Linux 上のMicrosoft Defender for Endpoint用のオフライン セキュリティ インテリジェンス更新プログラムを構成する
適用対象:
- Linux 用 Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
このドキュメントでは、Linux 上のMicrosoft Defender for Endpointのオフライン セキュリティ インテリジェンス更新機能について説明します。
重要
この記事の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
この機能を使用すると、organizationは、ローカル ホスティング サーバー (このドキュメントでは Mirror Server と呼ばれます) を使用して、インターネットへの公開が制限されているかまったくない Linux エンドポイント上のセキュリティ インテリジェンス (このドキュメントでは定義または署名とも呼ばれます) を更新できます。
Mirror Server は、Microsoft クラウドに接続して署名をダウンロードできる、お客様の環境内の任意のサーバーです。 他の Linux エンドポイントは、定義済みの間隔でミラー サーバーから署名をプルします。
主な利点を以下に示します。
- エンドポイントがローカル サーバーから署名をプルする頻度 &、ローカル サーバーでの署名ダウンロードの頻度を制御および管理する機能。
- ダウンロードした署名は、フリート全体に伝達される前にテスト デバイスでテストできるため、保護 & コントロールの追加レイヤーを追加します。
- これで、1 つのローカル サーバーのみが MS クラウドをポーリングし、フリート全体に代わって最新の署名を取得するため、ネットワーク帯域幅を削減します。
- ローカル サーバーは、Windows、Mac、Linux の 3 つの OS のいずれかを実行でき、Defender for Endpoint をインストールする必要はありません。
- 署名は常に最新の互換性のある AV エンジンと共にダウンロードされるため、最新のウイルス対策保護を提供します。
- 各イテレーションでは、n-1 バージョンの署名がローカル サーバー上のバックアップ フォルダーに移動されます。 最新の署名に問題がある場合は、バックアップ フォルダーからエンドポイントに n-1 署名バージョンをプルできます。
- まれにオフライン更新プログラムが失敗する場合は、Microsoft クラウド (従来の方法) からオンライン更新プログラムにフォールバックすることもできます。
オフライン セキュリティ インテリジェンス更新プログラムのしくみ
- 組織は、Microsoft クラウドから到達可能なローカル Web/NFS サーバーである Mirror Server を設定する必要があります。
- 署名は、ローカル サーバーで cron ジョブ/タスク スケジューラを使用してスクリプトを実行することで、このミラー サーバー上の Microsoft Cloud からダウンロードされます。
- Defender for Endpoint を実行している Linux エンドポイントは、ユーザー定義の時間間隔で、このミラー サーバーからダウンロードした署名をプルします。
- ローカル サーバーから Linux エンドポイントにプルされた署名は、AV エンジンに読み込む前に最初に検証されます。
- 更新プロセスをトリガーして構成するには、Linux エンドポイント上のマネージド構成 json ファイルを更新します。
- 更新の状態は、mdatp CLI で確認できます。
図 1: セキュリティ インテリジェンス更新プログラムをダウンロードするためのミラー サーバーのプロセス フロー図
図 2: セキュリティ インテリジェンス更新プログラムの Linux エンドポイント上のプロセス フロー図
前提条件
Defender for Endpoint バージョン "101.24022.0001" 以上を Linux エンドポイントにインストールする必要があります。
Linux エンドポイントには、ミラー サーバーへの接続が必要です。
Linux エンドポイントは、Defender for Endpoint でサポートされているディストリビューションのいずれかを実行している必要があります。
ミラー サーバーは、HTTP/HTTPS サーバーまたはネットワーク共有サーバーのいずれかです。 たとえば、NFS サーバーなどです。
ミラー サーバーは、次の URL にアクセスできる必要があります。
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
ミラー サーバーでは、次のオペレーティング システムがサポートされています。
- Linux (Any Flavor)
- Windows (任意のバージョン)
- Mac (任意のバージョン)
ミラー サーバーは bash または PowerShell をサポートする必要があります。
ミラー サーバーには、次の最小システム仕様が必要です。
CPU コア RAM 空きディスク スワップ 2 コア (優先 4 コア) 1 GB 分 (推奨 4 GB) 2 GB システム依存 注:
この構成は、提供される要求の数と、各サーバーが処理する必要がある負荷によって異なる場合があります。
ミラー サーバーの構成
注:
ミラー サーバーの管理と所有権は、お客様のプライベート環境に存在する場合にのみお客様にあります。
注:
ミラー サーバーには Defender for Endpoint がインストールされている必要はありません。
オフライン セキュリティ インテリジェンス ダウンローダー スクリプトを取得する
Microsoft は、 この GitHub リポジトリでオフライン セキュリティ インテリジェンス ダウンローダー スクリプトをホストします。
ダウンローダー スクリプトを取得するには、次の手順に従います。
オプション 1: リポジトリを複製する (推奨)
- ミラーサーバーに git をインストールします。
- リポジトリを複製するディレクトリに移動します。
- コマンドを実行します。
git clone https://github.com/microsoft/mdatp-xplat.git
オプション 2: zip ファイルをダウンロードする
リポジトリの zip ファイルをここからダウンロードする
スクリプトを保持するフォルダーに zip ファイルをコピーします
zip を抽出する
注:
リポジトリ/ダウンロードした zip ファイルを定期的に最新バージョンに更新するように cron ジョブ をスケジュールします。
リポジトリ/ダウンロードした zip ファイルを複製した後、ローカル ディレクトリ構造は次のようになります。
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
注:
スクリプトの使用方法の詳細については、README.md ファイルを参照してください。
ファイルは settings.json 、スクリプト実行の出力を決定するためにユーザーが構成できるいくつかの変数で構成されます。
| フィールドの名前 | 値 | 説明 |
|---|---|---|
downloadFolder |
string | スクリプトがファイルをダウンロードする場所にマップします。 |
downloadLinuxUpdates |
bool | に true設定すると、スクリプトは Linux 固有の更新プログラムを にダウンロードします。 downloadFolder |
logFilePath |
string | 特定のフォルダーに診断ログを設定します。 このファイルは、問題がある場合にスクリプトをデバッグするために Microsoft と共有できます |
downloadMacUpdates |
bool | このスクリプトは、Mac 固有の更新プログラムを にダウンロードします。 downloadFolder |
downloadPreviewUpdates |
bool | 特定の OS で利用可能な更新プログラムのプレビュー バージョンをダウンロードします |
backupPreviousUpdates |
bool | スクリプトが _back フォルダー内の以前の更新プログラムをコピーすることを許可し、新しい更新プログラムが にダウンロードされます。 downloadFolder |
オフライン セキュリティ インテリジェンス ダウンローダー スクリプトを実行する
ダウンローダー スクリプトを手動で実行するには、前のセクションの説明に従ってファイル内 settings.json のパラメーターを構成し、ミラー サーバーの OS に基づいて次のいずれかのコマンドを使用します。
Bash:
./xplat_offline_updates_download.shPowershell:
./xplat_offline_updates_download.ps1
注:
Cron ジョブをスケジュールして、このスクリプトを実行して、ミラー サーバーの最新のセキュリティ インテリジェンス更新プログラムを定期的にダウンロードします。
ミラー サーバーでオフライン セキュリティ インテリジェンス更新プログラムをホストする
スクリプトが実行されると、ファイル (updates.zip) で構成されたフォルダーに最新の署名がsettings.jsonダウンロードされます。
署名 zip がダウンロードされると、ミラー サーバーを使用してホストできます。 ミラー サーバーは、任意の HTTP/HTTPS/ネットワーク共有サーバーを使用してホストできます。
ホストされたら、ホストされているサーバーの絶対パスをコピーします (ディレクトリは含 arch_* まれません)。
たとえば、スクリプトが で downloadFolder=/tmp/wdav-update実行され、HTTP サーバー (www.example.server.com:8000) がパスを /tmp/wdav-update ホストしている場合、対応する URI は次のようになります。 www.example.server.com:8000/linux/production/
ミラー サーバーを設定したら、次のセクションで説明するように、マネージド構成を使用してこの URL を Linux エンドポイントに伝達する必要があります。
エンドポイントの構成
- 次のサンプル
mdatp_managed.jsonを使用し、構成に従ってパラメーターを更新し、ファイルを 場所/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonにコピーします。
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| フィールドの名前 | 値 | 注釈 |
|---|---|---|
automaticDefinitionUpdateEnabled |
True / False |
更新を自動的に実行しようとする Defender for Endpoint の動作を決定します。それぞれオンまたはオフになっています。 |
definitionUpdatesInterval |
数値 | 署名の自動更新の間隔 (秒単位)。 |
offlineDefinitionUpdateUrl |
String | ミラー サーバーの設定の一部として生成される URL 値。 |
offlineDefinitionUpdate |
enabled / disabled |
に enabled設定すると、オフライン セキュリティ インテリジェンス更新機能が有効になり、その逆も有効になります。 |
offlineDefinitionUpdateFallbackToCloud |
True / False |
オフライン の Mirror Server が更新要求の処理に失敗した場合に、Defender for Endpoint セキュリティ インテリジェンスの更新アプローチを決定します。 true に設定した場合、オフライン セキュリティ インテリジェンス更新プログラムが失敗した場合は Microsoft クラウド経由で更新が再試行されます。それ以外の場合は再試行されます。 |
offlineDefinitionUpdateVerifySig |
enabled / disabled |
に enabled設定すると、ダウンロードされた定義はエンドポイントで検証されます。それ以外の場合は検証されます。 |
注:
現時点では、オフライン セキュリティ インテリジェンス更新機能は、マネージド json のみを使用して Linux エンドポイントで構成できます。 セキュリティ ポータルでのセキュリティ設定管理との統合は、ロードマップにあります。
構成を確認する
Linux エンドポイントで設定が正しく適用されているかどうかをテストするには、次のコマンドを実行します。
mdatp health --details definitions
出力例は、次のコード スニペットのようになります。
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
オフライン セキュリティ インテリジェンス Updatesのトリガー
自動更新
- マネージド json のフィールド
automaticDefinitionUpdateEnabledと 'offline_definition_update' が true に設定されている場合、オフライン セキュリティ インテリジェンスの更新は定期的な間隔で自動的にトリガーされます。 - 既定では、この定期的な間隔は 8 時間です。 ただし、マネージド json で を
definitionUpdatesInterval設定することで構成できます。
手動更新
オフライン セキュリティ インテリジェンス更新プログラムを手動でトリガーして、Linux エンドポイント上の Mirror Server から署名をダウンロードするには、次のコマンドを実行します。
mdatp definitions update
更新の状態を確認する
自動または手動のいずれかの方法でオフライン セキュリティ インテリジェンス更新プログラムをトリガーした後、コマンド を実行して更新が成功したことを確認します
mdatp health --details --definitions。次のフィールドを確認します。
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
トラブルシューティングと診断
問題: MDATP 更新エラー
- 更新がスタックしているか、更新がトリガーされませんでした。
- 更新に失敗しました。
一般的なトラブルシューティング手順
コマンドを使用して、オフライン セキュリティ インテリジェンス更新機能の状態を確認します。
mdatp health --details definitions- このコマンドは、セクションでわかりやすいメッセージを提供する
definitions_update_fail_reason必要があります。 - と
offline_definition_update_verify_sigが有効になっているかどうかをoffline_definition_update確認します。 - が と等しいかどうかを
definitions_update_source_uri確認するoffline_definition_url_configureddefinitions_update_source_uriは、署名がダウンロードされたソースです。offline_definition_url_configuredは、署名をダウンロードするソースであり、マネージド構成ファイルに記載されているソースです。
- このコマンドは、セクションでわかりやすいメッセージを提供する
Mirror Server がホストから到達可能な場合は、接続テストを実行してチェックしてみてください。
mdatp connectivity testコマンドを使用して手動更新をトリガーしてみてください。
mdatp definitions update
既知の問題:
オフライン署名の更新は、次のシナリオで失敗する可能性があります。
この機能を有効にし、署名の更新プログラムを適用した後、機能を無効にしてクラウドから追加の署名更新プログラムを適用した後、追加の署名更新プログラムの機能を再度有効にしました。
軽減策の手順:
この問題の修正プログラムは、近日中にリリースされる予定です。
役に立つリンク
ダウンローダー スクリプト
cron ジョブのスケジュール設定
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示