Share via


קביעת תצורה של עדכון בינת אבטחה לא מקוונת עבור Microsoft Defender עבור נקודת קצה ב- Linux

חל על:

מסמך זה מתאר את התכונה 'עדכון בינת אבטחה לא מקוון Microsoft Defender עבור נקודת קצה ב- Linux.

חשוב

המידע במאמר זה מתייחס למוצר קדם-הפצה שעשוי להשתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

תכונה זו מאפשרת לארגון לעדכן את בינת האבטחה (הנקראת גם הגדרות או חתימות במסמך זה) ב נקודות קצה של Linux עם חשיפה מוגבלת או ללא חשיפה לאינטרנט באמצעות שרת אירוח מקומי (נקרא שרת שיקוף במסמך זה).

Mirror Server הוא כל שרת בסביבה של הלקוח, ה יכול להתחבר לענן של Microsoft כדי להוריד את החתימות. נקודות קצה אחרות של Linux שואבות את החתימות משרת המראות במרווח זמן מוגדר מראש.

היתרונות העיקריים כוללים:

  • היכולת לשלוט ולנהל את תדירות הורדות החתימה בשרת המקומי & את התדירות שבה נקודות קצה שואבות את החתימות מהשרת המקומי.
  • הוספת שכבה נוספת של & שליטה בזמן שניתן לבדוק את החתימות שהורדו בהתקן בדיקה לפני הפצתן לצי כולו.
  • צמצום רוחב הפס ברשת, וכעת רק שרת מקומי אחד ישאול את MS cloud כדי לקבל את החתימות העדכניות ביותר בשם הצי כולו.
  • השרת המקומי יכול להפעיל כל אחת משלוש מערכות ההפעלה - Windows, Mac, Linux, והוא אינו נדרש להתקנת Defender for Endpoint.
  • מספק את הגנת האנטי-וירוס העדכנית ביותר מאחר שחתימות יורדו תמיד יחד עם מנוע AV התואם העדכני ביותר.
  • בכל אתחול, חתימה עם גירסת n-1 מועברת לתיקיית גיבוי בשרת המקומי. אם קיימת בעיה עם החתימה העדכנית ביותר, באפשרותך למשוך את גירסת החתימה n-1 מתוך תיקיית הגיבוי ל נקודות הקצה שלך.
  • במקרים נדירים העדכון הלא מקוון נכשל, באפשרותך גם לבחור לבצע גיבוי לעדכונים מקוונים מהענן של Microsoft (שיטה מסורתית).

כיצד פועל עדכון בינת אבטחה לא מקוונת

  • ארגונים צריכים להגדיר שרת שיקוף, שהוא שרת אינטרנט/NFS מקומי שענן Microsoft יכול לגשת אליו.
  • חתימות יורדו מ- Microsoft Cloud בשרת Mirror זה על-ידי ביצוע קובץ Script באמצעות מתזמן משימה/משימה cron בשרת המקומי.
  • נקודות קצה של Linux שמפעילות את Defender for Endpoint שואבות את החתימות שהורדו משרת שיקוף זה במרווח זמן מוגדר על-ידי המשתמש.
  • חתימות שלפו על נקודות הקצה של Linux מהשרת המקומי מאומתות תחילה לפני טעינתן במנגנון האנטי-וירוס.
  • כדי להפעיל ולהגדיר את תהליך העדכון, עדכן את קובץ json של התצורה המנוהלת ב נקודות הקצה של Linux.
  • ניתן לראות את מצב העדכון ב- mdatp CLI.

דיאגרמת זרימת תהליכים בשרת המראות להורדת עדכוני בינת האבטחה איור 1: דיאגרמת זרימת תהליך בשרת המראות להורדת עדכוני בינת האבטחה

דיאגרמת זרימת תהליכים ב נקודת הקצה של Linux עבור עדכוני בינת אבטחה

איור 2: דיאגרמת זרימת תהליך ב נקודת הקצה של Linux עבור עדכוני בינת אבטחה

דרישות מוקדמות

  • יש להתקין את Defender for Endpoint גירסה "101.24022.0001" ואילך ב נקודות הקצה של Linux.

  • נקודות הקצה של Linux צריכות להיות קישוריות לשרת המראות.

  • נקודת הקצה של Linux חייבת להפעיל כל אחת מההתפלגויות הנתמכות של Defender for Endpoint.

  • שרת המראות יכול להיות שרת HTTP/ HTTPS או שרת שיתוף ברשת. לדוגמה, שרת NFS.

  • לשרת שיקוף דרושה גישה לכתובות ה- URL הבאות:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709
  • מערכות ההפעלה הבאות נתמכות בשרת Mirror:

    • Linux (כל טעם)
    • Windows (כל גירסה)
    • Mac (כל גירסה)
  • שרת המראות אמור לתמוך ב- Bash או ב- PowerShell.

  • מפרטי המערכת המינימליים הבאים נדרשים עבור שרת המראות:

    ליבת CPU Ram דיסק פנוי להחליף
    2 ליבות (4 ליבות מועדפת) 1 GB של מינימום (4 GB מועדף) 2 GB נייזוי מערכת

    הערה

    תצורה זו עשויה להשתנות בהתאם למספר הבקשות המוגשות ולטעינה שכל שרת חייב לעבד.

קביעת התצורה של שרת המראות

הערה

הניהול והבעלות על שרת המראות טמון אך ורק בלקוח מכיוון שהוא שוכן בסביבה הפרטית של הלקוח.

הערה

שרת המראות אינו חייב להיות מותקן ב- Defender for Endpoint.

קבל את קובץ ה- Script של מוריד בינת האבטחה הלא מקוונת

Microsoft מארחת קובץ Script של מוריד בינת אבטחה לא מקוונת על מאגר זה של GitHub.

בצע שלבים אלה כדי לקבל את קובץ ה- Script של מוריד ההורדות:

אפשרות 1: שכפל את ההפצה (מועדף)

  • התקן gitבשרת המראות.
  • נווט אל הספריה שבה ברצונך לשכפל את הה מאגר.
  • בצע את הפקודה: git clone https://github.com/microsoft/mdatp-xplat.git

אפשרות 2: הורד את קובץ ה- zip

  • הורד מכאן את קובץ ה- zip של ה- repo

  • העתק את קובץ ה- zip לתיקיה שבה ברצונך לשמור את קובץ ה- Script

  • חלץ את ה- Zip

הערה

תזמן משימת cron כדי לשמור על ההפצה/הורדת קובץ zip מעודכן לגירסה העדכנית ביותר במרווחי זמן קבועים.

לאחר שכפול קובץ ה- zip של ההפצה/הורדתו, מבנה מדריך הכתובות המקומי אמור להיות כך:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

הערה

עבור על README.md כדי להבין בפירוט כיצד להשתמש בקובץ ה- Script.

הקובץ settings.json מורכב מכמה משתנים שהמשתמש יכול לקבוע את תצורתם כדי לקבוע את הפלט של ביצוע קובץ ה- Script.

שם שדה ערך: תיאור
downloadFolder מחרוזת ממפה למיקום שאליו קובץ ה- Script מוריד את הקבצים
downloadLinuxUpdates בול כאשר הוא מוגדר ל true- , קובץ ה- Script מוריד את העדכונים הספציפיים של Linux ל- downloadFolder
logFilePath מחרוזת הגדרת יומני האבחון בתיקיה נתונה. ניתן לשתף קובץ זה עם Microsoft לאיתור באגים בקובץ ה- Script אם קיימות בעיות
downloadMacUpdates בול קובץ ה- Script מוריד את העדכונים הספציפיים של Mac ל- downloadFolder
downloadPreviewUpdates בול הורדת גירסת התצוגה המקדימה של העדכונים הזמינים עבור מערכת ההפעלה הספציפית
backupPreviousUpdates בול מתן אפשרות ל- Script להעתיק את העדכון הקודם _back, והעדכונים החדשים יורדו אל downloadFolder

ביצוע קובץ ה- Script של מוריד בינת האבטחה הלא מקוון

כדי לבצע באופן ידני את קובץ ה- Script של מוריד ההורדות, settings.json קבע את תצורת הפרמטרים בקובץ לפי התיאור בסעיף הקודם והשתמש באחת מהפקודות הבאות בהתבסס על מערכת ההפעלה של Mirror Server:

  • Bash:

    ./xplat_offline_updates_download.sh
    
  • Powershell:

    ./xplat_offline_updates_download.ps1
    

הערה

תזמן משימת cron לביצוע קובץ Script זה כדי להוריד את עדכוני בינת האבטחה העדכניים ביותר בשרת המראה במרווחי זמן קבועים.

ארח את עדכוני בינת האבטחה הלא מקוונים בשרת המראות

לאחר הפעלת קובץ ה- Script, החתימות העדכניות ביותר יורדו לתיקיה שתצורתה נקבעה settings.json בקובץ (updates.zip).

לאחר הורדת zip החתימות, ניתן להשתמש בשרת המראות כדי לארח אותו. ניתן לארח את שרת המראות באמצעות כל שרתי HTTP / HTTPS / שיתוף רשת.

לאחר האירוח, העתק את הנתיב המוחלט של השרת המתארח (עד הספריה ולא כולל arch_* אותה).

לדוגמה, אם קובץ ה- Script מבוצע עם downloadFolder=/tmp/wdav-update, ו- HTTP Server (www.example.server.com:8000) מארח /tmp/wdav-update את הנתיב, ה- URI המתאים הוא: www.example.server.com:8000/linux/production/

לאחר הגדרת שרת המראות, עלינו להוסיף כתובת URL זו ל נקודות הקצה של Linux באמצעות התצורה המנוהלת, כמתואר בסעיף הבא.

קביעת התצורה של נקודות הקצה

  • השתמש בדוגמה הבאה mdatp_managed.json ועדכן את הפרמטרים לפי התצורה והעתק את הקובץ למיקום /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefintionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
שם שדה ערכים תגובות/הערות
automaticDefinitionUpdateEnabled True / False קובע את אופן הפעולה של Defender for Endpoint שינסה לבצע עדכונים באופן אוטומטי, מופעל או מבוטל בהתאמה.
definitionUpdatesInterval מספריים זמן מרווח זמן בין כל עדכון אוטומטי של חתימות (בשניות).
offlineDefinitionUpdateUrl מחרוזת ערך כתובת URL שנוצר כחלק מההגדרה של שרת המראות.
offlineDefinitionUpdate enabled / disabled כאשר אפשרות זו מוגדרת enabledל- , התכונה של עדכון בינת האבטחה הלא מקוונת זמינה, ולהיפך.
offlineDefinitionUpdateFallbackToCloud True / False קבע את הגישה של עדכון בינת האבטחה של Defender for Endpoint כאשר שרת המראות הלא מקוון אינו משרת את בקשת העדכון. אם העדכון הוגדר כ- True, המערכת תבדוק שוב באמצעות הענן של Microsoft כאשר עדכון בינת האבטחה הלא מקוון נכשל, אחרת ההיפך.
offlineDefinitionUpdateVerifySig enabled / disabled כאשר הגדרה זו מוגדרת enabledל- , הגדרות שהורדו מאומתות ב נקודות הקצה, אחרת, ההיפך.

הערה

נכון להיום, ניתן להגדיר את תכונת עדכון בינת האבטחה הלא מקוונת ב נקודות קצה של Linux באמצעות json מנוהל בלבד. שילוב עם ניהול הגדרות אבטחה בפורטל האבטחה נמצא במפת הדרכים שלנו.

אמת את התצורה

כדי לבדוק אם ההגדרות מוחלות כראוי על נקודות הקצה של Linux, הפעל את הפקודה הבאה:

mdatp health --details definitions

פלט לדוגמה יראה כמו מקטע הקוד הבא:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

מפעיל את רשימת בינת האבטחה הלא עדכונים

עדכון אוטומטי

  • אם השדות automaticDefinitionUpdateEnabled ו- 'offline_definition_update' ב- json המנוהל מוגדרים כ- True, עדכוני בינת האבטחה הלא מקוונים מופעלים באופן אוטומטי במרווחי זמן תקופתיים.
  • כברירת מחדל, מרווח תקופתי זה הוא 8 שעות. אך ניתן לקבוע את תצורתו על-ידי הגדרת ב definitionUpdatesInterval - json המנוהל.

עדכון ידני

  • כדי להפעיל את עדכון בינת האבטחה הלא מקוונת באופן ידני כדי להוריד את החתימות משרת המראות ב נקודות הקצה של Linux, הפעל את הפקודה:

    mdatp definitions update
    

בדוק את מצב העדכון

  • לאחר הפעלת עדכון בינת האבטחה הלא מקוונת באמצעות השיטה האוטומטית או הידני, ודא שהעדכון הצליח על-ידי הפעלת הפקודה: mdatp health --details --definitions.

  • אמת את השדות הבאים:

    user@vm:~$ mdatp health --details definitions
    ...
    definitions_status                          : "up_to_date"
    ...
    definitions_update_fail_reason              : ""
    ...
    

פתרון בעיות ואבחון

בעיות: כשל בעדכון MDATP

  • העדכון נתקע, או שהעדכון לא מופעל.
  • העדכון נכשל.

שלבי פתרון בעיות נפוצים

  • בדוק את המצב של תכונת עדכון בינת האבטחה הלא מקוון באמצעות הפקודה:

    mdatp health --details definitions
    
    • פקודה זו אמורה לספק לנו הודעה ידידותית למשתמש במקטע definitions_update_fail_reason .
    • בדוק אם offline_definition_update האפשרות offline_definition_update_verify_sig זמינה.
    • בדוק אם definitions_update_source_uri שווה ל offline_definition_url_configured
      • definitions_update_source_uri הוא המקור ממנו הורדו החתימות.
      • offline_definition_url_configured הוא המקור ממנו יש להוריד חתימות, זו המוזכרת בקובץ התצורה המנוהלת.
  • נסה לבצע את בדיקת הקישוריות כדי לבדוק אם שרת המראות נגיש מהמארח:

    mdatp connectivity test
    
  • נסה להפעיל עדכון ידני באמצעות הפקודה:

    mdatp definitions update
    

בעיות ידועות:

עדכון חתימה לא מקוון עלול להיכשל בתרחיש הבא:

הפעלת את התכונה, החלת את עדכוני החתימה ולאחר מכן ביטלת את התכונה כדי להחיל עדכוני חתימה נוספים מהענן, ולאחר מכן הפעלת מחדש את התכונה עבור עדכוני חתימה נוספים.

שלבי צמצום סיכונים:

תיקון לבעיה זו מתוכנן להפצה בקרוב.

קובץ Script של מוריד

תזמון משימת cron