Novità di Microsoft Defender per endpoint in Linux
Questo articolo viene aggiornato di frequente per segnalare le novità delle versioni più recenti di Microsoft Defender per endpoint in Linux.
Importante
A partire dalla versione 101.2408.0004
, Defender per endpoint in Linux non supporta più il Auditd
provider di eventi. Stiamo passando completamente alla tecnologia eBPF più efficiente. Questa modifica consente prestazioni migliori, un consumo di risorse ridotto e una maggiore stabilità complessiva. Il supporto di eBPF è disponibile da agosto 2023 ed è completamente integrato in tutti gli aggiornamenti di Defender per endpoint in Linux (versione 101.23082.0006
e versioni successive). È consigliabile adottare la build eBPF, in quanto offre miglioramenti significativi rispetto a Auditd. Se eBPF non è supportato nei computer o se sono presenti requisiti specifici da mantenere in Auditd, sono disponibili le opzioni seguenti:
Continuare a usare la compilazione
101.24072.0000
di Defender per endpoint in Linux con Auditd. Questa build continuerà a essere supportata per diversi mesi, quindi è possibile pianificare ed eseguire la migrazione a eBPF.Se si usa versioni successive a
101.24072.0000
, Defender per endpoint in Linux si basa sunetlink
come provider di eventi supplementari di backup. In caso di fallback, tutte le operazioni di processo continuano a scorrere senza problemi.
Esaminare la distribuzione corrente di Defender per endpoint in Linux e iniziare a pianificare la migrazione alla compilazione supportata da eBPF. Per altre informazioni su eBPF e sul suo funzionamento, vedere Usare un sensore basato su eBPF per Microsoft Defender per endpoint in Linux.
In caso di problemi o di necessità di assistenza durante questa transizione, contattare il supporto tecnico.
Ottobre 2024 (Build: 101.24082.0004 | Versione di rilascio: 30.124082.0004.0)
Build settembre 2024: 101.24082.0004 | Versione di rilascio: 30.124082.0004.0
Data di rilascio: 15 ottobre 2024
Pubblicato: 15 ottobre 2024
Build: 101.24082.0004
Versione di rilascio: 30.124082.0004
Versione del motore: 1.1.24080.9
Versione della firma: 1.417.659.0
Novità
- A partire da questa versione, Defender per endpoint in Linux non supporta
AuditD
più come provider di eventi supplementari. Per migliorare la stabilità e le prestazioni, è stata completamente eseguita la transizione a eBPF. Se si disabilita eBPF o nel caso in cui eBPF non sia supportato in alcun kernel specifico, Defender per endpoint in Linux torna automaticamente a Netlink come provider di eventi supplementari di fallback. Netlink offre funzionalità ridotte e tiene traccia solo degli eventi correlati ai processi. In questo caso, tutte le operazioni di processo continuano a scorrere senza problemi, ma è possibile perdere eventi specifici relativi a file e socket che eBPF acquisirebbe in caso contrario. Per altre informazioni, vedere Usare un sensore basato su eBPF per Microsoft Defender per endpoint in Linux. In caso di problemi o di necessità di assistenza durante questa transizione, contattare il supporto tecnico. - Miglioramenti della stabilità e delle prestazioni
- Altre correzioni di bug
Settembre 2024 (Build: 101.24072.0001 | Versione di rilascio: 30.124072.0001.0)
Build settembre 2024: 101.24072.0001 | Versione di rilascio: 30.124072.0001.0
Data di rilascio: 23 settembre 2024
Pubblicato: 23 settembre 2024
Build: 101.24072.0001
Versione di rilascio: 30.124072.0001.0
Versione del motore: 1.1.24060.6
Versione della firma: 1.415.228.0
Novità
- Aggiunta del supporto per Ubuntu 24.04
- Aggiornamento della versione predefinita del motore a
1.1.24060.6
e della versione predefinita delle firme a1.415.228.0
.
Luglio-2024 (Build: 101.24062.0001 | Versione di rilascio: 30.124062.0001.0)
Build luglio-2024: 101.24062.0001 | Versione di rilascio: 30.124062.0001.0
Data di rilascio: 31 luglio 2024
Pubblicato: 31 luglio 2024
Build: 101.24062.0001
Versione di rilascio: 30.124062.0001.0
Versione del motore: 1.1.24050.7
Versione della firma: 1.411.410.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche.
- Corregge un bug in cui le informazioni sulle minacce della riga di comando infette non vengono visualizzate correttamente nel portale di sicurezza.
- Corregge un bug in cui la disabilitazione di una funzionalità di anteprima richiedeva una funzionalità di Defender of Endpoint per disabilitarla.
- La funzionalità Esclusioni globali con JSON gestito è ora disponibile in anteprima pubblica. disponibile in insider rallenta da 101.23092.0012. Per altre informazioni, vedere linux-exclusions.
- È stata aggiornata la versione predefinita del motore Linux alla versione 1.1.24050.7 e la versione predefinita di sigs è 1.411.410.0.
- Miglioramenti della stabilità e delle prestazioni.
- Altre correzioni di bug.
Giugno-2024 (Build: 101.24052.0002 | Versione di rilascio: 30.124052.0002.0)
Build giugno-2024: 101.24052.0002 | Versione di rilascio: 30.124052.0002.0
Data di rilascio: 24 giugno 2024
Pubblicato: 24 giugno 2024
Build: 101.24052.0002
Versione di rilascio: 30.124052.0002.0
Versione del motore: 1.1.24040.2
Versione della firma: 1.411.153.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche.
- Questa versione corregge un bug correlato all'utilizzo elevato della memoria che alla fine porta a una CPU elevata a causa della perdita di memoria eBPF nello spazio del kernel, causando l'utilizzo di server in stati inutilizzabili. Ciò ha interessato solo le versioni del kernel 3.10x e <= 4.16x, in modo principale nelle distribuzioni RHEL/CentOS. Eseguire l'aggiornamento alla versione più recente MDE per evitare qualsiasi impatto.
- Ora abbiamo semplificato l'output di
mdatp health --detail features
- Miglioramenti della stabilità e delle prestazioni.
- Altre correzioni di bug.
Maggio-2024 (Build: 101.24042.0002 | Versione di rilascio: 30.124042.0002.0)
Build di maggio 2024: 101.24042.0002 | Versione di rilascio: 30.124042.0002.0
Data di rilascio: 29 maggio 2024
Pubblicato: 29 maggio 2024
Build: 101.24042.0002
Versione di rilascio: 30.124042.0002.0
Versione del motore: 1.1.24030.4
Versione della firma: 1.407.521.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche:
- Nella versione 24032.0007 si è verificato un problema noto in cui la registrazione dei dispositivi in Gestione sicurezza MDE non è riuscita quando si usa il meccanismo "Device Tagging" tramite il file mdatp_managed.json. Questo problema è stato risolto nella versione corrente.
- Miglioramenti della stabilità e delle prestazioni.
- Altre correzioni di bug.
Maggio-2024 (Build: 101.24032.0007 | Versione di rilascio: 30.124032.0007.0)
Build di maggio 2024: 101.24032.0007 | Versione di rilascio: 30.124032.0007.0
Data di rilascio: 15 maggio 2024
Pubblicato: 15 maggio 2024
Build: 101.24032.0007
Versione di rilascio: 30.124032.0007.0
Versione del motore: 1.1.24020.3
Versione della firma: 1.403.3500.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche:
Nelle modalità passiva e su richiesta, il motore antivirus rimane inattivo e viene usato solo durante le analisi personalizzate pianificate. Pertanto, come parte dei miglioramenti delle prestazioni, sono state apportate modifiche per mantenere il motore AV in modalità passiva e su richiesta, tranne durante le analisi personalizzate pianificate. Se la protezione in tempo reale è abilitata, il motore antivirus sarà sempre attivo e in esecuzione. Ciò non avrà alcun impatto sulla protezione del server in qualsiasi modalità.
Per informare gli utenti dello stato del motore antivirus, è stato introdotto un nuovo campo denominato "engine_load_status" come parte dell'integrità MDATP. Indica se il motore antivirus è attualmente in esecuzione o meno.
Field name
engine_load_status
Valori possibili Motore non caricato (il processo del motore AV è inattivo), Caricamento del motore completato (processo del motore AV in esecuzione) Scenari integri:
- Se RTP è abilitato, engine_load_status deve essere "Caricamento del motore completato"
- Se MDE è in modalità su richiesta o passiva e l'analisi personalizzata non è in esecuzione, "engine_load_status" deve essere "Motore non caricato"
- Se MDE è in modalità su richiesta o passiva e l'analisi personalizzata è in esecuzione, "engine_load_status" deve essere "Caricamento del motore completato"
Correzione di bug per migliorare i rilevamenti comportamentali.
Miglioramenti della stabilità e delle prestazioni.
Altre correzioni di bug.
Problemi noti
Esiste un problema noto per cui la registrazione dei dispositivi in gestione della sicurezza MDE tramite il meccanismo "Device Tagging" usando mdatp_managed.json non riesce nella versione 24032.0007. Per attenuare questo problema, usare il comando dell'interfaccia della riga di comando mdatp seguente per contrassegnare i dispositivi:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Il problema è stato risolto nella build: 101.24042.0002
Marzo-2024 (Build: 101.24022.0001 | Versione di rilascio: 30.124022.0001.0)
Build marzo-2024: 101.24022.0001 | Versione di rilascio: 30.124022.0001.0
Data di rilascio: 22 marzo 2024
Pubblicato: 22 marzo 2024
Build: 101.24022.0001
Versione di rilascio: 30.124022.0001.0
Versione del motore: 1.1.23110.4
Versione della firma: 1.403.87.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche:
- Aggiunta di un nuovo file di log -
microsoft_defender_scan_skip.log
. In questo modo i nomi di file ignorati da varie analisi antivirus Microsoft Defender per endpoint per qualsiasi motivo. - Miglioramenti della stabilità e delle prestazioni.
- Correzione dei bug.
Marzo-2024 (Build: 101.24012.0001 | Versione di rilascio: 30.124012.0001.0)
Build marzo-2024: 101.24012.0001 | Versione di rilascio: 30.124012.0001.0
Data di rilascio: 12 marzo 2024
Pubblicato: 12 marzo 2024
Build: 101.24012.0001
Versione di rilascio: 30.124012.0001.0
Versione del motore: 1.1.23110.4
Versione della firma: 1.403.87.0
Novità In questa versione sono presenti più correzioni e nuove modifiche:
- Aggiornamento della versione predefinita del motore a
1.1.23110.4
e della versione predefinita delle firme a1.403.87.0
. - Miglioramenti della stabilità e delle prestazioni.
- Correzione dei bug.
Febbraio-2024 (Build: 101.23122.0002 | Versione di rilascio: 30.123122.0002.0)
Build di febbraio-2024: 101.23122.0002 | Versione di rilascio: 30.123122.0002.0
Data di rilascio: 5 febbraio 2024
Pubblicato: 5 febbraio 2024
Build: 101.23122.0002
Versione di rilascio: 30.123122.0002.0
Versione del motore: 1.1.23100.2010
Versione della firma: 1.399.1389.0
Novità In questa versione sono presenti più correzioni e nuove modifiche:
Aggiornamento della versione predefinita del motore a
1.1.23100.2010
e della versione predefinita delle firme a1.399.1389.0
.Miglioramenti generali della stabilità e delle prestazioni.
Correzione dei bug.
Microsoft Defender per endpoint in Linux ora supporta ufficialmente le distribuzioni e le versioni seguenti:
Versione & Distro Anello Pacchetto Mariner 2 Produzione https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 e versioni successive Insider lenti https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 e versioni successive Insider lenti https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 e versioni successive Insider lenti https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 e versioni successive Insider lenti https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Se Defender per endpoint è già in esecuzione in una di queste distribuzioni e si verificano problemi nelle versioni precedenti, eseguire l'aggiornamento alla versione più recente di Defender per endpoint dall'anello corrispondente indicato in precedenza. Per altri dettagli, vedere la documentazione sulla distribuzione pubblica .
Nota
Problemi noti:
Microsoft Defender per endpoint per Linux su Rocky e Alma presenta attualmente i problemi noti seguenti:
- La gestione delle vulnerabilità in tempo reale e delle minacce non è attualmente supportata (work in progress).
- Le informazioni sul sistema operativo per i dispositivi non sono visibili nel portale di Microsoft Defender
Gennaio-2024 (Build: 101.23112.0009 | Versione di rilascio: 30.123112.0009.0)
Build gennaio-2024: 101.23112.0009 | Versione di rilascio: 30.123112.0009.0
Data di rilascio: 29 gennaio 2024
Pubblicato: 29 gennaio 2024
Build: 101.23112.0009
Versione di rilascio: 30.123112.0009.0
Versione del motore: 1.1.23100.2010
Versione della firma: 1.399.1389.0
Novità
- Aggiornamento della versione predefinita del motore a
1.1.23110.4
e della versione predefinita delle firme a1.403.1579.0
. - Miglioramenti generali della stabilità e delle prestazioni.
- Correzione di bug per la configurazione del monitoraggio del comportamento.
- Correzione dei bug.
Novembre-2023 (Build: 101.23102.0003 | Versione di rilascio: 30.123102.0003.0)
Build novembre-2023: 101.23102.0003 | Versione di rilascio: 30.123102.0003.0
Data di rilascio: 28 novembre 2023
Pubblicato: 28 novembre 2023
Build: 101.23102.0003
Versione di rilascio: 30.123102.0003.0
Versione del motore: 1.1.23090.2008
Versione della firma: 1.399.690.0
Novità
- Aggiornamento della versione predefinita del motore a
1.1.23090.2008
e della versione predefinita delle firme a1.399.690.0
. - Aggiornamento della libreria libcurl alla versione
8.4.0
per correggere le vulnerabilità rilevate di recente con la versione precedente. - Aggiornamento della libreria Openssl alla versione
3.1.1
per correggere le vulnerabilità rilevate di recente con la versione precedente. - Miglioramenti generali della stabilità e delle prestazioni.
- Correzione dei bug.
Novembre-2023 (Build: 101.23092.0012 | Versione di rilascio: 30.123092.0012.0)
Build novembre-2023: 101.23092.0012 | Versione di rilascio: 30.123092.0012.0
Data di rilascio: 14 novembre 2023
Pubblicato: 14 novembre 2023
Build: 101.23092.0012
Versione di rilascio: 30.123092.0012.0
Versione del motore: 1.1.23080.2007
Versione della firma: 1.395.1560.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche:
- Supporto aggiunto per ripristinare la minaccia in base al percorso originale usando il comando seguente:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
A partire da questa versione, Microsoft Defender per endpoint in Linux non spedirà più una soluzione per RHEL 6.
RHEL 6 "Supporto di fine vita esteso" è pronto a terminare entro il 30 giugno 2024 e ai clienti viene consigliato di pianificare gli aggiornamenti RHEL in base alle indicazioni di Red Hat. I clienti che devono eseguire Defender per endpoint nei server RHEL 6 possono continuare a sfruttare la versione 101.23082.0011 (non scade prima del 30 giugno 2024) supportata nelle versioni del kernel 2.6.32-754.49.1.el6.x86_64 o precedenti.
- Aggiornamento del motore a
1.1.23080.2007
e Firme Ver:1.395.1560.0
. - L'esperienza di connettività dei dispositivi semplificata è ora in modalità anteprima pubblica. blog pubblico
- Miglioramenti delle prestazioni & correzioni di bug.
- Aggiornamento del motore a
Problemi noti
- Blocco della CPU visualizzato nella versione del kernel 5.15.0-0.30.20 in modalità ebpf. Per informazioni dettagliate e opzioni di mitigazione, vedere Usare il sensore basato su eBPF per Microsoft Defender per endpoint in Linux.
Novembre-2023 (Build: 101.23082.0011 | Versione di rilascio: 30.123082.0011.0)
Build novembre-2023: 101.23082.0011 | Versione di rilascio: 30.123082.0011.0
Data di rilascio: 1 novembre 2023
Pubblicato: 1 novembre 2023
Build: 101.23082.0011
Versione di rilascio: 30.123082.0011.0
Versione del motore: 1.1.23070.1002
Versione della firma: 1.393.1305.0
Novità Questa nuova versione viene compilata nel mese di ottobre 2023 ('101.23082.0009''') con l'aggiunta delle modifiche seguenti. Non c'è alcuna modifica per altri clienti e l'aggiornamento è facoltativo.
Correzione per la modalità non modificabile di controllo quando il sottosistema supplementare è ebpf: in modalità ebpf tutte le regole di controllo mdatp devono essere pulite dopo il passaggio a ebpf e il riavvio. Dopo il riavvio, le regole di controllo mdatp non sono state pulite a causa del quale si è verificato un blocco del server. La correzione pulisce queste regole, l'utente non dovrebbe visualizzare alcuna regola mdatp caricata al riavvio
Correzione per MDE non si avvia in RHEL 6.
Problemi noti
Quando si esegue l'aggiornamento da mdatp versione 101.75.43 o 101.78.13, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione 101.98.05. Altre informazioni sul problema sottostante sono disponibili in Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Ottobre-2023 (Build: 101.23082.0009 | Versione di rilascio: 30.123082.0009.0)
Build ottobre-2023: 101.23082.0009 | Versione di rilascio: 30.123082.0009.0
Data di rilascio: 9 ottobre 2023
Pubblicato: 9 ottobre 2023
Build: 101.23082.0009
Versione di rilascio: 30.123082.0009.0
Versione del motore: 1.1.23070.1002
Versione della firma: 1.393.1305.0
Novità
- Questa nuova versione è stata compilata nel mese di ottobre 2023 ('101.23082.0009''') con l'aggiunta di nuovi certificati CA. Non c'è alcuna modifica per altri clienti e l'aggiornamento è facoltativo.
Problemi noti
Quando si esegue l'aggiornamento da mdatp versione 101.75.43 o 101.78.13, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione 101.98.05. Altre informazioni sul problema sottostante sono disponibili in Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Ottobre-2023 (Build: 101.23082.0006 | Versione di rilascio: 30.123082.0006.0)
Build ottobre-2023: 101.23082.0006 | Versione di rilascio: 30.123082.0006.0
Data di rilascio: 9 ottobre 2023
Pubblicato: 9 ottobre 2023
Build: 101.23082.0006
Versione di rilascio: 30.123082.0006.0
Versione del motore: 1.1.23070.1002
Versione della firma: 1.393.1305.0
Novità
Aggiornamenti delle funzionalità e nuove modifiche
- Il sensore eBPF è ora il provider di eventi supplementari predefinito per gli endpoint
- Microsoft Intune funzionalità di collegamento del tenant è disponibile in anteprima pubblica (a partire da metà luglio)
- Per il corretto funzionamento della funzionalità, è necessario aggiungere "*.dm.microsoft.com" alle esclusioni del firewall
- Defender per endpoint è ora disponibile per Debian 12 e Amazon Linux 2023
- Supporto per abilitare la verifica della firma degli aggiornamenti scaricati
Si noti che è necessario aggiornare il manajed.json come illustrato di seguito
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Prerequisito per abilitare la funzionalità
- La versione del motore nel dispositivo deve essere "1.1.23080.007" o successiva. Controllare la versione del motore usando il comando seguente.
mdatp health --field engine_version
- La versione del motore nel dispositivo deve essere "1.1.23080.007" o successiva. Controllare la versione del motore usando il comando seguente.
- Opzione per supportare il monitoraggio dei punti di montaggio NFS e FUSE. Questi vengono ignorati per impostazione predefinita. L'esempio seguente illustra come monitorare tutto il file system ignorando solo NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Esempio per monitorare tutti i file system, inclusi NFS e FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- Altri miglioramenti delle prestazioni
- Correzioni
Problemi noti
- Quando si esegue l'aggiornamento da mdatp versione 101.75.43 o 101.78.13, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione 101.98.05. Altre informazioni sul problema sottostante sono disponibili in Blocco del sistema a causa di attività bloccate nel codice fanotify. Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Settembre-2023 (Build: 101.23072.0021 | Versione di rilascio: 30.123072.0021.0)
Build settembre-2023: 101.23072.0021 | Versione di rilascio: 30.123072.0021.0
Data di rilascio: 11 settembre 2023
Pubblicato: 11 settembre 2023
Build: 101.23072.0021
Versione di rilascio: 30.123072.0021.0
Versione del motore: 1.1.20100.7
Versione della firma: 1.385.1648.0
Novità
- In questa versione sono presenti più correzioni e nuove modifiche
- In mde_installer.sh v0.6.3, gli utenti possono usare l'argomento
--channel
per fornire il canale del repository configurato durante la pulizia. Ad esempio,sudo ./mde_installer --clean --channel prod
- L'estensione di rete può ora essere reimpostata dagli amministratori usando
mdatp network-protection reset
. - Altri miglioramenti delle prestazioni
- Correzioni
- In mde_installer.sh v0.6.3, gli utenti possono usare l'argomento
Problemi noti
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Luglio-2023 (Build: 101.23062.0010 | Versione di rilascio: 30.123062.0010.0)
Build luglio-2023: 101.23062.0010 | Versione di rilascio: 30.123062.0010.0
Data di rilascio: 26 luglio 2023
Pubblicato: 26 luglio 2023
Build: 101.23062.0010
Versione di rilascio: 30.123062.0010.0
Versione del motore: 1.1.20100.7
Versione della firma: 1.385.1648.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche
- Se un proxy è impostato per Defender per endpoint, è visibile nell'output del
mdatp health
comando - Con questa versione sono disponibili due opzioni in mdatp diagnostic hot-event-sources:
- File
- Eseguibili
- Protezione di rete: Connections bloccate da Protezione rete e con il blocco sottoposto a override dagli utenti vengono ora segnalate correttamente a Microsoft Defender XDR
- Registrazione migliorata negli eventi di blocco e controllo di Protezione rete per il debug
- Se un proxy è impostato per Defender per endpoint, è visibile nell'output del
Altre correzioni e miglioramenti
- Da questa versione, enforcementLevel è in modalità passiva per impostazione predefinita, offrendo agli amministratori un maggiore controllo sulla posizione in cui vogliono "RTP on" all'interno del proprio patrimonio
- Questa modifica si applica solo alle nuove distribuzioni di MDE, ad esempio ai server in cui Defender per endpoint viene distribuito per la prima volta. Negli scenari di aggiornamento, i server con Defender per endpoint distribuiti con RTP ON continuano a funzionare con RTP ON anche dopo l'aggiornamento alla versione 101.23062.0010
Correzioni
- Problema di danneggiamento del database RPM in Gestione delle vulnerabilità di Defender baseline è stato risolto
Altri miglioramenti delle prestazioni
Problemi noti
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Luglio-2023 (Build: 101.23052.0009 | Versione di rilascio: 30.123052.0009.0)
Build luglio-2023: 101.23052.0009 | Versione di rilascio: 30.123052.0009.0
Data di rilascio: 10 luglio 2023
Pubblicato: 10 luglio 2023
Build: 101.23052.0009
Versione di rilascio: 30.123052.0009.0
Versione del motore: 1.1.20100.7
Versione della firma: 1.385.1648.0
Novità
- Esistono più correzioni e nuove modifiche in questa versione: lo schema della versione di compilazione viene aggiornato da questa versione. Mentre il numero di versione principale rimane identico a 101, il numero di versione secondaria ora ha cinque cifre seguite da un numero di patch di quattro cifre,
101.xxxxx.yyy
ovvero - Miglioramento del consumo di memoria di Protezione rete sotto stress- Aggiornamento della versione del motore a
1.1.20300.5
e della versione della firma a1.391.2837.0
. - Correzione dei bug.
- Aggiornamento della versione del motore a
Problemi noti
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Giugno-2023 (Build: 101.98.89 | Versione di rilascio: 30.123042.19889.0)
Build giugno-2023: 101.98.89 | Versione di rilascio: 30.123042.19889.0
Data di rilascio: 12 giugno 2023
Pubblicato: 12 giugno 2023
Build: 101.98.89
Versione di rilascio: 30.123042.19889.0
Versione del motore: 1.1.20100.7
Versione della firma: 1.385.1648.0
Novità
- In questa versione sono presenti più correzioni e nuove modifiche
- Gestione migliorata del proxy di protezione di rete.
- In modalità passiva Defender per endpoint non esegue più l'analisi quando si verifica l'aggiornamento delle definizioni.
- I dispositivi continuano a essere protetti anche dopo la scadenza dell'agente di Defender per endpoint. È consigliabile aggiornare l'agente Linux di Defender per endpoint alla versione più recente disponibile per ricevere correzioni di bug, funzionalità e miglioramenti delle prestazioni.
- Rimozione della dipendenza del pacchetto di gestione.
- Aggiornamento del motore a
1.1.20100.7
e Firme Ver:1.385.1648.0
. - Correzione dei bug.
Problemi noti
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Maggio-2023 (Build: 101.98.64 | Versione di rilascio: 30.123032.19864.0)
Build di maggio 2023: 101.98.64 | Versione di rilascio: 30.123032.19864.0
Data di rilascio: 3 maggio 2023
Pubblicato: 3 maggio 2023
Build: 101.98.64
Versione di rilascio: 30.123032.19864.0
Versione del motore: 1.1.20100.6
Versione della firma: 1.385.68.0
Novità
- In questa versione sono presenti più correzioni e nuove modifiche
- Miglioramenti dei messaggi di integrità per acquisire i dettagli sugli errori controllati.
- Miglioramenti per gestire augenrules, che causavano errori di installazione.
- Pulizia periodica della memoria nel processo del motore.
- Correzione del problema di memoria nel plug-in mdatp audisp.
- Percorso della directory del plug-in mancante durante l'installazione.
- Quando l'applicazione in conflitto usa il blocco fanotify, con l'integrità mdatp di configurazione predefinita non è integro. Questo problema è stato risolto.
- Supporto per l'ispezione del traffico ICMP in BM.
- Aggiornamento del motore a
1.1.20100.6
e Firme Ver:1.385.68.0
. - Correzione dei bug.
Problemi noti
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Attenzione: alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Aprile-2023 (Build: 101.98.58 | Versione di rilascio: 30.123022.19858.0)
Build aprile-2023: 101.98.58 | Versione di rilascio: 30.123022.19858.0
Data di rilascio: 20 aprile 2023
Pubblicato: 20 aprile 2023
Build: 101.98.58
Versione di rilascio: 30.123022.19858.0
Versione del motore: 1.1.20000.2
Versione della firma: 1.381.3067.0
Novità
- In questa versione sono presenti più correzioni e nuove modifiche
- Miglioramenti alla registrazione e alla segnalazione degli errori per i controlli.
- Gestire gli errori durante il ricaricamento della configurazione verificata.
- Gestione dei file di regole controllati vuoti durante MDE'installazione.
- Aggiornamento del motore a
1.1.20000.2
e Firme Ver:1.381.3067.0
. - È stato risolto un problema di integrità in mdatp che si verifica a causa di negazioni selinux.
- Correzione dei bug.
Problemi noti
- Durante l'aggiornamento di mdatp alla versione
101.94.13
o successiva, si potrebbe notare che l'integrità è false, con health_issues come "nessun provider di eventi supplementari attivo". Ciò può verificarsi a causa di regole controllate non configurate correttamente o in conflitto nei computer esistenti. Per attenuare il problema, è necessario correggere le regole controllate nei computer esistenti. I comandi seguenti consentono di identificare tali regole controllate (i comandi devono essere eseguiti come utente con privilegi avanzati). Eseguire un backup del file seguente: /etc/audit/rules.d/audit.rules perché questi passaggi servono solo per identificare gli errori.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, è possibile che si verifichi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Esistono due modi per attenuare questo problema di aggiornamento:
- Usare Gestione pacchetti per disinstallare la
101.75.43
versione o101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
- In alternativa, è possibile seguire le istruzioni per la disinstallazione, quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Attenzione: alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Marzo-2023 (Build: 101.98.30 | Versione di rilascio: 30.123012.19830.0)
Build marzo-2023: 101.98.30 | Versione di rilascio: 30.123012.19830.0
Data di rilascio: 20 marzo 2023
Pubblicato: 20 marzo 2023
Build: 101.98.30
Versione di rilascio: 30.123012.19830.0
Versione del motore: 1.1.19900.2
Versione della firma: 1.379.1299.0
Novità
- Questa nuova versione è stata compilata rispetto alla versione di marzo 2023 ('101.98.05'') con una correzione per i comandi di risposta live che hanno esito negativo per uno dei nostri clienti. Non sono presenti modifiche per altri clienti e l'aggiornamento è facoltativo.
Problemi noti
- Con mdatp versione 101.98.30 è possibile che venga visualizzato un problema di integrità falso in alcuni casi, perché le regole SELinux non sono definite per determinati scenari. L'avviso di integrità potrebbe essere simile al seguente:
trovato negazioni SELinux nell'ultimo giorno. Se MDATP è stato installato di recente, deselezionare i log di controllo esistenti o attendere un giorno prima che il problema venga risolto automaticamente. Comando Use: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "negato" per trovare i dettagli
Il problema potrebbe essere attenuato eseguendo i comandi seguenti.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
In questo caso, my-mdatpaudisppl_v1 rappresenta il nome del modulo criteri. Dopo aver eseguito i comandi, attendere 24 ore o cancellare/archiviare i log di controllo. È possibile archiviare i log di controllo eseguendo il comando seguente
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Nel caso in cui il problema riapparirà con alcune diverse negazioni. È necessario eseguire di nuovo la mitigazione con un nome di modulo diverso, ad esempio my-mdatpaudisppl_v2.
Marzo-2023 (Build: 101.98.05 | Versione di rilascio: 30.123012.19805.0)
Marzo-2023 (Build: 101.98.05 | Versione di rilascio: 30.123012.19805.0)
Data di rilascio: 08 marzo 2023
Pubblicato: 08 marzo 2023
Build: 101.98.05
Versione di rilascio: 30.123012.19805.0
Versione del motore: 1.1.19900.2
Versione della firma: 1.379.1299.0
Novità
In questa versione sono presenti più correzioni e nuove modifiche.
- Completezza dei dati migliorata per gli eventi di connessione di rete
- Miglioramento delle funzionalità di raccolta dati per le modifiche di proprietà/autorizzazioni dei file
- seManage in parte del pacchetto, in modo che i criteri seLinux possano essere configurati in diverse distribuzioni (fisse).
- Miglioramento della stabilità del daemon aziendale
- Pulizia del percorso di arresto auditD
- È stata migliorata la stabilità del flusso di arresto di mdatp.
- È stato aggiunto un nuovo campo a wdavstate per tenere traccia dell'ora di aggiornamento della piattaforma.
- Miglioramenti della stabilità per l'analisi del BLOB di onboarding di Defender per endpoint.
- L'analisi non procede se non è presente una licenza valida (fissa)
- Aggiunta dell'opzione di traccia delle prestazioni a xPlatClientAnalyzer, con il processo mdatp abilitato per la traccia esegue il dump del flusso in all_process.zip file che può essere usato per l'analisi dei problemi di prestazioni.
- Aggiunta del supporto in Defender per endpoint per le versioni del kernel RHEL-6 seguenti:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- Altre correzioni
Problemi noti
- Durante l'aggiornamento di mdatp alla versione 101.94.13, è possibile notare che l'integrità è false, con health_issues come "nessun provider di eventi supplementari attivo". Ciò può verificarsi a causa di regole controllate non configurate correttamente o in conflitto nei computer esistenti. Per attenuare il problema, è necessario correggere le regole controllate nei computer esistenti. La procedura seguente consente di identificare tali regole controllate (questi comandi devono essere eseguiti come utente con privilegi avanzati). Assicurarsi di eseguire il backup del file seguente: '/etc/audit/rules.d/audit.rules'' perché questi passaggi servono solo per identificare gli errori.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.98.05
. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify
Esistono due modi per attenuare il problema durante l'aggiornamento.
Usare Gestione pacchetti per disinstallare la 101.75.43
versione o 101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
In alternativa, è possibile seguire le istruzioni per disinstallare e quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Attenzione: alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Gen-2023 (Build: 101.94.13 | Versione di rilascio: 30.122112.19413.0)
Gen-2023 (Build: 101.94.13 | Versione di rilascio: 30.122112.19413.0)
Data di rilascio: 10 gennaio 2023
Pubblicato: 10 gennaio 2023
Build: 101.94.13
Versione di rilascio: 30.122112.19413.0
Versione del motore: 1.1.19700.3
Versione della firma: 1.377.550.0
Novità
- In questa versione sono presenti più correzioni e nuove modifiche
- Ignorare la quarantena delle minacce in modalità passiva per impostazione predefinita.
- È ora possibile usare una nuova configurazione, nonExecMountPolicy, per specificare il comportamento di RTP nel punto di montaggio contrassegnato come noexec.
- È possibile usare una nuova configurazione, unmonitoredFilesystems, per annullare il monitoraggio di determinati file system.
- Prestazioni migliorate in scenari di test con carico elevato e velocità.
- Risolve un problema relativo all'accesso alle condivisioni SMB dietro le connessioni VPN Cisco AnyConnect.
- Risolve un problema con Protezione di rete e SMB.
- Supporto per la traccia delle prestazioni di lttng.
- Miglioramenti dell'interfaccia della riga di comando TVM, eBPF, auditd, telemetria e mdatp.
- l'integrità di mdatp ora segnala behavior_monitoring
- Altre correzioni.
Problemi noti
- Durante l'aggiornamento di mdatp alla versione
101.94.13
, è possibile notare che l'integrità è false, con health_issues come "nessun provider di eventi supplementari attivo". Ciò può verificarsi a causa di regole controllate non configurate correttamente o in conflitto nei computer esistenti. Per attenuare il problema, è necessario correggere le regole controllate nei computer esistenti. La procedura seguente consente di identificare tali regole controllate (questi comandi devono essere eseguiti come utente con privilegi avanzati). Eseguire un backup del file seguente:/etc/audit/rules.d/audit.rules
poiché questi passaggi servono solo per identificare gli errori.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione 101.94.13. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify
Esistono due modi per attenuare il problema durante l'aggiornamento.
Usare Gestione pacchetti per disinstallare la 101.75.43
versione o 101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
In alternativa, è possibile seguire le istruzioni per disinstallare e quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Attenzione: alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Novembre-2022 (Build: 101.85.27 | Versione di rilascio: 30.122092.18527.0)
Novembre-2022 (Build: 101.85.27 | Versione di rilascio: 30.122092.18527.0)
Data di rilascio: 02 novembre 2022
Pubblicato: 02 novembre 2022
Build: 101.85.27
Versione di rilascio: 30.122092.18527.0
Versione del motore: 1.1.19500.2
Versione della firma: 1.371.1369.0
Novità
- In questa versione sono presenti più correzioni e nuove modifiche
- Il motore V2 è predefinito con questa versione e i bit del motore V1 vengono rimossi per una maggiore sicurezza.
- Il motore V2 supporta il percorso di configurazione per le definizioni AV. (percorso del set di definizioni mdatp)
- Rimosse le dipendenze dei pacchetti esterni da MDE pacchetto. Le dipendenze rimosse sono libatomic1, libselinux, libseccomp, libfuse e libuuid
- Nel caso in cui la raccolta degli arresti anomali sia disabilitata dalla configurazione, il processo di monitoraggio degli arresti anomali non viene avviato.
- Correzioni delle prestazioni per usare in modo ottimale gli eventi di sistema per le funzionalità av.
- Miglioramento della stabilità durante il riavvio dei problemi di mdatp e load epsext.
- Altre correzioni
Problemi noti
- Durante l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare l'aggiornamento alla versione 101.85.21. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify
Esistono due modi per attenuare il problema durante l'aggiornamento.
Usare Gestione pacchetti per disinstallare la 101.75.43
versione o 101.78.13
mdatp.
Esempio:
sudo apt purge mdatp
sudo apt-get install mdatp
Come approccio alternativo, seguire le istruzioni per disinstallare e quindi installare la versione più recente del pacchetto.
Se non si vuole disinstallare mdatp, è possibile disabilitare rtp e mdatp in sequenza prima dell'aggiornamento. Attenzione: alcuni clienti (<1%) riscontrano problemi con questo metodo.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Set-2022 (Build: 101.80.97 | Versione di rilascio: 30.122072.18097.0)
Set-2022 (Build: 101.80.97 | Versione di rilascio: 30.122072.18097.0)
Data di rilascio: 14 settembre 2022
Pubblicato: 14 settembre 2022
Build: 101.80.97
Versione di rilascio: 30.122072.18097.0
Versione del motore: 1.1.19300.3
Versione della firma: 1.369.395.0
Novità
- Corregge un blocco del kernel osservato in carichi di lavoro dei clienti selezionati che eseguono la versione
101.75.43
mdatp. Dopo rca, questo è stato attribuito a una race condition durante il rilascio della proprietà di un descrittore di file del sensore. La condizione di gara è stata esposta a causa di una recente modifica del prodotto nel percorso di arresto. I clienti delle versioni più recenti del kernel (5.1+) non sono interessati da questo problema. Per altre informazioni, vedere Blocco del sistema a causa di attività bloccate nel codice fanotify.
Problemi noti
- Quando si esegue l'aggiornamento dalla versione
101.75.43
mdatp o101.78.13
, potrebbe verificarsi un blocco del kernel. Eseguire i comandi seguenti prima di tentare di eseguire l'aggiornamento alla versione101.80.97
. Questa azione dovrebbe impedire che si verifichi il problema.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Dopo aver eseguito i comandi, usare Gestione pacchetti per eseguire l'aggiornamento.
Come approccio alternativo, seguire le istruzioni per disinstallare e quindi installare la versione più recente del pacchetto.
Agosto 2022 (Build: 101.78.13 | Versione di rilascio: 30.122072.17813.0)
Agosto 2022 (Build: 101.78.13 | Versione di rilascio: 30.122072.17813.0)
Data di rilascio: 24 agosto 2022
Pubblicato: 24 agosto 2022
Build: 101.78.13
Versione di rilascio: 30.122072.17813.0
Versione del motore: 1.1.19300.3
Versione della firma: 1.369.395.0
Novità
- Rollback a causa di problemi di affidabilità
Agosto 2022 (Build: 101.75.43 | Versione di rilascio: 30.122071.17543.0)
Agosto 2022 (Build: 101.75.43 | Versione di rilascio: 30.122071.17543.0)
Data di rilascio: 2 agosto 2022
Pubblicato: 2 agosto 2022
Build: 101.75.43
Versione di rilascio: 30.122071.17543.0
Versione del motore: 1.1.19300.3
Versione della firma: 1.369.395.0
Novità
- Aggiunta del supporto per Red Hat Enterprise Linux versione 9.0
- È stato aggiunto un nuovo campo nell'output di
mdatp health
che può essere usato per eseguire query sul livello di imposizione della funzionalità di protezione di rete. Il nuovo campo viene chiamatonetwork_protection_enforcement_level
e può accettare uno dei valori seguenti:audit
,block
odisabled
. - È stato risolto un bug del prodotto in cui più rilevamenti dello stesso contenuto potevano causare voci duplicate nella cronologia delle minacce
- È stato risolto un problema a causa del quale uno dei processi generati dal prodotto (
mdatp_audisp_plugin
) a volte non veniva terminato correttamente quando il servizio veniva arrestato - Altre correzioni di bug
Luglio-2022 (Build: 101.73.77 | Versione di rilascio: 30.122062.17377.0)
Luglio-2022 (Build: 101.73.77 | Versione di rilascio: 30.122062.17377.0)
Data di rilascio: 21 luglio 2022
Pubblicato: 21 luglio 2022
Build: 101.73.77
Versione di rilascio: 30.122062.17377.0
Versione del motore: 1.1.19200.3
Versione della firma: 1.367.1011.0
Novità
- Aggiunta di un'opzione per configurare il calcolo dell'hash dei file
- Da questa build in poi, il prodotto ha il nuovo motore antimalware per impostazione predefinita
- Miglioramenti delle prestazioni per le operazioni di copia file
- Correzioni
Giugno-2022 (Build: 101.71.18 | Versione di rilascio: 30.122052.17118.0)
Data di rilascio: 24 giugno 2022
Pubblicato: 24 giugno 2022
Build: 101.71.18
Versione di rilascio: 30.122052.17118.0
Novità
- Correzione per supportare l'archiviazione delle definizioni in posizioni non standard (all'esterno di /var) per gli aggiornamenti delle definizioni v2
- Risolto un problema nel sensore del prodotto usato in RHEL 6 che poteva causare un blocco del sistema operativo
-
mdatp connectivity test
è stato esteso con un URL aggiuntivo richiesto dal prodotto per il corretto funzionamento. Il nuovo URL è https://go.microsoft.com/fwlink/?linkid=2144709. - Fino ad ora, il livello di log del prodotto non era persistente tra i riavvii del prodotto. A partire da questa versione, è disponibile una nuova opzione dello strumento da riga di comando che mantiene il livello di log. Il nuovo comando è
mdatp log level persist --level <level>
. - Rimozione della dipendenza
python
da dal pacchetto di installazione del prodotto - Miglioramenti delle prestazioni per le operazioni di copia dei file e l'elaborazione di eventi di rete provenienti da
auditd
- Correzioni
Maggio-2022 (Build: 101.68.80 | Versione di rilascio: 30.122042.16880.0)
Maggio-2022 (Build: 101.68.80 | Versione di rilascio: 30.122042.16880.0)
Data di rilascio: 23 maggio 2022
Pubblicato: 23 maggio 2022
Build: 101.68.80
Versione di rilascio: 30.122042.16880.0
Novità
- Aggiunta del supporto per la versione
2.6.32-754.47.1.el6.x86_64
del kernel durante l'esecuzione in RHEL 6 - In RHEL 6 è ora possibile installare il prodotto nei dispositivi che eseguono Unbreakable Enterprise Kernel (UEK)
- È stato risolto un problema a causa del quale il nome del processo a volte veniva visualizzato in modo non corretto come
unknown
durante l'esecuzionemdatp diagnostic real-time-protection-statistics
- Correzione di un bug per cui il prodotto a volte rilevava erroneamente i file all'interno della cartella di quarantena
- Risolto un problema per cui lo strumento da
mdatp
riga di comando non funzionava quando/opt
veniva montato come collegamento temporaneo - Miglioramenti delle prestazioni & correzioni di bug
Maggio-2022 (Build: 101.65.77 | Versione di rilascio: 30.122032.16577.0)
Maggio-2022 (Build: 101.65.77 | Versione di rilascio: 30.122032.16577.0)
Data di rilascio: 2 maggio 2022
Pubblicato: 2 maggio 2022
Build: 101.65.77
Versione di rilascio: 30.122032.16577.0
Novità
- È stato migliorato il
conflicting_applications
campo inmdatp health
per visualizzare solo i 10 processi più recenti e anche per includere i nomi dei processi. In questo modo è più semplice identificare i processi potenzialmente in conflitto con Microsoft Defender per endpoint per Linux. - Correzioni dei bug
Mar-2022 (Build: 101.62.74 | Versione di rilascio: 30.122022.16274.0)
Data di rilascio: 24 marzo 2022
Pubblicato: Mar 24, 2022
Build: 101.62.74
Versione di rilascio: 30.122022.16274.0
Novità
- È stato risolto un problema per cui il prodotto bloccava erroneamente l'accesso a file di dimensioni superiori a 2 GB durante l'esecuzione in versioni precedenti del kernel
- Correzioni dei bug
Mar-2022 (Build: 101.60.93 | Versione di rilascio: 30.122012.16093.0)
Mar-2022 (Build: 101.60.93 | Versione di rilascio: 30.122012.16093.0)
Data di rilascio: 9 marzo 2022
Pubblicato: 9 marzo 2022
Build: 101.60.93
Versione di rilascio: 30.122012.16093.0
Novità
- Questa versione contiene un aggiornamento della sicurezza per CVE-2022-23278
Mar-2022 (Build: 101.60.05 | Versione di rilascio: 30.122012.16005.0)
Data di rilascio: 3 marzo 2022
Pubblicato: 3 marzo 2022
Build: 101.60.05
Versione di rilascio: 30.122012.16005.0
Novità
- Aggiunta del supporto per la versione del kernel 2.6.32-754.43.1.el6.x86_64 per RHEL 6.10
- Correzioni dei bug
Febbraio-2022 (Build: 101.58.80 | Versione di rilascio: 30.122012.15880.0)
Febbraio-2022 (Build: 101.58.80 | Versione di rilascio: 30.122012.15880.0)
Data di rilascio: 20 febbraio 2022
Pubblicato: 20 febbraio 2022
Build: 101.58.80
Versione di rilascio: 30.122012.15880.0
Novità
- Lo strumento da riga di comando supporta ora il ripristino dei file in quarantena in un percorso diverso da quello in cui il file è stato rilevato in origine. Questa operazione può essere eseguita tramite
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
. - A partire da questa versione, la protezione di rete per Linux può essere valutata su richiesta
- Correzioni dei bug
Gen-2022 (Build: 101.56.62 | Versione di rilascio: 30.121122.15662.0)
Gen-2022 (Build: 101.56.62 | Versione di rilascio: 30.121122.15662.0)
Data di rilascio: 26 gennaio 2022
Pubblicato: 26 gennaio 2022
Build: 101.56.62
Versione di rilascio: 30.121122.15662.0
Novità
- Correzione di un arresto anomalo del prodotto introdotto nella versione 101.53.02 e che ha interessato più clienti
Gen-2022 (Build: 101.53.02 | Versione di rilascio: (30.121112.15302.0)
Data di rilascio: 8 gennaio 2022
Pubblicato: 8 gennaio 2022
Build: 101.53.02
Versione di rilascio: 30.121112.15302.0
Novità
- Miglioramenti delle prestazioni & correzioni di bug
Versioni del 2021
(Build: 101.52.57 | Versione di rilascio: 30.121092.15257.0)
Build: 101.52.57
Versione di rilascio: 30.121092.15257.0
Novità
Aggiunta di una funzionalità per rilevare i file jar log4j vulnerabili in uso nelle applicazioni Java. Il computer viene controllato periodicamente per l'esecuzione di processi Java con jar log4j caricati. Le informazioni vengono segnalate al back-end Microsoft Defender per endpoint ed sono esposte nell'area Gestione vulnerabilità del portale.
(Build: 101.47.76 | Versione di rilascio: 30.121092.14776.0)
Build: 101.47.76
Versione di rilascio: 30.121092.14776.0
Novità
Aggiunta di un nuovo commutatore allo strumento da riga di comando per controllare se gli archivi vengono analizzati durante le analisi su richiesta. Questa configurazione può essere configurata tramite mdatp config scan-archives --value [enabled/disabled]. Per impostazione predefinita, questa impostazione è impostata su abilitato.
- Correzioni dei bug
(Build: 101.45.13 | Versione di rilascio: 30.121082.14513.0)
Build: 101.45.13
Versione di rilascio: 30.121082.14513.0
Novità
A partire da questa versione, verrà fornito Microsoft Defender per endpoint supporto per le distribuzioni seguenti:
- Versioni RHEL6.7-6.10 e CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 o versione successiva
Correzioni dei bug
(Build: 101.45.00 | Versione di rilascio: 30.121072.14500.0)
Build: 101.45.00
Versione di rilascio: 30.121072.14500.0
Novità
- Sono state aggiunte nuove opzioni allo strumento da riga di comando:
- Controllare il grado di parallelismo per le analisi su richiesta. Questa operazione può essere configurata tramite
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
. Per impostazione predefinita, viene usato un grado di parallelismo di2
. - Controllare se le analisi dopo gli aggiornamenti dell'intelligence di sicurezza sono abilitate o disabilitate. Questa operazione può essere configurata tramite
mdatp config scan-after-definition-update --value [enabled/disabled]
. Per impostazione predefinita, questa impostazione è impostataenabled
su .
- Controllare il grado di parallelismo per le analisi su richiesta. Questa operazione può essere configurata tramite
- La modifica del livello di log del prodotto richiede ora l'elevazione
- Correzioni dei bug
(Build: 101.39.98 | Versione di rilascio: 30.121062.13998.0)
Build: 101.39.98
Versione di rilascio: 30.121062.13998.0
Novità
Miglioramenti delle prestazioni & correzioni di bug
(Build: 101.34.27 | Versione di rilascio: 30.121052.13427.0)
Build: 101.34.27
Versione di rilascio: 30.121052.13427.0
Novità
Miglioramenti delle prestazioni & correzioni di bug
(Build: 101.29.64 | Versione di rilascio: 30.121042.12964.0)
Build: 101.29.64
Versione di rilascio: 30.121042.12964.0
Novità
- A partire da questa versione, le minacce rilevate durante le analisi antivirus su richiesta attivate tramite il client della riga di comando vengono corrette automaticamente. Le minacce rilevate durante le analisi attivate tramite l'interfaccia utente richiedono comunque un'azione manuale.
-
mdatp diagnostic real-time-protection-statistics
supporta ora altri due commutatori:-
--sort
: ordina l'output in ordine decrescente in base al numero totale di file analizzati -
--top N
: visualizza i primi N risultati (funziona solo se--sort
è specificato anche)
-
- Miglioramenti delle prestazioni & correzioni di bug
(Build: 101.25.72 | Versione di rilascio: 30.121022.12563.0)
Build: 101.25.72
Versione di rilascio: 30.121022.12563.0
Novità
Microsoft Defender per endpoint in Linux è ora disponibile in anteprima per i clienti us government. Per altre informazioni, vedere Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
- È stato risolto un problema per cui l'uso di Microsoft Defender per endpoint in Linux nei sistemi con file system FUSE causava un blocco del sistema operativo
- Miglioramenti delle prestazioni & altre correzioni di bug
(Build: 101.25.63 | Versione di rilascio: 30.121022.12563.0)
Build: 101.25.63
Versione di rilascio: 30.121022.12563.0
Novità
Miglioramenti delle prestazioni & correzioni di bug
(Build: 101.23.64 | Versione di rilascio: 30.121021.12364.0)
Build: 101.23.64
Versione di rilascio: 30.121021.12364.0
Novità
Miglioramento delle prestazioni per la situazione in cui un intero punto di montaggio viene aggiunto all'elenco di esclusione antivirus. Prima di questa versione, l'attività di file elaborata dal prodotto proveniente dal punto di montaggio. A partire da questa versione, l'attività dei file per i punti di montaggio esclusi viene eliminata, con conseguente miglioramento delle prestazioni del prodotto
- Aggiunta di una nuova opzione allo strumento da riga di comando per visualizzare informazioni sull'ultima analisi su richiesta. Per visualizzare informazioni sull'ultima analisi su richiesta, eseguire
mdatp health --details antivirus
- Altri miglioramenti delle prestazioni & correzioni di bug
(Build: 101.18.53)
Build: 101.18.53
Novità
EDR per Linux è ora disponibile a livello generale
- Aggiunta di una nuova opzione della riga di comando (
--ignore-exclusions
) per ignorare le esclusioni AV durante le analisi personalizzate (mdatp scan custom
) - Esteso
mdatp diagnostic create
con un nuovo parametro (--path [directory]
) che consente di salvare i log di diagnostica in una directory diversa - Miglioramenti delle prestazioni & correzioni di bug