Jaa

MacOS Microsoft Defender for Endpoint offline-tietoturvatietojen päivitysten määrittäminen

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Tässä asiakirjassa kuvataan macOS Microsoft Defender for Endpoint offline-tietoturvatietojen päivitysominaisuus.

Tämän ominaisuuden avulla organisaatio voi käyttää paikallista isännöintipalvelinta (jota tässä asiakirjassa kutsutaan peilauspalvelimeksi ) päivittääkseen suojaustiedot (joita tässä asiakirjassa kutsutaan määrityksiksi tai allekirjoituksiksi) macOS-päätepisteissä, joissa on rajoitettu tai ei lainkaan altistusta Internetille.

Peilipalvelin on mikä tahansa asiakkaan ympäristössä oleva palvelin, joka voi muodostaa yhteyden Microsoftin pilvipalveluun allekirjoitusten lataamista varten. Muut macOS-päätepisteet hakevat allekirjoitukset peilipalvelimesta ennalta määritetyllä aikavälillä.

Tärkeimmät edut

  • Suojausryhmäsi voi hallita ja hallita allekirjoitusten latauksia paikalliseen palvelimeen sekä sitä, kuinka usein päätepisteet hakevat allekirjoituksia paikalliselta palvelimelta.

  • Sinulla on ylimääräinen suojaus- ja hallintakerros, koska ladatut allekirjoitukset voidaan testata testilaitteella ennen kuin ne levitetään koko kalustoon.

  • Tarvitset vähemmän verkon kaistanleveyttä, koska vain yksi paikallinen palvelin lähettää Microsoftin pilvipalveluun uusimmat allekirjoitukset koko kaluston puolesta.

  • Peilipalvelin voi toimia Windowsissa, Macissa tai Linuxissa, eikä defender for Endpointia tarvitse asentaa kyseiseen palvelimeen.

  • Saat ajan tasalla olevan virustentorjuntaohjelman suojauksen, koska allekirjoitukset ladataan aina uusimman yhteensopivan virustentorjuntaohjelman mukana.

  • Allekirjoitukset (n-1) siirretään kunkin iteraation yhteydessä peilauspalvelimen varmuuskopiokansioon. Jos uusimmissa päivityksissä on ongelma, voit hakea n-1-allekirjoitusversion varmuuskopiokansiosta laitteisiisi.

  • Jos offline-päivitys epäonnistuu harvoissa tapauksissa, voit määrittää varavaihtoehdon, jolla voit hankkia online-päivityksiä Microsoftin pilvipalvelusta.

Miten offline-suojaustietojen päivitys toimii

Organisaatioiden on määritettävä peilipalvelin, joka on paikallinen verkko- tai NFS-palvelin, johon Microsoftin pilvipalvelu voi muodostaa yhteyden.

Allekirjoitukset ladataan Microsoftin pilvipalvelusta tähän peilipalvelimeen suorittamalla komentosarja käyttämällä cron-työn/tehtävien ajoitusta paikallisessa palvelimessa.

macOS-päätepisteet, jotka suoritetaan Defender for Endpointille, hakevat ladatut allekirjoitukset tästä peilipalvelimesta käyttäjän määrittämällä aikavälillä.

Paikallisesta palvelimesta macOS-päätepisteisiin noudetut allekirjoitukset tarkistetaan ensin, ennen kuin ne ladataan virustentorjuntaohjelmaan.

Voit käynnistää ja määrittää päivitysprosessin päivittämällä hallitun config json -tiedoston macOS-päätepisteissä.

Päivityksen tila näkyy mdatp CLI:ssä.

Prosessi, jossa suojaustietojen päivitykset ladataan peilipalvelimeen, on kuvattu seuraavassa kaaviossa.

Mirror Serverin prosessivuokaavio suojaustietojen päivitysten lataamista varten

MacOS-päätepisteen suojaustietojen päivitysten prosessivuo on kuvattu seuraavassa kaaviossa.

Prosessivuokaavio macOS-päätepisteessä tietoturvatietojen päivityksiä varten

Peilipalvelin voi suorittaa minkä tahansa seuraavista käyttöjärjestelmistä:

  • Linux (mikä tahansa maku)
  • Windows (mikä tahansa versio)
  • Mac (mikä tahansa versio)

Ennakkovaatimukset

  • Defender for Endpoint -versio 101.25012.0003 tai uudempi on asennettava macOS-päätepisteisiin.

  • MacOS-päätepisteiden on oltava yhteydessä peilipalvelimeen.

  • MacOS-päätepisteen on suoritettava mikä tahansa Defender for Endpointin tukemista jakaumista.

  • Peilipalvelin voi olla joko HTTP/HTTPS-palvelin tai verkkoresurssipalvelin, esimerkiksi NFS-palvelin.

  • Peilipalvelimella on oltava pääsy seuraaviin URL-osoitteisiin:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709

  • Peilipalvelimen tulee tukea Bashia tai PowerShelliä.

  • Peilauspalvelimeen tarvitaan seuraavat järjestelmän vähimmäismääritykset:

    Suoritinydin RAM Vapaa levy Vaihtaa
    2 ydintä (Ensisijainen 4 ydintä) 1 Gt min (ensisijainen 4 Gt) 2 Gt Järjestelmäriippuvainen

    Huomautus

    Nämä määritykset voivat vaihdella niiden pyyntöjen määrän mukaan, jotka suoritetaan, ja kuormituksen, joka kunkin palvelimen on käsiteltävä.

Peilipalvelimen määrittäminen

Huomautus

Peilipalvelimen hallinta ja omistajuus on yksinomaan asiakkaalla, koska se sijaitsee asiakkaan yksityisessä ympäristössä.

Mitä tahansa HTTP-palvelinta voidaan käyttää peilipalvelimena. Peilauspalvelimeen ei tarvitse asentaa Defender for Endpointia.

Vaikka peilipalvelimen hallinta ja omistajuus on pelkästään asiakkaan käytössä, tässä osiossa esitellään kaksi Bash-esimerkkikomentosarjaa, jotka esittelevät, miten voit käyttää Python 3:a ja Caddya perustason HTTP-tiedostopalvelimen määrittämiseen macOS:ssä. Nämä komentosarjat annetaan vain havainnollistamista varten, ja niitä tulee mukauttaa omien tarpeiden ja ympäristön mukaan.

  • python_http_server.sh: Käyttää Python 3:n sisäistä HTTP-palvelinmoduulia määritetyn hakemiston tiedostojen palvelemiseen.
  • caddy_http_server.sh: Asentaa caddy-verkkopalvelimen ja määrittää sen palvelemaan määritetyn hakemiston tiedostoja.

Jos haluat tarkistaa, että palvelu on määritetty oikein palvelimen määrittämisen jälkeen, siirry kohtaan ;https://localhost:8080".

Tuotanto- tai lisäkäyttötapauksissa tutustu kunkin palvelimen viralliseen dokumentaatioon:

Tarkista ja mukauta komentosarjat aina ympäristöösi ja suojausvaatimuksiin.

Esimerkkikomentosarja: PERUS-HTTP-tiedostopalvelimen määrittäminen macOS:ssä Python 3:n avulla

#!/bin/bash
# python_http_server.sh
# Starts a simple HTTP server using Python 3

# Check for Python 3
if ! command -v python3 &> /dev/null; then
  echo "Python 3 is not installed. Please install it first."
  exit 1
fi

PORT=8080
FOLDER="."

if [ ! -z "$1" ]; then
  PORT=$1
fi
if [ ! -z "$2" ]; then
  FOLDER=$2
fi

echo "Starting Python HTTP server on port $PORT (localhost only), serving folder: $FOLDER..."
python3 -m http.server "$PORT" --bind 127.0.0.1 --directory "$FOLDER"

Esimerkkikomentosarja: Perus-HTTP-tiedostopalvelimen määrittäminen macOS:ssä Caddyn avulla

#!/bin/bash
# caddy_http_server.sh
# Installs and configures Caddy HTTP server on macOS

PORT=8080
FOLDER="."

if [ ! -z "$1" ]; then
  PORT=$1
fi
if [ ! -z "$2" ]; then
  FOLDER=$2
fi

check_homebrew() {
  if ! command -v brew &> /dev/null; then
    echo "Homebrew is required to install Caddy."
    read -p "Would you like to install Homebrew? (y/n): " install_brew
    if [[ "$install_brew" =~ ^[Yy]$ ]]; then
      echo "Installing Homebrew..."
      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
      export PATH="/opt/homebrew/bin:$PATH"
    else
      echo "Please install Caddy manually and restart this script."
      exit 1
    fi
  fi
}

install_caddy() {
  if ! brew list caddy &> /dev/null; then
    echo "Installing Caddy via Homebrew..."
    brew install caddy
  else
    echo "Caddy is already installed."
  fi
}

# Check for Caddy
if ! command -v caddy &> /dev/null; then
  echo "Caddy is not installed."
  check_homebrew
  install_caddy
else
  echo "Caddy is already installed."
fi

# Create a simple Caddyfile
cat <<EOL > Caddyfile
localhost:${PORT} {
  root * ${FOLDER}
  file_server browse
}
EOL

echo "Caddyfile created. Starting Caddy server on port $PORT..."
caddy run --config ./Caddyfile

Hanki offline-suojaustietojen latauskomentosarja

Microsoft isännöi offline-suojaustietojen latauskomentosarjaa seuraavassa GitHub-säilössä: https://github.com/microsoft/mdatp-xplat.

Hanki latauskomentosarja seuraavasti:

Vaihtoehto 1: Kloonaa säilö (ensisijainen)

Asenna Git peilauspalvelimeen.

Siirry hakemistoon, johon haluat kloonata säilön.

Suorita komento: git clone https://github.com/microsoft/mdatp-xplat.git

Vaihtoehto 2: Zip-tiedoston lataaminen

Lataa säilön zip-tiedosto: https://github.com/microsoft/mdatp-xplat/archive/refs/heads/master.zip.

Kopioi zip-tiedosto kansioon, johon haluat säilyttää komentosarjan.

Pura zip-kansio.

Huomautus

Ajoita cron-työ tai käynnistetty työ , jotta säilö/ladattu zip-tiedosto päivitetään uusimpaan versioon säännöllisin väliajoin.

Säilön kloonaamisen tai zip-tiedoston lataamisen jälkeen paikallisen hakemistorakenteen tulee olla seuraava:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Huomautus

Käy läpi README.md-tiedosto, niin saat lisätietoja komentosarjan käyttämisestä.

settings.json tiedosto koostuu muutamista muuttujista, jotka käyttäjä voi määrittää komentosarjan suorittamisen tuloksen määrittämiseksi.

Kentän nimi Arvo Kuvaus
downloadFolder Merkkijono Yhdistää sijaintiin, johon komentosarja lataa tiedostot.
downloadLinuxUpdates Bool Kun asetuksena on true, komentosarja lataa Linux-kohtaiset päivitykset kohteeseen downloadFolder.
logFilePath Merkkijono Määrittää diagnostiikkalokit tiettyyn kansioon. Tämä tiedosto voidaan jakaa Microsoftin kanssa komentosarjan virheenkorjausta varten, jos ongelmia ilmenee.
downloadMacUpdates Bool Komentosarja lataa Mac-kohtaiset päivitykset kohteeseen downloadFolder.
downloadPreviewUpdates Bool Lataa tietylle käyttöjärjestelmälle saatavilla olevien päivitysten esikatseluversion.
backupPreviousUpdates Bool Sallii komentosarjan kopioida kansion _back edellisen päivityksen, ja uudet päivitykset ladataan kohteeseen downloadFolder.

Suorita offline-suojaustietojen latauskomentosarja

Suorita latauskomentosarja manuaalisesti määrittämällä settings.json-tiedoston parametrit edellisen osion kuvauksen mukaisesti ja käyttämällä jotakin seuraavista komennoista, jotka perustuvat peilauspalvelimen käyttöjärjestelmään:

Bash:

./xplat_offline_updates_download.sh

Powershell:

./xplat_offline_updates_download.ps1

Huomautus

Ajoita cron-työ tai käynnistetty työ tämän komentosarjan suorittamiseksi, jotta uusimmat suojaustiedot ladataan peilipalvelimeen säännöllisin väliajoin.

Isännöi offline-suojaustietojen päivityksiä peilauspalvelimessa

Kun komentosarja on suoritettu, uusimmat allekirjoitukset ladataan settings.json -tiedostossa (updates.zip) määritettyun kansioon.

Kun allekirjoitukset zip on ladattu, peilauspalvelinta voidaan käyttää sen isännöintiin. Peilipalvelinta voidaan isännöidä millä tahansa HTTP/HTTPS/verkon jakopalvelimella.

Kun palvelin on isännöity, kopioi isännöity palvelimen absoluuttinen polku (lukuun ottamatta arch_*-hakemistoa).

Jos komentosarja suoritetaan esimerkiksi :n kanssa downloadFolder=/tmp/wdav-updateja HTTP-palvelin (www.example.server.com:8000) isännöi /tmp/wdav-update-polkua, vastaava URI on: www.example.server.com:8000/mac/production/.

Voimme myös käyttää hakemiston absoluuttista polkua (paikallinen/etäkäyttöpiste), kuten /tmp/wdav-update/mac/production.

Kun peilipalvelin on määritetty, tämä URL-osoite on levitettävä Mac-päätepisteisiin seuraavassa osiossa kuvatulla tavalla: offlineDefinitionUpdateUrl hallittu määritys.

Päätepisteiden määrittäminen

Käytä seuraavaa mallitiedostoa mdatp_managed.json ja päivitä parametrit määritysten mukaan ja kopioi sitten tiedosto sijaintiin /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/mac/production/",
    "offlineDefintionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}
Kentän nimi Arvot Kommentit
automaticDefinitionUpdateEnabled true/false Määrittää, miten Defender for Endpoint yrittää suorittaa päivityksiä automaattisesti, on käytössä tai pois käytöstä.
definitionUpdatesInterval Numeerinen Aikaväli kunkin automaattisen allekirjoitusten päivityksen välillä (sekunteina).
offlineDefinitionUpdateUrl Merkkijono URL-arvo, joka on luotu osana peilauspalvelimen määritystä. Tämä voi johtua joko etäpalvelimen URL-osoitteesta tai hakemistosta (paikallinen/etäkiinnityspiste).
offlineDefinitionUpdate enabled/disabled Kun asetuksena enabledon , offline-suojaustietojen päivitys -ominaisuus on käytössä ja päinvastoin.
offlineDefinitionUpdateFallbackToCloud true/false Määritä Defender for Endpointin tietoturvatietojen päivitystapa, kun offline-peilauspalvelin ei palvele päivityspyyntöä. Jos asetuksena trueon , päivitystä yritetään uudelleen Microsoftin pilvipalvelun kautta, kun "offline-suojaustietojen päivitys" epäonnistui. Muussa tapauksessa päinvastoin.
offlineDefinitionUpdateVerifySig enabled/disabled Kun asetuksena enabledon , ladatut määritelmät tarkistetaan päätepisteissä, muussa tapauksessa päinvastoin.

Tarkista määritykset

Testaa, käytetäänkö asetuksia oikein macOS-päätepisteissä, suorittamalla seuraava komento:

mdatp health --details definitions

Mallituloste näyttää seuraavan koodikatkelman kaltaiselta:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/mac/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Offline-suojaustietojen päivitysten käynnistäminen

  • Automaattinen päivitys

    Jos kenttien automaticDefinitionUpdateEnabled ja offline_definition_update hallitun json:n asetuksena trueon , offline-suojaustietojen päivitykset käynnistyvät automaattisesti säännöllisin väliajoin.

    Tämä kausittainen väli on oletusarvoisesti 8 tuntia. Se voidaan määrittää määrittämällä definitionUpdatesInterval parametri hallitussa json-tiedostossa.

  • Manuaalinen päivitys

    Voit käynnistää offline-suojaustietojen päivityksen manuaalisesti, jos haluat ladata allekirjoitukset Mac-päätepisteiden peilauspalvelimesta, suorittamalla seuraavan komennon:

    mdatp definitions update

Päivityksen tilan tarkistaminen

Kun olet käynnistänyt offline-suojaustietojen päivityksen joko automaattisella tai manuaalisella menetelmällä, varmista, että päivitys onnistui suorittamalla komennon: mdatp health --details --definitions.

Tarkista seuraavat kentät:

user@vm:~$ mdatp health --details definitions
...
definitions_status                          : "up_to_date"
...
definitions_update_fail_reason              : ""
...

Yleisiä vianmääritysvaiheita

  • Tarkista offline-suojaustietojen päivitystoiminnon tila seuraavalla komennolla:

    mdatp health --details definitions

    Tämä komento tarjoaa käyttäjäystävällisen viestin definitions_update_fail_reason-osassa .

  • Tarkista, onko offline_definition_update käytössä ja offline_definition_update_verify_sig käytössä.

  • Tarkista, onko definitions_update_source_uri yhtä suuri kuin offline_definition_url_configured.

    • definitions_update_source_uri on lähde, josta allekirjoitukset ladattiin.
    • offline_definition_url_configured on lähde, josta allekirjoitukset tulee ladata, kuten hallitussa määritystiedostossa mainittiin.

  • Kokeile suorittaa yhteystesti ja tarkista, onko peilauspalvelin tavoitettavissa isännästä:

    mdatp connectivity test

  • Yritä käynnistää manuaalinen päivitys seuraavalla komennolla:

    mdatp definitions update

Tutustu myös seuraaviin ohjeartikkeleihin:

  • Last updated on