Offline biztonságiintelligencia-frissítés konfigurálása linuxos Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
Ez a dokumentum a Linuxon futó Végponthoz készült Microsoft Defender offline biztonságiintelligencia-frissítési funkcióját ismerteti.
Fontos
A cikkben található információk egy előzetes termékre vonatkoznak, amelyet a kereskedelmi forgalomba kerülés előtt lényegesen módosíthatnak. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Ez a funkció lehetővé teszi, hogy a szervezet frissítse a biztonsági intelligenciát (más néven definíciókat vagy aláírásokat ebben a dokumentumban) olyan Linux-végpontokon, ahol korlátozott vagy nincs kitéve az internetnek egy helyi üzemeltetési kiszolgálóval (ebben a dokumentumban Mirror Server néven).
A Mirror Server az ügyfél környezetében található bármely kiszolgáló, amely csatlakozhat a Microsoft-felhőhöz az aláírások letöltéséhez. Más Linux-végpontok előre meghatározott időközönként lekérik az aláírásokat a tükrözött kiszolgálóról.
A legfontosabb előnyök a következők:
- A helyi kiszolgálón az aláírás-letöltések gyakoriságának vezérlése és kezelése &, hogy a végpontok milyen gyakorisággal kérik le az aláírásokat a helyi kiszolgálóról.
- Egy további védelmi réteget & vezérlőt ad hozzá, mivel a letöltött aláírások tesztelhetők egy teszteszközön, mielőtt a teljes flottára propagálásra kerülnek.
- Csökkenti a hálózati sávszélességet, mivel mostantól csak egy helyi kiszolgáló fogja lekérdezni az MS-felhőt, hogy a teljes flotta nevében megkapja a legújabb aláírásokat.
- A helyi kiszolgáló futtathatja a három operációs rendszer bármelyikét – Windows, Mac, Linux, és nem szükséges a Végponthoz készült Defender telepítéséhez.
- A legújabb víruskereső-védelmet biztosítja, mivel az aláírások mindig letöltődnek a legújabb kompatibilis AV-motorral együtt.
- Minden iterációban az n-1 verziójú aláírás a helyi kiszolgálón található biztonsági mentési mappába kerül. Ha probléma merül fel a legújabb aláírással kapcsolatban, lekérheti az n-1 aláírás verzióját a biztonsági mentési mappából a végpontokra.
- Ritka esetben az offline frissítés meghiúsulása esetén dönthet úgy is, hogy visszaáll a Microsoft Cloud (hagyományos módszer) online frissítéseire.
Az offline biztonságiintelligencia-frissítés működése
- A szervezeteknek be kell állítaniuk egy tükrözési kiszolgálót, amely egy helyi webes/NFS-kiszolgáló, amelyet a Microsoft-felhő elérhet.
- Az aláírások a Microsoft Cloudból tölthetők le ezen a tükrözési kiszolgálón egy szkript cron-feladat/feladatütemező használatával történő végrehajtásával a helyi kiszolgálón.
- A Végponthoz készült Defendert futtató Linux-végpontok felhasználó által megadott időközönként lekérik a letöltött aláírásokat erről a tükrözési kiszolgálóról.
- A linuxos végpontokon a helyi kiszolgálóról lekért aláírások először ellenőrizve lesznek, mielőtt betöltené őket az AV-motorba.
- A frissítési folyamat aktiválásához és konfigurálásához frissítse a felügyelt konfigurációs JSON-fájlt a Linux-végpontokon.
- A frissítés állapota az mdatp parancssori felületen tekinthető meg.
1. ábra: Folyamatábra a Mirror Serveren a biztonságiintelligencia-frissítések letöltéséhez
2. ábra: Folyamatábra a Linux-végponton a biztonságiintelligencia-frissítésekhez
Előfeltételek
A Végponthoz készült Defender 101.24022.0001-es vagy újabb verzióját kell telepíteni a Linux-végpontokra.
A Linux-végpontoknak csatlakozniuk kell a tükrözött kiszolgálóhoz.
A Linux-végpontnak a Végponthoz készült Defender bármely támogatott disztribúcióját kell futtatnia.
A tükrözési kiszolgáló lehet HTTP/HTTPS-kiszolgáló vagy hálózati megosztási kiszolgáló. Például egy NFS-kiszolgáló.
A tükrözési kiszolgálónak hozzáféréssel kell rendelkeznie a következő URL-címekhez:
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
A tükrözési kiszolgálón a következő operációs rendszerek támogatottak:
- Linux (bármilyen íz)
- Windows (bármely verzió)
- Mac (bármely verzió)
A tükrözési kiszolgálónak támogatnia kell a basht vagy a PowerShellt.
A tükrözési kiszolgálóhoz a következő minimális rendszerspecifikációk szükségesek:
CPU Core RAM Szabad lemez Swap 2 mag (előnyben részesített 4 mag) 1 GB perc (előnyben részesített 4 GB) 2 GB Rendszerfüggő Megjegyzés:
Ez a konfiguráció a kiszolgált kérések számától és az egyes kiszolgálók által feldolgozandó terheléstől függően változhat.
A tükrözési kiszolgáló konfigurálása
Megjegyzés:
A Mirror Server kezelése és tulajdonjoga kizárólag az ügyfélre tartozik, mivel az az ügyfél privát környezetében található.
Megjegyzés:
A tükrözési kiszolgálón nincs szükség a Végponthoz készült Defender telepítésére.
Az offline biztonságiintelligencia-letöltő szkript lekérése
A Microsoft egy offline biztonságiintelligencia-letöltő szkriptet üzemeltet ezen a GitHub-adattáron.
A letöltő szkript beszerzéséhez kövesse az alábbi lépéseket:
1. lehetőség: Az adattár klónozása (előnyben részesített)
- Telepítse a giteta Mirror Serverre.
- Lépjen arra a könyvtárra, ahová az adattárat klónozni szeretné.
- Hajtsa végre a következő parancsot:
git clone https://github.com/microsoft/mdatp-xplat.git
2. lehetőség: A zip-fájl letöltése
Töltse le az adattár zip-fájlját innen
Másolja a zip-fájlt arra a mappára, ahol meg szeretné tartani a szkriptet
Csomagolja ki a zip-et
Megjegyzés:
Ütemezzen cron-feladatot , hogy az adattár/letöltött zip-fájl rendszeres időközönként frissüljön a legújabb verzióra.
Az adattár/letöltött zip-fájl klónozása után a helyi könyvtárstruktúrának a következőnek kell lennie:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Megjegyzés:
A szkript használatának részletes megismeréséhez tekintse át a README.md fájlt.
A settings.json fájl néhány változóból áll, amelyeket a felhasználó konfigurálhat a szkript végrehajtásának kimenetének meghatározásához.
| Mezőnév | Érték | Leírás |
|---|---|---|
downloadFolder |
Karakterlánc | Leképezési hely, ahová a szkript letölti a fájlokat |
downloadLinuxUpdates |
Bool | Ha a értékre van trueállítva, a szkript letölti a Linux-specifikus frissítéseket a downloadFolder |
logFilePath |
Karakterlánc | Beállítja a diagnosztikai naplókat egy adott mappában. Ez a fájl megosztható a Microsofttal a szkript hibakereséséhez, ha bármilyen probléma merül fel |
downloadMacUpdates |
Bool | A szkript letölti a Mac-specifikus frissítéseket a downloadFolder |
downloadPreviewUpdates |
Bool | Letölti az adott operációs rendszerhez elérhető frissítések előzetes verzióját |
backupPreviousUpdates |
Bool | Lehetővé teszi a szkript számára az előző frissítés másolását a _back mappába, és az új frissítéseket a következő mappába tölti le: downloadFolder |
Az offline biztonságiintelligencia-letöltő szkript végrehajtása
A letöltő szkript manuális végrehajtásához konfigurálja a fájl paramétereit az settings.json előző szakaszban leírt leírásnak megfelelően, és használja a következő parancsok egyikét a Mirror Server operációs rendszere alapján:
Bash:
./xplat_offline_updates_download.shPowershell:
./xplat_offline_updates_download.ps1
Megjegyzés:
Ütemezzen cron-feladatot a szkript végrehajtásához, hogy rendszeres időközönként letöltse a legújabb biztonságiintelligencia-frissítéseket a Mirror Serverben.
Offline biztonságiintelligencia-frissítéseket üzemeltet a Mirror Serveren
A szkript végrehajtása után a rendszer letölti a legújabb aláírásokat a settings.json fájlban konfigurált mappába (updates.zip).
Az aláírások zip-fájljának letöltése után a tükrözési kiszolgáló használható annak üzemeltetésére. A tükrözési kiszolgáló bármely HTTP/HTTPS/hálózati megosztási kiszolgálóval üzemeltethető.
Az üzemeltetést követően másolja ki az üzemeltetett kiszolgáló abszolút elérési útját (a könyvtárat nem beleértve arch_* ).
Ha például a szkript végrehajtása a paranccsal downloadFolder=/tmp/wdav-updatetörténik, és az elérési utat a HTTP-kiszolgáló (www.example.server.com:8000) üzemelteti /tmp/wdav-update , a megfelelő URI a következő: www.example.server.com:8000/linux/production/
A tükrözési kiszolgáló beállítása után propagálja ezt az URL-címet a Linux-végpontokra a következő szakaszban ismertetett felügyelt konfigurációval.
Végpontok konfigurálása
- Használja az alábbi mintát
mdatp_managed.json, és frissítse a paramétereket a konfigurációnak megfelelően, és másolja a fájlt a helyre/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| Mezőnév | Értékek | Megjegyzések |
|---|---|---|
automaticDefinitionUpdateEnabled |
True / False |
Meghatározza, hogy a Végponthoz készült Defender milyen módon kísérli meg automatikusan végrehajtani a frissítéseket, illetve be van kapcsolva, illetve ki van kapcsolva. |
definitionUpdatesInterval |
Numerikus | Az aláírások automatikus frissítése közötti időköz (másodpercben). |
offlineDefinitionUpdateUrl |
Karakterlánc | A tükrözési kiszolgáló beállításakor létrehozott URL-érték. |
offlineDefinitionUpdate |
enabled / disabled |
Ha a értékre enabledvan állítva, az offline biztonságiintelligencia-frissítési funkció engedélyezve van, és fordítva. |
offlineDefinitionUpdateFallbackToCloud |
True / False |
Határozza meg a Végponthoz készült Defender biztonságiintelligencia-frissítési megközelítését, ha az offline tükrözési kiszolgáló nem tudja kiszolgálni a frissítési kérést. Ha true (igaz) értékre van állítva, a rendszer újrapróbálkozott a Microsoft-felhőn keresztül, ha az offline biztonsági intelligencia frissítése sikertelen volt, máskülönben fordítva. |
offlineDefinitionUpdateVerifySig |
enabled / disabled |
Ha a értékre enabledvan állítva, a rendszer ellenőrzi a letöltött definíciókat a végpontokon, máskülönben fordítva. |
Megjegyzés:
Mától az offline biztonságiintelligencia-frissítési funkció csak felügyelt JSON-kapcsolaton keresztül konfigurálható Linux-végpontokon. A biztonsági portál biztonsági beállítások kezelésével való integráció az ütemtervünk része.
A konfiguráció ellenőrzése
Annak ellenőrzéséhez, hogy a beállítások megfelelően vannak-e alkalmazva a Linux-végpontokon, futtassa a következő parancsot:
mdatp health --details definitions
A mintakimenet a következő kódrészlethez hasonlóan néz ki:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Az offline biztonságiintelligencia-Frissítések aktiválása
Automatikus frissítés
- Ha a felügyelt json mezői
automaticDefinitionUpdateEnabledés a "offline_definition_update" értéke igaz, akkor az offline biztonságiintelligencia-frissítések rendszeres időközönként automatikusan aktiválódnak. - Ez az időszak alapértelmezés szerint 8 óra. Konfigurálható azonban a felügyelt JSON-fájlban a beállításával
definitionUpdatesInterval.
Manuális frissítés
Az offline biztonságiintelligencia-frissítés manuális aktiválásához futtassa az alábbi parancsot, hogy letöltse az aláírásokat a Tükrözött kiszolgálóról a Linux-végpontokon:
mdatp definitions update
Frissítés állapotának ellenőrzése
Miután aktiválta az offline biztonságiintelligencia-frissítést az automatikus vagy manuális módszerrel, a következő parancs futtatásával ellenőrizze, hogy a frissítés sikeres volt-e.
mdatp health --details --definitionsEllenőrizze a következő mezőket:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Hibaelhárítás és diagnosztika
Problémák: MDATP-frissítési hiba
- A frissítés elakadt, vagy a frissítés nem aktiválódik.
- A frissítés nem sikerült.
Gyakori hibaelhárítási lépések
Ellenőrizze az offline biztonságiintelligencia-frissítési funkció állapotát az paranccsal:
mdatp health --details definitions- Ennek a parancsnak felhasználóbarát üzenetet kell küldenie a
definitions_update_fail_reasonszakaszban. - Ellenőrizze, hogy
offline_definition_updatea ésoffline_definition_update_verify_siga engedélyezve van-e. - Annak ellenőrzése,
definitions_update_source_urihogy egyenlő-eoffline_definition_url_configured-
definitions_update_source_uriaz a forrás, ahonnan az aláírások le lettek töltve. -
offline_definition_url_configuredaz a forrás, ahonnan az aláírásokat le kell tölteni, a felügyelt konfigurációs fájlban említett forrás.
-
- Ennek a parancsnak felhasználóbarát üzenetet kell küldenie a
Próbálkozzon a kapcsolati teszt végrehajtásával annak ellenőrzéséhez, hogy a Mirror Server elérhető-e a gazdagépről:
mdatp connectivity testPróbálja meg elindítani a manuális frissítést az paranccsal:
mdatp definitions update
Ismert problémák:
Az offline aláírás frissítése a következő forgatókönyvben hiúsulhat meg:
Engedélyezte a funkciót, alkalmazta az aláírás-frissítéseket, majd letiltotta a funkciót, hogy további aláírásfrissítéseket alkalmazzon a felhőből, majd újból engedélyezte a funkciót további aláírásfrissítésekhez.
Hibaelhárítási lépések:
A probléma megoldását hamarosan ki fogjuk adni.
Hasznos hivatkozások
Letöltő szkript
Cron-feladat ütemezése
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: