Lire en anglais

Partager via


Nouveautés de Microsoft Defender pour point de terminaison sur Linux

Cet article est fréquemment mis à jour pour vous informer des nouveautés des dernières versions de Microsoft Defender pour point de terminaison sur Linux.

Important

À compter de la version 101.2408.0004, Defender pour point de terminaison sur Linux ne prend plus en charge le fournisseur d’événements Auditd . Nous passons complètement à la technologie eBPF plus efficace. Cette modification permet d’améliorer les performances, de réduire la consommation des ressources et d’améliorer la stabilité globale. La prise en charge d’eBPF est disponible depuis août 2023 et est entièrement intégrée à toutes les mises à jour de Defender pour point de terminaison sur Linux (version 101.23082.0006 et versions ultérieures). Nous vous encourageons vivement à adopter la build eBPF, car elle apporte des améliorations significatives par rapport à Auditd. Si eBPF n’est pas pris en charge sur vos ordinateurs, ou s’il existe des exigences spécifiques pour rester sur Auditd, vous disposez des options suivantes :

  1. Continuez à utiliser la build 101.24072.0000 Defender pour point de terminaison sur Linux avec Auditd. Cette build continuera d’être prise en charge pendant plusieurs mois, de sorte que vous avez le temps de planifier et d’exécuter votre migration vers eBPF.

  2. Si vous utilisez des versions ultérieures 101.24072.0000à , Defender pour point de terminaison sur Linux s’appuie sur netlink comme fournisseur d’événements supplémentaire de sauvegarde. En cas de secours, toutes les opérations de processus continuent de se passer en toute transparence.

Passez en revue votre déploiement actuel de Defender pour point de terminaison sur Linux et commencez à planifier votre migration vers la build prise en charge par eBPF. Pour plus d’informations sur eBPF et son fonctionnement, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux.

Si vous avez des préoccupations ou avez besoin d’aide pendant cette transition, contactez le support technique.

Nov-2024 (Build : 101.24092.0002 | Version de publication : 30.124092.0002.0)

Build de novembre 2024 : 101.24092.0002 | Version de publication : 30.124092.0002.0

 Publication : 14 novembre 2024 Publication : 14 novembre 2024 Build : 101.24092.0002 Version de publication : 30.124092.0002 Version du moteur : 1.1.24080.9 Version de signature : 1.417.659.0

Nouveautés

  • Ajout de la prise en charge des installations renforcées sur les partitions non exécutables /var . À compter de cette version, les signatures antivirus sont installées /opt/microsoft/mdatp/definitions.noindex sur par défaut, au lieu de /var/opt/microsoft/mdatp/definitions.noindex. Pendant les mises à niveau, le programme d’installation tente de migrer les anciennes définitions vers le nouveau chemin, sauf s’il détecte que le chemin est déjà personnalisé (à l’aide mdatp definitions path setde ).

  • À compter de cette version, Defender pour point de terminaison sur Linux n’a plus besoin d’autorisations exécutables pour /var/log. Si ces autorisations ne sont pas disponibles, les fichiers journaux sont automatiquement redirigés vers /opt.

Oct-2024 (Build : 101.24082.0004 | Version de publication : 30.124082.0004.0)

Build de septembre 2024 : 101.24082.0004 | Version de publication : 30.124082.0004.0

 Publication : 15 octobre 2024
 Date de publication : 15 octobre 2024
 Build : 101.24082.0004
 Version de publication : 30.124082.0004
 Version du moteur : 1.1.24080.9
 Version de signature : 1.417.659.0

Nouveautés

  • À compter de cette version, Defender pour point de terminaison sur Linux ne prend plus en charge AuditD en tant que fournisseur d’événements supplémentaire. Pour améliorer la stabilité et les performances, nous sommes complètement passés à eBPF. Si vous désactivez eBPF, ou si eBPF n’est pas pris en charge sur un noyau spécifique, Defender pour point de terminaison sur Linux bascule automatiquement vers Netlink en tant que fournisseur d’événements supplémentaire de secours. Netlink fournit des fonctionnalités réduites et suit uniquement les événements liés au processus. Dans ce cas, toutes les opérations de processus continuent de circuler en toute transparence, mais vous risquez de manquer des événements spécifiques liés aux fichiers et aux sockets qu’eBPF capturerait autrement. Pour plus d’informations, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux. Si vous avez des préoccupations ou avez besoin d’aide pendant cette transition, contactez le support technique.
  • Améliorations de la stabilité et des performances
  • Autres correctifs de bogues
Sept-2024 (Build : 101.24072.0001 | Version de publication : 30.124072.0001.0)

Build de septembre 2024 : 101.24072.0001 | Version de publication : 30.124072.0001.0

 Publication : 23 septembre 2024
 Date de publication : 23 septembre 2024
 Build : 101.24072.0001
 Version de publication : 30.124072.0001.0
 Version du moteur : 1.1.24060.6
 Version de signature : 1.415.228.0

Nouveautés

  • Ajout de la prise en charge d’Ubuntu 24.04
  • Mise à jour de la version du moteur par défaut vers 1.1.24060.6 et de la version des signatures par défaut sur 1.415.228.0.
Juillet-2024 (Build : 101.24062.0001 | Version de publication : 30.124062.0001.0)

Build de juillet-2024 : 101.24062.0001 | Version de publication : 30.124062.0001.0

 Publication : 31 juillet 2024
 Date de publication : 31 juillet 2024
 Build : 101.24062.0001
 Version de publication : 30.124062.0001.0
 Version du moteur : 1.1.24050.7
 Version de signature : 1.411.410.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version.

  • Corrige le bogue dans lequel les informations sur les menaces de ligne de commande infectées ne s’affichaient pas correctement dans le portail de sécurité.
  • Corrige un bogue dans lequel la désactivation d’une fonctionnalité en préversion nécessitait un Defender de point de terminaison pour la désactiver.
  • La fonctionnalité Exclusions globales utilisant json managé est désormais en préversion publique. disponible dans les insiders lent à partir de 101.23092.0012. Pour plus d’informations, consultez exclusions linux.
  • Mise à jour de la version du moteur Linux par défaut vers 1.1.24050.7 et de la version par défaut de sigs vers 1.411.410.0.
  • Améliorations de la stabilité et des performances.
  • Autres correctifs de bogues.
Juin-2024 (Build : 101.24052.0002 | Version de publication : 30.124052.0002.0)

Build de juin 2024 : 101.24052.0002 | Version de publication : 30.124052.0002.0

 Publication : 24 juin 2024
 Date de publication : 24 juin 2024
 Build : 101.24052.0002
 Version de publication : 30.124052.0002.0
 Version du moteur : 1.1.24040.2
 Version de signature : 1.411.153.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version.

  • Cette version corrige un bogue lié à une utilisation élevée de la mémoire, ce qui entraîne finalement une utilisation élevée du processeur en raison d’une fuite de mémoire eBPF dans l’espace du noyau, entraînant des serveurs dans des états inutilisables. Cela n’a affecté que les versions du noyau 3.10x et <= 4.16x, principalement sur les distributions RHEL/CentOS. Effectuez une mise à jour vers la dernière version MDE pour éviter tout impact.
  • Nous avons maintenant simplifié la sortie de mdatp health --detail features
  • Améliorations de la stabilité et des performances.
  • Autres correctifs de bogues.
Mai-2024 (Build : 101.24042.0002 | Version de publication : 30.124042.0002.0)

Build de mai-2024 : 101.24042.0002 | Version de publication : 30.124042.0002.0

 Publication : 29 mai 2024
 Date de publication : 29 mai 2024
 Build : 101.24042.0002
 Version de publication : 30.124042.0002.0
 Version du moteur : 1.1.24030.4
 Version de signature : 1.407.521.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

  • Dans la version 24032.0007, il y a eu un problème connu où l’inscription des appareils à MDE Security Management a échoué lors de l’utilisation du mécanisme « Device Tagging » via le fichier mdatp_managed.json. Ce problème a été résolu dans la version actuelle.
  • Améliorations de la stabilité et des performances.
  • Autres correctifs de bogues.
Mai-2024 (Build : 101.24032.0007 | Version de publication : 30.124032.0007.0)

Build de mai-2024 : 101.24032.0007 | Version de publication : 30.124032.0007.0

 Publication : 15 mai 2024
 Date de publication : 15 mai 2024
 Build : 101.24032.0007
 Version de publication : 30.124032.0007.0
 Version du moteur : 1.1.24020.3
 Version de signature : 1.403.3500.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

  • En mode passif et à la demande, le moteur antivirus reste à l’état inactif et est utilisé uniquement pendant les analyses personnalisées planifiées. Ainsi, dans le cadre de l’amélioration des performances, nous avons apporté des modifications pour maintenir le moteur AV hors service en mode passif et à la demande, sauf pendant les analyses personnalisées planifiées. Si la protection en temps réel est activée, le moteur antivirus est toujours opérationnel. Cela n’aura aucun impact sur la protection de votre serveur dans n’importe quel mode.

    Pour informer les utilisateurs de l’état du moteur antivirus, nous avons introduit un nouveau champ appelé « engine_load_status » dans le cadre de l’intégrité MDATP. Il indique si le moteur antivirus est en cours d’exécution ou non.

    Field name engine_load_status
    Valeurs possibles Le moteur n’est pas chargé (le processus du moteur AV est arrêté), le chargement du moteur a réussi (processus du moteur AV opérationnel)

    Scénarios sains :

    • Si RTP est activé, engine_load_status doit être « Chargement du moteur réussi »
    • Si MDE est en mode passif ou à la demande et que l’analyse personnalisée n’est pas en cours d’exécution, « engine_load_status » doit être « Moteur non chargé »
    • Si MDE est en mode à la demande ou passif et que l’analyse personnalisée est en cours d’exécution, « engine_load_status » doit être « Chargement du moteur réussi »
  • Correctif de bogue pour améliorer les détections comportementales.

  • Améliorations de la stabilité et des performances.

  • Autres correctifs de bogues.

Problèmes connus

  • Il existe un problème connu où l’inscription d’appareils à MDE gestion de la sécurité via le mécanisme « Étiquetage des appareils » à l’aide de mdatp_managed.json échoue dans la version 24032.0007. Pour atténuer ce problème, utilisez la commande CLI mdatp suivante pour étiqueter les appareils :

    sudo mdatp edr tag set --name GROUP --value MDE-Management
    

    Le problème a été résolu dans build : 101.24042.0002

Mars-2024 (Build : 101.24022.0001 | Version de publication : 30.124022.0001.0)

Build de mars-2024 : 101.24022.0001 | Version de publication : 30.124022.0001.0

 Publication : 22 mars 2024
 Date de publication : 22 mars 2024
 Build : 101.24022.0001
 Version de publication : 30.124022.0001.0
 Version du moteur : 1.1.23110.4
 Version de signature : 1.403.87.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

  • Ajout d’un nouveau fichier journal : microsoft_defender_scan_skip.log. Cela journalise les noms de fichiers qui ont été ignorés de diverses analyses antivirus par Microsoft Defender pour point de terminaison pour une raison quelconque.
  • Améliorations de la stabilité et des performances.
  • Corrections de bogues.
Mars-2024 (Build : 101.24012.0001 | Version de publication : 30.124012.0001.0)

Build de mars-2024 : 101.24012.0001 | Version de publication : 30.124012.0001.0

 Publication : 12 mars 2024
 Date de publication : 12 mars 2024
 Build : 101.24012.0001
 Version de publication : 30.124012.0001.0
 Version du moteur : 1.1.23110.4
 Version de signature : 1.403.87.0

Quoi de neuf Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

  • Mise à jour de la version du moteur par défaut vers 1.1.23110.4, et de la version des signatures par défaut sur 1.403.87.0.
  • Améliorations de la stabilité et des performances.
  • Corrections de bogues.
Février-2024 (Build : 101.23122.0002 | Version de publication : 30.123122.0002.0)

Build de février-2024 : 101.23122.0002 | Version de publication : 30.123122.0002.0

 Publication : 5 février 2024
 Date de publication : 5 février 2024
 Build : 101.23122.0002
 Version de publication : 30.123122.0002.0
 Version du moteur : 1.1.23100.2010
 Version de signature : 1.399.1389.0

Quoi de neuf Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

Si vous avez déjà Defender pour point de terminaison en cours d’exécution sur l’une de ces distributions et que vous rencontrez des problèmes dans les versions antérieures, effectuez une mise à niveau vers la dernière version de Defender pour point de terminaison à partir de l’anneau correspondant mentionné ci-dessus. Pour plus d’informations, consultez notre documentation sur le déploiement public .

Notes

Problèmes connus :

Microsoft Defender pour point de terminaison pour Linux sur Rocky et Alma présente actuellement les problèmes connus suivants :

  • La gestion des réponses en direct et des vulnérabilités aux menaces ne sont actuellement pas prises en charge (travail en cours).
  • Les informations sur le système d’exploitation des appareils ne sont pas visibles dans le portail Microsoft Defender
Janvier-2024 (Build : 101.23112.0009 | Version de publication : 30.123112.0009.0)

Build de janvier-2024 : 101.23112.0009 | Version de publication : 30.123112.0009.0

 Publication : 29 janvier 2024
 Date de publication : 29 janvier 2024
 Build : 101.23112.0009
 Version de publication : 30.123112.0009.0
 Version du moteur : 1.1.23100.2010
 Version de signature : 1.399.1389.0

Nouveautés

  • Mise à jour de la version du moteur par défaut vers 1.1.23110.4, et de la version des signatures par défaut sur 1.403.1579.0.
  • Améliorations générales de la stabilité et des performances.
  • Correctif de bogue pour la configuration de la surveillance du comportement.
  • Corrections de bogues.
Novembre-2023 (Build : 101.23102.0003 | Version de publication : 30.123102.0003.0)

Build de novembre-2023 : 101.23102.0003 | Version de publication : 30.123102.0003.0

 Publication : 28 novembre 2023
 Date de publication : 28 novembre 2023
 Build : 101.23102.0003
 Version de publication : 30.123102.0003.0
 Version du moteur : 1.1.23090.2008
 Version de signature : 1.399.690.0

Nouveautés

  • Mise à jour de la version du moteur par défaut vers 1.1.23090.2008, et de la version des signatures par défaut sur 1.399.690.0.
  • Mise à jour de la bibliothèque libcurl vers la version 8.4.0 pour corriger les vulnérabilités récemment divulguées avec l’ancienne version.
  • Mise à jour de la bibliothèque Openssl vers la version 3.1.1 pour corriger les vulnérabilités récemment divulguées avec l’ancienne version.
  • Améliorations générales de la stabilité et des performances.
  • Corrections de bogues.
Novembre-2023 (Build : 101.23092.0012 | Version de publication : 30.123092.0012.0)

Build de novembre 2023 : 101.23092.0012 | Version de publication : 30.123092.0012.0

 Publication : 14 novembre 2023
 Date de publication : 14 novembre 2023
 Build : 101.23092.0012
 Version de publication : 30.123092.0012.0
 Version du moteur : 1.1.23080.2007
 Version de signature : 1.395.1560.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

  • Ajout de la prise en charge de la restauration des menaces en fonction du chemin d’origine à l’aide de la commande suivante :
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
  • À compter de cette version, Microsoft Defender pour point de terminaison sur Linux n’expédiera plus de solution pour RHEL 6.

    RHEL 6 « Prise en charge étendue de la fin de vie » est sur le point de prendre fin le 30 juin 2024 et les clients sont invités à planifier leurs mises à niveau RHEL en conséquence, conformément aux recommandations de Red Hat. Les clients qui doivent exécuter Defender pour point de terminaison sur des serveurs RHEL 6 peuvent continuer à tirer parti de la version 101.23082.0011 (n’expire pas avant le 30 juin 2024) prise en charge sur les versions du noyau 2.6.32-754.49.1.el6.x86_64 ou antérieures.

    • Mise à jour du moteur vers 1.1.23080.2007 et signatures Ver : 1.395.1560.0.
    • L’expérience de connectivité d’appareil simplifiée est désormais en mode préversion publique. blog public
    • Améliorations des performances & correctifs de bogues.

Problèmes connus

Novembre-2023 (Build : 101.23082.0011 | Version de publication : 30.123082.0011.0)

Build de novembre 2023 : 101.23082.0011 | Version de publication : 30.123082.0011.0

 Publication : 1er novembre 2023
 Date de publication : 1er novembre 2023
 Build : 101.23082.0011
 Version de publication : 30.123082.0011.0
 Version du moteur : 1.1.23070.1002
 Version de signature : 1.393.1305.0

Quoi de neuf Cette nouvelle version est la version d’octobre 2023 ('101.23082.0009'') avec l’ajout des modifications suivantes. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.

Correctif pour le mode immuable de audité lorsque le sous-système supplémentaire est ebpf : En mode ebpf, toutes les règles d’audit mdatp doivent être nettoyées après le basculement vers ebpf et le redémarrage. Après le redémarrage, les règles d’audit mdatp n’ont pas été nettoyées, ce qui a entraîné un blocage du serveur. Le correctif nettoie ces règles. L’utilisateur ne doit pas voir de règles mdatp chargées au redémarrage

Correctif pour MDE ne démarre pas sur RHEL 6.

Problèmes connus

Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Octobre-2023 (Build : 101.23082.0009 | Version de publication : 30.123082.0009.0)

Build d’octobre 2023 : 101.23082.0009 | Version de publication : 30.123082.0009.0

 Publication : 9 octobre 2023
 Date de publication : 9 octobre 2023
 Build : 101.23082.0009
 Version de publication : 30.123082.0009.0
 Version du moteur : 1.1.23070.1002
 Version de signature : 1.393.1305.0

Nouveautés

  • Cette nouvelle version est générée sur la version d’octobre 2023 (« 101.23082.0009 ») avec l’ajout de nouveaux certificats d’autorité de certification. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.

Problèmes connus

Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Octobre-2023 (Build : 101.23082.0006 | Version de publication : 30.123082.0006.0)

Build d’octobre 2023 : 101.23082.0006 | Version de publication : 30.123082.0006.0

 Publication : 9 octobre 2023
 Date de publication : 9 octobre 2023
 Build : 101.23082.0006
 Version de publication : 30.123082.0006.0
 Version du moteur : 1.1.23070.1002
 Version de signature : 1.393.1305.0

Nouveautés

  • Mises à jour des fonctionnalités et nouvelles modifications

    • Le capteur eBPF est désormais le fournisseur d’événements supplémentaire par défaut pour les points de terminaison
    • Microsoft Intune fonctionnalité d’attachement de locataire est en préversion publique (à la mi-juillet)
      • Vous devez ajouter « *.dm.microsoft.com » aux exclusions de pare-feu pour que la fonctionnalité fonctionne correctement
    • Defender pour point de terminaison est désormais disponible pour Debian 12 et Amazon Linux 2023
    • Prise en charge de l’activation de la vérification des signatures des mises à jour téléchargées
      • Notez que vous devez mettre à jour le manajed.json comme indiqué ci-dessous

          "features":{
            "OfflineDefinitionUpdateVerifySig":"enabled"
          }
        
      • Prérequis pour activer la fonctionnalité

        • La version du moteur sur l’appareil doit être « 1.1.23080.007 » ou supérieure. Vérifiez la version de votre moteur à l’aide de la commande suivante. mdatp health --field engine_version
    • Option permettant de prendre en charge la surveillance des points de montage NFS et FUSE. Ceux-ci sont ignorés par défaut. L’exemple suivant montre comment surveiller tous les systèmes de fichiers tout en ignorant uniquement NFS :
      "antivirusEngine": {
          "unmonitoredFilesystems": ["nfs"]
      }
    

    Exemple de surveillance de tous les systèmes de fichiers, y compris NFS et FUSE :

    "antivirusEngine": {
        "unmonitoredFilesystems": []
    }
    
    • Autres améliorations des performances
    • Bogue

Problèmes connus

  • Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify. Il existe deux façons d’atténuer ce problème de mise à niveau :
  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Septembre-2023 (Build : 101.23072.0021 | Version de publication : 30.123072.0021.0)

Build de septembre-2023 : 101.23072.0021 | Version de publication : 30.123072.0021.0

 Publication : 11 septembre 2023
 Date de publication : 11 septembre 2023
 Build : 101.23072.0021
 Version de publication : 30.123072.0021.0
 Version du moteur : 1.1.20100.7
 Version de signature : 1.385.1648.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version
    • Dans mde_installer.sh v0.6.3, les utilisateurs peuvent utiliser l’argument --channel pour fournir le canal du référentiel configuré lors du nettoyage. Par exemple, sudo ./mde_installer --clean --channel prod
    • L’extension réseau peut désormais être réinitialisée par les administrateurs à l’aide de mdatp network-protection reset.
    • Autres améliorations des performances
    • Bogue

Problèmes connus

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juillet-2023 (Build : 101.23062.0010 | Version de publication : 30.123062.0010.0)

Build de juillet-2023 : 101.23062.0010 | Version de publication : 30.123062.0010.0

 Publication : 26 juillet 2023
 Date de publication : 26 juillet 2023
 Build : 101.23062.0010
 Version de publication : 30.123062.0010.0
 Version du moteur : 1.1.20100.7
 Version de signature : 1.385.1648.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version

    • Si un proxy est défini pour Defender pour point de terminaison, il est visible dans la sortie de la mdatp health commande
    • Avec cette version, nous avons fourni deux options dans les sources d’événements chauds de diagnostic mdatp :
      1. Fichiers
      2. Exécutables
    • Protection réseau : les Connections qui sont bloquées par la protection réseau et dont le bloc est remplacé par les utilisateurs sont maintenant correctement signalées à Microsoft Defender XDR
    • Amélioration de la journalisation dans les événements de bloc et d’audit de protection réseau pour le débogage
  • Autres correctifs et améliorations

    • À partir de cette version, enforcementLevel est en mode passif par défaut, ce qui donne aux administrateurs plus de contrôle sur l’endroit où ils veulent « RTP sur » dans leur patrimoine
    • Cette modification s’applique uniquement aux nouveaux déploiements MDE, par exemple les serveurs sur lesquels Defender pour point de terminaison est déployé pour la première fois. Dans les scénarios de mise à jour, les serveurs sur lesquels Defender pour point de terminaison est déployé avec RTP ON continuent à fonctionner avec RTP ON, même après la mise à jour vers la version 101.23062.0010
  • Bogue

    • Problème d’altération de la base de données RPM dans Defender Vulnerability Management base de référence a été résolu
  • Autres améliorations des performances

Problèmes connus

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juillet-2023 (Build : 101.23052.0009 | Version de publication : 30.123052.0009.0)

Build de juillet-2023 : 101.23052.0009 | Version de publication : 30.123052.0009.0

 Publication : 10 juillet 2023
 Date de publication : 10 juillet 2023
 Build : 101.23052.0009
 Version de publication : 30.123052.0009.0
 Version du moteur : 1.1.20100.7
 Version de signature : 1.385.1648.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version : le schéma de version de build est mis à jour à partir de cette version. Bien que le numéro de version principale reste identique à celui de 101, le numéro de version mineure comporte désormais cinq chiffres suivis du numéro de correctif à quatre chiffres, c’est-à-dire : 101.xxxxx.yyy Amélioration de la consommation de mémoire de la protection réseau sous contrainte
    • Mise à jour de la version du moteur vers 1.1.20300.5 et de la version de signature vers 1.391.2837.0.
    • Corrections de bogues.

Problèmes connus

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juin-2023 (Build : 101.98.89 | Version de publication : 30.123042.19889.0)

Build de juin 2023 : 101.98.89 | Version de publication : 30.123042.19889.0

 Publication : 12 juin 2023
 Date de publication : 12 juin 2023
 Build : 101.98.89
 Version de publication : 30.123042.19889.0
 Version du moteur : 1.1.20100.7
 Version de signature : 1.385.1648.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version
    • Amélioration de la gestion du proxy de protection réseau.
    • En mode passif, Defender pour point de terminaison n’effectue plus d’analyse lorsque la mise à jour de la définition a lieu.
    • Les appareils continuent d’être protégés même après l’expiration de l’agent Defender pour point de terminaison. Nous vous recommandons de mettre à niveau l’agent Linux Defender pour point de terminaison vers la dernière version disponible pour recevoir des correctifs de bogues, des fonctionnalités et des améliorations des performances.
    • Suppression de la dépendance du package semanage.
    • Mise à jour du moteur vers 1.1.20100.7 et signatures Ver : 1.385.1648.0.
    • Corrections de bogues.

Problèmes connus

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Mai-2023 (Build : 101.98.64 | Version de publication : 30.123032.19864.0)

Build de mai-2023 : 101.98.64 | Version de publication : 30.123032.19864.0

 Publication : 3 mai 2023
 Date de publication : 3 mai 2023
 Build : 101.98.64
 Version de publication : 30.123032.19864.0
 Version du moteur : 1.1.20100.6
 Version de signature : 1.385.68.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version
    • Améliorations des messages d’intégrité pour capturer des détails sur les échecs audités.
    • Améliorations apportées à la gestion des augenrules, ce qui a provoqué l’échec de l’installation.
    • Nettoyage périodique de la mémoire dans le processus du moteur.
    • Correction du problème de mémoire dans le plug-in audisp mdatp.
    • Chemin du répertoire du plug-in manquant géré pendant l’installation.
    • Lorsque l’application en conflit utilise le blocage fanotify, avec la configuration par défaut, l’intégrité mdatp s’affiche non saine. Ce problème est désormais résolu.
    • Prise en charge de l’inspection du trafic ICMP dans BM.
    • Mise à jour du moteur vers 1.1.20100.6 et signatures Ver : 1.385.68.0.
    • Corrections de bogues.

Problèmes connus

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Avril-2023 (Build : 101.98.58 | Version de publication : 30.123022.19858.0)

Build d’avril 2023 : 101.98.58 | Version de publication : 30.123022.19858.0

 Publication : 20 avril 2023
 Date de publication : 20 avril 2023
 Build : 101.98.58
 Version de publication : 30.123022.19858.0
 Version du moteur : 1.1.20000.2
 Version de signature : 1.381.3067.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version
    • Améliorations de la journalisation et du rapport d’erreurs pour audité.
    • Gérer les échecs lors du rechargement de la configuration auditée.
    • Gestion des fichiers de règles audités vides pendant MDE’installation.
    • Mise à jour du moteur vers 1.1.20000.2 et signatures Ver : 1.381.3067.0.
    • Résolution d’un problème d’intégrité dans mdatp qui se produit en raison de refus de selinux.
    • Corrections de bogues.

Problèmes connus

  • Lors de la mise à niveau de mdatp vers la version ou une version 101.94.13 ultérieure, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les commandes suivantes peuvent vous aider à identifier ces règles auditées (les commandes doivent être exécutées en tant que super utilisateur). Effectuez une sauvegarde du fichier suivant : /etc/audit/rules.d/audit.rules, car ces étapes sont uniquement pour identifier les défaillances.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

Il existe deux façons d’atténuer ce problème de mise à niveau :

  1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Mars-2023 (Build : 101.98.30 | Version de publication : 30.123012.19830.0)

Build de mars-2023 : 101.98.30 | Version de publication : 30.123012.19830.0

 Publication : mars , 20 2023
 Date de publication : 20 mars 2023
 Build : 101.98.30
 Version de publication : 30.123012.19830.0
 Version du moteur : 1.1.19900.2
 Version de signature : 1.379.1299.0
Nouveautés

  • Cette nouvelle version est la version de mars 2023 (« 101.98.05 ») avec un correctif pour l’échec des commandes de réponse en direct pour l’un de nos clients. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.

Problèmes connus

  • Avec mdatp version 101.98.30, vous pouvez rencontrer un problème de faux intégrité dans certains cas, car les règles SELinux ne sont pas définies pour certains scénarios. L’avertissement d’intégrité peut ressembler à ceci :

a trouvé des dénis SELinux au cours de la dernière journée. Si MDATP est installé récemment, effacez les journaux d’audit existants ou attendez un jour pour que ce problème soit résolu automatiquement. Use command : "sudo ausearch -i -c 'mdatp_audisp_pl' | grep « type=AVC » | grep " refusé » pour trouver des détails

Le problème peut être atténué en exécutant les commandes suivantes.

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

Ici, my-mdatpaudisppl_v1 représente le nom du module de stratégie. Après avoir exécuté les commandes, attendez 24 heures ou effacez/archivez les journaux d’audit. Les journaux d’audit peuvent être archivés en exécutant la commande suivante

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

Si le problème réapparaît avec des dénis différents. Nous devons réexécuter l’atténuation avec un autre nom de module (par exemple, my-mdatpaudisppl_v2).

Mars-2023 (Build : 101.98.05 | Version de publication : 30.123012.19805.0)

Mars-2023 (Build : 101.98.05 | Version de publication : 30.123012.19805.0)

 Publication : mars , 08 2023
 Date de publication : 8 mars 2023
 Build : 101.98.05
 Version de publication : 30.123012.19805.0
 Version du moteur : 1.1.19900.2
 Version de signature : 1.379.1299.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version.

  • Amélioration de l’exhaustivité des données pour les événements de connexion réseau
  • Amélioration des fonctionnalités de collecte de données pour les modifications de propriété/autorisations de fichier
  • seManage dans une partie du package, pour que les stratégies seLinux peuvent être configurées dans une distribution différente (fixe).
  • Amélioration de la stabilité du démon d’entreprise
  • Chemin d’arrêt audité propre-up
  • Amélioration de la stabilité du flux d’arrêt mdatp.
  • Ajout d’un nouveau champ à wdavstate pour effectuer le suivi de l’heure de mise à jour de la plateforme.
  • Améliorations de la stabilité de l’analyse de l’objet blob d’intégration defender pour point de terminaison.
  • L’analyse ne se poursuit pas si aucune licence valide n’est présente (fixe)
  • Ajout de l’option de suivi des performances à xPlatClientAnalyzer, avec le processus mdatp activé, vide le flux dans all_process.zip fichier qui peut être utilisé pour l’analyse des problèmes de performances.
  • Ajout de la prise en charge dans Defender pour point de terminaison pour les versions de noyau RHEL-6 suivantes :
    • 2.6.32-754.43.1.el6.x86_64
    • 2.6.32-754.49.1.el6.x86_64
  • Autres correctifs

Problèmes connus

  • Lors de la mise à niveau de mdatp vers la version 101.94.13, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les étapes suivantes peuvent vous aider à identifier ces règles auditées (ces commandes doivent être exécutées en tant que super utilisateur). Veillez à sauvegarder le fichier suivant : « /etc/audit/rules.d/audit.rules », car ces étapes sont uniquement pour identifier les défaillances.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

Il existe deux façons d’atténuer le problème lors de la mise à niveau.

Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp. Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp

Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 (Build : 101.94.13 | Version de publication : 30.122112.19413.0)

Jan-2023 (Build : 101.94.13 | Version de publication : 30.122112.19413.0)

 Publication : 10 janvier 2023
 Date de publication : 10 janvier 2023
 Build : 101.94.13
 Version de publication : 30.122112.19413.0
 Version du moteur : 1.1.19700.3
 Version de signature : 1.377.550.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version
    • Ignorer la mise en quarantaine des menaces en mode passif par défaut.
    • La nouvelle configuration, nonExecMountPolicy, peut désormais être utilisée pour spécifier le comportement de RTP sur le point de montage marqué comme noexec.
    • Une nouvelle configuration, unmonitoredFilesystems, peut être utilisée pour annuler la surveillance de certains systèmes de fichiers.
    • Amélioration des performances en cas de charge élevée et dans les scénarios de test de vitesse.
    • Correction d’un problème d’accès aux partages SMB derrière les connexions VPN Cisco AnyConnect.
    • Correction d’un problème avec la protection réseau et SMB.
    • prise en charge du suivi des performances lttng.
    • Améliorations de TVM, eBPF, auditd, télémétrie et mdatp cli.
    • l’intégrité mdatp signale désormais behavior_monitoring
    • Autres correctifs.

Problèmes connus

  • Lors de la mise à niveau de mdatp vers la version 101.94.13, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les étapes suivantes peuvent vous aider à identifier ces règles auditées (ces commandes doivent être exécutées en tant que super utilisateur). Effectuez une sauvegarde du fichier suivant : /etc/audit/rules.d/audit.rules car ces étapes sont uniquement pour identifier les échecs.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

Il existe deux façons d’atténuer le problème lors de la mise à niveau.

Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp

En guise d’alternative à ce qui précède, vous pouvez suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nov-2022 (Build : 101.85.27 | Version de publication : 30.122092.18527.0)

Nov-2022 (Build : 101.85.27 | Version de publication : 30.122092.18527.0)

 Publication : 2 novembre 2022
 Date de publication : 2 novembre 2022
 Build : 101.85.27
 Version de publication : 30.122092.18527.0
 Version du moteur : 1.1.19500.2
 Version de signature : 1.371.1369.0

Nouveautés

  • Il existe plusieurs correctifs et de nouvelles modifications dans cette version
    • Le moteur V2 est par défaut avec cette version et les bits du moteur V1 sont supprimés pour renforcer la sécurité.
    • Le moteur V2 prend en charge le chemin de configuration pour les définitions AV. (chemin d’accès du jeu de définitions mdatp)
    • Suppression des dépendances de packages externes de MDE package. Les dépendances supprimées sont libatomic1, libselinux, libseccomp, libfuse et libuuid
    • Si la collecte des incidents est désactivée par la configuration, le processus de surveillance des incidents n’est pas lancé.
    • Correctifs de performances pour utiliser de manière optimale les événements système pour les fonctionnalités AV.
    • Amélioration de la stabilité lors du redémarrage de mdatp et des problèmes epsext de charge.
    • Autres correctifs

Problèmes connus

Il existe deux façons d’atténuer le problème lors de la mise à niveau.

Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp

En guise d’approche alternative, suivez les instructions pour désinstaller, puis installez la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Sep-2022 (Build : 101.80.97 | Version de publication : 30.122072.18097.0)

Sep-2022 (Build : 101.80.97 | Version de publication : 30.122072.18097.0)

 Publication : 14 septembre 2022
 Date de publication : 14 septembre 2022
 Build : 101.80.97
 Version de publication : 30.122072.18097.0
 Version du moteur : 1.1.19300.3
 Version de signature : 1.369.395.0

Nouveautés

  • Corrige un blocage du noyau observé sur certaines charges de travail client exécutant la version 101.75.43mdatp. Après rca, cela a été attribué à une condition de concurrence lors de la libération de la propriété d’un descripteur de fichier de capteur. La condition de concurrence a été exposée en raison d’une modification récente du produit dans le chemin d’arrêt. Les clients des versions plus récentes du noyau (5.1+) ne sont pas affectés par ce problème. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Problèmes connus

  • Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.80.97. Cette action doit empêcher le problème de se produire.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Après avoir exécuté les commandes, utilisez votre gestionnaire de package pour effectuer la mise à niveau.

En guise d’approche alternative, suivez les instructions pour désinstaller, puis installez la dernière version du package.













Août 2022 (Build : 101.78.13 | Version de publication : 30.122072.17813.0)

Août 2022 (Build : 101.78.13 | Version de publication : 30.122072.17813.0)

 Publication : 24 août 2022
 Publication : 24 août 2022
 Build : 101.78.13
 Version de publication : 30.122072.17813.0
 Version du moteur : 1.1.19300.3
 Version de signature : 1.369.395.0

Nouveautés

  • Restauration en raison de problèmes de fiabilité













Août 2022 (Build : 101.75.43 | Version de publication : 30.122071.17543.0)

Août 2022 (Build : 101.75.43 | Version de publication : 30.122071.17543.0)

 Publication : 2 août 2022
 Publication : 2 août 2022
 Build : 101.75.43
 Version de publication : 30.122071.17543.0
 Version du moteur : 1.1.19300.3
 Version de signature : 1.369.395.0

Nouveautés

  • Ajout de la prise en charge de Red Hat Enterprise Linux version 9.0
  • Ajout d’un nouveau champ dans la sortie de mdatp health qui peut être utilisé pour interroger le niveau d’application de la fonctionnalité de protection réseau. Le nouveau champ est appelé network_protection_enforcement_level et peut prendre l’une des valeurs suivantes : audit, blockou disabled.
  • Résolution d’un bogue de produit où plusieurs détections du même contenu pouvaient entraîner des entrées en double dans l’historique des menaces
  • Résolution d’un problème où l’un des processus générés par le produit (mdatp_audisp_plugin) n’était parfois pas correctement arrêté lorsque le service était arrêté
  • Autres correctifs de bogues













Juil-2022 (Build : 101.73.77 | Version de publication : 30.122062.17377.0)

Juil-2022 (Build : 101.73.77 | Version de publication : 30.122062.17377.0)

 Publication : 21 juillet 2022
 Date de publication : 21 juillet 2022
 Build : 101.73.77
 Version de publication : 30.122062.17377.0
 Version du moteur : 1.1.19200.3
 Version de signature : 1.367.1011.0

Nouveautés

  • Ajout d’une option pour configurer le calcul de hachage de fichier
  • À partir de cette build, le produit a le nouveau moteur anti-programme malveillant par défaut
  • Améliorations des performances pour les opérations de copie de fichiers
  • Bogue













Juin 2022 (Build : 101.71.18 | Version de publication : 30.122052.17118.0)

 Publication : 24 juin 2022
 Date de publication : 24 juin 2022
 Build : 101.71.18
 Version de publication : 30.122052.17118.0

Nouveautés

  • Correctif pour prendre en charge le stockage des définitions dans des emplacements non standard (en dehors de /var) pour les mises à jour de définition v2
  • Correction d’un problème dans le capteur de produit utilisé sur RHEL 6 qui pouvait entraîner un blocage du système d’exploitation
  • mdatp connectivity test a été étendu avec une URL supplémentaire dont le produit a besoin pour fonctionner correctement. La nouvelle URL est https://go.microsoft.com/fwlink/?linkid=2144709.
  • Jusqu’à présent, le niveau de journalisation du produit n’était pas conservé entre les redémarrages du produit. À compter de cette version, il existe un nouveau commutateur d’outil en ligne de commande qui conserve le niveau de journalisation. La nouvelle commande est mdatp log level persist --level <level>.
  • Suppression de la dépendance sur python du package d’installation du produit
  • Améliorations des performances pour les opérations de copie de fichiers et le traitement des événements réseau provenant de auditd
  • Bogue













Mai-2022 (Build : 101.68.80 | Version de publication : 30.122042.16880.0)

Mai-2022 (Build : 101.68.80 | Version de publication : 30.122042.16880.0)

 Publication : 23 mai 2022
 Date de publication : 23 mai 2022
 Build : 101.68.80
 Version de publication : 30.122042.16880.0

Nouveautés

  • Ajout de la prise en charge de la version 2.6.32-754.47.1.el6.x86_64 du noyau lors de l’exécution sur RHEL 6
  • Sur RHEL 6, le produit peut désormais être installé sur les appareils exécutant un noyau d’entreprise incassable (UEK)
  • Correction d’un problème où le nom du processus s’affichait parfois de manière incorrecte comme unknown lors de l’exécution mdatp diagnostic real-time-protection-statistics
  • Correction d’un bogue dans lequel le produit détectait parfois incorrectement des fichiers dans le dossier de quarantaine
  • Correction d’un problème où l’outil mdatp en ligne de commande ne fonctionnait pas quand /opt il était monté en tant que liaison logicielle
  • Améliorations des performances & correctifs de bogues













Mai-2022 (Build : 101.65.77 | Version de publication : 30.122032.16577.0)

Mai-2022 (Build : 101.65.77 | Version de publication : 30.122032.16577.0)

 Publication : 2 mai 2022
 Date de publication : 2 mai 2022
 Build : 101.65.77
 Version de publication : 30.122032.16577.0

Nouveautés

  • Amélioration du conflicting_applications champ dans mdatp health pour afficher uniquement les 10 processus les plus récents et inclure les noms de processus. Cela facilite l’identification des processus potentiellement en conflit avec Microsoft Defender pour point de terminaison pour Linux.
  • Correctifs de bogue



Mars 2022 (Build : 101.62.74 | Version de publication : 30.122022.16274.0)

 Publication : 24 mars 2022
 Date de publication : 24 mars 2022
 Build : 101.62.74
 Version de publication : 30.122022.16274.0

Nouveautés

  • Résolution d’un problème dans lequel le produit bloquait incorrectement l’accès aux fichiers d’une taille supérieure à 2 Go lors de l’exécution sur des versions antérieures du noyau
  • Correctifs de bogue



Mars 2022 (Build : 101.60.93 | Version de publication : 30.122012.16093.0)

Mars 2022 (Build : 101.60.93 | Version de publication : 30.122012.16093.0)

 Publication : 9 mars 2022
 Date de publication : 9 mars 2022
 Build : 101.60.93
 Version de publication : 30.122012.16093.0

Nouveautés

  • Cette version contient une mise à jour de sécurité pour CVE-2022-23278



Mars 2022 (Build : 101.60.05 | Version de publication : 30.122012.16005.0)

 Publication : 3 mars 2022
 Date de publication : 3 mars 2022
 Build : 101.60.05
 Version de publication : 30.122012.16005.0

Nouveautés

  • Ajout de la prise en charge du noyau version 2.6.32-754.43.1.el6.x86_64 pour RHEL 6.10
  • Correctifs de bogue



Février-2022 (Build : 101.58.80 | Version de publication : 30.122012.15880.0)

Février-2022 (Build : 101.58.80 | Version de publication : 30.122012.15880.0)

 Publication : 20 février 2022
 Date de publication : 20 février 2022
 Build : 101.58.80
 Version de publication : 30.122012.15880.0

Nouveautés

  • L’outil en ligne de commande prend désormais en charge la restauration des fichiers mis en quarantaine à un emplacement autre que celui où le fichier a été détecté à l’origine. Cette opération peut être effectuée via mdatp threat quarantine restore --id [threat-id] --path [destination-folder].
  • À partir de cette version, la protection réseau pour Linux peut être évaluée à la demande
  • Correctifs de bogue



Jan-2022 (Build : 101.56.62 | Version de publication : 30.121122.15662.0)

Jan-2022 (Build : 101.56.62 | Version de publication : 30.121122.15662.0)

 Publication : 26 janvier 2022
 Date de publication : 26 janvier 2022
 Build : 101.56.62
 Version de publication : 30.121122.15662.0

Nouveautés

  • Correction d’un incident de produit introduit dans la version 101.53.02 et qui a eu un impact sur plusieurs clients



Jan-2022 (Build : 101.53.02 | Version de publication : (30.121112.15302.0)

 Publication : 8 janvier 2022
 Date de publication : 8 janvier 2022
 Build : 101.53.02
 Version de publication : 30.121112.15302.0

Nouveautés

  • Améliorations des performances & correctifs de bogues
Versions
2021(Build : 101.52.57 | Version de publication : 30.121092.15257.0)

Build : 101.52.57
Version de publication : 30.121092.15257.0

Quoi de neuf

  • Ajout d’une fonctionnalité permettant de détecter les fichiers jar log4j vulnérables utilisés par les applications Java. La machine est régulièrement inspectée pour l’exécution de processus Java avec des fichiers jar log4j chargés. Les informations sont communiquées au back-end Microsoft Defender pour point de terminaison et sont exposées dans la zone Gestion des vulnérabilités du portail.

(Build : 101.47.76 | Version de publication : 30.121092.14776.0)

Build : 101.47.76
Version de publication : 30.121092.14776.0

Nouveautés

  • Ajout d’un nouveau commutateur à l’outil en ligne de commande pour contrôler si les archives sont analysées pendant les analyses à la demande. Cela peut être configuré via mdatp config scan-archives --value [enabled/disabled]. Par défaut, ce paramètre est défini sur activé.

    • Correctifs de bogue
  • (Build : 101.45.13 | Version de publication : 30.121082.14513.0)

    Build : 101.45.13
    Version de publication : 30.121082.14513.0

    Nouveautés

    • À compter de cette version, nous apportons Microsoft Defender pour point de terminaison prise en charge aux distributions suivantes :

      • Versions RHEL6.7-6.10 et CentOS6.7-6.10.
      • Amazon Linux 2
      • Fedora 33 ou version ultérieure
    • Correctifs de bogue

    (Build : 101.45.00 | Version de publication : 30.121072.14500.0)

    Build : 101.45.00
    Version de publication : 30.121072.14500.0

    Nouveautés

    • Ajout de nouveaux commutateurs à l’outil en ligne de commande :
      • Contrôler le degré de parallélisme pour les analyses à la demande. Cela peut être configuré via mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Par défaut, un degré de parallélisme de 2 est utilisé.
      • Contrôler si les analyses après les mises à jour du renseignement de sécurité sont activées ou désactivées. Cela peut être configuré via mdatp config scan-after-definition-update --value [enabled/disabled]. Par défaut, ce paramètre est défini sur enabled.
    • La modification du niveau de journal du produit nécessite désormais une élévation
    • Correctifs de bogue
    (Build : 101.39.98 | Version de publication : 30.121062.13998.0)

    Build : 101.39.98
    Version de publication : 30.121062.13998.0

    Nouveautés

  • Améliorations des performances & correctifs de bogues

  • (Build : 101.34.27 | Version de publication : 30.121052.13427.0)

    Build : 101.34.27
    Version de publication : 30.121052.13427.0

    Nouveautés

  • Améliorations des performances & correctifs de bogues

  • (Build : 101.29.64 | Version de publication : 30.121042.12964.0)

    Build : 101.29.64
    Version de publication : 30.121042.12964.0

    Nouveautés

    • À compter de cette version, les menaces détectées lors des analyses antivirus à la demande déclenchées via le client de ligne de commande sont automatiquement corrigées. Les menaces détectées lors des analyses déclenchées via l’interface utilisateur nécessitent toujours une action manuelle.
    • mdatp diagnostic real-time-protection-statistics prend désormais en charge deux autres commutateurs :
      • --sort: trie la sortie en décroissant par nombre total de fichiers analysés
      • --top N: affiche les N premiers résultats (fonctionne uniquement si --sort est également spécifié)
    • Améliorations des performances & correctifs de bogues
    (Build : 101.25.72 | Version de publication : 30.121022.12563.0)

    Build : 101.25.72
    Version de publication : 30.121022.12563.0

    Nouveautés

  • Microsoft Defender pour point de terminaison sur Linux est désormais disponible en préversion pour les clients du gouvernement des États-Unis. Pour plus d’informations, consultez Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

    • Correction d’un problème où l’utilisation de Microsoft Defender pour point de terminaison sur Linux sur des systèmes avec des systèmes de fichiers FUSE menait au blocage du système d’exploitation
    • Améliorations des performances & d’autres correctifs de bogues
  • (Build : 101.25.63 | Version de publication : 30.121022.12563.0)

    Build : 101.25.63
    Version de publication : 30.121022.12563.0

    Nouveautés

  • Améliorations des performances & correctifs de bogues

  • (Build : 101.23.64 | Version de publication : 30.121021.12364.0)

    Build : 101.23.64
    Version de publication : 30.121021.12364.0

    Nouveautés

  • Amélioration des performances pour la situation où un point de montage entier est ajouté à la liste d’exclusions antivirus. Avant cette version, le produit traitait l’activité de fichier provenant du point de montage. À compter de cette version, l’activité des fichiers pour les points de montage exclus est supprimée, ce qui améliore les performances du produit

    • Ajout d’une nouvelle option à l’outil en ligne de commande pour afficher des informations sur la dernière analyse à la demande. Pour afficher des informations sur la dernière analyse à la demande, exécutez mdatp health --details antivirus
    • Autres améliorations des performances & correctifs de bogues
  • (Build : 101.18.53)

    Build : 101.18.53

    Nouveautés

  • EDR pour Linux est désormais en disponibilité générale

    • Ajout d’un nouveau commutateur de ligne de commande (--ignore-exclusions) pour ignorer les exclusions AV pendant les analyses personnalisées (mdatp scan custom)
    • Étendu mdatp diagnostic create avec un nouveau paramètre (--path [directory]) qui permet d’enregistrer les journaux de diagnostic dans un autre répertoire
    • Améliorations des performances & correctifs de bogues