קביעת תצורה של עדכון בינת אבטחה לא מקוון עבור Microsoft Defender עבור נקודת קצה ב- Linux
חל על:
- Microsoft Defender עבור נקודת קצה Server
- Microsoft Defender עבור שרתים
מסמך זה מתאר את התכונה 'עדכון בינת אבטחה לא מקוון Microsoft Defender עבור נקודת קצה ב- Linux.
תכונה זו מאפשרת לארגון לעדכן את בינת האבטחה (הנקראת גם "הגדרות" או "חתימות" במסמך זה) ב נקודות קצה של Linux בחשיפה מוגבלת או ללא חשיפה לאינטרנט באמצעות שרת אירוח מקומי (שנקרא שרת שיקוף במסמך זה).
שרת שיקוף הוא כל שרת בסביבה של הלקוח, ה יכול להתחבר לענן של Microsoft כדי להוריד את החתימות. נקודות קצה אחרות של Linux שואבות את החתימות משרת המראות במרווח זמן מוגדר מראש.
היתרונות העיקריים כוללים:
- היכולת לשלוט ולנהל את תדירות הורדות החתימה בשרת המקומי ואת התדירות שבה נקודות הקצה שואבות את החתימות מהשרת המקומי.
- הוספה של שכבת הגנה ושליטה נוספת ככל שניתן לבדוק את החתימות שהורדו בהתקן בדיקה לפני הפצתן לצי כולו.
- צמצום רוחב הפס ברשת, וכעת רק שרת מקומי אחד ישאול את MS Cloud כדי לקבל את החתימות העדכניות ביותר בשם הצי כולו.
- היכולת של השרת המקומי להפעיל כל אחת משלוש מערכות ההפעלה - Windows, Mac, Linux; אין דרישה להתקנת Defender for Endpoint.
- הקצה משאבים עבור הגנת האנטי-וירוס העדכנית ביותר מאחר שחתימות יורדו תמיד יחד עם מנוע האנטי-וירוס התואם העדכני ביותר.
- העברת חתימה עם גירסת n-1 לתיקיה גיבוי בשרת המקומי, בכל אתחול. הקצה משאבים כדי למשוך את גירסת החתימה n-1 מתוך תיקיית הגיבוי ל נקודות הקצה שלך, אם קיימת בעיה בחתימה העדכנית ביותר.
- אפשרות לחזור לעדכונים מקוונים מענן Microsoft (שיטה מסורתית), במקרה של מקרים נדירים של כשל בעדכון לא מקוון.
כיצד פועל עדכון בינת אבטחה לא מקוונת
- ארגונים צריכים להגדיר שרת שיקוף, שהוא שרת אינטרנט/NFS מקומי שענן Microsoft יכול לגשת אליו.
- חתימות יורדו מהענן של Microsoft בשרת מראה זה על-ידי ביצוע קובץ Script באמצעות מתזמן משימה/משימה cron בשרת המקומי.
- נקודות קצה של Linux שמפעילות את Defender for Endpoint שואבות את החתימות שהורדו משרת מראה זה במרווח זמן מוגדר על-ידי המשתמש.
- חתימות שלפו על נקודות הקצה של Linux מהשרת המקומי מאומתות תחילה לפני שתיטען למנגנון האנטי-וירוס.
- כדי להפעיל ולהגדיר את תהליך העדכון, עדכן את קובץ json של התצורה המנוהלת ב נקודות הקצה של Linux.
- ניתן לראות את מצב העדכון ב- mdatp CLI.
איור 1: דיאגרמת זרימת תהליך בשרת המראות להורדת עדכוני בינת האבטחה
איור 2: דיאגרמת זרימת תהליך ב נקודת הקצה של Linux עבור עדכוני בינת אבטחה
שרת המראות יכול להפעיל כל אחת ממערכות ההפעלה הבאות:
- Linux (כל טעם)
- Windows (כל גירסה)
- Mac (כל גירסה)
דרישות מוקדמות
יש להתקין את גירסת נקודת הקצה
101.24022.0001
של Defender עבור גירסה מתקדמת יותר ב נקודות הקצה של Linux.נקודות הקצה של Linux צריכות להיות קישוריות לשרת המראות.
נקודת הקצה של Linux חייבת להפעיל כל אחת מההתפלגויות הנתמכות על-ידי Defender for Endpoint.
שרת המראות יכול להיות שרת HTTP/HTTPS או שרת שיתוף ברשת, לדוגמה, שרת NFS.
לשרת המראות דרושה גישה לכתובות ה- URL הבאות:
https://github.com/microsoft/mdatp-xplat.git
https://go.microsoft.com/fwlink/?linkid=2144709
שרת המראות אמור לתמוך ב- Bash או ב- PowerShell.
מפרטי המערכת המינימליים הבאים נדרשים עבור שרת המראות:
ליבת CPU RAM דיסק פנוי להחליף 2 ליבות (4 ליבות מועדפת) 1 GB של מינימום (4 GB מועדף) 2 GB נייזוי מערכת הערה
תצורה זו עשויה להשתנות בהתאם למספר הבקשות המוגשות ולטעינה שכל שרת חייב לעבד.
קביעת התצורה של שרת המראות
הערה
- הניהול והבעלות על שרת המראות טמון אך ורק בלקוח מכיוון שהוא שוכן בסביבה הפרטית של הלקוח.
- שרת המראות אינו חייב להיות מותקן ב- Defender for Endpoint.
קבל את קובץ ה- Script של מוריד בינת האבטחה הלא מקוונת
Microsoft מארחת קובץ Script של מוריד בינת אבטחה לא מקוונת על מאגר זה של GitHub.
בצע את השלבים הבאים כדי לקבל את קובץ ה- Script של מוריד ההורדות:
אפשרות 1: שכפל את ההפצה (מועדף)
- התקן git בשרת המראות.
- נווט אל הספריה שבה ברצונך לשכפל את הה מאגר.
- בצע את הפקודה:
git clone https://github.com/microsoft/mdatp-xplat.git
אפשרות 2: הורד את קובץ ה- zip
הורד מכאן את קובץ ה- Zip של ה- Repo.
העתק את קובץ ה- zip לתיקיה שבה ברצונך לשמור את קובץ ה- Script.
חלץ את המיקוד.
הערה
תזמן משימת cron כדי לשמור על ההפצה/הורדת קובץ zip מעודכן לגירסה העדכנית ביותר במרווחי זמן קבועים.
לאחר שכפול קובץ ה- zip של ההפצה/הורדתו, מבנה מדריך הכתובות המקומי אמור להיות כך:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
הערה
עבור על הקובץ README.md
כדי להבין בפירוט כיצד להשתמש בקובץ ה- Script.
הקובץ settings.json
מורכב מכמה משתנים שהמשתמש יכול לקבוע את תצורתם כדי לקבוע את הפלט של ביצוע קובץ ה- Script.
שם שדה | ערך: | תיאור |
---|---|---|
downloadFolder |
מחרוזת | ממפה למיקום שאליו קובץ ה- Script מוריד את הקבצים. |
downloadLinuxUpdates |
בול | כאשר הוא מוגדר ל true - , קובץ ה- Script מוריד את העדכונים הספציפיים של Linux ל- downloadFolder . |
logFilePath |
מחרוזת | הגדרת יומני האבחון בתיקיה נתונה. ניתן לשתף קובץ זה עם Microsoft לאיתור באגים בקובץ ה- Script אם קיימות בעיות. |
downloadMacUpdates |
בול | קובץ ה- Script מוריד את העדכונים הספציפיים ל- Mac ל- downloadFolder . |
downloadPreviewUpdates |
בול | מוריד את גירסת התצוגה המקדימה של העדכונים הזמינים עבור מערכת ההפעלה הספציפית. |
backupPreviousUpdates |
בול | מאפשר ל- Script להעתיק את העדכון הקודם בתיקיה _back , והעדכונים החדשים יורדו אל downloadFolder . |
ביצוע קובץ ה- Script של מוריד בינת האבטחה הלא מקוון
כדי לבצע באופן ידני את קובץ ה- Script של מוריד ההורדות, settings.json
קבע את תצורת הפרמטרים בקובץ לפי התיאור בסעיף הקודם והשתמש באחת מהפקודות הבאות בהתבסס על מערכת ההפעלה של שרת המראות:
ההפצה תם:
./xplat_offline_updates_download.sh
PowerShell:
./xplat_offline_updates_download.ps1
הערה
תזמן משימת cron לביצוע קובץ Script זה כדי להוריד את עדכוני בינת האבטחה העדכניים ביותר בשרת המראה במרווחי זמן קבועים.
ארח את עדכוני בינת האבטחה הלא מקוונת בשרת המראות
לאחר הפעלת קובץ ה- Script, החתימות העדכניות ביותר יורדו לתיקיה שתצורתה נקבעה settings.json
בקובץ (updates.zip
).
לאחר הורדת zip החתימות, ניתן להשתמש בשרת המראות כדי לארח אותו. ניתן לארח את שרת המראות באמצעות כל אחד משרתי השיתוף של HTTP/HTTPS/רשת.
לאחר האירוח, העתק את הנתיב המוחלט של השרת המתארח (עד הספריה ולא כולל arch_*
אותה).
לדוגמה, אם קובץ ה- Script מבוצע עם downloadFolder=/tmp/wdav-update
, ו- HTTP Server (www.example.server.com:8000
) מארח /tmp/wdav-update
את הנתיב, ה- URI המתאים הוא: www.example.server.com:8000/linux/production/
.
ניתן גם להשתמש בנתיב המוחלט של מדריך הכתובות (נקודת טעינה מקומית/מרוחקת) כגון /tmp/wdav-update/linux/production
.
לאחר הגדרת שרת המראות, עלינו להוסיף כתובת URL זו ל נקודות הקצה של Linux offlineDefinitionUpdateUrl
כתצורה המנוהלת כמתואר בסעיף הבא.
קביעת התצורה של נקודות הקצה
השתמש בדוגמה הבאה mdatp_managed.json
ועדכן את הפרמטרים לפי התצורה והעתק את הקובץ למיקום /etc/opt/microsoft/mdatp/managed/mdatp_managed.json
.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
שם שדה | ערכים | תגובות/הערות |
---|---|---|
automaticDefinitionUpdateEnabled |
True /False |
קובע את אופן הפעולה של Defender for Endpoint שינסה לבצע עדכונים באופן אוטומטי, מופעל או מבוטל בהתאמה. |
definitionUpdatesInterval |
מספריים | זמן מרווח זמן בין כל עדכון אוטומטי של חתימות (בשניות). |
offlineDefinitionUpdateUrl |
מחרוזת | ערך כתובת URL שנוצר כחלק מהגדרת שרת המראות. זה יכול להיות במונחים של כתובת ה- URL של השרת המרוחק או מדריך כתובות (נקודת טעינה מקומית/מרוחקת). |
offlineDefinitionUpdate |
enabled /disabled |
כאשר התכונה 'עדכון enabled בינת אבטחה לא מקוונת' מוגדרת כזמינה, ולהיפך. |
offlineDefinitionUpdateFallbackToCloud |
True /False |
קבע את הגישה של עדכון בינת האבטחה של Defender for Endpoint כאשר "שרת שיקוף לא מקוון" אינו משרת את בקשת העדכון. אם ההגדרה היא true , המערכת תבדוק שוב את העדכון דרך הענן של Microsoft כאשר "עדכון בינת אבטחה לא מקוון" נכשל; אחרת, להיפך. |
offlineDefinitionUpdateVerifySig |
enabled /disabled |
כאשר הגדרה זו מוגדרת enabled ל- , הגדרות שהורדו מאומתות ב נקודות הקצה; אחרת, להפך. |
הערה
נכון להיום, ניתן להגדיר את התכונה 'עדכון בינת אבטחה לא מקוונת' ב נקודות קצה של Linux באמצעות json מנוהל בלבד. שילוב עם ניהול הגדרות אבטחה בפורטל האבטחה נמצא במפת הדרכים שלנו.
אמת את התצורה
כדי לבדוק אם ההגדרות מוחלות כראוי על נקודות הקצה של Linux, הפעל את הפקודה הבאה:
mdatp health --details definitions
פלט לדוגמה יראה כמו מקטע הקוד הבא:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
הפעלת עדכוני בינת האבטחה הלא מקוונת
עדכון אוטומטי
- אם רמת האכיפה
real_time
עבור מנגנון האנטי-וירוס מוגדרת ל- ,automaticDefinitionUpdateEnabled
offline_definition_update
והשדות וב- jsontrue
המנוהל מוגדרים ל- , עדכוני בינת האבטחה הלא מקוונים מופעלים באופן אוטומטי במרווחים תקופתיים. - כברירת מחדל, מרווח תקופתי זה הוא 8 שעות. אך ניתן לקבוע את תצורתו על-ידי הגדרת הפרמטר
definitionUpdatesInterval
ב- json המנוהל.
עדכון ידני
כדי להפעיל את "עדכון בינת האבטחה הלא מקוון" באופן ידני כדי להוריד את החתימות משרת המראות ב נקודות הקצה של Linux, הפעל את הפקודה הבאה:
mdatp definitions update
בדוק את מצב העדכון
לאחר הפעלת "עדכון בינת האבטחה הלא מקוונת" באמצעות השיטה האוטומטית או הידני, ודא שהעדכון בוצע בהצלחה על-ידי הפעלת הפקודה:
mdatp health --details --definitions
.אמת את השדות הבאים:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
פתרון בעיות ואבחון
בעיות: כשל בעדכון MDATP
- העדכון נתקע, או שהעדכון לא מופעל.
- העדכון נכשל.
פעולות נוספות לפתרון בעיות:
בדוק את מצב התכונה 'עדכון בינת אבטחה לא מקוון' באמצעות הפקודה הבאה:
mdatp health --details definitions
- פקודה זו אמורה לספק לנו הודעה ידידותית למשתמש במקטע
definitions_update_fail_reason
. - בדוק אם
offline_definition_update
הםoffline_definition_update_verify_sig
זמינים. - בדוק אם
definitions_update_source_uri
שווה ל-offline_definition_url_configured
.-
definitions_update_source_uri
הוא המקור ממנו הורדו החתימות. -
offline_definition_url_configured
הוא המקור ממנו יש להוריד חתימות, זו המוזכרת בקובץ התצורה המנוהלת.
-
- פקודה זו אמורה לספק לנו הודעה ידידותית למשתמש במקטע
נסה לבצע את בדיקת הקישוריות כדי לבדוק אם ניתן לגשת לשרת שיקוף מהמארח:
mdatp connectivity test
נסה להפעיל עדכון ידני באמצעות הפקודה הבאה:
mdatp definitions update