שתף באמצעות


קביעת תצורה של עדכון בינת אבטחה לא מקוון עבור Microsoft Defender עבור נקודת קצה ב- Linux

חל על:

מסמך זה מתאר את התכונה 'עדכון בינת אבטחה לא מקוון Microsoft Defender עבור נקודת קצה ב- Linux.

תכונה זו מאפשרת לארגון לעדכן את בינת האבטחה (הנקראת גם "הגדרות" או "חתימות" במסמך זה) ב נקודות קצה של Linux בחשיפה מוגבלת או ללא חשיפה לאינטרנט באמצעות שרת אירוח מקומי (שנקרא שרת שיקוף במסמך זה).

שרת שיקוף הוא כל שרת בסביבה של הלקוח, ה יכול להתחבר לענן של Microsoft כדי להוריד את החתימות. נקודות קצה אחרות של Linux שואבות את החתימות משרת המראות במרווח זמן מוגדר מראש.

היתרונות העיקריים כוללים:

  • היכולת לשלוט ולנהל את תדירות הורדות החתימה בשרת המקומי ואת התדירות שבה נקודות הקצה שואבות את החתימות מהשרת המקומי.
  • הוספה של שכבת הגנה ושליטה נוספת ככל שניתן לבדוק את החתימות שהורדו בהתקן בדיקה לפני הפצתן לצי כולו.
  • צמצום רוחב הפס ברשת, וכעת רק שרת מקומי אחד ישאול את MS Cloud כדי לקבל את החתימות העדכניות ביותר בשם הצי כולו.
  • היכולת של השרת המקומי להפעיל כל אחת משלוש מערכות ההפעלה - Windows, Mac, Linux; אין דרישה להתקנת Defender for Endpoint.
  • הקצה משאבים עבור הגנת האנטי-וירוס העדכנית ביותר מאחר שחתימות יורדו תמיד יחד עם מנוע האנטי-וירוס התואם העדכני ביותר.
  • העברת חתימה עם גירסת n-1 לתיקיה גיבוי בשרת המקומי, בכל אתחול. הקצה משאבים כדי למשוך את גירסת החתימה n-1 מתוך תיקיית הגיבוי ל נקודות הקצה שלך, אם קיימת בעיה בחתימה העדכנית ביותר.
  • אפשרות לחזור לעדכונים מקוונים מענן Microsoft (שיטה מסורתית), במקרה של מקרים נדירים של כשל בעדכון לא מקוון.

כיצד פועל עדכון בינת אבטחה לא מקוונת

  • ארגונים צריכים להגדיר שרת שיקוף, שהוא שרת אינטרנט/NFS מקומי שענן Microsoft יכול לגשת אליו.
  • חתימות יורדו מהענן של Microsoft בשרת מראה זה על-ידי ביצוע קובץ Script באמצעות מתזמן משימה/משימה cron בשרת המקומי.
  • נקודות קצה של Linux שמפעילות את Defender for Endpoint שואבות את החתימות שהורדו משרת מראה זה במרווח זמן מוגדר על-ידי המשתמש.
  • חתימות שלפו על נקודות הקצה של Linux מהשרת המקומי מאומתות תחילה לפני שתיטען למנגנון האנטי-וירוס.
  • כדי להפעיל ולהגדיר את תהליך העדכון, עדכן את קובץ json של התצורה המנוהלת ב נקודות הקצה של Linux.
  • ניתן לראות את מצב העדכון ב- mdatp CLI.

דיאגרמת זרימת תהליכים בשרת המראות להורדת עדכוני בינת האבטחה

איור 1: דיאגרמת זרימת תהליך בשרת המראות להורדת עדכוני בינת האבטחה

דיאגרמת זרימת תהליכים ב נקודת הקצה של Linux עבור עדכוני בינת אבטחה

איור 2: דיאגרמת זרימת תהליך ב נקודת הקצה של Linux עבור עדכוני בינת אבטחה

שרת המראות יכול להפעיל כל אחת ממערכות ההפעלה הבאות:

  • Linux (כל טעם)
  • Windows (כל גירסה)
  • Mac (כל גירסה)

דרישות מוקדמות

  • יש להתקין את גירסת נקודת הקצה 101.24022.0001 של Defender עבור גירסה מתקדמת יותר ב נקודות הקצה של Linux.

  • נקודות הקצה של Linux צריכות להיות קישוריות לשרת המראות.

  • נקודת הקצה של Linux חייבת להפעיל כל אחת מההתפלגויות הנתמכות על-ידי Defender for Endpoint.

  • שרת המראות יכול להיות שרת HTTP/HTTPS או שרת שיתוף ברשת, לדוגמה, שרת NFS.

  • לשרת המראות דרושה גישה לכתובות ה- URL הבאות:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709
  • שרת המראות אמור לתמוך ב- Bash או ב- PowerShell.

  • מפרטי המערכת המינימליים הבאים נדרשים עבור שרת המראות:

    ליבת CPU RAM דיסק פנוי להחליף
    2 ליבות (4 ליבות מועדפת) 1 GB של מינימום (4 GB מועדף) 2 GB נייזוי מערכת

    הערה

    תצורה זו עשויה להשתנות בהתאם למספר הבקשות המוגשות ולטעינה שכל שרת חייב לעבד.

קביעת התצורה של שרת המראות

הערה

  • הניהול והבעלות על שרת המראות טמון אך ורק בלקוח מכיוון שהוא שוכן בסביבה הפרטית של הלקוח.
  • שרת המראות אינו חייב להיות מותקן ב- Defender for Endpoint.

קבל את קובץ ה- Script של מוריד בינת האבטחה הלא מקוונת

Microsoft מארחת קובץ Script של מוריד בינת אבטחה לא מקוונת על מאגר זה של GitHub.

בצע את השלבים הבאים כדי לקבל את קובץ ה- Script של מוריד ההורדות:

אפשרות 1: שכפל את ההפצה (מועדף)

  • התקן git בשרת המראות.
  • נווט אל הספריה שבה ברצונך לשכפל את הה מאגר.
  • בצע את הפקודה: git clone https://github.com/microsoft/mdatp-xplat.git

אפשרות 2: הורד את קובץ ה- zip

  • הורד מכאן את קובץ ה- Zip של ה- Repo.

  • העתק את קובץ ה- zip לתיקיה שבה ברצונך לשמור את קובץ ה- Script.

  • חלץ את המיקוד.

הערה

תזמן משימת cron כדי לשמור על ההפצה/הורדת קובץ zip מעודכן לגירסה העדכנית ביותר במרווחי זמן קבועים.

לאחר שכפול קובץ ה- zip של ההפצה/הורדתו, מבנה מדריך הכתובות המקומי אמור להיות כך:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

הערה

עבור על הקובץ README.md כדי להבין בפירוט כיצד להשתמש בקובץ ה- Script.

הקובץ settings.json מורכב מכמה משתנים שהמשתמש יכול לקבוע את תצורתם כדי לקבוע את הפלט של ביצוע קובץ ה- Script.

שם שדה ערך: תיאור
downloadFolder מחרוזת ממפה למיקום שאליו קובץ ה- Script מוריד את הקבצים.
downloadLinuxUpdates בול כאשר הוא מוגדר ל true- , קובץ ה- Script מוריד את העדכונים הספציפיים של Linux ל- downloadFolder.
logFilePath מחרוזת הגדרת יומני האבחון בתיקיה נתונה. ניתן לשתף קובץ זה עם Microsoft לאיתור באגים בקובץ ה- Script אם קיימות בעיות.
downloadMacUpdates בול קובץ ה- Script מוריד את העדכונים הספציפיים ל- Mac ל- downloadFolder.
downloadPreviewUpdates בול מוריד את גירסת התצוגה המקדימה של העדכונים הזמינים עבור מערכת ההפעלה הספציפית.
backupPreviousUpdates בול מאפשר ל- Script להעתיק את העדכון הקודם בתיקיה _back , והעדכונים החדשים יורדו אל downloadFolder.

ביצוע קובץ ה- Script של מוריד בינת האבטחה הלא מקוון

כדי לבצע באופן ידני את קובץ ה- Script של מוריד ההורדות, settings.json קבע את תצורת הפרמטרים בקובץ לפי התיאור בסעיף הקודם והשתמש באחת מהפקודות הבאות בהתבסס על מערכת ההפעלה של שרת המראות:

  • ההפצה תם:

    ./xplat_offline_updates_download.sh
    
  • PowerShell:

    ./xplat_offline_updates_download.ps1
    

הערה

תזמן משימת cron לביצוע קובץ Script זה כדי להוריד את עדכוני בינת האבטחה העדכניים ביותר בשרת המראה במרווחי זמן קבועים.

ארח את עדכוני בינת האבטחה הלא מקוונת בשרת המראות

לאחר הפעלת קובץ ה- Script, החתימות העדכניות ביותר יורדו לתיקיה שתצורתה נקבעה settings.json בקובץ (updates.zip).

לאחר הורדת zip החתימות, ניתן להשתמש בשרת המראות כדי לארח אותו. ניתן לארח את שרת המראות באמצעות כל אחד משרתי השיתוף של HTTP/HTTPS/רשת.

לאחר האירוח, העתק את הנתיב המוחלט של השרת המתארח (עד הספריה ולא כולל arch_* אותה).

לדוגמה, אם קובץ ה- Script מבוצע עם downloadFolder=/tmp/wdav-update, ו- HTTP Server (www.example.server.com:8000) מארח /tmp/wdav-update את הנתיב, ה- URI המתאים הוא: www.example.server.com:8000/linux/production/.

ניתן גם להשתמש בנתיב המוחלט של מדריך הכתובות (נקודת טעינה מקומית/מרוחקת) כגון /tmp/wdav-update/linux/production.

לאחר הגדרת שרת המראות, עלינו להוסיף כתובת URL זו ל נקודות הקצה של Linux offlineDefinitionUpdateUrl כתצורה המנוהלת כמתואר בסעיף הבא.

קביעת התצורה של נקודות הקצה

השתמש בדוגמה הבאה mdatp_managed.json ועדכן את הפרמטרים לפי התצורה והעתק את הקובץ למיקום /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}
שם שדה ערכים תגובות/הערות
automaticDefinitionUpdateEnabled True/False קובע את אופן הפעולה של Defender for Endpoint שינסה לבצע עדכונים באופן אוטומטי, מופעל או מבוטל בהתאמה.
definitionUpdatesInterval מספריים זמן מרווח זמן בין כל עדכון אוטומטי של חתימות (בשניות).
offlineDefinitionUpdateUrl מחרוזת ערך כתובת URL שנוצר כחלק מהגדרת שרת המראות. זה יכול להיות במונחים של כתובת ה- URL של השרת המרוחק או מדריך כתובות (נקודת טעינה מקומית/מרוחקת).
offlineDefinitionUpdate enabled/disabled כאשר התכונה 'עדכון enabledבינת אבטחה לא מקוונת' מוגדרת כזמינה, ולהיפך.
offlineDefinitionUpdateFallbackToCloud True/False קבע את הגישה של עדכון בינת האבטחה של Defender for Endpoint כאשר "שרת שיקוף לא מקוון" אינו משרת את בקשת העדכון. אם ההגדרה היא true, המערכת תבדוק שוב את העדכון דרך הענן של Microsoft כאשר "עדכון בינת אבטחה לא מקוון" נכשל; אחרת, להיפך.
offlineDefinitionUpdateVerifySig enabled/disabled כאשר הגדרה זו מוגדרת enabledל- , הגדרות שהורדו מאומתות ב נקודות הקצה; אחרת, להפך.

הערה

נכון להיום, ניתן להגדיר את התכונה 'עדכון בינת אבטחה לא מקוונת' ב נקודות קצה של Linux באמצעות json מנוהל בלבד. שילוב עם ניהול הגדרות אבטחה בפורטל האבטחה נמצא במפת הדרכים שלנו.

אמת את התצורה

כדי לבדוק אם ההגדרות מוחלות כראוי על נקודות הקצה של Linux, הפעל את הפקודה הבאה:

mdatp health --details definitions

פלט לדוגמה יראה כמו מקטע הקוד הבא:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

הפעלת עדכוני בינת האבטחה הלא מקוונת

עדכון אוטומטי

  • אם רמת האכיפהreal_timeעבור מנגנון האנטי-וירוס מוגדרת ל- , automaticDefinitionUpdateEnabledoffline_definition_update והשדות וב- json trueהמנוהל מוגדרים ל- , עדכוני בינת האבטחה הלא מקוונים מופעלים באופן אוטומטי במרווחים תקופתיים.
  • כברירת מחדל, מרווח תקופתי זה הוא 8 שעות. אך ניתן לקבוע את תצורתו על-ידי הגדרת הפרמטר definitionUpdatesInterval ב- json המנוהל.

עדכון ידני

  • כדי להפעיל את "עדכון בינת האבטחה הלא מקוון" באופן ידני כדי להוריד את החתימות משרת המראות ב נקודות הקצה של Linux, הפעל את הפקודה הבאה:

    mdatp definitions update
    

בדוק את מצב העדכון

  • לאחר הפעלת "עדכון בינת האבטחה הלא מקוונת" באמצעות השיטה האוטומטית או הידני, ודא שהעדכון בוצע בהצלחה על-ידי הפעלת הפקודה: mdatp health --details --definitions.

  • אמת את השדות הבאים:

    user@vm:~$ mdatp health --details definitions
    ...
    definitions_status                          : "up_to_date"
    ...
    definitions_update_fail_reason              : ""
    ...
    

פתרון בעיות ואבחון

בעיות: כשל בעדכון MDATP

  • העדכון נתקע, או שהעדכון לא מופעל.
  • העדכון נכשל.

פעולות נוספות לפתרון בעיות:

  • בדוק את מצב התכונה 'עדכון בינת אבטחה לא מקוון' באמצעות הפקודה הבאה:

    mdatp health --details definitions
    
    • פקודה זו אמורה לספק לנו הודעה ידידותית למשתמש במקטע definitions_update_fail_reason .
    • בדוק אם offline_definition_update הם offline_definition_update_verify_sig זמינים.
    • בדוק אם definitions_update_source_uri שווה ל- offline_definition_url_configured.
      • definitions_update_source_uri הוא המקור ממנו הורדו החתימות.
      • offline_definition_url_configured הוא המקור ממנו יש להוריד חתימות, זו המוזכרת בקובץ התצורה המנוהלת.
  • נסה לבצע את בדיקת הקישוריות כדי לבדוק אם ניתן לגשת לשרת שיקוף מהמארח:

    mdatp connectivity test
    
  • נסה להפעיל עדכון ידני באמצעות הפקודה הבאה:

    mdatp definitions update