Share via


Offline biztonságiintelligencia-frissítés konfigurálása linuxos Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

Ez a dokumentum a Linuxon futó Végponthoz készült Microsoft Defender offline biztonságiintelligencia-frissítési funkcióját ismerteti.

Fontos

A cikkben található információk egy előzetes termékre vonatkoznak, amelyet a kereskedelmi forgalomba kerülés előtt lényegesen módosíthatnak. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Ez a funkció lehetővé teszi, hogy a szervezet frissítse a biztonsági intelligenciát (más néven definíciókat vagy aláírásokat ebben a dokumentumban) olyan Linux-végpontokon, ahol korlátozott vagy nincs kitéve az internetnek egy helyi üzemeltetési kiszolgálóval (ebben a dokumentumban Mirror Server néven).

A Mirror Server az ügyfél környezetében található bármely kiszolgáló, amely csatlakozhat a Microsoft-felhőhöz az aláírások letöltéséhez. Más Linux-végpontok előre meghatározott időközönként lekérik az aláírásokat a tükrözött kiszolgálóról.

A legfontosabb előnyök a következők:

  • A helyi kiszolgálón az aláírás-letöltések gyakoriságának vezérlése és kezelése &, hogy a végpontok milyen gyakorisággal kérik le az aláírásokat a helyi kiszolgálóról.
  • Egy további védelmi réteget & vezérlőt ad hozzá, mivel a letöltött aláírások tesztelhetők egy teszteszközön, mielőtt a teljes flottára propagálásra kerülnek.
  • Csökkenti a hálózati sávszélességet, mivel mostantól csak egy helyi kiszolgáló fogja lekérdezni az MS-felhőt, hogy a teljes flotta nevében megkapja a legújabb aláírásokat.
  • A helyi kiszolgáló futtathatja a három operációs rendszer bármelyikét – Windows, Mac, Linux, és nem szükséges a Végponthoz készült Defender telepítéséhez.
  • A legújabb víruskereső-védelmet biztosítja, mivel az aláírások mindig letöltődnek a legújabb kompatibilis AV-motorral együtt.
  • Minden iterációban az n-1 verziójú aláírás a helyi kiszolgálón található biztonsági mentési mappába kerül. Ha probléma merül fel a legújabb aláírással kapcsolatban, lekérheti az n-1 aláírás verzióját a biztonsági mentési mappából a végpontokra.
  • Ritka esetben az offline frissítés meghiúsulása esetén dönthet úgy is, hogy visszaáll a Microsoft Cloud (hagyományos módszer) online frissítéseire.

Az offline biztonságiintelligencia-frissítés működése

  • A szervezeteknek be kell állítaniuk egy tükrözési kiszolgálót, amely egy helyi webes/NFS-kiszolgáló, amelyet a Microsoft-felhő elérhet.
  • Az aláírások a Microsoft Cloudból tölthetők le ezen a tükrözési kiszolgálón egy szkript cron-feladat/feladatütemező használatával történő végrehajtásával a helyi kiszolgálón.
  • A Végponthoz készült Defendert futtató Linux-végpontok felhasználó által megadott időközönként lekérik a letöltött aláírásokat erről a tükrözési kiszolgálóról.
  • A linuxos végpontokon a helyi kiszolgálóról lekért aláírások először ellenőrizve lesznek, mielőtt betöltené őket az AV-motorba.
  • A frissítési folyamat aktiválásához és konfigurálásához frissítse a felügyelt konfigurációs JSON-fájlt a Linux-végpontokon.
  • A frissítés állapota az mdatp parancssori felületen tekinthető meg.

Folyamatábra a Mirror Serveren a biztonságiintelligencia-frissítések letöltéséhez 1. ábra: Folyamatábra a Mirror Serveren a biztonságiintelligencia-frissítések letöltéséhez

Folyamatábra a Linux-végponton a biztonságiintelligencia-frissítésekhez

2. ábra: Folyamatábra a Linux-végponton a biztonságiintelligencia-frissítésekhez

Előfeltételek

  • A Végponthoz készült Defender 101.24022.0001-es vagy újabb verzióját kell telepíteni a Linux-végpontokra.

  • A Linux-végpontoknak csatlakozniuk kell a tükrözött kiszolgálóhoz.

  • A Linux-végpontnak a Végponthoz készült Defender bármely támogatott disztribúcióját kell futtatnia.

  • A tükrözési kiszolgáló lehet HTTP/HTTPS-kiszolgáló vagy hálózati megosztási kiszolgáló. Például egy NFS-kiszolgáló.

  • A tükrözési kiszolgálónak hozzáféréssel kell rendelkeznie a következő URL-címekhez:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709
  • A tükrözési kiszolgálón a következő operációs rendszerek támogatottak:

    • Linux (bármilyen íz)
    • Windows (bármely verzió)
    • Mac (bármely verzió)
  • A tükrözési kiszolgálónak támogatnia kell a basht vagy a PowerShellt.

  • A tükrözési kiszolgálóhoz a következő minimális rendszerspecifikációk szükségesek:

    CPU Core RAM Szabad lemez Swap
    2 mag (előnyben részesített 4 mag) 1 GB perc (előnyben részesített 4 GB) 2 GB Rendszerfüggő

    Megjegyzés:

    Ez a konfiguráció a kiszolgált kérések számától és az egyes kiszolgálók által feldolgozandó terheléstől függően változhat.

A tükrözési kiszolgáló konfigurálása

Megjegyzés:

A Mirror Server kezelése és tulajdonjoga kizárólag az ügyfélre tartozik, mivel az az ügyfél privát környezetében található.

Megjegyzés:

A tükrözési kiszolgálón nincs szükség a Végponthoz készült Defender telepítésére.

Az offline biztonságiintelligencia-letöltő szkript lekérése

A Microsoft egy offline biztonságiintelligencia-letöltő szkriptet üzemeltet ezen a GitHub-adattáron.

A letöltő szkript beszerzéséhez kövesse az alábbi lépéseket:

1. lehetőség: Az adattár klónozása (előnyben részesített)

  • Telepítse a giteta Mirror Serverre.
  • Lépjen arra a könyvtárra, ahová az adattárat klónozni szeretné.
  • Hajtsa végre a következő parancsot: git clone https://github.com/microsoft/mdatp-xplat.git

2. lehetőség: A zip-fájl letöltése

  • Töltse le az adattár zip-fájlját innen

  • Másolja a zip-fájlt arra a mappára, ahol meg szeretné tartani a szkriptet

  • Csomagolja ki a zip-et

Megjegyzés:

Ütemezzen cron-feladatot , hogy az adattár/letöltött zip-fájl rendszeres időközönként frissüljön a legújabb verzióra.

Az adattár/letöltött zip-fájl klónozása után a helyi könyvtárstruktúrának a következőnek kell lennie:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Megjegyzés:

A szkript használatának részletes megismeréséhez tekintse át a README.md fájlt.

A settings.json fájl néhány változóból áll, amelyeket a felhasználó konfigurálhat a szkript végrehajtásának kimenetének meghatározásához.

Mezőnév Érték Leírás
downloadFolder Karakterlánc Leképezési hely, ahová a szkript letölti a fájlokat
downloadLinuxUpdates Bool Ha true (igaz) értékre van állítva, a szkript letölti a Linux-specifikus frissítéseket a downloadFolder
logFilePath Karakterlánc Beállítja a diagnosztikai naplókat egy adott mappában. Ez a fájl megosztható a Microsofttal a szkript hibakereséséhez, ha bármilyen probléma merül fel
downloadMacUpdates Bool A szkript letölti a Mac-specifikus frissítéseket a downloadFolder
downloadPreviewUpdates Bool Letölti az adott operációs rendszerhez elérhető frissítések előzetes verzióját
backupPreviousUpdates Bool Lehetővé teszi a szkript számára az előző frissítés másolását a _back mappába, és az új frissítéseket a következő mappába tölti le: downloadFolder

Az offline biztonságiintelligencia-letöltő szkript végrehajtása

A letöltő szkript manuális végrehajtásához konfigurálja a fájl paramétereit az settings.json előző szakaszban leírt leírásnak megfelelően, és használja a következő parancsok egyikét a Mirror Server operációs rendszere alapján:

  • Bash:

    ./xplat_offline_updates_download.sh
    
  • Powershell:

    ./xplat_offline_updates_download.ps1
    

Megjegyzés:

Ütemezzen cron-feladatot a szkript végrehajtásához, hogy rendszeres időközönként letöltse a legújabb biztonságiintelligencia-frissítéseket a Mirror Serverben.

Offline biztonságiintelligencia-frissítéseket üzemeltet a Mirror Serveren

A szkript végrehajtása után a rendszer letölti a legújabb aláírásokat a settings.json fájlban konfigurált mappába (updates.zip).

Az aláírások zip-fájljának letöltése után a tükrözési kiszolgáló használható annak üzemeltetésére. A tükrözési kiszolgáló bármely HTTP/HTTPS/hálózati megosztási kiszolgálóval üzemeltethető.

Az üzemeltetést követően másolja ki az üzemeltetett kiszolgáló abszolút elérési útját (a könyvtárat nem beleértve arch_* ).

Ha például a szkript végrehajtása a paranccsal downloadFolder=/tmp/wdav-updatetörténik, és az elérési utat a HTTP-kiszolgáló (www.example.server.com:8000) üzemelteti /tmp/wdav-update , a megfelelő URI a következő: www.example.server.com:8000/linux/production/

A tükrözési kiszolgáló beállítása után propagálja ezt az URL-címet a Linux-végpontokra a következő szakaszban ismertetett felügyelt konfigurációval.

Végpontok konfigurálása

  • Használja az alábbi mintát mdatp_managed.json , és frissítse a paramétereket a konfigurációnak megfelelően, és másolja a fájlt a helyre /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefintionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  }
}
Mezőnév Értékek Megjegyzések
automaticDefinitionUpdateEnabled Igaz/hamis Meghatározza, hogy a Végponthoz készült Defender milyen módon kísérli meg automatikusan végrehajtani a frissítéseket, be van kapcsolva vagy ki van kapcsolva
definitionUpdatesInterval Numerikus Az aláírások automatikus frissítése közötti időköz (másodpercben)
offlineDefinitionUpdateUrl Karakterlánc A tükrözési kiszolgáló beállítása során létrehozott URL-érték
offlineDefinitionUpdate engedélyezve /letiltva Ha a értékre enabledvan állítva, az offline biztonságiintelligencia-frissítési funkció engedélyezve van, és fordítva.
offlineDefinitionUpdateFallbackToCloud Igaz/hamis Határozza meg a Végponthoz készült Defender biztonságiintelligencia-frissítési megközelítését, ha az offline tükrözési kiszolgáló nem tudja kiszolgálni a frissítési kérést. Ha true (igaz) értékre van állítva, a rendszer újrapróbálkozott a Microsoft-felhőn keresztül, ha az offline biztonsági intelligencia frissítése sikertelen volt, máskülönben fordítva.

Megjegyzés:

Mától az offline biztonságiintelligencia-frissítési funkció csak felügyelt JSON-kapcsolaton keresztül konfigurálható Linux-végpontokon. A biztonsági portál biztonsági beállítások kezelésével való integráció az ütemtervünk része.

A konfiguráció ellenőrzése

Annak ellenőrzéséhez, hogy a beállítások megfelelően vannak-e alkalmazva a Linux-végpontokon, futtassa a következő parancsot:

mdatp health --details definitions

Egy mintakimenet például a következőképpen néz ki:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Az offline biztonságiintelligencia-Frissítések aktiválása

Automatikus frissítés

  • Ha a felügyelt json mezői automaticDefinitionUpdateEnabled és a "offline_definition_update" értéke igaz, akkor az offline biztonságiintelligencia-frissítések rendszeres időközönként automatikusan aktiválódnak.
  • Ez az időszak alapértelmezés szerint 8 óra. Konfigurálható azonban a felügyelt JSON-fájlban a beállításával definitionUpdatesInterval .

Manuális frissítés

  • Az offline biztonságiintelligencia-frissítés manuális aktiválásához futtassa az alábbi parancsot, hogy letöltse az aláírásokat a Tükrözött kiszolgálóról a Linux-végpontokon:

    mdatp definitions update
    

Frissítés állapotának ellenőrzése

  • Miután aktiválta az offline biztonságiintelligencia-frissítést az automatikus vagy manuális módszerrel, a következő parancs futtatásával ellenőrizze, hogy a frissítés sikeres volt-e. mdatp health --details --definitions

  • Ellenőrizze a következő mezőket:

    user@vm:~$ mdatp health --details definitions
    ...
    definitions_status                          : "up_to_date"
    ...
    definitions_update_fail_reason              : ""
    ...
    

Hibaelhárítás és diagnosztika

Problémák: MDATP-frissítési hiba

  • A frissítés elakadt, vagy a frissítés nem aktiválódik
  • A frissítés nem sikerült

Gyakori hibaelhárítási lépések

  • Ellenőrizze az offline biztonságiintelligencia-frissítési funkció állapotát az paranccsal:

    mdatp health --details definitions
    
    • Ennek a parancsnak felhasználóbarát üzenetet kell küldenie a definitions_update_fail_reason szakaszban.
    • Ellenőrizze, hogy offline_definition_update a és offline_definition_update_verify_sig a engedélyezve van-e.
    • Annak ellenőrzése, definitions_update_source_uri hogy egyenlő-e offline_definition_url_configured
      • definitions_update_source_uri az a forrás, ahonnan az aláírások le lettek töltve.
      • offline_definition_url_configured az a forrás, ahonnan az aláírásokat le kell tölteni, a felügyelt konfigurációs fájlban említett forrás.
  • Próbálkozzon a kapcsolati teszt végrehajtásával annak ellenőrzéséhez, hogy a Mirror Server elérhető-e a gazdagépről:

    mdatp connectivity test
    
  • Próbálja meg elindítani a manuális frissítést az paranccsal:

    mdatp definitions update
    

Ismert problémák:

Az offline aláírás frissítése a következő forgatókönyvben hiúsulhat meg:
Engedélyezte a funkciót, alkalmazta az aláírás-frissítéseket, majd letiltotta a funkciót, hogy további aláírásfrissítéseket alkalmazzon a felhőből, majd újból engedélyezte a funkciót további aláírásfrissítésekhez.

Hibaelhárítási lépések:
A javítás a következő kiadásban lesz elérhető.

Letöltő szkript

Cron-feladat ütemezése