Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender kiszolgálókhoz
- Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz
Az offline biztonságiintelligencia-frissítések működése
Ez a cikk azt ismerteti, hogyan konfigurálhatja az offline biztonságiintelligencia-frissítéseket a Végponthoz készült Defenderben Linuxon. Ez a képesség lehetővé teszi a biztonsági intelligencia (más néven definíciók vagy aláírások) frissítését olyan Linux-eszközökön, amelyek korlátozottan vagy egyáltalán nem teszik ki az internetet. Ezzel a konfigurációval egy tükrözött kiszolgálónak nevezett helyi üzemeltetési kiszolgálót használ, amely a Microsoft-felhőhöz csatlakozik a biztonságiintelligencia-frissítések letöltéséhez. Más Linux-eszközök előre meghatározott időközönként lekérik ezeket a frissítéseket a tükrözött kiszolgálóról.
Az offline biztonságiintelligencia-frissítések használatának előnyei
A legfontosabb előnyök a következők:
- A biztonsági csapat szabályozhatja és kezelheti a helyi kiszolgáló aláírás-letöltéseinek gyakoriságát, valamint azt, hogy a végpontok milyen gyakorisággal kérnek le aláírásokat a helyi kiszolgálóról.
- További védelmi és vezérlési réteggel rendelkezik, mivel a letöltött aláírások tesztelhetők egy teszteszközön, mielőtt azokat a teljes flottára propagálja.
- Kevesebb hálózati sávszélességre van szüksége, mert csak egy helyi kiszolgáló kapja meg a legújabb frissítéseket a Microsoft-felhőből a teljes flotta nevében.
- A tükrözött kiszolgáló Windows, Mac vagy Linux rendszert futtathat, és nem kell telepítenie a Végponthoz készült Defendert a kiszolgálón.
- A legújabb víruskereső védelmet kapja, mivel az aláírások mindig a legújabb kompatibilis víruskereső motorral együtt töltődnek le.
- Az aláírások régebbi verziói (
n-1) minden iterációban átkerülnek a tükrözött kiszolgáló biztonsági mentési mappájába. Ha probléma merül fel a legújabb frissítésekkel kapcsolatban, lekérheti azn-1aláírás verzióját a biztonsági mentési mappából az eszközeire. - Abban a ritka esetben, ha egy offline frissítés meghiúsul, konfigurálhat tartalék lehetőséget, hogy online frissítéseket kapjon a Microsoft-felhőből.
Az offline biztonságiintelligencia-frissítés működése
- Beállít egy tükrözött kiszolgálót, amely egy helyi webes vagy NFS-kiszolgáló, amelyet a Microsoft-felhő elérhet.
- Az aláírások a microsoftos felhőből tölthetők le ezen a tükrözési kiszolgálón egy cron-feladattal vagy feladatütemezővel végzett szkript végrehajtásával a helyi kiszolgálón.
- A Végponthoz készült Defendert futtató Linux-végpontok előre meghatározott időközönként lekérik a letöltött aláírásokat a tükrözött kiszolgálóról.
- A linuxos eszközökre a helyi kiszolgálóról lekért aláírásokat a rendszer először ellenőrzi, mielőtt betöltené őket a víruskereső motorba.
- A frissítési folyamat elindításához és konfigurálásához frissítheti a felügyelt konfigurációs JSON-fájlt a Linux-eszközökön.
- A frissítések állapotát az mdatp parancssori felületén tekintheti meg.
1. ábra: Folyamatábra a tükrözött kiszolgálón a biztonságiintelligencia-frissítések letöltéséhez
2. ábra: Folyamatábra a Linux-végponton a biztonságiintelligencia-frissítésekhez
A tükrözési kiszolgáló a következő operációs rendszerek bármelyikét futtathatja:
- Linux (bármilyen változat)
- Windows (bármely verzió)
- Mac (bármely verzió)
Előfeltételek
A Végponthoz készült Defender verzióját vagy újabb verzióját
101.24022.0001telepíteni kell a Linux-végpontokra.A Linux-végpontoknak csatlakozniuk kell a tükrözött kiszolgálóhoz.
A Linux-végpontnak a Végponthoz készült Defender bármely támogatott disztribúcióját kell futtatnia. (lásd: Támogatott Linux-disztribúciók.)
A tükrözött kiszolgáló lehet HTTP/HTTPS-kiszolgáló vagy hálózati megosztási kiszolgáló, például NFS-kiszolgáló.
A tükrözési kiszolgálónak hozzáféréssel kell rendelkeznie a következő URL-címekhez:
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
A tükrözési kiszolgálónak támogatnia kell a basht vagy a PowerShellt.
A tükrözött kiszolgálóhoz a következő minimális rendszerspecifikációk szükségesek:
CPU Core KOS Szabad lemez Elcserél 2 mag (előnyben részesített 4 mag) 1 GB perc (előnyben részesített 4 GB) 2 GB Rendszerfüggő Megjegyzés:
Ez a konfiguráció a kiszolgált kérések számától és az egyes kiszolgálók által feldolgozandó terheléstől függően változhat.
A tükrözési kiszolgáló konfigurálása
Megjegyzés:
- A Mirror Server kezelése és tulajdonjoga kizárólag az ügyfélre tartozik, mivel az az ügyfél privát környezetében található.
- A tükrözési kiszolgálón nincs szükség a Végponthoz készült Defender telepítésére.
Az offline biztonságiintelligencia-letöltő szkript lekérése
A Microsoft egy offline biztonságiintelligencia-letöltő szkriptet üzemeltet ezen a GitHub-adattáron.
A letöltő szkript beszerzéséhez hajtsa végre a következő lépéseket:
1. lehetőség: Az adattár klónozása (előnyben részesített)
Telepítse a gitet a tükrözött kiszolgálón.
Lépjen arra a könyvtárra, ahová az adattárat klónozni szeretné.
Futtassa az alábbi parancsot:
git clone https://github.com/microsoft/mdatp-xplat.git
2. lehetőség: A tömörített fájl letöltése
Másolja a letöltött fájlt arra a mappára, ahol meg szeretné tartani a szkriptet.
Bontsa ki a tömörített mappát.
Ütemezzen egy tevékenységet vagy cron-feladatot , hogy az adattár/letöltött zip-fájl rendszeres időközönként a legújabb verzióra legyen frissítve.
A helyi könyvtárstruktúra az adattár klónozása vagy a tömörített fájl letöltése után
Az adattár klónozása vagy a tömörített fájl letöltése után a helyi könyvtárstruktúrának a következőnek kell lennie:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Megjegyzés:
A szkript használatának részletes megismeréséhez tekintse át README.md a fájlt.
A settings.json fájl néhány változóból áll, amelyeket a felhasználó konfigurálhat a szkript végrehajtásának kimenetének meghatározásához.
| Mezőnév | Érték | Leírás |
|---|---|---|
downloadFolder |
sztring | Azt a helyet képezi le, ahová a szkript letölti a fájlokat. |
downloadLinuxUpdates |
Bool | Ha a értékre truevan állítva, a szkript letölti a Linux-specifikus frissítéseket a downloadFolderkövetkezőre: . |
logFilePath |
sztring | Beállítja a diagnosztikai naplókat egy adott mappában. Ez a fájl megosztható a Microsofttal a szkript hibakereséséhez, ha bármilyen probléma merül fel. |
downloadMacUpdates |
Bool | A szkript letölti a Mac-specifikus frissítéseket a -ra downloadFolder. |
downloadPreviewUpdates |
Bool | Letölti az adott operációs rendszerhez elérhető frissítések előzetes verzióját. |
backupPreviousUpdates |
Bool | Lehetővé teszi, hogy a szkript átmásolja a mappában lévő _back előző frissítést, és az új frissítéseket letöltse a mappába downloadFolder. |
Az offline biztonságiintelligencia-letöltő szkript végrehajtása
A letöltő szkript manuális végrehajtásához konfigurálja a fájl paramétereit az settings.json előző szakaszban leírt leírásnak megfelelően, és használja a következő parancsok egyikét a tükrözött kiszolgáló operációs rendszere alapján:
Erősen megüt:
./xplat_offline_updates_download.shPowerShell:
./xplat_offline_updates_download.ps1
Megjegyzés:
Ütemezzen cron-feladatot a szkript végrehajtásához, hogy rendszeres időközönként letöltse a legújabb biztonságiintelligencia-frissítéseket a tükrözött kiszolgálón.
Offline biztonságiintelligencia-frissítéseket üzemeltet a tükrözött kiszolgálón
A szkript végrehajtása után a rendszer letölti a legújabb aláírásokat a settings.json fájlban konfigurált mappába (updates.zip).
Az aláírások zip-fájljának letöltése után a tükrözési kiszolgáló használható annak üzemeltetésére. A tükrözési kiszolgáló bármely HTTP/HTTPS/hálózati megosztási kiszolgálóval vagy helyi/távoli csatlakoztatási ponttal üzemeltethető.
Az üzemeltetést követően másolja ki az üzemeltetett kiszolgáló abszolút elérési útját (a könyvtárat nem beleértve arch_* ).
Megjegyzés:
Ha például a letöltő szkriptet a paranccsal downloadFolder=/tmp/wdav-updatehajtja végre, és a HTTP-kiszolgáló (www.example.server.com:8000) üzemelteti az /tmp/wdav-update elérési utat, akkor a megfelelő URI a következő: www.example.server.com:8000/linux/production/ (ellenőrizze, hogy a könyvtáron belül vannak-e arch_* könyvtárak).
A könyvtár abszolút elérési útját is használhatja (helyi/távoli csatlakoztatási pont). Ha például a szkript letölti a fájlokat egy könyvtárba /tmp/wdav-update, akkor a megfelelő URI a következő:/tmp/wdav-update/linux/production .
A tükrözési kiszolgáló beállítása után propagálja ezt az URI-t a Linux-végpontokra a következő szakaszban ismertetett felügyelt konfigurációban leírtak szerint offlineDefinitionUpdateUrl .
A végpontok konfigurálása
Használja az alábbi mintát mdatp_managed.json , és frissítse a paramétereket a konfigurációnak megfelelően, és másolja a fájlt a helyre /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| Mezőnév | Értékek | Megjegyzések |
|---|---|---|
automaticDefinitionUpdateEnabled |
True/False |
Meghatározza, hogy a Végponthoz készült Defender milyen módon kísérli meg automatikusan végrehajtani a frissítéseket, illetve be van kapcsolva, illetve ki van kapcsolva. |
definitionUpdatesInterval |
Numerikus | Az aláírások automatikus frissítése közötti időköz (másodpercben). |
offlineDefinitionUpdateUrl |
Karakterlánc | A tükrözési kiszolgáló beállítása során létrehozott URL-érték. Ez lehet a távoli kiszolgáló URL-címe vagy egy könyvtár (helyi/távoli csatlakoztatási pont). Az elérési út megadásáról az előző szakaszban olvashat. |
offlineDefinitionUpdate |
enabled/disabled |
Ha a értékre enabledvan állítva, az offline biztonságiintelligencia-frissítési funkció engedélyezve van, és fordítva. |
offlineDefinitionUpdateFallbackToCloud |
True/False |
Határozza meg a Végponthoz készült Defender biztonságiintelligencia-frissítési megközelítését, ha az offline tükrözési kiszolgáló nem tudja kiszolgálni a frissítési kérést. Ha a értékre truevan állítva, a microsoftos felhőben újrapróbálkozott a frissítéssel, ha az offline biztonsági intelligencia frissítése sikertelen volt, máskülönben viszont. |
offlineDefinitionUpdateVerifySig |
enabled/disabled |
Ha a értékre enabledvan állítva, a rendszer ellenőrzi a letöltött definíciókat a végpontokon, máskülönben viszont. |
Megjegyzés:
Az offline biztonságiintelligencia-frissítések jelenleg csak felügyelt JSON-kapcsolaton keresztül konfigurálhatók Linux-végpontokon. Az integráció a Végponthoz készült Defender biztonsági beállításainak kezelésével a Microsoft Defender portálon az ütemterv része, de még nem érhető el.
A konfiguráció ellenőrzése
Annak ellenőrzéséhez, hogy a beállítások megfelelően vannak-e alkalmazva a Linux-végpontokon, futtassa a következő parancsot:
mdatp health --details definitions
A mintakimenet a következő kódrészlethez hasonlóan néz ki:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Az offline biztonságiintelligencia-frissítések aktiválása
Automatikus frissítés
- Ha a víruskereső motor kényszerítési szintje értékre
real_timevan állítva, és a mezőkautomaticDefinitionUpdateEnabledésoffline_definition_updatea felügyelt json értéketrue, akkor az offline biztonságiintelligencia-frissítések rendszeres időközönként automatikusan aktiválódnak. - Ez az időszak alapértelmezés szerint 8 óra. De konfigurálható úgy, hogy beállítja a paramétert
definitionUpdatesIntervala felügyelt JSON-ban.
Manuális frissítés
Ha manuálisan szeretné aktiválni az offline biztonságiintelligencia-frissítést, hogy letöltse az aláírásokat a tükrözött kiszolgálóról a Linux-végpontokon, futtassa a következő parancsot:
mdatp definitions update
Frissítés állapotának ellenőrzése
Miután aktiválta az offline biztonságiintelligencia-frissítéseket az automatikus vagy manuális módszerrel, ellenőrizze, hogy a frissítés sikeres volt-e a következő parancs futtatásával:
mdatp health --details --definitions.Ellenőrizze a következő mezőket:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Hibaelhárítás és diagnosztika
Ha a frissítések sikertelenek, elakadnak vagy nem indulnak el, kövesse az alábbi lépéseket a hibaelhárításhoz:
Ellenőrizze az offline biztonságiintelligencia-frissítések állapotát a következő paranccsal:
mdatp health --details definitionsKeresse meg az információkat a
definitions_update_fail_reasonszakaszban.Győződjön meg arról, hogy a
offline_definition_updateésoffline_definition_update_verify_siga engedélyezve van.Győződjön meg arról, hogy
definitions_update_source_uria értéke .offline_definition_url_configured-
definitions_update_source_uriaz a forrás, ahonnan az aláírások le lettek töltve. -
offline_definition_url_configuredaz a forrás, ahonnan az aláírásokat le kell tölteni, a felügyelt konfigurációs fájlban említett forrás.
-
Próbálja meg végrehajtani a kapcsolati tesztet annak ellenőrzéséhez, hogy a tükrözött kiszolgáló elérhető-e a gazdagépről:
mdatp connectivity testPróbáljon meg manuális frissítést kezdeményezni a következő paranccsal:
mdatp definitions update