Share via


Configurare l'aggiornamento di Intelligence per la sicurezza offline per Microsoft Defender per endpoint in Linux

Si applica a:

Questo documento descrive la funzionalità di aggiornamento dell'intelligence per la sicurezza offline di Microsoft Defender per endpoint in Linux.

Importante

Le informazioni contenute in questo articolo si riferiscono a un prodotto preliminare che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Questa funzionalità consente a un'organizzazione di aggiornare l'intelligence di sicurezza (definita anche definizioni o firme in questo documento) negli endpoint Linux con esposizione limitata o nessuna a Internet tramite un server di hosting locale (definito server mirror in questo documento).

Il server mirror è qualsiasi server nell'ambiente del cliente che può connettersi al cloud Microsoft per scaricare le firme. Altri endpoint Linux eseguono il pull delle firme dal server mirror a un intervallo predefinito.

I vantaggi principali includono:

  • Possibilità di controllare e gestire la frequenza dei download delle firme nel server locale & la frequenza con cui gli endpoint estraggono le firme dal server locale.
  • Aggiunge un ulteriore livello di protezione & controllo perché le firme scaricate possono essere testate in un dispositivo di test prima di essere propagate all'intera flotta.
  • Riduce la larghezza di banda di rete perché ora solo un server locale eseguirà il polling del cloud MS per ottenere le firme più recenti per conto dell'intera flotta.
  • Il server locale può eseguire uno qualsiasi dei tre sistemi operativi: Windows, Mac, Linux e non è necessario per installare Defender per endpoint.
  • Fornisce la protezione antivirus più aggiornata in quanto le firme vengono sempre scaricate insieme al motore AV compatibile più recente.
  • In ogni iterazione, la firma con versione n-1 viene spostata in una cartella di backup nel server locale. Se si verifica un problema con la firma più recente, è possibile eseguire il pull della versione della firma n-1 dalla cartella di backup agli endpoint.
  • Nella rara occasione in cui l'aggiornamento offline non riesce, è anche possibile scegliere di eseguire il fallback agli aggiornamenti online dal cloud Microsoft (metodo tradizionale).

Funzionamento dell'aggiornamento di Intelligence per la sicurezza offline

  • Le organizzazioni devono configurare un server mirror, ovvero un server Web/NFS locale raggiungibile dal cloud Microsoft.
  • Le firme vengono scaricate da Microsoft Cloud in questo server mirror eseguendo uno script usando cron job/task scheduler nel server locale.
  • Gli endpoint Linux che eseguono Defender per endpoint eseguono il pull delle firme scaricate da questo server mirror a un intervallo di tempo definito dall'utente.
  • Le firme estratte sugli endpoint Linux dal server locale vengono prima verificate prima di caricarle nel motore AV.
  • Per attivare e configurare il processo di aggiornamento, aggiornare il file json di configurazione gestito negli endpoint Linux.
  • Lo stato dell'aggiornamento può essere visualizzato nell'interfaccia della riga di comando di mdatp.

Diagramma del flusso di processo nel server mirror per il download degli aggiornamenti di Security Intelligence Figura 1: Diagramma del flusso di processo nel server mirror per il download degli aggiornamenti dell'intelligence di sicurezza

Diagramma del flusso di processo nell'endpoint Linux per gli aggiornamenti dell'intelligence per la sicurezza

Figura 2: Diagramma del flusso di processo nell'endpoint Linux per gli aggiornamenti di Security Intelligence

Prerequisiti

  • Defender per endpoint versione "101.24022.0001" o successiva deve essere installato negli endpoint Linux.

  • Gli endpoint Linux devono avere connettività al server mirror.

  • L'endpoint Linux deve eseguire una delle distribuzioni supportate da Defender per endpoint.

  • Il server mirror può essere un server HTTP/HTTPS o un server di condivisione di rete. Ad esempio, un server NFS.

  • Il server mirror deve avere accesso agli URL seguenti:

    • https://github.com/microsoft/mdatp-xplat.git
    • https://go.microsoft.com/fwlink/?linkid=2144709
  • Nel server mirror sono supportati i sistemi operativi seguenti:

    • Linux (qualsiasi sapore)
    • Windows (qualsiasi versione)
    • Mac (qualsiasi versione)
  • Il server mirror deve supportare bash o PowerShell.

  • Per il server mirror sono necessarie le specifiche di sistema minime seguenti:

    CPU Core RAM Disco libero Swap
    2 core (4 core preferiti) 1 GB min (4 GB preferiti) 2 GB Dipendente dal sistema

    Nota

    Questa configurazione può variare a seconda del numero di richieste gestite e del carico che ogni server deve elaborare.

Configurazione del server mirror

Nota

La gestione e la proprietà del server mirror spettano esclusivamente al cliente perché risiede nell'ambiente privato del cliente.

Nota

Nel server mirror non è necessario che Defender per endpoint sia installato.

Ottenere lo script del downloader di intelligence per la sicurezza offline

Microsoft ospita uno script di downloader di intelligence per la sicurezza offline in questo repository GitHub.

Seguire questa procedura per ottenere lo script del downloader:

Opzione 1: Clonare il repository (preferito)

  • Installare gitnel server mirror.
  • Passare alla directory in cui si vuole clonare il repository.
  • Eseguire il comando : git clone https://github.com/microsoft/mdatp-xplat.git

Opzione 2: Scaricare il file ZIP

  • Scaricare il file ZIP del repository da qui

  • Copiare il file ZIP nella cartella in cui si desidera mantenere lo script

  • Estrarre la zip

Nota

Pianificare un processo cron per mantenere il file ZIP repo/scaricato aggiornato alla versione più recente a intervalli regolari.

Dopo la clonazione del file ZIP repo/scaricato, la struttura di directory locale deve essere la seguente:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Nota

Esaminare il file README.md per comprendere in dettaglio come usare lo script.

Il settings.json file è costituito da alcune variabili che l'utente può configurare per determinare l'output dell'esecuzione dello script.

Nome campo Valore Descrizione
downloadFolder stringa Esegue il mapping al percorso in cui lo script scarica i file in
downloadLinuxUpdates bool Se impostato su true, lo script scarica gli aggiornamenti specifici di Linux in downloadFolder
logFilePath stringa Configura i log di diagnostica in una determinata cartella. Questo file può essere condiviso con Microsoft per il debug dello script in caso di problemi
downloadMacUpdates bool Lo script scarica gli aggiornamenti specifici del Mac nel downloadFolder
downloadPreviewUpdates bool Scarica la versione di anteprima degli aggiornamenti disponibili per il sistema operativo specifico
backupPreviousUpdates bool Consente allo script di copiare l'aggiornamento precedente nella cartella _back e i nuovi aggiornamenti vengono scaricati in downloadFolder

Eseguire lo script del downloader di intelligence per la sicurezza offline

Per eseguire manualmente lo script del downloader, configurare i parametri nel file in settings.json base alla descrizione nella sezione precedente e usare uno dei comandi seguenti in base al sistema operativo del server mirror:

  • Bash:

    ./xplat_offline_updates_download.sh
    
  • Powershell:

    ./xplat_offline_updates_download.ps1
    

Nota

Pianificare un processo cron per eseguire questo script per scaricare gli aggiornamenti di Security Intelligence più recenti nel server mirror a intervalli regolari.

Ospitare gli aggiornamenti dell'intelligence di sicurezza offline nel server mirror

Dopo l'esecuzione dello script, le firme più recenti vengono scaricate nella cartella configurata nel settings.json file (updates.zip).

Dopo aver scaricato il file ZIP delle firme, è possibile usare il server mirror per ospitarlo. Il server mirror può essere ospitato usando qualsiasi server di condivisione HTTP/HTTPS/rete.

Una volta ospitato, copiare il percorso assoluto del server ospitato (fino a e senza includere la arch_* directory).

Ad esempio, se lo script viene eseguito con downloadFolder=/tmp/wdav-updatee il server HTTP (www.example.server.com:8000) ospita il /tmp/wdav-update percorso, l'URI corrispondente è: www.example.server.com:8000/linux/production/

Dopo aver configurato il server mirror, è necessario propagare questo URL agli endpoint Linux usando la configurazione gestita, come descritto nella sezione successiva.

Configurare gli endpoint

  • Usare l'esempio mdatp_managed.json seguente e aggiornare i parametri in base alla configurazione e copiare il file nel percorso /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefintionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  }
}
Nome campo Valori Commenti
automaticDefinitionUpdateEnabled True/False Determina il comportamento di Defender per endpoint che tenta di eseguire gli aggiornamenti automaticamente, è attivato o disattivato rispettivamente
definitionUpdatesInterval Numerico Tempo di intervallo tra ogni aggiornamento automatico delle firme (in secondi)
offlineDefinitionUpdateUrl Stringa Valore URL generato come parte della configurazione del server mirror
offlineDefinitionUpdate enabled/disabled Se impostato su enabled, la funzionalità di aggiornamento dell'intelligence per la sicurezza offline è abilitata e viceversa.
offlineDefinitionUpdateFallbackToCloud True/False Determinare l'approccio di aggiornamento dell'intelligence per la sicurezza di Defender per endpoint quando il server mirror offline non riesce a gestire la richiesta di aggiornamento. Se impostato su true, l'aggiornamento viene ritentato tramite il cloud Microsoft quando l'aggiornamento dell'intelligence di sicurezza offline non è riuscito, altrimenti viceversa.

Nota

A partire da oggi la funzionalità di aggiornamento dell'intelligence per la sicurezza offline può essere configurata negli endpoint Linux solo tramite json gestito. L'integrazione con la gestione delle impostazioni di sicurezza nel portale di sicurezza è nella roadmap.

Verificare la configurazione

Per verificare se le impostazioni vengono applicate correttamente negli endpoint Linux, eseguire il comando seguente:

mdatp health --details definitions

Ad esempio, un output di esempio sarà simile al seguente:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Attivazione dell'Aggiornamenti di Intelligence per la sicurezza offline

Aggiornamento automatico

  • Se i campi automaticDefinitionUpdateEnabled e "offline_definition_update" nel file json gestito sono impostati su true, gli aggiornamenti dell'intelligence di sicurezza offline vengono attivati automaticamente a intervalli periodici.
  • Per impostazione predefinita, questo intervallo periodico è di 8 ore. Ma può essere configurato impostando nel definitionUpdatesInterval json gestito.

Aggiornamento manuale

  • Per attivare manualmente l'aggiornamento dell'intelligence di sicurezza offline per scaricare le firme dal server mirror negli endpoint Linux, eseguire il comando :

    mdatp definitions update
    

Controllare lo stato dell'aggiornamento

  • Dopo aver attivato l'aggiornamento dell'intelligence di sicurezza offline tramite il metodo automatico o manuale, verificare che l'aggiornamento sia riuscito eseguendo il comando : mdatp health --details --definitions.

  • Verificare i campi seguenti:

    user@vm:~$ mdatp health --details definitions
    ...
    definitions_status                          : "up_to_date"
    ...
    definitions_update_fail_reason              : ""
    ...
    

Risoluzione dei problemi e diagnostica

Problemi: errore di aggiornamento di MDATP

  • Aggiornamento bloccato o aggiornamento non attivato
  • Aggiornamento non riuscito

Passaggi comuni per la risoluzione dei problemi

  • Controllare lo stato della funzionalità di aggiornamento dell'intelligence per la sicurezza offline usando il comando :

    mdatp health --details definitions
    
    • Questo comando dovrebbe fornire un messaggio descrittivo nella definitions_update_fail_reason sezione .
    • Controllare se offline_definition_update e offline_definition_update_verify_sig è abilitato.
    • Controllare se definitions_update_source_uri è uguale a offline_definition_url_configured
      • definitions_update_source_uri è l'origine da cui sono state scaricate le firme.
      • offline_definition_url_configured è l'origine da cui scaricare le firme, quella indicata nel file di configurazione gestito.
  • Provare a eseguire il test di connettività per verificare se il server mirror è raggiungibile dall'host:

    mdatp connectivity test
    
  • Provare ad attivare l'aggiornamento manuale usando il comando :

    mdatp definitions update
    

Problemi noti:

L'aggiornamento della firma offline potrebbe non riuscire nello scenario seguente:
È stata abilitata la funzionalità, sono stati applicati gli aggiornamenti delle firme, quindi è stata disabilitata la funzionalità per applicare altri aggiornamenti delle firme dal cloud e successivamente è stata riabilitare la funzionalità per altri aggiornamenti delle firme.

Passaggi di mitigazione:
La correzione per questo sarà disponibile nella prossima versione.

Script downloader

Pianificazione di un processo cron