) o Windows 11 cliente para admitir las versiones de Subsistema de Windows para Linux que pueden funcionar con el complemento.

Componentes de software y nombres de archivo del instalador

Instalador: DefenderPlugin-x64-0.24.426.1.msi. Puede descargarlo desde la página de incorporación en el portal de Microsoft Defender.

Directorios de instalación:

• %ProgramFiles%

• %ProgramData%

Componentes instalados:

• DefenderforEndpointPlug-in.dll. Este archivo DLL es la biblioteca para cargar Defender para punto de conexión para que funcione en WSL. Puede encontrarlo en %ProgramFiles%\Microsoft Defender para punto de conexión complemento para WSL\plug-in.

• healthcheck.exe. Este programa comprueba el estado de mantenimiento de Defender para punto de conexión y le permite ver las versiones instaladas de WSL, complemento y Defender para punto de conexión. Puede encontrarlo en %ProgramFiles%\Microsoft Defender para punto de conexión complemento para WSL\tools.

Pasos de la instalación

Si el Subsistema de Windows para Linux aún no está instalado, siga estos pasos:

1. Abra terminal o símbolo del sistema. (En Windows, vaya a Inicio>Símbolo del sistema. O bien, haga clic con el botón derecho en el botón inicio y, a continuación, seleccione Terminal).

2. Ejecute el comando wsl -–install.

   1. Confirme que WSL está instalado y en ejecución.

   1. Con Terminal o símbolo del sistema, ejecute wsl –-update para asegurarse de que tiene la versión más reciente.

   2. Ejecute el wsl comando para asegurarse de que WSL se está ejecutando antes de las pruebas.

   2. Instalar el complemento

   Una vez que WSL se esté ejecutando y esté totalmente actualizado, siga estos pasos para instalar el complemento:

   1. Instale el archivo MSI descargado de la sección de incorporación en el portal de Microsoft Defender (Configuración>de laincorporación> de puntos > de conexión Subsistema de Windows para Linux 2 (complemento)).

   2. Abra un símbolo del sistema o terminal y ejecute wsl.

   Puede implementar el paquete mediante Microsoft Intune.

Nota:

Si WslService se está ejecutando, se detiene durante el proceso de instalación. No es necesario incorporar el subsistema por separado; en su lugar, el complemento se incorpora automáticamente al inquilino al que se incorpora el host de Windows.

Lista de comprobación de validación de instalación

1. Después de la actualización o instalación, espere al menos cinco minutos para que el complemento inicialice y escriba completamente la salida del registro.

2. Abra terminal o símbolo del sistema. (En Windows, vaya a Inicio>Símbolo del sistema. O bien, haga clic con el botón derecho en el botón inicio y, a continuación, seleccione Terminal).

3. Ejecute el comando : cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Ejecute el comando .\healthcheck.exe.

5. Revise los detalles de Defender y WSL y asegúrese de que coinciden o superan los siguientes requisitos:

   • Versión del complemento: 0.24.426.1
   • Versión de WSL: 2.0.7.0 o posterior
   • Versión de la aplicación defender: 701.00000.1509
   • Estado de mantenimiento de Defender: Healthy

Configuración de un proxy para Defender que se ejecuta en WSL

En esta sección se describe cómo configurar la conectividad de proxy para el complemento defender para punto de conexión. Si la empresa usa un proxy para proporcionar conectividad a Defender para punto de conexión que se ejecuta en el host de Windows, siga leyendo para determinar si necesita configurarlo para el complemento.

Si desea usar la configuración del proxy de telemetría de windows EDR de host para MDE para el complemento WSL, no se requiere nada más. El complemento adopta automáticamente esta configuración.

Si desea usar la configuración del proxy winhttp del host para MDE para el complemento WSL, no se requiere nada más. El complemento adopta automáticamente esta configuración.

Si desea usar la configuración de red host y proxy de red para MDE para el complemento WSL, no se requiere nada más. El complemento adopta automáticamente esta configuración.

Selección del proxy de complemento

Si el equipo host contiene varias configuraciones de proxy, el complemento selecciona las configuraciones de proxy con la siguiente jerarquía:

1. Configuración del proxy estático de Defender para punto de conexión (TelemetryProxyServer).

2. Winhttp proxy (configurado mediante netsh el comando ).

3. Configuración del proxy de Internet & de red.

Ejemplo: si el equipo host tiene tanto el proxy Winhttp como el proxy de Red & Internet, el complemento selecciona Winhttp proxy como configuración de proxy.

Nota:

Ya no se admite la DefenderProxyServer clave del Registro. Siga los pasos mencionados anteriormente para configurar el proxy en el complemento.

Prueba de conectividad para Defender que se ejecuta en WSL

En el procedimiento siguiente se describe cómo confirmar que Defender en punto de conexión en WSL tiene conectividad a Internet.

1. Abra registry Editor como administrador.

2. Create una clave del Registro con los detalles siguientes:

   • Nombre: ConnectivityTest
   • Tipo: REG_DWORD
   • Valor: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
   • Ruta de acceso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

3. Una vez establecido el registro, reinicie wsl mediante los pasos siguientes:

   1. Abra el símbolo del sistema y ejecute el comando . wsl --shutdown

   2. Ejecute el comando wsl.

4. Espere 5 minutos y, a continuación, ejecute healthcheck.exe (ubicado en %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools para obtener los resultados de la prueba de conectividad).

   Si se ejecuta correctamente, puede ver que la prueba de conectividad se realizó correctamente.

Nota:

Para establecer un proxy para usarlo en contenedores WSL (las distribuciones que se ejecutan en el subsistema), consulte Configuración avanzada en WSL.

Comprobación de la funcionalidad y la experiencia del analista de SOC

Después de instalar el complemento, el subsistema y todos sus contenedores en ejecución se incorporan al portal de Microsoft Defender.

1. Inicie sesión en el portal de Microsoft Defender y abra la vista Dispositivos.

2. Filtre con la etiqueta WSL2.

Puede ver todas las instancias de WSL en su entorno con un complemento activo de Defender para punto de conexión para WSL. Estas instancias representan todas las distribuciones que se ejecutan dentro de WSL en un host determinado. El nombre de host de un dispositivo coincide con el del host de Windows. Sin embargo, se representa como un dispositivo Linux.

3. Abra la página del dispositivo. En el panel Información general , hay un vínculo para dónde se hospeda el dispositivo. El vínculo le permite comprender que el dispositivo se ejecuta en un host de Windows. A continuación, puede girar al host para una investigación o respuesta adicionales.

   

La escala de tiempo se rellena, de forma similar a Defender para punto de conexión en Linux, con eventos desde dentro del subsistema (archivo, proceso, red). Puede observar la actividad y las detecciones en la vista de escala de tiempo. Las alertas y los incidentes también se generan según corresponda.

Prueba del complemento

Para probar el complemento después de la instalación, siga estos pasos:

1. Abra terminal o símbolo del sistema. (En Windows, vaya a Inicio>Símbolo del sistema. O bien, haga clic con el botón derecho en el botón inicio y, a continuación, seleccione Terminal).

2. Ejecute el comando wsl.

3. Descargue y extraiga el archivo de script de https://aka.ms/LinuxDIY.

4. En el símbolo del sistema linux, ejecute el comando ./mde_linux_edr_diy.sh.

   Una alerta debe aparecer en el portal después de unos minutos para una detección en la instancia de WSL2.

   Nota:

   Los eventos tardan unos 5 minutos en aparecer en el portal de Microsoft Defender

Trate la máquina como si fuera un host de Linux normal en su entorno con el que realizar pruebas. En concreto, nos gustaría recibir sus comentarios sobre la capacidad de exponer comportamientos potencialmente malintencionados mediante el nuevo complemento.

Búsqueda avanzada de amenazas

En el esquema de búsqueda avanzada, en la DeviceInfo tabla, hay un nuevo atributo llamado HostDeviceId que puede usar para asignar una instancia de WSL a su dispositivo host de Windows. Estas son algunas consultas de búsqueda de ejemplo:

Obtención de todos los identificadores de dispositivo WSL para la organización o inquilino actual

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Obtención de identificadores de dispositivo WSL y sus identificadores de dispositivo host correspondientes

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Obtener una lista de identificadores de dispositivo WSL donde se ejecutó curl o wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Solución de problemas

1. El comando healthcheck.exe muestra la salida "Iniciar la distribución de WSL con el comando 'bash' y volver a intentarlo en 5 minutos".

   

2. Si se produce el error mencionado anteriormente, siga estos pasos:

   1. Abra una instancia de terminal y ejecute el comando wsl.

   2. Espere al menos 5 minutos antes de volver a ejecutar la comprobación de estado.

3. El healthcheck.exe comando podría mostrar la salida " Esperando telemetría. Vuelva a intentarlo en 5 minutos".

   

   Si se produce ese error, espere 5 minutos y vuelva a ejecutar healthcheck.exe.

4. Si no ve ningún dispositivo en el portal de Microsoft Defender o no ve ningún evento en la escala de tiempo, compruebe lo siguiente:

   • Si no ve un objeto de máquina, asegúrese de que ha transcurrido suficiente tiempo para completar la incorporación (normalmente hasta 10 minutos).

   • Asegúrese de usar los filtros adecuados y de que tiene asignados los permisos adecuados para ver todos los objetos de dispositivo. (Por ejemplo, ¿su cuenta o grupo está restringido a un grupo específico?)

   • Use la herramienta de comprobación de estado para proporcionar información general sobre el estado general del complemento. Abra Terminal y ejecute la healthcheck.exe herramienta desde %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

     

• Habilite la prueba de conectividad y compruebe la conectividad de Defender para punto de conexión en WSL. Si se produce un error en la prueba de conectividad, proporcione la salida de la herramienta de comprobación de estado a mdeforwsl-preview@microsoft.com.

5. En caso de que se enfrente a otros desafíos o problemas, abra el terminal y ejecute los siguientes comandos para generar la agrupación de soporte técnico:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   La agrupación de compatibilidad se puede encontrar en la ruta de acceso proporcionada por el comando anterior.

   

6. Microsoft Defender punto de conexión para WSL admite distribuciones de Linux que se ejecutan en WSL 2. Si están asociadas a WSL 1, es posible que encuentre problemas. Por lo tanto, se recomienda deshabilitar WSL 1. Para hacerlo con la directiva de Intune, siga estos pasos:

   1. Vaya al portal del centro de administración de Microsoft Intune.

   2. Vaya aPerfiles> de configuración de dispositivos>Create>Nueva directiva.

   3. Seleccione Windows 10 y elcatálogo de configuración posterior>.

   4. Create un nombre para el nuevo perfil y busque Subsistema de Windows para Linux para ver y agregar la lista completa de la configuración disponible.

   5. Establezca la opción Allow WSL1 (Permitir WSL1) en Disabled (Deshabilitado) para asegurarse de que solo se pueden usar distribuciones de WSL 2.

   Como alternativa, si desea seguir usando WSL 1 o no usar la directiva de Intune, puede asociar de forma selectiva las distribuciones instaladas para ejecutarlas en WSL 2 mediante la ejecución del comando en PowerShell:

   wsl --set-version <YourDistroName> 2
   

   Para tener WSL 2 como versión de WSL predeterminada para que se instalen nuevas distribuciones en el sistema, ejecute el siguiente comando en PowerShell:

   wsl --set-default-version 2
   

7. El complemento usa el anillo de Windows EDR de forma predeterminada. Si desea cambiar a un anillo anterior, establezca OverrideReleaseRing en una de las siguientes opciones en registro y reinicie wsl:

   • Nombre: OverrideReleaseRing
   • Tipo: REG_SZ
   • Valor: Dogfood or External or InsiderFast or Production
   • Ruta de acceso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL