Configurare l'aggiornamento di Intelligence per la sicurezza offline per Microsoft Defender per endpoint in Linux
Si applica a:
- Microsoft Defender per Endpoint su Linux
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
Questo documento descrive la funzionalità di aggiornamento dell'intelligence per la sicurezza offline di Microsoft Defender per endpoint in Linux.
Importante
Le informazioni contenute in questo articolo si riferiscono a un prodotto preliminare che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Questa funzionalità consente a un'organizzazione di aggiornare l'intelligence di sicurezza (definita anche definizioni o firme in questo documento) negli endpoint Linux con esposizione limitata o nessuna a Internet tramite un server di hosting locale (definito server mirror in questo documento).
Il server mirror è qualsiasi server nell'ambiente del cliente che può connettersi al cloud Microsoft per scaricare le firme. Altri endpoint Linux eseguono il pull delle firme dal server mirror a un intervallo predefinito.
I vantaggi principali includono:
- Possibilità di controllare e gestire la frequenza dei download delle firme nel server locale & la frequenza con cui gli endpoint estraggono le firme dal server locale.
- Aggiunge un ulteriore livello di protezione & controllo perché le firme scaricate possono essere testate in un dispositivo di test prima di essere propagate all'intera flotta.
- Riduce la larghezza di banda di rete perché ora solo un server locale eseguirà il polling del cloud MS per ottenere le firme più recenti per conto dell'intera flotta.
- Il server locale può eseguire uno qualsiasi dei tre sistemi operativi: Windows, Mac, Linux e non è necessario per installare Defender per endpoint.
- Fornisce la protezione antivirus più aggiornata in quanto le firme vengono sempre scaricate insieme al motore AV compatibile più recente.
- In ogni iterazione, la firma con versione n-1 viene spostata in una cartella di backup nel server locale. Se si verifica un problema con la firma più recente, è possibile eseguire il pull della versione della firma n-1 dalla cartella di backup agli endpoint.
- Nella rara occasione in cui l'aggiornamento offline non riesce, è anche possibile scegliere di eseguire il fallback agli aggiornamenti online dal cloud Microsoft (metodo tradizionale).
Funzionamento dell'aggiornamento di Intelligence per la sicurezza offline
- Le organizzazioni devono configurare un server mirror, ovvero un server Web/NFS locale raggiungibile dal cloud Microsoft.
- Le firme vengono scaricate da Microsoft Cloud in questo server mirror eseguendo uno script usando cron job/task scheduler nel server locale.
- Gli endpoint Linux che eseguono Defender per endpoint eseguono il pull delle firme scaricate da questo server mirror a un intervallo di tempo definito dall'utente.
- Le firme estratte sugli endpoint Linux dal server locale vengono prima verificate prima di caricarle nel motore AV.
- Per attivare e configurare il processo di aggiornamento, aggiornare il file json di configurazione gestito negli endpoint Linux.
- Lo stato dell'aggiornamento può essere visualizzato nell'interfaccia della riga di comando di mdatp.
Figura 1: Diagramma del flusso di processo nel server mirror per il download degli aggiornamenti dell'intelligence di sicurezza
Figura 2: Diagramma del flusso di processo nell'endpoint Linux per gli aggiornamenti di Security Intelligence
Prerequisiti
Defender per endpoint versione "101.24022.0001" o successiva deve essere installato negli endpoint Linux.
Gli endpoint Linux devono avere connettività al server mirror.
L'endpoint Linux deve eseguire una delle distribuzioni supportate da Defender per endpoint.
Il server mirror può essere un server HTTP/HTTPS o un server di condivisione di rete. Ad esempio, un server NFS.
Il server mirror deve avere accesso agli URL seguenti:
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
Nel server mirror sono supportati i sistemi operativi seguenti:
- Linux (qualsiasi sapore)
- Windows (qualsiasi versione)
- Mac (qualsiasi versione)
Il server mirror deve supportare bash o PowerShell.
Per il server mirror sono necessarie le specifiche di sistema minime seguenti:
CPU Core RAM Disco libero Swap 2 core (4 core preferiti) 1 GB min (4 GB preferiti) 2 GB Dipendente dal sistema Nota
Questa configurazione può variare a seconda del numero di richieste gestite e del carico che ogni server deve elaborare.
Configurazione del server mirror
Nota
La gestione e la proprietà del server mirror spettano esclusivamente al cliente perché risiede nell'ambiente privato del cliente.
Nota
Nel server mirror non è necessario che Defender per endpoint sia installato.
Ottenere lo script del downloader di intelligence per la sicurezza offline
Microsoft ospita uno script di downloader di intelligence per la sicurezza offline in questo repository GitHub.
Seguire questa procedura per ottenere lo script del downloader:
Opzione 1: Clonare il repository (preferito)
- Installare gitnel server mirror.
- Passare alla directory in cui si vuole clonare il repository.
- Eseguire il comando :
git clone https://github.com/microsoft/mdatp-xplat.git
Opzione 2: Scaricare il file ZIP
Scaricare il file ZIP del repository da qui
Copiare il file ZIP nella cartella in cui si desidera mantenere lo script
Estrarre la zip
Nota
Pianificare un processo cron per mantenere il file ZIP repo/scaricato aggiornato alla versione più recente a intervalli regolari.
Dopo la clonazione del file ZIP repo/scaricato, la struttura di directory locale deve essere la seguente:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Nota
Esaminare il file README.md per comprendere in dettaglio come usare lo script.
Il settings.json file è costituito da alcune variabili che l'utente può configurare per determinare l'output dell'esecuzione dello script.
| Nome campo | Valore | Descrizione |
|---|---|---|
downloadFolder |
stringa | Esegue il mapping al percorso in cui lo script scarica i file in |
downloadLinuxUpdates |
bool | Se impostato su true, lo script scarica gli aggiornamenti specifici di Linux in downloadFolder |
logFilePath |
stringa | Configura i log di diagnostica in una determinata cartella. Questo file può essere condiviso con Microsoft per il debug dello script in caso di problemi |
downloadMacUpdates |
bool | Lo script scarica gli aggiornamenti specifici del Mac nel downloadFolder |
downloadPreviewUpdates |
bool | Scarica la versione di anteprima degli aggiornamenti disponibili per il sistema operativo specifico |
backupPreviousUpdates |
bool | Consente allo script di copiare l'aggiornamento precedente nella cartella _back e i nuovi aggiornamenti vengono scaricati in downloadFolder |
Eseguire lo script del downloader di intelligence per la sicurezza offline
Per eseguire manualmente lo script del downloader, configurare i parametri nel file in settings.json base alla descrizione nella sezione precedente e usare uno dei comandi seguenti in base al sistema operativo del server mirror:
Bash:
./xplat_offline_updates_download.shPowershell:
./xplat_offline_updates_download.ps1
Nota
Pianificare un processo cron per eseguire questo script per scaricare gli aggiornamenti di Security Intelligence più recenti nel server mirror a intervalli regolari.
Ospitare gli aggiornamenti dell'intelligence di sicurezza offline nel server mirror
Dopo l'esecuzione dello script, le firme più recenti vengono scaricate nella cartella configurata nel settings.json file (updates.zip).
Dopo aver scaricato il file ZIP delle firme, è possibile usare il server mirror per ospitarlo. Il server mirror può essere ospitato usando qualsiasi server di condivisione HTTP/HTTPS/rete.
Una volta ospitato, copiare il percorso assoluto del server ospitato (fino a e senza includere la arch_* directory).
Ad esempio, se lo script viene eseguito con downloadFolder=/tmp/wdav-updatee il server HTTP (www.example.server.com:8000) ospita il /tmp/wdav-update percorso, l'URI corrispondente è: www.example.server.com:8000/linux/production/
Dopo aver configurato il server mirror, è necessario propagare questo URL agli endpoint Linux usando la configurazione gestita, come descritto nella sezione successiva.
Configurare gli endpoint
- Usare l'esempio
mdatp_managed.jsonseguente e aggiornare i parametri in base alla configurazione e copiare il file nel percorso/etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| Nome campo | Valori | Commenti |
|---|---|---|
automaticDefinitionUpdateEnabled |
True / False |
Determina il comportamento di Defender per endpoint che tenta di eseguire gli aggiornamenti automaticamente, è attivato o disattivato rispettivamente. |
definitionUpdatesInterval |
Numerico | Tempo di intervallo tra ogni aggiornamento automatico delle firme (in secondi). |
offlineDefinitionUpdateUrl |
Stringa | Valore URL generato come parte della configurazione del server mirror. |
offlineDefinitionUpdate |
enabled / disabled |
Se impostato su enabled, la funzionalità di aggiornamento dell'intelligence per la sicurezza offline è abilitata e viceversa. |
offlineDefinitionUpdateFallbackToCloud |
True / False |
Determinare l'approccio di aggiornamento dell'intelligence per la sicurezza di Defender per endpoint quando il server mirror offline non riesce a gestire la richiesta di aggiornamento. Se impostato su true, l'aggiornamento viene ritentato tramite il cloud Microsoft quando l'aggiornamento dell'intelligence di sicurezza offline non è riuscito, altrimenti viceversa. |
offlineDefinitionUpdateVerifySig |
enabled / disabled |
Se impostato su enabled, le definizioni scaricate vengono verificate negli endpoint, altrimenti viceversa. |
Nota
A partire da oggi la funzionalità di aggiornamento dell'intelligence per la sicurezza offline può essere configurata negli endpoint Linux solo tramite json gestito. L'integrazione con la gestione delle impostazioni di sicurezza nel portale di sicurezza è nella roadmap.
Verificare la configurazione
Per verificare se le impostazioni vengono applicate correttamente negli endpoint Linux, eseguire il comando seguente:
mdatp health --details definitions
Un output di esempio sarà simile al frammento di codice seguente:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Attivazione dell'Aggiornamenti di Intelligence per la sicurezza offline
Aggiornamento automatico
- Se i campi
automaticDefinitionUpdateEnablede "offline_definition_update" nel file json gestito sono impostati su true, gli aggiornamenti dell'intelligence di sicurezza offline vengono attivati automaticamente a intervalli periodici. - Per impostazione predefinita, questo intervallo periodico è di 8 ore. Ma può essere configurato impostando nel
definitionUpdatesIntervaljson gestito.
Aggiornamento manuale
Per attivare manualmente l'aggiornamento dell'intelligence di sicurezza offline per scaricare le firme dal server mirror negli endpoint Linux, eseguire il comando :
mdatp definitions update
Controllare lo stato dell'aggiornamento
Dopo aver attivato l'aggiornamento dell'intelligence di sicurezza offline tramite il metodo automatico o manuale, verificare che l'aggiornamento sia riuscito eseguendo il comando :
mdatp health --details --definitions.Verificare i campi seguenti:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Risoluzione dei problemi e diagnostica
Problemi: errore di aggiornamento di MDATP
- Aggiornamento bloccato o aggiornamento non attivato.
- Aggiornamento non riuscito.
Passaggi comuni per la risoluzione dei problemi
Controllare lo stato della funzionalità di aggiornamento dell'intelligence per la sicurezza offline usando il comando :
mdatp health --details definitions- Questo comando dovrebbe fornire un messaggio descrittivo nella
definitions_update_fail_reasonsezione . - Controllare se
offline_definition_updateeoffline_definition_update_verify_sigè abilitato. - Controllare se
definitions_update_source_uriè uguale aoffline_definition_url_configured-
definitions_update_source_uriè l'origine da cui sono state scaricate le firme. -
offline_definition_url_configuredè l'origine da cui scaricare le firme, quella indicata nel file di configurazione gestito.
-
- Questo comando dovrebbe fornire un messaggio descrittivo nella
Provare a eseguire il test di connettività per verificare se il server mirror è raggiungibile dall'host:
mdatp connectivity testProvare ad attivare l'aggiornamento manuale usando il comando :
mdatp definitions update
Problemi noti:
L'aggiornamento della firma offline potrebbe non riuscire nello scenario seguente:
È stata abilitata la funzionalità, sono stati applicati gli aggiornamenti delle firme, quindi è stata disabilitata la funzionalità per applicare altri aggiornamenti delle firme dal cloud e successivamente è stata riabilitare la funzionalità per altri aggiornamenti delle firme.
Passaggi di mitigazione:
Una correzione per questo problema è prevista per il rilascio a breve.
Collegamenti utili
Script downloader
Pianificazione di un processo cron
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per