Megosztás a következőn keresztül:

EBPF-alapú érzékelő használata linuxos Végponthoz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

A Végponthoz készült Defender linuxos verziójától 101.2408.0000kezdve az AuditD már nem támogatott kiegészítő eseményszolgáltatóként. További információért tekintse meg a cikk végén található gyakori kérdéseket.

A linuxos Végponthoz készült Microsoft Defender kiterjesztett Berkeley csomagszűrője (eBPF) kiegészítő eseményadatokat biztosít a Linux operációs rendszerekhez. Az eBPF segít a naplózott eseményszolgáltatóval kapcsolatos problémák számos osztályának megoldásában, és a teljesítmény és a rendszerstabilitás területén is hasznos.

A legfontosabb előnyök a következők:

  • Csökkentett rendszerszintű naplózási naplózaj
  • Az optimalizált rendszerszintű eseményszabályok egyébként ütközést okoznak az alkalmazások között
  • Csökkentett terhelés a fájlesemények (fájlolvasás/megnyitás) monitorozásához
  • Továbbfejlesztett eseménysebesség és csökkentett memóriaigény
  • Optimalizált teljesítmény adott konfigurációkhoz

Az eBPF működése

Az eBPF-ben az AuditD eseményszolgáltatótól korábban beszerzett események most már az eBPF érzékelőből áramlanak. Ez segít a rendszer stabilitásában, javítja a processzor- és memóriakihasználtságot, és csökkenti a lemezhasználatot. Az eBPF segít csökkenteni az alkalmazások közötti ütközések lehetőségét, mivel nincs szükség egyéni szabályokra. Az eBPF-hez kapcsolódó adatok a /var/log/microsoft/mdatp/microsoft_defender_core.log fájlba lesznek bejelentkezve.

Emellett az eBPF érzékelő a Linux-kernel képességeit használja anélkül, hogy olyan kernelmodult kellene használnia, amely segít a rendszer stabilitásának növelésében.

Rendszer előfeltételei

A Linux rendszeren futó Végponthoz készült Microsoft Defender eBPF érzékelője a következő minimális disztribúciós és kernelverziókon támogatott:

Linux-disztribúció Terjesztési verzió Kernelverzió
Ubuntu 16.04 4.15.0
Fedora 33 5.8.15
Centos 7.6 3.10.0-957.10
SLES 15 5.3.18-18.47
RHEL 7.6 3.10.0-957.10
Debian 9.0 4.19.0
Oracle Linux RHCK 7.9 3.10.0-1160
Oracle Linux UEK 7.9 5.4
Amazon Linux 2 2 5.4.261-174.360
Rocky Linux 8 8.7 4.18.0-425
Rocky Linux 9 9.2 5.14.0-284
Alma Linux 8 8.4 4.18.0-305
Alma Linux 9 9.2 5.14.0-284

Megjegyzés:

Az 5.15.0-0.30.20.el8uek.x86_64,5.15.0-0.30.20.1.el8uek.x86_64 verziójú Oracle Linux 8.8 kernel lefagy, ha az eBPF kiegészítő alrendszer-szolgáltatóként van engedélyezve. Ez a kernelverzió nem használható eBPF módhoz. A hibaelhárítási lépésekért tekintse meg a Hibaelhárítás és diagnosztika szakaszt.

Az eBPF használata

Az eBPF érzékelő alapértelmezés szerint minden ügyfél számára engedélyezve van az ügynökverziók és újabb verziók 101.23082.0006 esetében. Az ügyfeleknek egy támogatott verzióra kell frissítenie a funkció használatához. Ha az eBPF érzékelő engedélyezve van egy végponton, a Végponthoz készült Defender Linuxon az ebpf supplementary_events_subsystem.

ebpf alrendszer kiemelése az mdatp health parancsban

Ha manuálisan szeretné letiltani az eBPF-t, futtassa a következő parancsot:

sudo mdatp config ebpf-supplementary-event-provider --value [enabled/disabled]

A mdatp_managed.json fájlt is frissítheti:

{
    "features": {
        "ebpfSupplementaryEventProvider": "disabled"
    }
}

A részletes json-mintafájlra mutató hivatkozásra kattintva adhatja meg a linuxos Végponthoz készült Microsoft Defender beállításait.

Fontos

Ha letiltja az eBPF-t, vagy ha az eBPF nem támogatott egy adott kernelen, a kiegészítő eseményszolgáltató átvált a Netlinkre. Minden folyamatművelet zökkenőmentesen folytatódik, de előfordulhat, hogy kihagy bizonyos fájlokkal és szoftvercsatornával kapcsolatos eseményeket, amelyeket az eBPF egyébként rögzítene.

A linuxos végpontokon az eBPF (engedélyezve/letiltva) állapotát is ellenőrizheti speciális veszélyforrás-kereséssel a Microsoft Defender Portalon. A lépések a következők:

  1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

  2. A navigációs panelen válassza a Veszélyforrás-keresés speciális veszélyforrás-keresés> lehetőséget.

  3. A Speciális veszélyforrás-keresés területen lépjen a Defender biztonságirés-kezelés.

  4. Futtassa a következő lekérdezést: DeviceTvmInfoGathering.

  5. A kimenet További mezők oszlopában válassza a Továbbiak megjelenítése lehetőséget, majd keresse meg az EBPF STATUS: true értéket.

Nem módosítható naplózási mód

Az auditd nem módosítható módban használó ügyfelek esetében az eBPF engedélyezése után újraindításra van szükség a Végponthoz készült Microsoft Defender által hozzáadott naplózási szabályok törléséhez. Ez a követelmény az AuditD nem módosítható módjának korlátozása, amely lefagy a szabályfájlban, és megtiltja a szerkesztést/felülírást. Ez a probléma az újraindítással megoldódott.

Az újraindítás után futtassa a következő parancsot annak ellenőrzéséhez, hogy a naplózási szabályok törölve lettek-e:

% sudo auditctl -l

Az előző parancs kimenetében nem jelenhet meg szabály vagy felhasználó által hozzáadott szabály. Ha a szabályok nem lettek eltávolítva, a következő lépésekkel törölheti a naplózási szabályok fájlját:

  1. Váltson ebpf módra.
  2. Távolítsa el a fájlt /etc/audit/rules.d/mdatp.rules.
  3. Indítsa újra a gépet.

Hibaelhárítás és diagnosztika

Az ügynök állapotának ellenőrzéséhez futtassa az mdatp állapotparancsot. Győződjön meg arról, hogy a Végponthoz készült Defender eBPF érzékelője támogatott a jelenlegi kernelverzió ellenőrzésével a következő parancssor használatával:

uname -a

Ismert problémák

  1. Az eBPF RHEL 8.1-es verziójának SAP-val való engedélyezése kernelpánikhoz vezethet. A probléma megoldásához hajtsa végre az alábbi lépések egyikét:

    • Használjon az RHEL 8.1-nél magasabb disztribúciós verziót.
    • Ha az RHEL 8.1-es verzióját szeretné használni, váltson AuditD módra.

  2. Ha az Oracle Linux 8.8-et az 5.15.0-0.30.20.el8uek.x86_64-es kernelverzióval használja, az 5.15.0-0.30.20.1.el8uek.x86_64 kernelpánikot okozhat. A probléma megoldásához hajtsa végre az alábbi lépések egyikét:

    • Az Oracle Linux 8.8 rendszeren az 5.15.0-0.30.20.el8uek.x86_64,5.15.0-0.30.20.1.el8uek.x86_64-nál magasabb vagy annál régebbi kernelverziót használjon, ha kiegészítő alrendszer-szolgáltatóként szeretné használni az eBPF-t. Az Oracle Linux minimális kernelverziója az RHCK 3.10.0, az Oracle Linux UEK pedig 5.4.
    • Váltson AuditD módra, ha ugyanazt a kernelverziót kell használnia
sudo mdatp config  ebpf-supplementary-event-provider  --value disabled

Az alábbi két adatkészlet segít elemezni a lehetséges problémákat, és meghatározni a leghatékonyabb megoldási lehetőségeket.

  1. Gyűjtsön össze egy diagnosztikai csomagot az ügyfélelemző eszközből a következő utasítások használatával: Linuxon Végponthoz készült Microsoft Defender teljesítményproblémáinak elhárítása.

  2. Gyűjtsön hibakeresési diagnosztikai csomagot, ha a Végponthoz készült Defender magas erőforrásokat használ a következő utasítások használatával: Végponthoz készült Microsoft Defender Linux-erőforrásokon.

Teljesítményproblémák elhárítása

Ha a végpontokon Microsoft Defender megnövekedett erőforrás-használatot lát, fontos azonosítani azokat a folyamatokat/csatlakoztatási pontokat/fájlokat, amelyek a processzor-/memóriahasználat nagy részét okozzák. Ezután alkalmazhatja a szükséges kizárásokat. A lehetséges víruskereső kizárások alkalmazása után, ha wdavdaemon (szülőfolyamat) még mindig használja az erőforrásokat, használja az ebpf-statistics parancsot a rendszerhívások legmagasabb számának lekéréséhez:

sudo mdatp diagnostic  ebpf-statistics

Output
Monitor 20 seconds
Top file paths:
/var/log/microsoft/mdatp/microsoft_defender.log : 10
/var/log/microsoft/mdatp/rotated/microsoft_defender.log00001 : 2
/var/log/microsoft/mdatp/rotated/microsoft_defender.log : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374993 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374991 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374989 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374987 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374985 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374983 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374981 : 1

Top initiator paths:
/usr/bin/stress-ng : 50000
/opt/microsoft/mdatp/sbin/wdavdaemon : 13

Top syscall ids:
82 : 1699333
90 : 10
87 : 3

Az előző kimenetben láthatja, hogy a stress-ng a legnagyobb folyamat, amely nagy számú eseményt hoz létre, és teljesítményproblémákat okozhat. A stress-ng valószínűleg a 82-es azonosítójú rendszerhívást hozza létre. Létrehozhat egy jegyet a Microsofttal, hogy kizárja ezt a folyamatot. A jövőben a jövőbeli fejlesztések részeként jobban szabályozhatja az ilyen kizárások alkalmazását.

Az AuditD-ra alkalmazott kizárások nem migrálhatók vagy másolhatók az eBPF-be. Az olyan gyakori problémákról, mint a zajos naplók, a kernelpánik, a zajos syscallok, már belsőleg kezelik az eBPF-t. Ha további kizárásokat szeretne hozzáadni, lépjen kapcsolatba a Microsoft-lal a szükséges kizárások alkalmazásához.

Gyakori kérdések – Áttérés az eBPF-re

1. Miért érdemes az eBPF-be költözni?

A linuxos Végponthoz készült Microsoft Defender kiterjesztett Berkeley csomagszűrője (eBPF) hatékony alternatívát kínál az AuditD helyett, és az AuditD eseményszolgáltatóval kapcsolatos különböző kihívásokat oldja meg, miközben jelentős előnyöket biztosít a teljesítmény és a rendszer stabilitása szempontjából. A legfontosabb előnyök közé tartoznak a következők:

  • Teljesítmény: Az eBPF jelentősen javítja a teljesítményt azáltal, hogy csökkenti a rendszererőforrások terhelését az AuditD-hez képest.

  • Erőforrás-hatékonyság: Az eBPF kevesebb erőforrást használ, ami segít fenntartani a rendszer stabilitását még nagy terhelési körülmények között is.

  • Méretezhetőség: Az eBPF architektúrája méretezhetőbb, így jobb választás a növekvő vagy összetett számítási feladatokkal rendelkező környezetek számára.

  • Modern technológia: Az eBPF egy modern, előretekintő technológia, amely igazodik a linuxos kernel jövőbeli fejlesztéseihez, és jobb hosszú távú támogatást biztosít.

2. Hogyan használhatom tovább a naplózottat?

Ha továbbra is az AuditD szolgáltatást szeretné használni:

  • Támogatott verziók: A Végponthoz készült Defenderben maradhat a Linux 101.24072.0000-es verzióján, amely a build érvényessége alatt támogatja a naplózást, ami körülbelül kilenc hónap. Ez elegendő átmeneti időszakot biztosít az eBPF-be való áthelyezés megtervezéséhez. A lejárati dátum a parancs mdatp health Linux-kiszolgálón való futtatásával ellenőrizhető.

  • Long-Term csomag: A buildelés megtartása mellett azt javasoljuk, hogy ebben az 101.24072.0000 időkeretben tervezze meg az eBPF-ra való áttérést, hogy a legújabb biztonsági és teljesítménybeli fejlesztéseket is kihasználhassa, és folyamatos támogatást kapjon.

Ennek megfelelően azt javasoljuk, hogy tervezze meg az eBPF elsődleges eseményszolgáltatóként való használatát.

3. Mi történik, ha egyes forgatókönyvek nem támogatják az eBPF-t?

Olyan esetekben, amikor az eBPF nem támogatott:

  • Netlink-tartalék: A rendszer visszaáll a Netlink-eseményszolgáltató használatára. Bár a Netlink továbbra is rögzíti a folyamateseményeket (például exec, exit, fork, gidvagy tid), nem támogatja a fájlrendszerhez kapcsolódó eseményeket (például , renameunlink) vagy szoftvercsatorna-eseményeket.

  • Hatás: A számítási feladatok nem szakadnak meg, de kihagyhat bizonyos fájlokkal és szoftvercsatornákkal kapcsolatos eseményeket, amelyeket az eBPF egyébként rögzítene.

4. Hogyan kezelhetem a kizárásokat a frissített verziókkal?

Az alábbiakban néhány gyakori okot ismertetünk a naplózás kizárásainak elhelyezésére:

  • Teljesítmény, mivel egyes syscallok vagy folyamatok nagy zajt generálnak

  • Kernelpánik, előfordul, hogy sok syscall kifejezetten hálózati/fájlrendszerbeli hívás kernelpánikot eredményezett.

  • Zajos naplók, amelyekben az auditnaplók a lemezterületet használják fel. Az ügyfél a naplózás méretének csökkentése érdekében kizárta a zajos folyamatokat.

Míg az eBPF esetében az első két használati eset a migrálásra való jelölt. A naplók már nem jelentenek problémát az eBPF-ben. Az első két használati esetnél a következő lehetőségek közül választhat:

  • Kapcsolatfelvétel az ügyfélszolgálattal: Forduljon a Microsofthoz a háttérrendszerből való kizárások alkalmazásához.

  • Globális kizárások: A Végponthoz készült Defender frissített verzióiban a kizárások globális kizárásokkal kezelhetők. A globális kizárások a víruskeresőre és az EDR-re is vonatkoznak, és jelenleg a felügyelt JSON-n keresztül konfigurálhatók. További információért lásd: A Végponthoz készült Microsoft Defender kizárásainak konfigurálása és érvényesítése Linuxon.

5. Mit tegyek, ha problémák merülnek fel?

  • Kapcsolatfelvétel az ügyfélszolgálattal: Ha bármilyen problémát tapasztal az eBPF-re való áttérés során vagy után, segítségért forduljon a műszaki támogatási szolgálathoz. Elkötelezettek vagyunk a zökkenőmentes átmenet biztosítása mellett, és segítünk megoldani az esetleges kihívásokat.

  • Támogatási csatornák: A Microsoft Defender portálon keresztül léphet kapcsolatba az ügyfélszolgálattal. Emellett tudásbázis és közösségi fórumaink értékes források a gyakori problémák elhárításához.

Lásd még