Microsoft Defender for Endpoint Linuxin uudet ominaisuudet

Tätä artikkelia päivitetään usein, jotta saat tietää, mitä uutta on Microsoft Defender for Endpoint Linuxin uusimmissa versioissa.

• Defender for Endpointin macOS:n uudet ominaisuudet
• IOS:n Defender for Endpointin uudet ominaisuudet

Tärkeää

Versiosta 101.2408.0004alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd . Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan. Tämä muutos parantaa suorituskykyä, vähentää resurssien kulutusta ja parantaa vakautta yleisesti. eBPF-tuki on ollut saatavilla elokuusta 2023 lähtien, ja se on täysin integroitu kaikkiin Defender for Endpointin päivityksiin Linuxissa (versio ja uudemmat 101.23082.0006 ). Suosittelemme ottamaan eBPF-koontiversion käyttöön, sillä se tarjoaa merkittäviä parannuksia auditointiin nähden. Jos eBPF:tä ei tueta koneissasi tai jos auditoinnissa on tiettyjä vaatimuksia, sinulla on seuraavat vaihtoehdot:

1. Jatka Defender for Endpointin käyttöä Linux-koontiversiossa 101.24072.0000 Auditd-kohteella. Tätä koontiversiota tuetaan edelleen useita kuukausia, joten sinulla on aikaa suunnitella ja suorittaa siirtyminen eBPF:ään.

2. Jos käytössäsi on versioita, jotka ovat uudempia kuin 101.24072.0000, Defender for Endpoint on Linux käyttää sitä netlink täydentävänä varmuuskopiointitapahtumapalveluna. Varatoiminnon ilmetessä kaikki prosessitoiminnot jatkavat työnkulkua saumattomasti.

Tarkista nykyinen Defender for Endpoint Linux-käyttöönotosta ja aloita siirron suunnittelu eBPF:n tukemaan koontiversioon. Lisätietoja eBPF:stä ja sen toiminnasta on kohdassa eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa.

Jos sinulla on ongelmia tai tarvitset apua tämän siirtymän aikana, ota yhteyttä tukeen.

Lokakuu-2024 (koontiversio: 101.24082.0004 | Julkaisuversio: 30.124082.0004.0)

Syyskuun 2024 koontiversio: 101.24082.0004 | Julkaisuversio: 30.124082.0004.0

 Julkaistu: 15. lokakuuta 2024
 Julkaistu: 15. lokakuuta 2024
 Koontiversio: 101.24082.0004
 Julkaisuversio: 30.124082.0004
 Moduulin versio: 1.1.24080.9
 Allekirjoituksen versio: 1.417.659.0

Uudet ominaisuudet

• Kun tämä versio käynnistetään, Defender for Endpoint on Linux ei enää tue AuditD täydentävänä tapahtumapalveluna. Olemme siirtyneet eBPF:ään koko ajan vakauden ja suorituskyvyn parantamiseksi. Jos poistat eBPF:n käytöstä tai jos eBPF:ää ei tueta missään tietyssä ytimessä, Linuxin Defender for Endpoint siirtyy automaattisesti takaisin Netlinkiin varatapahtumapalveluna. Netlink tarjoaa rajoitettuja toimintoja ja seuraa vain prosessiin liittyviä tapahtumia. Tässä tapauksessa kaikki prosessitoiminnot toimivat saumattomasti, mutta saatat menettää tiettyjä tiedostoihin ja vastakkeisiin liittyviä tapahtumia, jotka eBPF muuten tallentaisi. Lisätietoja on kohdassa eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa. Jos sinulla on ongelmia tai tarvitset apua tämän siirtymän aikana, ota yhteyttä tukeen.
• Vakauden ja suorituskyvyn parannukset
• Muita virheenkorjauksia

Syyskuu 2024 (koontiversio: 101.24072.0001 | Julkaisuversio: 30.124072.0001.0)

Syyskuun 2024 koontiversio: 101.24072.0001 | Julkaisuversio: 30.124072.0001.0

 Julkaistu: 23. syyskuuta 2024
 Julkaistu: 23. syyskuuta 2024
 Koontiversio: 101.24072.0001
 Julkaisuversio: 30.124072.0001.0
 Moduulin versio: 1.1.24060.6
 Allekirjoituksen versio: 1.415.228.0

Uudet ominaisuudet

• Lisätty tuki Ubuntu 24.04:lle
• Päivitetty oletusmoduulin versioksi 1.1.24060.6 ja oletusarvon mukaiseksi allekirjoitusversioksi 1.415.228.0.

Heinäkuu-2024 (koontiversio: 101.24062.0001 | Julkaisuversio: 30.124062.0001.0)

Heinäkuun 2024 koontiversio: 101.24062.0001 | Julkaisuversio: 30.124062.0001.0

 Julkaistu: 31. heinäkuuta 2024
 Julkaistu: 31. heinäkuuta 2024
 Koontiversio: 101.24062.0001
 Julkaisuversio: 30.124062.0001.0
 Moduulin versio: 1.1.24050.7
 Allekirjoituksen versio: 1.411.410.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia.

• Korjaa virheen, jossa tartunnan saaneet komentorivin uhkatiedot eivät näkyneet oikein tietoturvaportaalissa.
• Korjaa virheen, jossa esikatselutoiminnon poistaminen käytöstä vaati Defender of Endpointin poistamaan sen käytöstä.
• Yleiset poikkeukset -ominaisuus, joka käyttää hallittua JSON:ia, on nyt julkisessa esikatselussa. saatavilla insider-yksissä hitaasti 101.23092.0012. Lisätietoja on kohdassa Linux-poissulkemiset.
• Linux-oletusmoduulin versio päivitettiin versioksi 1.1.24050.7 ja sigs-oletusversioksi 1.411.410.0.
• Vakauden ja suorituskyvyn parannuksia.
• Muita virheenkorjauksia.

Kesäkuu-2024 (koontiversio: 101.24052.0002 | Julkaisuversio: 30.124052.0002.0)

Kesäkuun 2024 koontiversio: 101.24052.0002 | Julkaisuversio: 30.124052.0002.0

 Julkaistu: 24. kesäkuuta 2024
 Julkaistu: 24. kesäkuuta 2024
 Koontiversio: 101.24052.0002
 Julkaisuversio: 30.124052.0002.0
 Moduulin versio: 1.1.24040.2
 Allekirjoituksen versio: 1.411.153.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia.

• Tämä versio korjaa virheen, joka liittyy korkeaan muistin käyttöön, mikä johtaa lopulta korkeaan suoritintasoon eBPF-muistivuodon vuoksi ydintilassa, minkä vuoksi palvelimet siirtyvät käyttökelvmättömiin tilaan. Tämä vaikutti vain ytimen versioihin 3.10x ja <= 4.16x, pääasiassa RHEL/CentOS-distroihin. Päivitä uusimpaan MDE versioon, jotta ne eivät vaikuta niihin.
• Olemme nyt yksinkertaistaneet mdatp health --detail features
• Vakauden ja suorituskyvyn parannuksia.
• Muita virheenkorjauksia.

Touko-2024 (koontiversio: 101.24042.0002 | Julkaisuversio: 30.124042.0002.0)

Touko-2024 koontiversio: 101.24042.0002 | Julkaisuversio: 30.124042.0002.0

 Julkaistu: 29. toukokuuta 2024
 Julkaistu: 29. toukokuuta 2024
 Koontiversio: 101.24042.0002
 Julkaisuversio: 30.124042.0002.0
 Moduulin versio: 1.1.24030.4
 Allekirjoituksen versio: 1.407.521.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia:

• Versiossa 24032.0007 oli tunnettu ongelma, jossa laitteiden rekisteröinti suojauksen hallintaan MDE epäonnistui käytettäessä "Device Tagging" -mekanismia mdatp_managed.json-tiedoston kautta. Tämä ongelma on ratkaistu nykyisessä versiossa.
• Vakauden ja suorituskyvyn parannuksia.
• Muita virheenkorjauksia.

Toukokuu –2024 (koontiversio: 101.24032.0007 | Julkaisuversio: 30.124032.0007.0)

Touko-2024 koontiversio: 101.24032.0007 | Julkaisuversio: 30.124032.0007.0

 Julkaistu: 15.5.2024
 Julkaistu: 15. toukokuuta 2024
 Koontiversio: 101.24032.0007
 Julkaisuversio: 30.124032.0007.0
 Moduulin versio: 1.1.24020.3
 Allekirjoituksen versio: 1.403.3500.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia:

• Passiivisissa ja pyydettäessä suoritettavassa tilassa virustentorjuntaohjelma pysyy käyttämättömänä, ja sitä käytetään vain ajoitettujen mukautettujen tarkistusten aikana. Osana suorituskyvyn parannuksia olemme siis tehneet muutoksia pitääksemme AV-moduulin passiivisessa ja pyydettäessä-tilassa lukuun ottamatta ajoitettuja mukautettuja skannauksia. Jos reaaliaikainen suojaus on käytössä, virustentorjuntaohjelma on aina toiminnassa. Tämä ei vaikuta palvelimen suojaukseen missään tilassa.

  Jotta käyttäjät pysyvät ajan tasalla virustentorjuntaohjelman tilasta, olemme ottaneet käyttöön uuden kentän nimeltä "engine_load_status" osana MDATP-kuntoa. Se ilmaisee, onko virustentorjuntaohjelma käynnissä vai ei.

  Field name	engine_load_status
  Mahdolliset arvot	Moduulia ei ole ladattu (AV-moduuliprosessi on alhaalla), moduulin lataus onnistui (AV-moduuliprosessi käynnissä)

  Terveet skenaariot:

  • Jos RTP on käytössä, engine_load_status pitäisi olla "Moduulin lataus onnistui"
  • Jos MDE on pyydettäessä tai passiivisessa tilassa eikä mukautettua tarkistusta suoriteta, engine_load_status on oltava "Moduuli ei ole ladattu"
  • Jos MDE on pyydettäessä tai passiivisessa tilassa ja mukautettu tarkistus on käynnissä, engine_load_status on oltava "Moduulin lataus onnistui"

• Virheenkorjaus käyttäytymistunnistusten parantamiseksi.

• Vakauden ja suorituskyvyn parannuksia.

• Muita virheenkorjauksia.

Tunnetut ongelmat

• On tunnettu ongelma, jossa laitteiden rekisteröinti suojauksen hallinnan MDE "Device Tagging" -mekanismin avulla mdatp_managed.json avulla epäonnistuu 24032.0007: ssä. Voit ratkaista tämän ongelman merkitsemalla laitteet seuraavalla mdatp CLI -komennolla:

  sudo mdatp edr tag set --name GROUP --value MDE-Management
  

  Ongelma on korjattu koontiversiossa 101.24042.0002

Maaliskuu 2024 (koontiversio: 101.24022.0001 | Julkaisuversio: 30.124022.0001.0)

Maaliskuun 2024 koontiversio: 101.24022.0001 | Julkaisuversio: 30.124022.0001.0

 Julkaistu: 22.3.2024
 Julkaistu: 22.3.2024
 Koontiversio: 101.24022.0001
 Julkaisuversio: 30.124022.0001.0
 Moduulin versio: 1.1.23110.4
 Allekirjoituksen versio: 1.403.87.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia:

• Uuden lokitiedoston lisääminen - microsoft_defender_scan_skip.log. Tämä kirjaa tiedostonimet, jotka Microsoft Defender for Endpoint ohitti eri virustentorjuntatarkisuksista mistä tahansa syystä.
• Vakauden ja suorituskyvyn parannuksia.
• Korjauksia.

Maaliskuu-2024 (koontiversio: 101.24012.0001 | Julkaisuversio: 30.124012.0001.0)

Maaliskuun 2024 koontiversio: 101.24012.0001 | Julkaisuversio: 30.124012.0001.0

 Julkaistu: 12.3.2024
 Julkaistu: 12.3.2024
 Koontiversio: 101.24012.0001
 Julkaisuversio: 30.124012.0001.0
 Moduulin versio: 1.1.23110.4
 Allekirjoituksen versio: 1.403.87.0

Mitä uutta Tässä versiossa on useita korjauksia ja uusia muutoksia:

• Moduulin oletusversioksi 1.1.23110.4on päivitetty ja allekirjoitusten oletusversioksi 1.403.87.0.
• Vakauden ja suorituskyvyn parannuksia.
• Korjauksia.

Helmikuu-2024 (koontiversio: 101.23122.0002 | Julkaisuversio: 30.123122.0002.0)

Helmikuun 2024 koontiversio: 101.23122.0002 | Julkaisuversio: 30.123122.0002.0

 Julkaistu: 5.2.2024
 Julkaistu: 5.2.2024
 Koontiversio: 101.23122.0002
 Julkaisuversio: 30.123122.0002.0
 Moduulin versio: 1.1.23100.2010
 Allekirjoitusversio: 1.399.1389.0

Mitä uutta Tässä versiossa on useita korjauksia ja uusia muutoksia:

• Moduulin oletusversioksi 1.1.23100.2010on päivitetty ja allekirjoitusten oletusversioksi 1.399.1389.0.

• Yleiset vakauden ja suorituskyvyn parannukset.

• Korjauksia.

• Microsoft Defender for Endpoint Linuxissa tukee nyt virallisesti seuraavia esittelyjä ja versioita:

  Distro & versio	Sormus	Paketti
  Mariner 2	Tuotanto	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  Rocky 8.7 ja uudempi	Insider-sisäpiirin hitaita	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  Rocky 9.2 ja uudempi	Insider-sisäpiirin hitaita	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  Alma 8.4 ja uudemmat	Insider-sisäpiirin hitaita	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  Alma 9.2 ja uudemmat	Insider-sisäpiirin hitaita	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

Jos sinulla on jo Defender for Endpoint käynnissä jossakin näistä distroista ja kohtaat ongelmia vanhemmissa versioissa, päivitä uusimpaan Defender for Endpoint -versioon yllä mainitusta vastaavasta kehästä. Lisätietoja on julkisissa käyttöönottodokumenteissa .

Huomautus

Tunnetut ongelmat:

Microsoft Defender for Endpoint Linuxille Rockyssa ja Almassa on tällä hetkellä seuraavat tunnetut ongelmat:

• Reaaliaikaista vastausten ja uhkien haavoittuvuuden hallintaa ei tällä hetkellä tueta (työ on käynnissä).
• Laitteiden käyttöjärjestelmätiedot eivät näy Microsoft Defender portaalissa

Tammikuu–2024 (koontiversio: 101.23112.0009 | Julkaisuversio: 30.123112.0009.0)

Tammikuun 2024 koontiversio: 101.23112.0009 | Julkaisuversio: 30.123112.0009.0

 Julkaistu: 29.1.2024
 Julkaistu: 29. tammikuuta 2024
 Koontiversio: 101.23112.0009
 Julkaisuversio: 30.123112.0009.0
 Moduulin versio: 1.1.23100.2010
 Allekirjoitusversio: 1.399.1389.0

Uudet ominaisuudet

• Moduulin oletusversioksi 1.1.23110.4on päivitetty ja allekirjoitusten oletusversioksi 1.403.1579.0.
• Yleiset vakauden ja suorituskyvyn parannukset.
• Virheenkorjaus toiminnan valvonnan määrityksiä varten.
• Korjauksia.

Marraskuu–2023 (koontiversio: 101.23102.0003 | Julkaisuversio: 30.123102.0003.0)

Marraskuun 2023 koontiversio: 101.23102.0003 | Julkaisuversio: 30.123102.0003.0

 Julkaistu: 28.11.2023
 Julkaistu: 28.11.2023
 Koontiversio: 101.23102.0003
 Julkaisuversio: 30.123102.0003.0
 Moduulin versio: 1.1.23090.2008
 Allekirjoituksen versio: 1.399.690.0

Uudet ominaisuudet

• Moduulin oletusversioksi 1.1.23090.2008on päivitetty ja allekirjoitusten oletusversioksi 1.399.690.0.
• Libcurl-kirjasto päivitettiin versioksi 8.4.0 , jotta äskettäin paljastetut haavoittuvuudet korjattiin vanhemmalla versiolla.
• Updated Openssl-kirjasto versioon 3.1.1 , joka korjaa viimeksi paljastuneet haavoittuvuudet vanhemmalla versiolla.
• Yleiset vakauden ja suorituskyvyn parannukset.
• Korjauksia.

Marraskuu–2023 (koontiversio: 101.23092.0012 | Julkaisuversio: 30.123092.0012.0)

Marraskuun 2023 koontiversio: 101.23092.0012 | Julkaisuversio: 30.123092.0012.0

 Julkaistu: 14.11.2023
 Julkaistu: 14.11.2023
 Koontiversio: 101.23092.0012
 Julkaisuversio: 30.123092.0012.0
 Moduulin versio: 1.1.23080.2007
 Allekirjoituksen versio: 1.395.1560.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia:

• Tuki lisättiin uhan palauttamiseksi alkuperäisen polun perusteella seuraavan komennon avulla:

sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]

• Tästä versiosta alkaen Microsoft Defender for Endpoint Linuxissa ei enää toimita ratkaisua RHEL 6:lle.

  RHEL 6 "Elinkaaren laajennetun tuen" on valmis päättymään 30.6.2024 mennessä, ja asiakkaita kehotetaan suunnittelemaan RHEL-päivityksensä red hatin ohjeiden mukaisesti. Asiakkaat, joiden on suoritettava Defender for Endpoint RHEL 6 -palvelimilla, voivat edelleen hyödyntää versiota 101.23082.0011 (ei vanhene ennen 30.6.2024), jota tuetaan ytimen versioissa 2.6.32-754.49.1.el6.x86_64 tai sitä aiemmissa versioissa.

  • Engine Update to and 1.1.23080.2007 Signatures Ver: 1.395.1560.0.
  • Virtaviivaistettu laiteyhteyskokemus on nyt julkisessa esikatselutilassa. julkinen blogi
  • Suorituskyvyn parannuksia & virheenkorjauksia.

Tunnetut ongelmat

• Suorittimen lukitus ytimen versiossa 5.15.0-0.30.20 ebpf-tilassa, katso lisätietoja ja lievennysvaihtoehtoja artikkelista eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa.

Marraskuu–2023 (koontiversio: 101.23082.0011 | Julkaisuversio: 30.123082.0011.0)

Marraskuun 2023 koontiversio: 101.23082.0011 | Julkaisuversio: 30.123082.0011.0

 Julkaistu: 1.11.2023
 Julkaistu: 1.11.2023
 Koontiversio: 101.23082.0011
 Julkaisuversio: 30.123082.0011.0
 Moduulin versio: 1.1.23070.1002
 Allekirjoituksen versio: 1.393.1305.0

Mitä uutta Tämä uusi julkaisu on koontiversio lokakuun 2023 julkaisusta ('101.23082.0009'), joka sisältää myös seuraavat muutokset. Muut asiakkaat eivät muutu, ja päivittäminen on valinnaista.

Korjattu muuttumaton valvontatapa, kun täydentävä alijärjestelmä on ebpf: Ebpf-tilassa kaikki mdatp-valvontasäännöt olisi puhdistettava, kun siirrytään ebpf-tilaan ja käynnistetään uudelleen. Uudelleenkäynnistyksen jälkeen mdatp-valvontasääntöjä ei puhdistettu, minkä vuoksi se aiheutti palvelimen jumiutumisen. Korjaus puhdistaa nämä säännöt. Käyttäjän ei pitäisi nähdä uudelleenkäynnistykseen ladattuja mdatp-sääntöjä

Korjattu ongelma MDE ettei käynnisty RHEL 6:ssa.

Tunnetut ongelmat

Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja taustalla olevasta ongelmasta on kohdassa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Lokakuu-2023 (koontiversio: 101.23082.0009 | Julkaisuversio: 30.123082.0009.0)

Lokakuun 2023 koontiversio: 101.23082.0009 | Julkaisuversio: 30.123082.0009.0

 Julkaistu: 9.10.2023
 Julkaistu: 9.10.2023
 Koontiversio: 101.23082.0009
 Julkaisuversio: 30.123082.0009.0
 Moduulin versio: 1.1.23070.1002
 Allekirjoituksen versio: 1.393.1305.0

Uudet ominaisuudet

• Tämä uusi julkaisu on koontiversio lokakuun 2023 julkaisusta ('101.23082.0009') sekä uusia varmenteiden myöntäjän varmenteita. Muut asiakkaat eivät muutu, ja päivittäminen on valinnaista.

Tunnetut ongelmat

Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja taustalla olevasta ongelmasta on kohdassa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Lokakuu-2023 (koontiversio: 101.23082.0006 | Julkaisuversio: 30.123082.0006.0)

Lokakuun 2023 koontiversio: 101.23082.0006 | Julkaisuversio: 30.123082.0006.0

 Julkaistu: 9.10.2023
 Julkaistu: 9.10.2023
 Koontiversio: 101.23082.0006
 Julkaisuversio: 30.123082.0006.0
 Moduulin versio: 1.1.23070.1002
 Allekirjoituksen versio: 1.393.1305.0

Uudet ominaisuudet

• Ominaisuuspäivitykset ja uudet muutokset

  • eBPF-tunnistin on nyt päätepisteiden oletusarvoinen täydentävä tapahtumatoimittaja
  • Microsoft Intune vuokraajan liittämisominaisuus on julkisessa esikatselussa (heinäkuun puolivälistä lähtien)
    • Sinun on lisättävä "*.dm.microsoft.com" palomuurin poissulkemisiin, jotta ominaisuus toimisi oikein
  • Defender for Endpoint on nyt saatavilla Debian 12:lle ja Amazon Linux 2023:lle
  • Tuki ladatuille päivityksille allekirjoituksen tarkistuksen mahdollistamiseksi

    • Huomaa, että sinun on päivitettävä manajed.json alla kuvatulla tavalla

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • Ominaisuuden käyttöönoton edellytys

      • Laitteen moduuliversion on oltava 1.1.23080.007 tai uudempi. Tarkista moduulin versio käyttämällä seuraavaa komentoa. mdatp health --field engine_version
  • Mahdollisuus tukea NFS- ja FUSE-käyttöönottopisteiden seurantaa. Nämä ohitetaan oletusarvoisesti. Seuraavassa esimerkissä näytetään, miten voit valvoa kaikkia tiedostojärjestelmiä ohittamatta vain NFS:ää:

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  Esimerkki, joka valvoo kaikkia tiedostojärjestelmiä, mukaan lukien NFS ja FUSE:

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • Muita suorituskyvyn parannuksia
  • Korjauksia

Tunnetut ongelmat

• Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja taustalla olevasta ongelmasta on kohdassa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi. Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Syyskuu-2023 (koontiversio: 101.23072.0021 | Julkaisuversio: 30.123072.0021.0)

Syyskuun 2023 koontiversio: 101.23072.0021 | Julkaisuversio: 30.123072.0021.0

 Julkaistu: 11.9.2023
 Julkaistu: 11.9.2023
 Koontiversio: 101.23072.0021
 Julkaisuversio: 30.123072.0021.0
 Moduulin versio: 1.1.20100.7
 Allekirjoitusversio: 1.385.1648.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia
  • mde_installer.sh v0.6.3:ssa käyttäjät voivat argumentin avulla --channel tarjota määritetyn säilön kanavan puhdistamisen aikana. Esimerkiksi sudo ./mde_installer --clean --channel prod
  • Järjestelmänvalvojat voivat nyt palauttaa verkkolaajennuksen -toiminnolla.mdatp network-protection reset
  • Muita suorituskyvyn parannuksia
  • Korjauksia

Tunnetut ongelmat

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Heinäkuu-2023 (koontiversio: 101.23062.0010 | Julkaisuversio: 30.123062.0010.0)

Heinäkuun 2023 koontiversio: 101.23062.0010 | Julkaisuversio: 30.123062.0010.0

 Julkaistu: 26.7.2023
 Julkaistu: 26.7.2023
 Koontiversio: 101.23062.0010
 Julkaisuversio: 30.123062.0010.0
 Moduulin versio: 1.1.20100.7
 Allekirjoitusversio: 1.385.1648.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia

  • Jos Defender for Endpointille on määritetty välityspalvelin, se näkyy komennossa mdatp health
  • Tämän version avulla tarjosimme kaksi vaihtoehtoa mdatp-diagnostiikan hot-event-sources-lähteissä:
    1. Tiedostot
    2. Suoritettavat tiedostot
  • Verkon suojaus: Connections, jotka verkon suojaus on estänyt ja joiden estäminen on käyttäjien ohittama, raportoidaan nyt oikein Microsoft Defender XDR
  • Parannetut kirjautumiset verkon suojauksen estossa ja virheenkorjauksen valvontatapahtumat

• Muut korjaukset ja parannukset

  • Tästä versiosta enforcementLevel on oletusarvoisesti passiivisessa tilassa, mikä antaa järjestelmänvalvojille enemmän valtaa siihen, missä he haluavat RTP:n kiinteistössään
  • Tämä muutos koskee vain uusia MDE käyttöönottoja, esimerkiksi palvelimia, joissa Defender for Endpoint otetaan käyttöön ensimmäistä kertaa. Päivitystilanteissa palvelimet, joissa Defender for Endpoint on otettu käyttöön RTP ON:n kanssa, jatkavat RTP ON:n käyttöä myös version 101.23062.0010 päivityksen jälkeen

• Korjauksia

  • RPM-tietokannan vioittumiseen liittyvä ongelma Defenderin haavoittuvuuksien hallinta perusaikataulussa on korjattu

• Muita suorituskyvyn parannuksia

Tunnetut ongelmat

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Heinäkuu-2023 (koontiversio: 101.23052.0009 | Julkaisuversio: 30.123052.0009.0)

Heinäkuun 2023 koontiversio: 101.23052.0009 | Julkaisuversio: 30.123052.0009.0

 Julkaistu: 10.7.2023
 Julkaistu: 10.7.2023
 Koontiversio: 101.23052.0009
 Julkaisuversio: 30.123052.0009.0
 Moduulin versio: 1.1.20100.7
 Allekirjoitusversio: 1.385.1648.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia – Koontiversiorakenne päivitetään tästä julkaisusta. Vaikka pääversion numero pysyy samana kuin 101, aliversionumerossa on nyt viisi numeroa ja sen jälkeen nelinumeroinen korjaustiedoston numero, 101.xxxxx.yyy eli - parannettu verkon suojauksen muistin kulutus stressin alla
  • Moduulin versioksi 1.1.20300.5 on päivitetty ja allekirjoitusversioksi 1.391.2837.0.
  • Korjauksia.

Tunnetut ongelmat

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kesäkuu-2023 (koontiversio: 101.98.89 | Julkaisuversio: 30.123042.19889.0)

Kesäkuun 2023 koontiversio: 101.98.89 | Julkaisuversio: 30.123042.19889.0

 Julkaistu: 12.6.2023
 Julkaistu: 12. kesäkuuta 2023
 Koontiversio: 101.98.89
 Julkaisuversio: 30.123042.19889.0
 Moduulin versio: 1.1.20100.7
 Allekirjoitusversio: 1.385.1648.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia
  • Parannettu verkon suojauksen välityspalvelimen käsittely.
  • Passiivitilassa Defender for Endpoint ei enää tarkista, kun määritelmän päivitys tapahtuu.
  • Laitteet ovat edelleen suojattuja myös Defender for Endpoint -agentin vanhentumisen jälkeen. Suosittelemme, että päivität Defender for Endpoint Linux -agentin uusimpaan saatavilla olevaan versioon, jotta saat ohjelmavirhekorjauksia, ominaisuuksia ja suorituskyvyn parannuksia.
  • Poistettu semanage-paketin riippuvuus.
  • Engine Update to and 1.1.20100.7 Signatures Ver: 1.385.1648.0.
  • Korjauksia.

Tunnetut ongelmat

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Touko-2023 (koontiversio: 101.98.64 | Julkaisuversio: 30.123032.19864.0)

Touko-2023 koontiversio: 101.98.64 | Julkaisuversio: 30.123032.19864.0

 Julkaistu: 3.5.2023
 Julkaistu: 3. toukokuuta 2023
 Koontiversio: 101.98.64
 Julkaisuversio: 30.123032.19864.0
 Moduulin versio: 1.1.20100.6
 Allekirjoitusversio: 1.385.68.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia
  • Kuntoviestin parannukset, joiden avulla voit tallentaa tietoja valvotuista virheistä.
  • Parannuksia augenrules-käsittelyn käsittelyyn, mikä aiheutti asennusvirheen.
  • Jaksottainen muistin puhdistus moduuliprosessissa.
  • Korjattu muistiongelma mdatp audisp -laajennuksessa.
  • Laajennuksen hakemistopolku käsiteltiin asennuksen aikana.
  • Kun ristiriitainen sovellus käyttää estävää fanotify-toimintoa, määritysten mdatp-oletuskunto näyttää virheellisen. Tämä on nyt korjattu.
  • Tuki BM:n ICMP-liikennetarkastuksille.
  • Engine Update to and 1.1.20100.6 Signatures Ver: 1.385.68.0.
  • Korjauksia.

Tunnetut ongelmat

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Huhtikuu-2023 (koontiversio: 101.98.58 | Julkaisuversio: 30.123022.19858.0)

Huhtikuun 2023 koontiversio: 101.98.58 | Julkaisuversio: 30.123022.19858.0

 Julkaistu: 20.4.2023
 Julkaistu: 20. huhtikuuta 2023
 Koontiversio: 101.98.58
 Julkaisuversio: 30.123022.19858.0
 Moduulin versio: 1.1.20000.2
 Allekirjoituksen versio: 1.381.3067.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia
  • Valvotun kirjaamisen ja virheraportoinnin parannukset.
  • Käsittele virhe valvotun määrityksen uudelleenlataamisessa.
  • Tyhjien valvottujen sääntötiedostojen käsittely MDE asennuksen aikana.
  • Engine Update to and 1.1.20000.2 Signatures Ver: 1.381.3067.0.
  • Korjattu mdatp:n terveysongelma, joka johtuu selinux-kieltämisestä.
  • Korjauksia.

Tunnetut ongelmat

• Kun päivität mdatp:n versioon tai uudempaan 101.94.13 , saatat huomata, että kunto on epätosi ja health_issues "ei aktiivista lisätapahtumien tarjoajaa". Tämä voi johtua aiemmin luotujen koneiden virheellisesti määritetyistä tai ristiriitaisia valvontasäännöistä. Ongelman lieventämiseksi on korjattava olemassa olevien koneiden valvotut säännöt. Seuraavat komennot voivat auttaa sinua tunnistamaan tällaiset valvotut säännöt (komennot on suoritettava superkäyttäjänä). Varmuuskopioi seuraava tiedosto: /etc/audit/rules.d/audit.rules, koska näillä vaiheilla tunnistetaan vain virheitä.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Mdatp-versiosta 101.75.43 tai 101.78.13-versiosta päivitettäessä saattaa ilmetä ydin jumiutumista. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Voit ratkaista tämän päivitysongelman kahdella tavalla:

1. Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

2. Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Maaliskuu 2023 (koontiversio: 101.98.30 | Julkaisuversio: 30.123012.19830.0)

Maaliskuun 2023 koontiversio: 101.98.30 | Julkaisuversio: 30.123012.19830.0

 Julkaistu: maaliskuu , 20,2023
 Julkaistu: 20. maaliskuuta 2023
 Koontiversio: 101.98.30
 Julkaisuversio: 30.123012.19830.0
 Moduulin versio: 1.1.19900.2
 Allekirjoitusversio: 1.379.1299.0
Uudet ominaisuudet

• Tämä uusi julkaisu on koontiversio maaliskuun 2023 julkaisusta ('101.98.05''), jossa on korjaus live-vastauskomentoihin, jotka epäonnistuvat yhdelle asiakkaistamme. Muut asiakkaat eivät muutu, ja päivitys on valinnainen.

Tunnetut ongelmat

• Mdatp-versiossa 101.98.30 saattaa joissakin tapauksissa näkyä epätosi kunnon ongelma, koska SELinux-sääntöjä ei ole määritetty tietyissä skenaarioissa. Terveysvaroitus voi näyttää suunnilleen tältä:

löysi SELinux-hylkäykset viimeisen päivän aikana. Jos MDATP on asennettu äskettäin, tyhjennä olemassa olevat valvontalokit tai odota päivän ajan, jotta tämä ongelma voidaan palauttaa automaattisesti. Käytä komentoa: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep " denied" löytää tietoja

Ongelma voidaan ratkaista suorittamalla seuraavat komennot.

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

Tässä mdatpaudisppl_v1 edustaa käytäntömoduulin nimeä. Odota komentojen suorittamisen jälkeen joko 24 tuntia tai tyhjennä/arkistoi valvontalokit. Valvontalokit voidaan arkistoida suorittamalla seuraava komento

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

Jos ongelma tulee uudelleen näkyviin, siinä on joitakin erilaisia kieltoja. Meidän on suoritettava lievennys uudelleen eri moduulin nimellä (esimerkiksi my-mdatpaudisppl_v2).

Maaliskuu 2023 (koontiversio: 101.98.05 | Julkaisuversio: 30.123012.19805.0)

Maaliskuu 2023 (koontiversio: 101.98.05 | Julkaisuversio: 30.123012.19805.0)

 Julkaistu: maaliskuu , 08,2023
 Julkaistu: 08. maaliskuuta 2023
 Koontiversio: 101.98.05
 Julkaisuversio: 30.123012.19805.0
 Moduulin versio: 1.1.19900.2
 Allekirjoitusversio: 1.379.1299.0

Uudet ominaisuudet

Tässä versiossa on useita korjauksia ja uusia muutoksia.

• Parannettu tietojen täydellisyys verkkoyhteyden tapahtumissa
• Parannetut tiedonkeruuominaisuudet tiedostojen omistajuus- ja käyttöoikeusmuutoksia varten
• seManage osassa pakettia, että seLinux käytännöt voidaan määrittää eri distro (kiinteä).
• Parannettu yritysohjelman vakautta
• AuditD-pysäytyspolun puhdistus
• Mdatp-pysäytystyönkulun vakautta on parannettu.
• Lisätty uusi kenttä wdavstate-kohteeseen, jotta voit seurata käyttöympäristön päivitysaikaa.
• Vakauden parannuksia Defender for Endpointin käyttöönoton blob-objektiin jäsennykseen.
• Tarkistus ei etene, jos kelvollista käyttöoikeutta ei ole (kiinteä)
• Lisätty suorituskyvyn jäljitysvaihtoehto xPlatClientAnalyzeriin, ja jäljitys käytössä oleva mdatp-prosessi vetäisi työnkulun all_process.zip tiedostoon, jota voidaan käyttää suorituskykyongelmien analysointiin.
• Lisätty tuki Defenderin päätepisteelle seuraaville RHEL-6-ydinversioille:
  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64
• Muut korjaukset

Tunnetut ongelmat

• Päivitettäessä mdatp versioon 101.94.13 saatat huomata, että kunto on epätosi, kun health_issues "ei aktiivista täydentävää tapahtuman tarjoajaa". Tämä voi johtua aiemmin luotujen koneiden virheellisesti määritetyistä tai ristiriitaisia valvontasäännöistä. Ongelman lieventämiseksi on korjattava olemassa olevien koneiden valvotut säännöt. Seuraavien vaiheiden avulla voit tunnistaa tällaiset valvotut säännöt (nämä komennot on suoritettava superkäyttäjänä). Muista varmuuskopioida seuraava tiedosto: '/etc/audit/rules.d/audit.rules', koska näiden vaiheiden avulla tunnistetaan vain virheet.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja on artikkelissa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi

Päivityksen aikana on kaksi tapaa ratkaista ongelma.

Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen. Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp-asennusta, voit poistaa rtp: n ja mdatp: n käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Tammi-2023 (koontiversio: 101.94.13 | Julkaisuversio: 30.122112.19413.0)

Tammi-2023 (koontiversio: 101.94.13 | Julkaisuversio: 30.122112.19413.0)

 Julkaistu: 10. tammikuuta 2023
 Julkaistu: 10. tammikuuta 2023
 Koontiversio: 101.94.13
 Julkaisuversio: 30.122112.19413.0
 Moduulin versio: 1.1.19700.3
 Allekirjoitusversio: 1.377.550.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia
  • Ohita oletusarvoisesti uhkakaranteeni passiivitilassa.
  • Uuden määrityksen, nonExecMountPolicy, avulla voidaan nyt määrittää RTP:n toiminta käyttöönottopisteessä, joka on merkitty noexec-merkinnällä.
  • Uuden määrityksen, unmonitoredFilesystems, avulla voidaan poistaa tiettyjen tiedostojärjestelmien valvonta.
  • Parannettu suorituskyky suuren kuormituksen aikana ja nopeustestitilanteissa.
  • Korjaa cisco AnyConnect VPN -yhteyksien taustalla olevan SMB-jako-jako-ongelman.
  • Korjaa ongelman verkon suojauksessa ja Mt:ssä.
  • suorituskyvyn seurannan tuen suodatus.
  • TVM:n, eBPF:n, auditoinnin, telemetrian ja mdatp-komentorivikäyttöliittymän parannukset.
  • mdatp health now reports behavior_monitoring
  • Muita korjauksia.

Tunnetut ongelmat

• Kun päivität mdatp:n versioon 101.94.13, saatat huomata, että kunto on epätosi, kun health_issues "ei aktiivista lisätapahtumien tarjoajaa". Tämä voi johtua aiemmin luotujen koneiden virheellisesti määritetyistä tai ristiriitaisia valvontasäännöistä. Ongelman lieventämiseksi on korjattava olemassa olevien koneiden valvotut säännöt. Seuraavien vaiheiden avulla voit tunnistaa tällaiset valvotut säännöt (nämä komennot on suoritettava superkäyttäjänä). Tee varmuuskopio seuraavasta tiedostosta: /etc/audit/rules.d/audit.rules nämä vaiheet on vain virheiden tunnistamiseksi.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.94.13. Lisätietoja on artikkelissa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi

Päivityksen aikana on kaksi tapaa ratkaista ongelma.

Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

Vaihtoehtona yllä olevalle paketille voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.

Jos et halua poistaa mdatp-asennusta, voit poistaa rtp: n ja mdatp: n käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Marraskuu 2022 (koontiversio: 101.85.27 | Julkaisuversio: 30.122092.18527.0)

Marraskuu 2022 (koontiversio: 101.85.27 | Julkaisuversio: 30.122092.18527.0)

 Julkaistu: 02. marraskuuta 2022
 Julkaistu: 02. marraskuuta 2022
 Koontiversio: 101.85.27
 Julkaisuversio: 30.122092.18527.0
 Moduulin versio: 1.1.19500.2
 Allekirjoituksen versio: 1.371.1369.0

Uudet ominaisuudet

• Tässä versiossa on useita korjauksia ja uusia muutoksia
  • V2-moduuli on oletusarvoinen tässä versiossa, ja V1-moduulin bitit poistetaan suojauksen tehostamiseksi.
  • V2-moduulin tukimäärityspolku AV-määrityksille. (mdatp-määritysjoukon polku)
  • MDE paketista on poistettu ulkoisten pakettien riippuvuudet. Poistettuja riippuvuuksia ovat libatomic1, libselinux, libseccomp, libfuse ja libuuid
  • Jos kaatumiskokoelma poistetaan käytöstä määrityksen avulla, kaatumisen valvontaprosessia ei käynnistetä.
  • Suorituskyvyn korjaukset AV-ominaisuuksien järjestelmätapahtumien optimaaliseen käyttöön.
  • Vakauden parannus, kun mdatp käynnistetään uudelleen ja epsext-ongelmat ladataan.
  • Muut korjaukset

Tunnetut ongelmat

• Päivitettäessä mdatp-versiosta 101.75.43 tai 101.78.13-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.85.21. Lisätietoja on artikkelissa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi

Päivityksen aikana on kaksi tapaa ratkaista ongelma.

Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43101.78.13 asennuksen.

Esimerkki:

sudo apt purge mdatp
sudo apt-get install mdatp

Vaihtoehtoisena menetelmänä voit poistaa asennuksen noudattamalla ohjeita ja asentamalla sitten paketin uusimman version.

Jos et halua poistaa mdatp-asennusta, voit poistaa rtp: n ja mdatp: n käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022.9.2022 (koontiversio: 101.80.97 | Julkaisuversio: 30.122072.18097.0)

2022.9.2022 (koontiversio: 101.80.97 | Julkaisuversio: 30.122072.18097.0)

 Julkaistu: 14. syyskuuta 2022
 Julkaistu: 14. syyskuuta 2022
 Koontiversio: 101.80.97
 Julkaisuversio: 30.122072.18097.0
 Moduulin versio: 1.1.19300.3
 Allekirjoituksen versio: 1.369.395.0

Uudet ominaisuudet

• Korjaa ydin jumiutumisen, joka havaitaan tietyissä asiakaskuormissa, jotka toimivat mdatp-versiossa 101.75.43. RCA:n jälkeen tämä määriteltiin kilpailutilan vuoksi vapauttaen anturitiedostokuvaajan omistajuuden. Kilpailutilanne paljastui äskettäisen tuotemuutoksen vuoksi sammutuspolulla. Tämä ongelma ei vaikuta uudempien ydinversioiden (5.1+) asiakkaisiin. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.

Tunnetut ongelmat

• Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13-versiosta, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.80.97. Tämän toiminnon pitäisi estää ongelman ilmeneminen.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kun olet suorittanut komennot, suorita päivitys paketinhallinnan avulla.

Vaihtoehtoisena menetelmänä voit poistaa asennuksen noudattamalla ohjeita ja asentamalla sitten paketin uusimman version.

Elo-2022 (koontiversio: 101.78.13 | Julkaisuversio: 30.122072.17813.0)

Elo-2022 (koontiversio: 101.78.13 | Julkaisuversio: 30.122072.17813.0)

 Julkaistu: 24. elokuuta 2022
 Julkaistu: 24. elokuuta 2022
 Koontiversio: 101.78.13
 Julkaisuversio: 30.122072.17813.0
 Moduulin versio: 1.1.19300.3
 Allekirjoituksen versio: 1.369.395.0

Uudet ominaisuudet

• Peruutettiin luotettavuusongelmien vuoksi

Elo-2022 (koontiversio: 101.75.43 | Julkaisuversio: 30.122071.17543.0)

Elo-2022 (koontiversio: 101.75.43 | Julkaisuversio: 30.122071.17543.0)

 Julkaistu: 2. elokuuta 2022
 Julkaistu: 2. elokuuta 2022
 Koontiversio: 101.75.43
 Julkaisuversio: 30.122071.17543.0
 Moduulin versio: 1.1.19300.3
 Allekirjoituksen versio: 1.369.395.0

Uudet ominaisuudet

• Lisätty tuki Red Hat Enterprise Linux -versiolle 9.0
• Lisätty tulosteeseen uusi kenttä mdatp health , jonka avulla voidaan kysellä verkon suojausominaisuuden täytäntöönpanotasoa. Uutta kenttää kutsutaan network_protection_enforcement_level , ja se voi ottaa jonkin seuraavista arvoista: audit, blocktai disabled.
• Korjattu tuotevirhe, jossa saman sisällön useat tunnistamiset voivat johtaa merkintöjen kaksoiskappaleisiin uhkahistoriassa
• Korjattu ongelma, jossa jotakin tuotteen synnyttämää prosessia (mdatp_audisp_plugin) ei joskus lopetettu oikein, kun palvelu pysäytettiin
• Muita virheenkorjauksia
  

Heinä-2022 (koontiversio: 101.73.77 | Julkaisuversio: 30.122062.17377.0)

Heinä-2022 (koontiversio: 101.73.77 | Julkaisuversio: 30.122062.17377.0)

 Julkaistu: 21. heinäkuuta 2022
 Julkaistu: 21. heinäkuuta 2022
 Koontiversio: 101.73.77
 Julkaisuversio: 30.122062.17377.0
 Moduulin versio: 1.1.19200.3
 Allekirjoituksen versio: 1.367.1011.0

Uudet ominaisuudet

• Lisätty asetus tiedoston hajautusarvon laskemisen määrittämiseksi
• Tästä koontiversiosta lähtien tuotteella on oletusarvoisesti uusi haittaohjelmien torjuntamoduuli
• Tiedostojen kopiointitoimintojen suorituskyvyn parannukset
• Korjauksia
  

Kesä-2022 (koontiversio: 101.71.18 | Julkaisuversio: 30.122052.17118.0)

 Julkaistu: 24. kesäkuuta 2022
 Julkaistu: 24. kesäkuuta 2022
 Koontiversio: 101.71.18
 Julkaisuversio: 30.122052.17118.0

Uudet ominaisuudet

• Korjaus tukemaan määritysten tallennusta epänormaattoissa sijainneissa (/var:n ulkopuolella) v2-määrityspäivityksille
• Korjattu RHEL 6:ssa käytetty tuotetunnistinongelma, joka voi johtaa käyttöjärjestelmän jumittumiseen
• mdatp connectivity test on laajennettu ylimääräisellä URL-osoitteella, jota tuote edellyttää toimiakseen oikein. Uusi URL-osoite on https://go.microsoft.com/fwlink/?linkid=2144709.
• Tähän asti tuotelokin taso ei ollut pysyvä tuotteiden uudelleenkäynnistysten välillä. Tästä versiosta alkaen on olemassa uusi komentorivityökalun valitsin, joka jatkaa lokitasoa. Uusi komento on mdatp log level persist --level <level>.
• Riippuvuus python kohteesta poistettiin tuotteen asennuspaketista
• Suorituskyvyn parannuksia tiedostojen kopiointitoimintoihin ja verkkotapahtumien käsittelyyn, jotka ovat peräisin auditd
• Korjauksia
  

Toukokuu –2022 (koontiversio: 101.68.80 | Julkaisuversio: 30.122042.16880.0)

Toukokuu –2022 (koontiversio: 101.68.80 | Julkaisuversio: 30.122042.16880.0)

 Julkaistu: 23. toukokuuta 2022
 Julkaistu: 23. toukokuuta 2022
 Koontiversio: 101.68.80
 Julkaisuversio: 30.122042.16880.0

Uudet ominaisuudet

• Lisätty tuki ydinversiolle 2.6.32-754.47.1.el6.x86_64 , kun se suoritetaan RHEL 6:ssa
• RHEL 6:ssa tuote voidaan nyt asentaa laitteisiin, joissa on särkymätön enterprise-ydin (UEK)
• Korjattu ongelma, jossa prosessin nimi näytettiin unknown joskus virheellisesti kuten suoritettaessa mdatp diagnostic real-time-protection-statistics
• Korjattu virhe, jossa tuote joskus tunnisti virheellisesti karanteenikansion tiedostoja
• Korjattu ongelma, mdatp jossa komentorivityökalu ei toimi, kun /opt se otettiin käyttöön pehmeänä linkkinä
• Suorituskyvyn parannuksia & virheenkorjauksia
  

Toukokuu –2022 (koontiversio: 101.65.77 | Julkaisuversio: 30.122032.16577.0)

Toukokuu –2022 (koontiversio: 101.65.77 | Julkaisuversio: 30.122032.16577.0)

 Julkaistu: 2. toukokuuta 2022
 Julkaistu: 2. toukokuuta 2022
 Koontiversio: 101.65.77
 Julkaisuversio: 30.122032.16577.0

Uudet ominaisuudet

• Parannettiin - conflicting_applications kenttää mdatp health näyttämään vain viimeisimmät 10 prosessia ja sisältämään myös prosessien nimet. Tämän ansiosta on helpompi tunnistaa, mitkä prosessit saattavat olla ristiriidassa Linuxin Microsoft Defender for Endpoint kanssa.
• Virheiden korjaukset

Maalis-2022 (koontiversio: 101.62.74 | Julkaisuversio: 30.122022.16274.0)

 Julkaistu: 24. maaliskuuta 2022
 Julkaistu: 24. maaliskuuta 2022
 Koontiversio: 101.62.74
 Julkaisuversio: 30.122022.16274.0

Uudet ominaisuudet

• Korjattu ongelma, jossa tuote esti virheellisesti yli 2 Gigatavun kokoisia tiedostoja käytettäessä vanhempia ydinversioita
• Virheiden korjaukset

Maalis-2022 (koontiversio: 101.60.93 | Julkaisuversio: 30.122012.16093.0)

Maalis-2022 (koontiversio: 101.60.93 | Julkaisuversio: 30.122012.16093.0)

 Julkaistu: 9.3.2022
 Julkaistu: 9.3.2022
 Koontiversio: 101.60.93
 Julkaisuversio: 30.122012.16093.0

Uudet ominaisuudet

• Tämä versio sisältää tietoturvapäivityksen päivityksille CVE-2022-23278

Maalis-2022 (koontiversio: 101.60.05 | Julkaisuversio: 30.122012.16005.0)

 Julkaistu: 3. maaliskuuta 2022
 Julkaistu: 3. maaliskuuta 2022
 Koontiversio: 101.60.05
 Julkaisuversio: 30.122012.16005.0

Uudet ominaisuudet

• Lisätty tuki ytimen versiolle 2.6.32-754.43.1.el6.x86_64 RHEL 6.10:lle
• Virheiden korjaukset

Helmi-2022 (koontiversio: 101.58.80 | Julkaisuversio: 30.122012.15880.0)

Helmi-2022 (koontiversio: 101.58.80 | Julkaisuversio: 30.122012.15880.0)

 Julkaistu: 20. helmikuuta 2022
 Julkaistu: 20. helmikuuta 2022
 Koontiversio: 101.58.80
 Julkaisuversio: 30.122012.15880.0

Uudet ominaisuudet

• Komentorivityökalu tukee nyt karanteeniin asetettujen tiedostojen palauttamista muuhun sijaintiin kuin sijaintiin, jossa tiedosto alun perin havaittiin. Tämä voidaan tehdä seuraavasti: mdatp threat quarantine restore --id [threat-id] --path [destination-folder].
• Tästä versiosta alkaen Linuxin verkkosuojausta voidaan arvioida tarpeen mukaan
• Virheiden korjaukset

Tammi-2022 (koontiversio: 101.56.62 | Julkaisuversio: 30.121122.15662.0)

Tammi-2022 (koontiversio: 101.56.62 | Julkaisuversio: 30.121122.15662.0)

 Julkaistu: 26.1.2022
 Julkaistu: 26.1.2022
 Koontiversio: 101.56.62
 Julkaisuversio: 30.121122.15662.0

Uudet ominaisuudet

• Korjattu 101.53.02:ssa käyttöön otettu tuoteturma, joka on vaikuttanut useisiin asiakkaisiin

Tammi-2022 (koontiversio: 101.53.02 | Julkaisuversio: (30.121112.15302.0)

 Julkaistu: 8.1.2022
 Julkaistu: 8.1.2022
 Koontiversio: 101.53.02
 Julkaisuversio: 30.121112.15302.0

Uudet ominaisuudet

• Suorituskyvyn parannuksia & virheenkorjauksia

Vuoden 2021 julkaisut

(Koontiversio: 101.52.57 | Julkaisuversio: 30.121092.15257.0)

Koontiversio: 101.52.57
Julkaisuversio: 30.121092.15257.0

Mitä uutta

• Lisätty ominaisuus, jonka avulla voidaan tunnistaa Java-sovellusten käytössä olevat haavoittuvat log4j-purkit. Tietokone tarkistetaan säännöllisesti java-prosessien suorittamiseksi ladatuilla log4j-purkeilla. Tiedot raportoidaan Microsoft Defender for Endpoint taustalle, ja ne näytetään portaalin Haavoittuvuuden hallinta -alueella.

(Koontiversio: 101.47.76 | Julkaisuversio: 30.121092.14776.0)

Koontiversio: 101.47.76
Julkaisuversio: 30.121092.14776.0

Uudet ominaisuudet

Komentorivityökaluun lisättiin uusi kytkin sen hallitsemiseksi, skannataanko arkistot pyydettäessä tarkistettaessa. Tämä voidaan määrittää mdatp config scan-archives --value [enabled/disabled] --määrityksellä. Tämä asetus on oletusarvoisesti käytössä.

• Virheiden korjaukset

(Koontiversio: 101.45.13 | Julkaisuversio: 30.121082.14513.0)

Koontiversio: 101.45.13
Julkaisuversio: 30.121082.14513.0

Uudet ominaisuudet

• Tästä versiosta alkaen tuomme Microsoft Defender for Endpoint tuen seuraaviin esittelyihin:

  • RHEL6.7-6.10- ja CentOS6.7-6.10-versiot.
  • Amazon Linux 2
  • Fedora 33 tai uudempi

• Virheiden korjaukset

(Koontiversio: 101.45.00 | Julkaisuversio: 30.121072.14500.0)

Koontiversio: 101.45.00
Julkaisuversio: 30.121072.14500.0

Uudet ominaisuudet

• Lisätty uudet valitsimet komentorivityökaluun:
  • Ohjaa rinnakkaisuuden astetta pyydettäessä luotaessa. Tämä voidaan määrittää -toiminnolla mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Oletusarvoisesti käytetään rinnakkaisuuden 2 astetta.
  • Määritä, onko tarkistukset suojaustietojen päivitysten käyttöönoton tai käytöstä poistamisen jälkeen. Tämä voidaan määrittää -toiminnolla mdatp config scan-after-definition-update --value [enabled/disabled]. Tämän asetuksen oletusarvona enabledon .
• Tuotelokitason muuttaminen nyt edellyttää korotusta
• Virheiden korjaukset

(Koontiversio: 101.39.98 | Julkaisuversio: 30.121062.13998.0)

Koontiversio: 101.39.98
Julkaisuversio: 30.121062.13998.0

Uudet ominaisuudet

Suorituskyvyn parannuksia & virheenkorjauksia

(Koontiversio: 101.34.27 | Julkaisuversio: 30.121052.13427.0)

Koontiversio: 101.34.27
Julkaisuversio: 30.121052.13427.0

Uudet ominaisuudet

Suorituskyvyn parannuksia & virheenkorjauksia

(Koontiversio: 101.29.64 | Julkaisuversio: 30.121042.12964.0)

Koontiversio: 101.29.64
Julkaisuversio: 30.121042.12964.0

Uudet ominaisuudet

• Tästä versiosta alkaen komentoriviasiakkaan kautta käynnistettyjen pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana havaitut uhat korjataan automaattisesti. Käyttöliittymän avulla käynnistettyjen tarkistusten aikana havaitut uhat edellyttävät edelleen manuaalisia toimia.
• mdatp diagnostic real-time-protection-statistics tukee nyt kahta muuta kytkintä:
  • --sort: lajittelee tuloksen laskevasti skannattujen tiedostojen kokonaismäärän mukaan
  • --top N: näyttää ylimmät N tulosta (toimii vain, jos --sort on määritetty)
• Suorituskyvyn parannuksia & virheenkorjauksia

(Koontiversio: 101.25.72 | Julkaisuversio: 30.121022.12563.0)

Koontiversio: 101.25.72
Julkaisuversio: 30.121022.12563.0

Uudet ominaisuudet

Microsoft Defender for Endpoint Linuxissa on nyt saatavilla esikatselussa Yhdysvaltain valtionhallinnon asiakkaille. Lisätietoja on artikkelissa Microsoft Defender for Endpoint Yhdysvaltain valtionhallinnon asiakkaille.

• Korjattu ongelma, jossa Microsoft Defender for Endpoint käyttö Linuxissa FUSE-tiedostojärjestelmiä sisältävissä järjestelmissä johti käyttöjärjestelmän jumiutumisen
• Suorituskyvyn parannuksia & muita virheenkorjauksia

(Koontiversio: 101.25.63 | Julkaisuversio: 30.121022.12563.0)

Koontiversio: 101.25.63
Julkaisuversio: 30.121022.12563.0

Uudet ominaisuudet

Suorituskyvyn parannuksia & virheenkorjauksia

(Koontiversio: 101.23.64 | Julkaisuversio: 30.121021.12364.0)

Koontiversio: 101.23.64
Julkaisuversio: 30.121021.12364.0

Uudet ominaisuudet

Suorituskyvyn parannus tilanteessa, jossa koko käyttöönottopiste lisätään virustentorjunnan poissulkemisluetteloon. Ennen tätä versiota tuotekäsitellyn tiedoston toiminta, joka on peräisin käyttöönottopisteestä. Tästä versiosta alkaen pois jätettyjen käyttöönottopisteiden tiedostotoiminta on estetty, mikä parantaa tuotteen suorituskykyä

• Komentorivityökaluun on lisätty uusi vaihtoehto, jonka avulla voit tarkastella viimeisimmän pyydettäessä suoritettavan tarkistuksen tietoja. Jos haluat tarkastella viimeisimmän pyydettäessä suoritettavan tarkistuksen tietoja, suorita mdatp health --details antivirus
• Muita suorituskyvyn parannuksia & virheenkorjauksia

(Koontiversio: 101.18.53)

Koontiversio: 101.18.53

Uudet ominaisuudet ja toiminnot

EDR for Linux on nyt yleisesti saatavilla

• Lisätty uusi komentorivivalitsin (--ignore-exclusions), joka ohittaa AV-poikkeukset mukautettujen tarkistusten aikana (mdatp scan custom)
• Laajennettu mdatp diagnostic create uudella parametrilla (--path [directory]), joka sallii diagnostiikkalokien tallentamisen eri hakemistoon
• Suorituskyvyn parannuksia & virheenkorjauksia