Configurer la mise à jour du renseignement de sécurité hors connexion pour Microsoft Defender pour point de terminaison sur Linux
S’applique à :
- Microsoft Defender pour point de terminaison Server.
- Microsoft Defender pour les serveurs
Ce document décrit la fonctionnalité de mise à jour du renseignement de sécurité hors connexion de Microsoft Defender pour point de terminaison sur Linux.
Cette fonctionnalité permet à un organization de mettre à jour le renseignement de sécurité (également appelé « définitions » ou « signatures » dans ce document) sur des points de terminaison Linux avec une exposition limitée ou nulle à Internet à l’aide d’un serveur d’hébergement local (appelé serveur miroir dans ce document).
Le serveur miroir est tout serveur dans l’environnement du client qui peut se connecter au cloud Microsoft pour télécharger les signatures. D’autres points de terminaison Linux extrayent les signatures du serveur miroir à un intervalle prédéfini.
Les principaux avantages sont les suivants :
- Possibilité de contrôler et de gérer la fréquence des téléchargements de signatures sur le serveur local et la fréquence à laquelle les points de terminaison extrayent les signatures du serveur local.
- L’ajout d’une couche supplémentaire de protection et de contrôle au fur et à mesure que les signatures téléchargées peuvent être testées sur un appareil de test avant d’être propagées à l’ensemble du parc.
- Réduction de la bande passante réseau, car désormais un seul serveur local interroge MS Cloud pour obtenir les dernières signatures au nom de l’ensemble de votre flotte.
- Capacité du serveur local à exécuter l’un des trois systèmes d’exploitation : Windows, Mac, Linux ; aucune exigence d’installation de Defender pour point de terminaison.
- Provisionnez la protection antivirus la plus récente, car les signatures sont toujours téléchargées avec le dernier moteur AV compatible.
- Migration de la signature avec la version n-1 vers un dossier de sauvegarde sur le serveur local, dans chaque itération. Provisionnez pour extraire la version de signature n-1 du dossier de sauvegarde vers vos points de terminaison, en cas de problème avec la dernière signature.
- Option permettant de revenir aux mises à jour en ligne à partir du cloud Microsoft (méthode traditionnelle), en cas d’échec rare d’une mise à jour hors connexion.
Fonctionnement de la mise à jour du renseignement de sécurité hors connexion
- Les organisations doivent configurer un serveur miroir, qui est un serveur web/NFS local accessible par le cloud Microsoft.
- Les signatures sont téléchargées à partir du cloud Microsoft sur ce serveur miroir en exécutant un script à l’aide du planificateur de tâches/travaux cron sur le serveur local.
- Les points de terminaison Linux exécutant Defender pour point de terminaison extrayent les signatures téléchargées à partir de ce serveur miroir à un intervalle de temps défini par l’utilisateur.
- Les signatures extraites du serveur local sur les points de terminaison Linux sont d’abord vérifiées avant d’être chargées dans le moteur AV.
- Pour déclencher et configurer le processus de mise à jour, mettez à jour le fichier json de configuration managé sur les points de terminaison Linux.
- Les status de la mise à jour sont visibles sur l’interface CLI mdatp.
Figure 1 : Diagramme de flux de processus sur le serveur miroir pour le téléchargement des mises à jour security intelligence
Figure 2 : Diagramme de flux de processus sur le point de terminaison Linux pour les mises à jour du renseignement de sécurité
Le serveur miroir peut exécuter l’un des systèmes d’exploitation suivants :
- Linux (n’importe quelle saveur)
- Windows (n’importe quelle version)
- Mac (n’importe quelle version)
Configuration requise
Defender pour point de terminaison version
101.24022.0001
ou ultérieure doit être installé sur les points de terminaison Linux.Les points de terminaison Linux doivent être connectés au serveur miroir.
Le point de terminaison Linux doit exécuter l’une des distributions prises en charge par Defender pour point de terminaison.
Le serveur miroir peut être un serveur HTTP/HTTPS ou un serveur de partage réseau, par exemple un serveur NFS.
Le serveur miroir doit avoir accès aux URL suivantes :
https://github.com/microsoft/mdatp-xplat.git
https://go.microsoft.com/fwlink/?linkid=2144709
Le serveur miroir doit prendre en charge bash ou PowerShell.
Les spécifications système minimales suivantes sont requises pour le serveur miroir :
Cœur du processeur Mémoire RAM Disque libre Échanger 2 cœurs (4 cœurs préférés) 1 Go Min (préféré 4 Go) 2 Go Dépendant du système Remarque
Cette configuration peut varier en fonction du nombre de demandes traitées et de la charge que chaque serveur doit traiter.
Configuration du serveur miroir
Remarque
- La gestion et la propriété du serveur miroir appartiennent uniquement au client, car il réside dans l’environnement privé du client.
- Defender pour point de terminaison n’a pas besoin d’être installé sur le serveur miroir.
Obtenir le script du téléchargeur security intelligence hors connexion
Microsoft héberge un script de téléchargement de veille de sécurité hors connexion sur ce dépôt GitHub.
Pour obtenir le script du téléchargeur, procédez comme suit :
Option 1 : Cloner le référentiel (préféré)
- Installez git sur le serveur miroir.
- Accédez au répertoire dans lequel vous souhaitez cloner le dépôt.
- Exécutez la commande :
git clone https://github.com/microsoft/mdatp-xplat.git
Option 2 : Télécharger le fichier zip
Téléchargez le fichier zip du dépôt à partir d’ici.
Copiez le fichier zip dans le dossier dans lequel vous souhaitez conserver le script.
Extrayez le fichier zip.
Remarque
Planifiez un travail cron pour que le dépôt/le fichier zip téléchargé soit mis à jour vers la dernière version à intervalles réguliers.
Après avoir cloné le dépôt/le fichier zip téléchargé, la structure du répertoire local doit être la suivante :
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Remarque
Parcourez le README.md
fichier pour comprendre en détail comment utiliser le script.
Le settings.json
fichier se compose de quelques variables que l’utilisateur peut configurer pour déterminer la sortie de l’exécution du script.
Nom du champ | Valeur | Description |
---|---|---|
downloadFolder |
string | Mappe à l’emplacement où le script télécharge les fichiers. |
downloadLinuxUpdates |
bool | Quand la valeur est true définie sur , le script télécharge les mises à jour spécifiques à Linux pour .downloadFolder |
logFilePath |
string | Configure les journaux de diagnostic dans un dossier donné. Ce fichier peut être partagé avec Microsoft pour déboguer le script en cas de problème. |
downloadMacUpdates |
bool | Le script télécharge les mises à jour spécifiques à Mac pour .downloadFolder |
downloadPreviewUpdates |
bool | Télécharge la préversion des mises à jour disponibles pour le système d’exploitation spécifique. |
backupPreviousUpdates |
bool | Permet au script de copier la mise à jour précédente dans le _back dossier , et les nouvelles mises à jour sont téléchargées downloadFolder sur . |
Exécuter le script du téléchargeur security intelligence hors connexion
Pour exécuter manuellement le script du téléchargeur, configurez les paramètres dans le settings.json
fichier conformément à la description de la section précédente et utilisez l’une des commandes suivantes basées sur le système d’exploitation du serveur miroir :
Cogner:
./xplat_offline_updates_download.sh
PowerShell :
./xplat_offline_updates_download.ps1
Remarque
Planifiez un travail cron pour exécuter ce script afin de télécharger les dernières mises à jour security intelligence dans le serveur miroir à intervalles réguliers.
Héberger les mises à jour du renseignement de sécurité hors connexion sur le serveur miroir
Une fois le script exécuté, les dernières signatures sont téléchargées dans le dossier configuré dans le settings.json
fichier (updates.zip
).
Une fois le fichier zip de signatures téléchargé, le serveur miroir peut être utilisé pour l’héberger. Le serveur miroir peut être hébergé à l’aide de n’importe quel serveur de partage http/HTTPS/réseau.
Une fois hébergé, copiez le chemin d’accès absolu du serveur hébergé (jusqu’au répertoire sans inclure).arch_*
Par exemple, si le script est exécuté avec downloadFolder=/tmp/wdav-update
et que le serveur HTTP (www.example.server.com:8000
) héberge le /tmp/wdav-update
chemin, l’URI correspondant est : www.example.server.com:8000/linux/production/
.
Nous pouvons également utiliser le chemin d’accès absolu du répertoire (point de montage local/distant) comme /tmp/wdav-update/linux/production
.
Une fois le serveur miroir configuré, nous devons propager cette URL aux points de terminaison Linux en tant que offlineDefinitionUpdateUrl
dans la configuration managée, comme décrit dans la section suivante.
Configurer les points de terminaison
Utilisez l’exemple mdatp_managed.json
suivant et mettez à jour les paramètres en fonction de la configuration et copiez le fichier à l’emplacement /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
Nom du champ | Values | Commentaires |
---|---|---|
automaticDefinitionUpdateEnabled |
True /False |
Détermine le comportement de Defender pour point de terminaison qui tente d’effectuer des mises à jour automatiquement, est activé ou désactivé respectivement. |
definitionUpdatesInterval |
Numérique | Intervalle entre chaque mise à jour automatique des signatures (en secondes). |
offlineDefinitionUpdateUrl |
String | Valeur d’URL générée dans le cadre de la configuration du serveur miroir. Il peut s’agir de l’URL du serveur distant ou d’un répertoire (point de montage local/distant). |
offlineDefinitionUpdate |
enabled /disabled |
enabled Quand la valeur est définie sur , la fonctionnalité « mise à jour du renseignement de sécurité hors connexion » est activée, et vice versa. |
offlineDefinitionUpdateFallbackToCloud |
True /False |
Déterminez l’approche de mise à jour du renseignement de sécurité defender pour point de terminaison lorsque « serveur miroir hors connexion » ne parvient pas à traiter la demande de mise à jour. Si la true valeur est définie sur , la mise à jour est retentée via le cloud Microsoft en cas d’échec de la « mise à jour du renseignement de sécurité hors connexion » ; sinon, inversement. |
offlineDefinitionUpdateVerifySig |
enabled /disabled |
enabled Quand la valeur est définie sur , les définitions téléchargées sont vérifiées sur les points de terminaison ; sinon, inversement. |
Remarque
À ce jour, la fonctionnalité « mise à jour de veille de sécurité hors connexion » peut être configurée sur les points de terminaison Linux via json managé uniquement. L’intégration à la gestion des paramètres de sécurité sur le portail de sécurité est dans notre feuille de route.
Vérifier la configuration
Pour tester si les paramètres sont appliqués correctement sur les points de terminaison Linux, exécutez la commande suivante :
mdatp health --details definitions
Un exemple de sortie ressemble à l’extrait de code suivant :
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Déclenchement des mises à jour du renseignement de sécurité hors connexion
Mise à jour automatique
- Si les champs
automaticDefinitionUpdateEnabled
etoffline_definition_update
dans le json managé sont définis surtrue
, les « mises à jour de veille de sécurité hors connexion » sont déclenchées automatiquement à intervalles réguliers. - Par défaut, cet intervalle périodique est de 8 heures. Mais il peut être configuré en définissant le
definitionUpdatesInterval
paramètre dans le json managé.
Mise à jour manuelle
Pour déclencher manuellement la « mise à jour du renseignement de sécurité hors connexion » afin de télécharger les signatures à partir du serveur miroir sur les points de terminaison Linux, exécutez la commande suivante :
mdatp definitions update
Vérifier les status de mise à jour
Après avoir déclenché la « mise à jour du renseignement de sécurité hors connexion » par la méthode automatique ou manuelle, vérifiez que la mise à jour a réussi en exécutant la commande :
mdatp health --details --definitions
.Vérifiez les champs suivants :
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Résolution des problèmes et diagnostics
Problèmes : Échec de la mise à jour MDATP
- La mise à jour est bloquée ou la mise à jour n’a pas été déclenchée.
- Échec de la mise à jour.
Étapes communes de dépannage
Vérifiez la status de la fonctionnalité « mise à jour du renseignement de sécurité hors connexion » à l’aide de la commande suivante :
mdatp health --details definitions
- Cette commande doit nous fournir un message convivial dans la
definitions_update_fail_reason
section . - Vérifiez si
offline_definition_update
etoffline_definition_update_verify_sig
sont activés. - Vérifiez si
definitions_update_source_uri
est égal àoffline_definition_url_configured
.-
definitions_update_source_uri
est la source à partir de laquelle les signatures ont été téléchargées. -
offline_definition_url_configured
est la source à partir de laquelle les signatures doivent être téléchargées, celle mentionnée dans le fichier de configuration managé.
-
- Cette commande doit nous fournir un message convivial dans la
Essayez d’effectuer le test de connectivité à case activée si miroir serveur est accessible à partir de l’hôte :
mdatp connectivity test
Essayez de déclencher une mise à jour manuelle à l’aide de la commande suivante :
mdatp definitions update