Offline biztonságiintelligencia-frissítések konfigurálása Végponthoz készült Microsoft Defender Linux

Az offline biztonságiintelligencia-frissítések működése

Ez a cikk azt ismerteti, hogyan konfigurálhat offline biztonságiintelligencia-frissítéseket a Végponthoz készült Defenderben Linux. Ez a képesség lehetővé teszi a biztonsági intelligencia (más néven definíciók vagy aláírások) frissítését olyan Linux eszközökön, amelyek korlátozottan vagy egyáltalán nem teszik ki az internetet. Ezzel a konfigurációval egy tükrözött kiszolgálónak nevezett helyi üzemeltetési kiszolgálót használ, amely a Microsoft-felhőhöz csatlakozik a biztonságiintelligencia-frissítések letöltéséhez. Más Linux eszközök előre meghatározott időközönként lekérik ezeket a frissítéseket a tükrözött kiszolgálóról.

Az offline biztonságiintelligencia-frissítések használatának előnyei

A legfontosabb előnyök a következők:

• A biztonsági csapat szabályozhatja és kezelheti a helyi kiszolgáló aláírás-letöltéseinek gyakoriságát, valamint azt, hogy a végpontok milyen gyakorisággal kérnek le aláírásokat a helyi kiszolgálóról.
• További védelmi és vezérlési réteggel rendelkezik, mivel a letöltött aláírások tesztelhetők egy teszteszközön, mielőtt azokat a teljes flottára propagálja.
• Kevesebb hálózati sávszélességre van szüksége, mert csak egy helyi kiszolgáló kapja meg a legújabb frissítéseket a Microsoft-felhőből a teljes flotta nevében.
• A tükrözött kiszolgáló Windows, Mac vagy Linux is futtathat, és nem kell telepítenie a Végponthoz készült Defendert a kiszolgálóra.
• A legújabb víruskereső védelmet kapja, mivel az aláírások mindig a legújabb kompatibilis víruskereső motorral együtt töltődnek le.
• Az aláírások régebbi verziói (n-1) minden iterációban átkerülnek a tükrözött kiszolgáló biztonsági mentési mappájába. Ha probléma merül fel a legújabb frissítésekkel kapcsolatban, lekérheti az n-1 aláírás verzióját a biztonsági mentési mappából az eszközeire.
• Abban a ritka esetben, ha egy offline frissítés meghiúsul, konfigurálhat tartalék lehetőséget, hogy online frissítéseket kapjon a Microsoft-felhőből.

Az offline biztonságiintelligencia-frissítés működése

• Beállít egy tükrözött kiszolgálót, amely egy helyi webes vagy NFS-kiszolgáló, amelyet a Microsoft-felhő elérhet.
• Az aláírások a microsoftos felhőből tölthetők le ezen a tükrözési kiszolgálón egy cron-feladattal vagy feladatütemezővel végzett szkript végrehajtásával a helyi kiszolgálón.
• Linux Végponthoz készült Defendert futtató végpontok előre meghatározott időközönként lekérik a letöltött aláírásokat a tükrözött kiszolgálóról.
• A helyi kiszolgálóról Linux eszközökre lekért aláírásokat a rendszer először ellenőrzi, mielőtt betöltené őket a víruskereső motorba.
• A frissítési folyamat elindításához és konfigurálásához frissítheti a felügyelt konfigurációs JSON-fájlt az Linux-eszközökön.
• A frissítések állapotát az mdatp parancssori felületén tekintheti meg.

1. ábra: Folyamatábra a tükrözött kiszolgálón a biztonságiintelligencia-frissítések letöltéséhez

2. ábra: Folyamatábra a biztonságiintelligencia-frissítések Linux végpontján

A tükrözési kiszolgáló a következő operációs rendszerek bármelyikét futtathatja:

• Linux (bármilyen íz)
• Windows (bármely verzió)
• Mac (bármely verzió)

Előfeltételek

• A Végponthoz készült Defender verzióját vagy újabb verzióját 101.24022.0001 telepíteni kell a Linux végpontokra.

• A Linux végpontoknak csatlakozniuk kell a tükrözött kiszolgálóhoz.

• A Linux végpontnak a Végponthoz készült Defender bármely támogatott disztribúcióját kell futtatnia. (lásd: Támogatott Linux disztribúciók.)

• A tükrözött kiszolgáló lehet HTTP/HTTPS-kiszolgáló vagy hálózati megosztási kiszolgáló, például NFS-kiszolgáló.

• A tükrözési kiszolgálónak hozzáféréssel kell rendelkeznie a következő URL-címekhez:

  • https://github.com/microsoft/mdatp-xplat.git
  • https://go.microsoft.com/fwlink/?linkid=2144709

• A tükrözési kiszolgálónak támogatnia kell a basht vagy a PowerShellt.

• A tükrözött kiszolgálóhoz a következő minimális rendszerspecifikációk szükségesek:

  CPU Core	RAM	Szabad lemez	Swap
  2 mag (előnyben részesített 4 mag)	1 GB perc (előnyben részesített 4 GB)	2 GB	Rendszerfüggő

  Megjegyzés:

  Ez a konfiguráció a kiszolgált kérések számától és az egyes kiszolgálók által feldolgozandó terheléstől függően változhat.

A tükrözési kiszolgáló konfigurálása

Megjegyzés:

• A Mirror Server kezelése és tulajdonjoga kizárólag az ügyfélre tartozik, mivel az az ügyfél privát környezetében található.
• A tükrözési kiszolgálón nincs szükség a Végponthoz készült Defender telepítésére.

Az offline biztonságiintelligencia-letöltő szkript lekérése

A Microsoft egy offline biztonságiintelligencia-letöltő szkriptet üzemeltet ezen a GitHub-adattáron.

A letöltő szkript beszerzéséhez hajtsa végre a következő lépéseket:

1. lehetőség: Az adattár klónozása (előnyben részesített)

1. Telepítse a gitet a tükrözött kiszolgálón.

2. Lépjen arra a könyvtárra, ahová az adattárat klónozni szeretné.

3. Futtassa az alábbi parancsot: git clone https://github.com/microsoft/mdatp-xplat.git

2. lehetőség: A tömörített fájl letöltése

1. Töltse le a tömörített fájlt.

2. Másolja a letöltött fájlt arra a mappára, ahol meg szeretné tartani a szkriptet.

3. Bontsa ki a tömörített mappát.

4. Ütemezzen egy tevékenységet vagy cron-feladatot , hogy az adattár/letöltött zip-fájl rendszeres időközönként a legújabb verzióra legyen frissítve.

A helyi könyvtárstruktúra az adattár klónozása vagy a tömörített fájl letöltése után

Az adattár klónozása vagy a tömörített fájl letöltése után a helyi könyvtárstruktúrának a következőnek kell lennie:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Megjegyzés:

A szkript használatának részletes megismeréséhez tekintse át README.md a fájlt.

A settings.json fájl néhány változóból áll, amelyeket a felhasználó konfigurálhat a szkript végrehajtásának kimenetének meghatározásához.

Mezőnév	Érték	Leírás
downloadFolder	sztring	Azt a helyet képezi le, ahová a szkript letölti a fájlokat.
downloadLinuxUpdates	Bool	Ha a értékre truevan állítva, a szkript letölti a Linux adott frissítéseit.downloadFolder
logFilePath	sztring	Beállítja a diagnosztikai naplókat egy adott mappában. Ez a fájl megosztható a Microsofttal a szkript hibakereséséhez, ha bármilyen probléma merül fel.
downloadMacUpdates	Bool	A szkript letölti a Mac-specifikus frissítéseket a -ra downloadFolder.
downloadPreviewUpdates	Bool	Letölti az adott operációs rendszerhez elérhető frissítések előzetes verzióját.
backupPreviousUpdates	Bool	Lehetővé teszi, hogy a szkript átmásolja a mappában lévő _back előző frissítést, és az új frissítéseket letöltse a mappába downloadFolder.

Az offline biztonságiintelligencia-letöltő szkript végrehajtása

A letöltő szkript manuális végrehajtásához konfigurálja a fájl paramétereit az settings.json előző szakaszban leírt leírásnak megfelelően, és használja a következő parancsok egyikét a tükrözött kiszolgáló operációs rendszere alapján:

• Bash:

  ./xplat_offline_updates_download.sh
  

• Powershell:

  ./xplat_offline_updates_download.ps1
  

Megjegyzés:

Ütemezzen cron-feladatot a szkript végrehajtásához, hogy rendszeres időközönként letöltse a legújabb biztonságiintelligencia-frissítéseket a tükrözött kiszolgálón.

Offline biztonságiintelligencia-frissítéseket üzemeltet a tükrözött kiszolgálón

A szkript végrehajtása után a rendszer letölti a legújabb aláírásokat a settings.json fájlban konfigurált mappába (updates.zip).

Az aláírások zip-fájljának letöltése után a tükrözési kiszolgáló használható annak üzemeltetésére. A tükrözési kiszolgáló bármely HTTP/HTTPS/hálózati megosztási kiszolgálóval vagy helyi/távoli csatlakoztatási ponttal üzemeltethető.

Az üzemeltetést követően másolja ki az üzemeltetett kiszolgáló abszolút elérési útját (a könyvtárat nem beleértve arch_* ).

Megjegyzés:

Ha például a letöltő szkriptet a paranccsal downloadFolder=/tmp/wdav-updatehajtja végre, és a HTTP-kiszolgáló (www.example.server.com:8000) üzemelteti az /tmp/wdav-update elérési utat, akkor a megfelelő URI a következő: www.example.server.com:8000/linux/production/ (ellenőrizze, hogy a könyvtáron belül vannak-e arch_* könyvtárak).

A könyvtár abszolút elérési útját is használhatja (helyi/távoli csatlakoztatási pont). Ha például a szkript letölti a fájlokat egy könyvtárba /tmp/wdav-update, akkor a megfelelő URI a következő:/tmp/wdav-update/linux/production .

A tükrözési kiszolgáló beállítása után propagálja ezt az URI-t a Linux végpontokra a következő szakaszban ismertetett felügyelt konfigurációban szereplő módonofflineDefinitionUpdateUrl.

A végpontok konfigurálása

Az offline biztonságiintelligencia-frissítések funkció kétféleképpen konfigurálható:

• Biztonsági beállítások kezelésével a Defender/Intune portálon: Lehetővé teszi az eszközök egy csoportjának beállításainak központosított kezelését és konfigurálását.
• A felügyelt JSON-fájlon keresztül: Lehetővé teszi a beállítások manuális vagy külső felügyeleti eszközök, például a Chef, az Ansible és mások általi konfigurálását.

Portál

1. A Defender portálon lépjen a Végpontokkonfigurációkezelése>Végpontbiztonsági szabályzatok> elemre, és válassza az Új szabályzat létrehozása lehetőséget.
2. A szabályzatlétrehozó varázslóban válassza a Linux platformot, sablonként Microsoft Defender víruskeresőt. majd válassza a Szabályzat létrehozása lehetőséget.
3. Adja meg a szabályzat nevét és leírását, majd válassza a Tovább gombot.

A Konfigurációs beállítások lépésben az offline biztonságiintelligencia-frissítések funkció konfigurációs beállításait a Víruskereső motor és a Felhő által biztosított védelmi beállítások szakaszban találja.

Beállítás	Leírás
Offline biztonságiintelligencia-frissítés engedélyezése	Ez a beállítás engedélyezi az offline biztonságiintelligencia-frissítési funkciót a Linux végpontokon. Ha engedélyezi ezt a beállítást, a következő két beállítás válik elérhetővé. Győződjön meg arról, hogy az automatikus biztonságiintelligencia-frissítések is engedélyezve van.
Offline biztonságiintelligencia-frissítési tartalék a felhőbe	Ha a értékre Truevan állítva, a végpont megkísérli lekérni az aláírás-frissítéseket a Microsoft-felhőből, ha nem tudja lekérni őket a tükrözött kiszolgálóról.
Offline biztonságiintelligencia-frissítés URL-címe vagy könyvtára	Ez a beállítás határozza meg a biztonságiintelligencia-frissítéseket üzemeltető tükröző kiszolgáló URL-címét vagy könyvtárelérési útját. Az URL-cím formátumának http://<mirror_server_address>/linux/production/ (HTTP/HTTPS-kiszolgáló használata esetén) vagy könyvtárelérési útnak kell lennie (hálózati megosztás vagy helyi/távoli csatlakoztatási pont használata esetén). További információ: Offline biztonságiintelligencia-frissítések telepítése a tükrözött kiszolgálón .
Biztonsági intelligencia frissítési időintervalluma	Alapértelmezés szerint a Linux végpontok 8 óránként (28800 másodpercenként) lekéri az aláírás-frissítéseket a tükrözött kiszolgálóról. Ezt a beállítást akkor használja, ha más időközt szeretne megadni. Adja meg az időközt másodpercben.

Felügyelt JSON

Használja az alábbi mintát mdatp_managed.json , és frissítse a paramétereket a konfigurációnak megfelelően, és másolja a fájlt a helyre /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}

Mezőnév	Értékek	Megjegyzések
automaticDefinitionUpdateEnabled	True/False	Meghatározza, hogy a Végponthoz készült Defender milyen módon kísérli meg automatikusan végrehajtani a frissítéseket, illetve be van kapcsolva, illetve ki van kapcsolva.
definitionUpdatesInterval	Numerikus	Az aláírások automatikus frissítése közötti időköz (másodpercben).
offlineDefinitionUpdateUrl	Karakterlánc	A tükrözési kiszolgáló beállítása során létrehozott URL-érték. Ez lehet a távoli kiszolgáló URL-címe vagy egy könyvtár (helyi/távoli csatlakoztatási pont). Az elérési út megadásáról az előző szakaszban olvashat.
offlineDefinitionUpdate	enabled/disabled	Ha a értékre enabledvan állítva, az offline biztonságiintelligencia-frissítési funkció engedélyezve van, és fordítva.
offlineDefinitionUpdateFallbackToCloud	True/False	Határozza meg a Végponthoz készült Defender biztonságiintelligencia-frissítési megközelítését, ha az offline tükrözési kiszolgáló nem tudja kiszolgálni a frissítési kérést. Ha a értékre truevan állítva, a microsoftos felhőben újrapróbálkozott a frissítéssel, ha az offline biztonsági intelligencia frissítése sikertelen volt, máskülönben viszont.
offlineDefinitionUpdateVerifySig	enabled/disabled	Ha a értékre enabledvan állítva, a rendszer ellenőrzi a letöltött definíciókat a végpontokon, máskülönben viszont. Ez a beállítás alapértelmezés szerint engedélyezve van a 101.25092.0005-ös verziótól kezdve, ezért nem érhető el a Defender portálon való konfiguráláshoz.

A konfiguráció ellenőrzése

Annak ellenőrzéséhez, hogy a beállítások megfelelően vannak-e alkalmazva a Linux végpontokon, futtassa a következő parancsot:

mdatp health --details definitions

A mintakimenet a következő kódrészlethez hasonlóan néz ki:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Az offline biztonságiintelligencia-frissítések aktiválása

Automatikus frissítés

• Ha a víruskereső motor kényszerítési szintje értékrereal_timevan állítva, és a mezők automaticDefinitionUpdateEnabled és offline_definition_update a felügyelt json értéke true, akkor az offline biztonságiintelligencia-frissítések rendszeres időközönként automatikusan aktiválódnak.
• Ez az időszak alapértelmezés szerint 8 óra. De konfigurálható úgy, hogy beállítja a paramétert definitionUpdatesInterval a felügyelt JSON-ban.

Manuális frissítés

• Ha manuálisan szeretné aktiválni az offline biztonságiintelligencia-frissítést, hogy letöltse az aláírásokat a tükrözött kiszolgálóról a Linux végpontokra, futtassa a következő parancsot:

  mdatp definitions update
  

Frissítés állapotának ellenőrzése

• Miután aktiválta az offline biztonságiintelligencia-frissítéseket az automatikus vagy manuális módszerrel, ellenőrizze, hogy a frissítés sikeres volt-e a következő parancs futtatásával: mdatp health --details --definitions.

• Ellenőrizze a következő mezőket:

  user@vm:~$ mdatp health --details definitions
  ...
  definitions_status                          : "up_to_date"
  ...
  definitions_update_fail_reason              : ""
  ...
  

Hibaelhárítás és diagnosztika

Ha a frissítések sikertelenek, elakadnak vagy nem indulnak el, kövesse az alábbi lépéseket a hibaelhárításhoz:

1. Ellenőrizze az offline biztonságiintelligencia-frissítések állapotát a következő paranccsal:

   mdatp health --details definitions
   

   Keresse meg az információkat a definitions_update_fail_reason szakaszban.

2. Győződjön meg arról, hogy a offline_definition_update és offline_definition_update_verify_sig a engedélyezve van.

3. Győződjön meg arról, hogy definitions_update_source_uri a értéke .offline_definition_url_configured

   • definitions_update_source_uri az a forrás, ahonnan az aláírások le lettek töltve.
   • offline_definition_url_configured az a forrás, ahonnan az aláírásokat le kell tölteni, a felügyelt konfigurációs fájlban említett forrás.

4. Próbálja meg végrehajtani a kapcsolati tesztet annak ellenőrzéséhez, hogy a tükrözött kiszolgáló elérhető-e a gazdagépről:

   mdatp connectivity test
   

5. Próbáljon meg manuális frissítést kezdeményezni a következő paranccsal:

   mdatp definitions update
   

Lásd még

• erőforrások Linux
• Végponthoz készült Microsoft Defender Linuxon
• A Végponthoz készült Microsoft Defender biztonsági beállításainak és szabályzatainak konfigurálása Linux