Jaa

eBPF-pohjaisen tunnistimen käyttäminen Linux-Microsoft Defender for Endpoint varten

  • Artikkeli

Huomautus

Alkaen Defender for Endpoint linux-versiosta 101.2408.0000, AuditD:tä ei enää tueta täydentävänä tapahtuman tarjoajana. Katso lisätietoja tämän artikkelin lopussa olevista usein kysytyistä kysymyksistä.

Laajennettu Berkeley Packet Filter (eBPF) for Microsoft Defender for Endpoint on Linux tarjoaa lisätapahtumatietoja Linux-käyttöjärjestelmille. eBPF auttaa ratkaisemaan useita AuditD-tapahtuman tarjoajan ongelmia, ja se on hyödyllinen suorituskyvyn ja järjestelmän vakauden aloilla.

Tärkeimpiä etuja ovat seuraavat:

  • Järjestelmänlaajuisen auditointijärjestelmän aiheuttaman lokimelun vähentäminen
  • Optimoidut koko järjestelmän laajuiset tapahtumasäännöt aiheuttavat muuten ristiriitoja sovellusten välillä
  • Tiedoston tapahtumien (tiedoston luku/avaaminen) valvonnan kuormitus vähenee
  • Parannettu tapahtumanopeus ja pienennetty muistin käyttö
  • Optimoitu suorituskyky tiettyjä määrityksiä varten

Miten eBPF toimii

eBPF:n avulla AuditD-tapahtumatoimittajalta aiemmin saadut tapahtumat kulkevat nyt eBPF-tunnistimen kautta. Tämä auttaa järjestelmän vakauden kanssa, parantaa suoritinta ja muistin käyttöä ja vähentää levyn käyttöä. eBPF auttaa vähentämään sovellusten välisiä ristiriitoja, sillä mukautettuja sääntöjä ei tarvita. eBPF:ään liittyvät tiedot kirjataan tiedostoon /var/log/microsoft/mdatp/microsoft_defender_core.log.

Lisäksi eBPF-tunnistin käyttää Linux-ytimen ominaisuuksia ilman, että tarvitsee käyttää ydinmoduulia, joka parantaa järjestelmän vakautta.

Järjestelmän edellytykset

Linux-Microsoft Defender for Endpoint eBPF-tunnistinta tuetaan seuraavissa vähimmäisjakauma- ja ydinversioissa:

Linux-jakelu Jakeluversio Ytimen versio
Ubuntu 16.04 4.15.0
Huopahattu 33 5.8.15
Centos 7.6 3.10.0-957.10
SLES 15 5.3.18-18.47
RHEL 7.6 3.10.0-957.10
Debian 9.0 4.19.0
Oracle Linux RHCK 7.9 3.10.0-1160
Oracle Linux UEK 7.9 5.4
Amazon Linux 2 2 5.4.261-174.360
Rocky Linux 8 8.7 4.18.0-425
Rocky Linux 9 9.2 5.14.0-284
Alma Linux 8 8.4 4.18.0-305
Alma Linux 9 9.2 5.14.0-284

Huomautus

Oracle Linux 8.8 ydinversiolla 5.15.0-0.30.20.el8uek.x86_64, 5.15.0-0.30.20.1.el8uek.x86_64 aiheuttaa ydin jumiutumisen, kun eBPF on käytössä täydentävänä alijärjestelmän tarjoajana. Tätä ydinversiota ei saa käyttää eBPF-tilassa. Lisätietoja lievennysvaiheista on vianmääritys- ja diagnostiikkaosiossa.

eBPF:n käyttäminen

eBPF-tunnistin otetaan oletusarvoisesti automaattisesti käyttöön kaikille asiakkaille agenttiversioissa ja uudemmissa versioissa 101.23082.0006 . Asiakkaiden on päivitettävä tuettuun versioon, jotta ominaisuus on käytettävissä. Kun eBPF-tunnistin on otettu käyttöön päätepisteessä, Defender for Endpoint linuxissa päivittyy supplementary_events_subsystem ebpf:ksi.

ebpf-alijärjestelmän korostus mdatp-kuntokomennossa

Jos haluat poistaa eBPF:n manuaalisesti käytöstä, voit suorittaa seuraavan komennon:

sudo mdatp config ebpf-supplementary-event-provider --value [enabled/disabled]

Voit myös päivittää mdatp_managed.json-tiedoston:

{
    "features": {
        "ebpfSupplementaryEventProvider": "disabled"
    }
}

Katso yksityiskohtainen json-mallitiedosto linkistä – Määritä linux-Microsoft Defender for Endpoint asetukset.

Tärkeää

Jos poistat eBPF:n käytöstä tai jos eBPF:ää ei tueta missään tietyssä ytimessä, lisätapahtumatoimittaja vaihtaa Netlinkiin. Kaikki prosessitoiminnot toimivat saumattomasti, mutta saatat menettää tiettyjä tiedostoihin ja vastakkeisiin liittyviä tapahtumia, jotka eBPF muuten sieppaa.

Voit myös tarkistaa eBPF:n tilan (käytössä /poistettu käytöstä) Linux-päätepisteissä käyttämällä kehittynyttä metsästystä Microsoft Defender Portalissa. Vaiheet ovat seuraavat:

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Metsästys>Kehittynyt metsästys.

  3. Kehittyneen metsästyksen alla, mene Defenderin haavoittuvuuksien hallinta.

  4. Suorita seuraava kysely: DeviceTvmInfoGathering.

  5. Valitse tulosteen Lisäkentät-sarakkeestaNäytä lisää ja etsi sitten EBPF STATUS: true.

AuditD:n muuttumaton tila

Asiakkaille, jotka käyttävät AuditD-toimintoa muuttumattomaan tilaan, eBPF on käynnistettävä uudelleen, jotta Microsoft Defender for Endpoint lisäämät valvontasäännöt voidaan tyhjentää. Tämä vaatimus on AuditD:n muuttumattoman tilan rajoitus, joka lukitsee sääntötiedoston ja estää muokkaamisen/korvaamisen. Tämä ongelma on ratkaistu uudelleenkäynnistyksen yhteydessä.

Uudelleenkäynnistyksen jälkeen tarkista, tyhjennettiinkö valvontasäännöt suorittamalla seuraava komento:

% sudo auditctl -l

Edellisen komennon tuloste ei saa näyttää sääntöjä tai käyttäjän lisäämät säännöt. Jos sääntöjä ei poistettu, tyhjennä valvontasääntötiedosto seuraavasti:

  1. Vaihda ebpf-tilaan.
  2. Poista tiedosto /etc/audit/rules.d/mdatp.rules.
  3. Käynnistä kone uudelleen.

Vianmääritys ja diagnostiikka

Voit tarkistaa agentin kuntotilan suorittamalla kuntokomennon mdatp . Varmista, että Defender for Endpointin eBPF-tunnistinta Linuxissa tuetaan tarkistamalla nykyinen ydinversio seuraavalla komentorivillä:

uname -a

Tunnetut ongelmat

  1. eBPF:n käyttöönotto RHEL 8.1 -versiossa SAP:n avulla saattaa aiheuttaa ydinpaniikkia. Voit ratkaista tämän ongelman tekemällä jonkin seuraavista toimista:

    • Käytä distroversiota, joka on suurempi kuin RHEL 8.1.
    • Vaihda AuditD-tilaan, jos haluat käyttää RHEL 8.1 -versiota.

  2. Oracle Linux 8.8:n käyttäminen ytimen version 5.15.0 0.30.20.el8uek.x86_64 0.30.20.1.el8uek.x86_64 kanssa saattaa johtaa ytimen paniikkiin. Voit ratkaista tämän ongelman tekemällä jonkin seuraavista toimista:

    • Käytä Oracle Linux 8.8:ssa ydinversiota, joka on suurempi tai pienempi kuin 5.15.0-0.30.20.el8uek.x86_64, 5.15.0 0.30.20.1.el8uek.x86_64 , jos haluat käyttää eBPF:ää täydentävänä osajärjestelmän tarjoajana. Oracle Linuxin ydinversion vähimmäisversio on RHCK 3.10.0 ja Oracle Linux UEK on 5,4.
    • Vaihda AuditD-tilaan, jos haluat käyttää samaa ydinversiota
sudo mdatp config  ebpf-supplementary-event-provider  --value disabled

Seuraavat kaksi tietojoukkoa auttavat analysoimaan mahdollisia ongelmia ja määrittämään tehokkaimmat ratkaisuvaihtoehdot.

  1. Kerää diagnostiikkapaketti asiakasanalysointityökalusta seuraavien ohjeiden avulla: Microsoft Defender for Endpoint Linux-Microsoft Defender for Endpoint suorituskykyongelmien vianmääritys.

  2. Kerää virheenkorjausdiagnostiikkapaketti, kun Defender for Endpoint käyttää suuria resursseja, noudattamalla seuraavia ohjeita: Microsoft Defender for Endpoint Linux-resursseissa.

Suorituskykyongelmien vianmääritys

Jos resurssien kulutus Microsoft Defender päätepisteissäsi kasvaa, on tärkeää tunnistaa prosessi/käyttöönottopiste/tiedostot, jotka aiheuttavat suurimman osan suorittimen/muistin käytöstä. Voit sitten soveltaa tarvittavia poissulkemisia. Mahdollisten virustentorjuntapoikkeusten käyttöönoton jälkeen, jos wdavdaemon (pääprosessi) käyttää edelleen resursseja, käytä ebpf-statistics-komentoa saadaksesi järjestelmän parhaan kutsumäärän:

sudo mdatp diagnostic  ebpf-statistics

Output
Monitor 20 seconds
Top file paths:
/var/log/microsoft/mdatp/microsoft_defender.log : 10
/var/log/microsoft/mdatp/rotated/microsoft_defender.log00001 : 2
/var/log/microsoft/mdatp/rotated/microsoft_defender.log : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374993 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374991 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374989 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374987 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374985 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374983 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374981 : 1

Top initiator paths:
/usr/bin/stress-ng : 50000
/opt/microsoft/mdatp/sbin/wdavdaemon : 13

Top syscall ids:
82 : 1699333
90 : 10
87 : 3

Edellisessä tulosteessa näet, että stressi on tärkein prosessi, joka luo paljon tapahtumia ja saattaa aiheuttaa suorituskykyongelmia. Todennäköisesti stressi aiheuttaa järjestelmäpuhelun tunnuksella 82. Voit luoda Microsoftille palvelupyynnön, jos haluat, että tämä prosessi jätetään pois. Tulevaisuudessa osana tulevia parannuksia sinulla on enemmän kontrollia soveltaa tällaisia poissulkemisia lopussasi.

AuditD-toimintoon liittyviä poissulkemisia ei voi siirtää tai kopioida eBPF:ään. eBPF huolehtii jo sisäisesti yleisistä huolenaiheista, kuten meluisasta lokista, ydinpaniikista ja meluisasta syscallista. Jos haluat lisätä muita poissulkemisia, ota yhteyttä Microsoftiin saadaksesi tarvittavat poikkeukset käyttöön.

Usein kysytyt kysymykset – Siirtyminen eBPF:ään

1. Miksi kannattaa harkita siirtymistä eBPF:ään?

Laajennettu Berkeley Packet Filter (eBPF) for Microsoft Defender for Endpoint on Linux toimii tehokkaana vaihtoehtona AuditD:lle ja vastaa auditd-tapahtuman tarjoajaan liittyviin erilaisiin haasteisiin ja tarjoaa merkittäviä etuja suorituskyvyn ja järjestelmän vakauden suhteen. Tärkeimpiä etuja ovat muun muassa seuraavat:

  • Suorituskyky: eBPF parantaa suorituskykyä merkittävästi vähentämällä järjestelmäresurssien kuormituksia AuditD:hen verrattuna.

  • Resurssien tehokkuus: eBPF käyttää vähemmän resursseja, mikä auttaa säilyttämään järjestelmän vakauden raskaissakin kuormitusolosuhteissa.

  • Skaalautuvuus: eBPF:n arkkitehtuuri on skaalautuvampi, mikä tekee siitä paremman valinnan ympäristöissä, joissa on kasvavia tai monimutkaisia kuormituksia.

  • Moderni teknologia: eBPF edustaa modernia, tulevaisuuteen suuntautuvaa teknologiaa, joka vastaa Linux-ytimen tulevaa kehitystä ja varmistaa paremman pitkän aikavälin tuen.

2. Miten voin jatkaa auditoinnin käyttöä?

Jos haluat jatkaa AuditD:n käyttöä:

  • Tuetut versiot: Voit pysyä Defender for Endpointissa Linux-versiossa 101.24072.0000, joka tukee AuditD:tä koontiversion voimassaolon aikana, joka on noin yhdeksän kuukautta. Tämä tarjoaa riittävän siirtymäajan suunnitellaksesi siirtymistä eBPF:ään. Vanhentumispäivämäärä voidaan tarkistaa suorittamalla komento mdatp health Linux-palvelimessa.

  • Long-Term palvelupaketti: Vaikka koontiversiossa 101.24072.0000 pysyminen on vaihtoehtona, suosittelemme suunnittelemaan siirtymistä eBPF:ään tämän ajanjakson aikana, jotta voit varmistaa, että hyödyt uusimmista suojaus- ja suorituskykyparannuksista ja saat myös jatkuvaa tukea.

Suosituksenamme olisi kuitenkin suunnitella siirtymistä eBPF:n käyttämiseen ensisijaisena tapahtuman tarjoajana.

3. Mitä tapahtuu, jos eBPF:tä ei tueta joissakin tilanteissa?

Tapauksissa, joissa eBPF:tä ei tueta:

  • Netlink Fallback: Järjestelmä palautuu Netlink-tapahtumatoimittajan käyttöön. Vaikka Netlink jatkaa prosessitapahtumien (esimerkiksi , , execexit, forktai gidtid) sieppausta, se ei tue tiedostojärjestelmään liittyviä tapahtumia (esimerkiksi , rename, unlink) tai vastaketapahtumia.

  • Vaikutus: Kuormitukset eivät häiritse, mutta saatat menettää tiettyjä tiedostoihin ja vastakkeisiin liittyviä tapahtumia, jotka eBPF muuten tallentaisi.

4. Miten voin hallita poissulkemisia päivitetyillä versioilla?

Seuraavassa on joitakin yleisiä syitä sille, miksi AuditD:lle on asetettu poissulkemisia:

  • Suorituskyky, koska jokin syscall tai prosessi aiheuttaa paljon melua

  • Ytimen paniikki, on aikoja, jolloin monet syscallit erityisesti verkon / tiedostojärjestelmän kutsut johtivat ytimen paniikkiin.

  • Meluisat lokit, joissa valvontalokit käyttävät levytilaa. Asiakas asetti poikkeukset meluisiin prosesseihin lokin koon pienentämiseksi.

Kun kyseessä on eBPF, kaksi ensimmäistä käyttötapausta ovat siirron ehdokkaita. Lokit eivät ole enää eBPF-ongelma. Kahden ensimmäisen käyttötapauksen kohdalla voit valita seuraavista vaihtoehdoista:

  • Ota yhteyttä tukeen: Ota yhteyttä Microsoftiin, jos haluat soveltaa taustalta pois jätettyjä poissulkemisia.

  • Yleiset poikkeukset: Defender for Endpoint on Linuxin päivitetyissä versioissa poissulkemisia voidaan hallita globaaleilla poissulkemisilla. Yleiset poikkeukset koskevat sekä virustentorjuntaa että EDR:tä, ja ne voidaan määrittää tällä hetkellä hallitun json-ratkaisun kautta. Lisätietoja on ohjeaiheessa Linuxin Microsoft Defender for Endpointin poisjättöjen määrittäminen ja vahvistaminen.

5. Mitä pitäisi tehdä, jos ongelmia ilmenee?

  • Ota yhteyttä tukeen: Jos kohtaat ongelmia eBPF:ään siirtymisen aikana tai sen jälkeen, ota yhteyttä tekniseen tukeen. Olemme sitoutuneet varmistamaan sujuvan siirtymän ja olemme käytettävissä mahdollisten haasteiden ratkaisemiseksi.

  • Tukikanavat: Voit ottaa yhteyttä tukeen Microsoft Defender portaalin kautta. Lisäksi tietokanta ja yhteisön keskustelupalstat ovat arvokkaita resursseja yleisten ongelmien vianmääritykseen.

Tutustu myös seuraaviin ohjeartikkeleihin: