Linux의 엔드포인트용 Microsoft Defender 새로운 기능
이 문서는 Linux의 엔드포인트용 Microsoft Defender 최신 릴리스의 새로운 기능들을 알려주기 위해 자주 업데이트됩니다.
중요
버전 101.2408.0004
부터 Linux의 엔드포인트용 Defender는 더 이상 이벤트 공급자를 Auditd
지원하지 않습니다. 보다 효율적인 eBPF 기술로 완전히 전환하고 있습니다. 이러한 변경을 통해 성능 향상, 리소스 사용 감소 및 전반적인 안정성 향상을 수행할 수 있습니다. eBPF 지원은 2023년 8월부터 제공되며 Linux의 엔드포인트용 Defender(버전 101.23082.0006
이상)의 모든 업데이트에 완전히 통합되었습니다. 감사에 비해 상당한 향상된 기능을 제공하므로 eBPF 빌드를 채택하는 것이 좋습니다. 컴퓨터에서 eBPF가 지원되지 않거나 감사에 남아 있어야 하는 특정 요구 사항이 있는 경우 다음 옵션이 있습니다.
Auditd를 사용하여 Linux 빌드
101.24072.0000
에서 엔드포인트용 Defender를 계속 사용합니다. 이 빌드는 몇 달 동안 계속 지원되므로 eBPF로 마이그레이션을 계획하고 실행할 시간이 있습니다.이후
101.24072.0000
버전에 있는 경우 Linux의 엔드포인트용 Defender는 백업 보조 이벤트 공급자로 사용합니다netlink
. 대체가 발생할 경우 모든 프로세스 작업이 원활하게 계속 진행됩니다.
Linux에서 현재 엔드포인트용 Defender 배포를 검토하고 eBPF 지원 빌드로 마이그레이션 계획을 시작합니다. eBPF 및 작동 방식에 대한 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender eBPF 기반 센서 사용을 참조하세요.
이 전환 중에 문제가 있거나 도움이 필요한 경우 지원에 문의하세요.
2024년 10월(빌드: 101.24082.0004 | 릴리스 버전: 30.124082.0004.0)
Sept-2024 빌드: 101.24082.0004 | 릴리스 버전: 30.124082.0004.0
릴리스 날짜: 2024년 10월 15일
게시 날짜: 2024년 10월 15일
빌드: 101.24082.0004
릴리스 버전: 30.124082.0004
엔진 버전: 1.1.24080.9
서명 버전: 1.417.659.0
새로운 기능
- 이 버전을 시작하면 Linux의 엔드포인트용 Defender가 더 이상 보조 이벤트 공급자로 지원
AuditD
되지 않습니다. 안정성 및 성능 향상을 위해 eBPF로 완전히 전환했습니다. eBPF를 사용하지 않도록 설정하거나 특정 커널에서 eBPF가 지원되지 않는 경우 Linux의 엔드포인트용 Defender는 대체 보조 이벤트 공급자로 Netlink로 자동으로 다시 전환됩니다. Netlink는 축소된 기능을 제공하고 프로세스 관련 이벤트만 추적합니다. 이 경우 모든 프로세스 작업이 원활하게 계속 진행되지만 eBPF에서 캡처할 특정 파일 및 소켓 관련 이벤트를 놓칠 수 있습니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender eBPF 기반 센서 사용을 참조하세요. 이 전환 중에 문제가 있거나 도움이 필요한 경우 지원에 문의하세요. - 안정성 및 성능 향상
- 기타 버그 수정
Sept-2024(빌드: 101.24072.0001 | 릴리스 버전: 30.124072.0001.0)
Sept-2024 빌드: 101.24072.0001 | 릴리스 버전: 30.124072.0001.0
릴리스 날짜: 2024년 9월 23일
게시 날짜: 2024년 9월 23일
빌드: 101.24072.0001
릴리스 버전: 30.124072.0001.0
엔진 버전: 1.1.24060.6
서명 버전: 1.415.228.0
새로운 기능
- Ubuntu 24.04에 대한 지원이 추가됨
- 기본 엔진 버전을 로
1.1.24060.6
업데이트하고 기본 서명 버전을 로1.415.228.0
업데이트했습니다.
2024년 7월(빌드: 101.24062.0001 | 릴리스 버전: 30.124062.0001.0)
2024년 7월 빌드: 101.24062.0001 | 릴리스 버전: 30.124062.0001.0
릴리스 날짜: 2024년 7월 31일
게시 날짜: 2024년 7월 31일
빌드: 101.24062.0001
릴리스 버전: 30.124062.0001.0
엔진 버전: 1.1.24050.7
서명 버전: 1.411.410.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 감염된 명령줄 위협 정보가 보안 포털에 올바르게 표시되지 않는 버그를 수정합니다.
- 미리 보기 기능을 사용하지 않도록 설정하려면 엔드포인트의 Defender가 필요한 버그를 수정합니다.
- 관리되는 JSON을 사용하는 전역 제외 기능은 이제 공개 미리 보기로 제공됩니다. 참가자가 101.23092.0012에서 느리게 사용할 수 있습니다. 자세한 내용은 linux 제외를 참조하세요.
- Linux 기본 엔진 버전을 1.1.24050.7로 업데이트하고 기본 sigs 버전을 1.411.410.0으로 업데이트했습니다.
- 안정성 및 성능 향상.
- 기타 버그 수정.
2024년 6월(빌드: 101.24052.0002 | 릴리스 버전: 30.124052.0002.0)
2024년 6월 빌드: 101.24052.0002 | 릴리스 버전: 30.124052.0002.0
릴리스 날짜: 2024년 6월 24일
게시 날짜: 2024년 6월 24일
빌드: 101.24052.0002
릴리스 버전: 30.124052.0002.0
엔진 버전: 1.1.24040.2
서명 버전: 1.411.153.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 이 릴리스는 커널 공간의 eBPF 메모리 누수로 인해 결국 높은 메모리 사용량과 관련된 버그를 수정하여 서버를 사용할 수 없는 상태로 전환합니다. 이는 주로 RHEL/CentOS 배포판에서 커널 버전 3.10x 및 <= 4.16x에만 영향을 미쳤습니다. 영향을 받지 않도록 최신 MDE 버전으로 업데이트하세요.
- 이제 의 출력을 간소화했습니다.
mdatp health --detail features
- 안정성 및 성능 향상.
- 기타 버그 수정.
2024년 5월(빌드: 101.24042.0002 | 릴리스 버전: 30.124042.0002.0)
2024년 5월 빌드: 101.24042.0002 | 릴리스 버전: 30.124042.0002.0
릴리스 날짜: 2024년 5월 29일
게시 날짜: 2024년 5월 29일
빌드: 101.24042.0002
릴리스 버전: 30.124042.0002.0
엔진 버전: 1.1.24030.4
서명 버전: 1.407.521.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 버전 24032.0007에서는 mdatp_managed.json 파일을 통해 "디바이스 태그 지정" 메커니즘을 사용할 때 MDE Security Management에 디바이스를 등록하지 못하는 알려진 문제가 있었습니다. 이 문제는 현재 릴리스에서 해결되었습니다.
- 안정성 및 성능 향상.
- 기타 버그 수정.
2024년 5월(빌드: 101.24032.0007 | 릴리스 버전: 30.124032.0007.0)
2024년 5월 빌드: 101.24032.0007 | 릴리스 버전: 30.124032.0007.0
릴리스 날짜: 2024년 5월 15일
게시 날짜: 2024년 5월 15일
빌드: 101.24032.0007
릴리스 버전: 30.124032.0007.0
엔진 버전: 1.1.24020.3
서명 버전: 1.403.3500.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
수동 및 주문형 모드에서 바이러스 백신 엔진은 유휴 상태로 유지되며 예약된 사용자 지정 검사 중에만 사용됩니다. 따라서 성능 향상의 일환으로 예약된 사용자 지정 검색을 제외하고 AV 엔진을 수동 및 주문형 모드로 유지하기 위해 변경했습니다. 실시간 보호를 사용하도록 설정하면 바이러스 백신 엔진이 항상 가동되고 실행됩니다. 이는 어떤 모드에서도 서버 보호에 영향을 주지 않습니다.
사용자에게 바이러스 백신 엔진의 상태를 알리기 위해 MDATP 상태의 일부로 "engine_load_status"라는 새 필드를 도입했습니다. 바이러스 백신 엔진이 현재 실행 중인지 여부를 나타냅니다.
Field name
engine_load_status
사용 가능한 값 엔진이 로드되지 않음(AV 엔진 프로세스가 다운됨), 엔진 로드 성공(AV 엔진 프로세스 가동 및 실행) 정상 시나리오:
- RTP를 사용하는 경우 engine_load_status "엔진 로드 성공"이어야 합니다.
- MDE 주문형 또는 수동 모드에 있고 사용자 지정 검사가 실행되지 않는 경우 "engine_load_status"은 "엔진이 로드되지 않음"이어야 합니다.
- MDE 주문형 또는 수동 모드에 있고 사용자 지정 검사가 실행 중인 경우 "engine_load_status"은 "엔진 로드 성공"이어야 합니다.
동작 검색을 향상시키기 위한 버그 수정
안정성 및 성능 향상.
기타 버그 수정.
알려진 문제
24032.0007에서는 mdatp_managed.json 사용하여 "디바이스 태그 지정" 메커니즘을 통해 보안 관리를 MDE 디바이스를 등록하는 데 실패하는 알려진 문제가 있습니다. 이 문제를 완화하려면 다음 mdatp CLI 명령을 사용하여 디바이스에 태그를 지정합니다.
sudo mdatp edr tag set --name GROUP --value MDE-Management
빌드: 101.24042.0002에서 문제가 해결되었습니다.
2024년 3월(빌드: 101.24022.0001 | 릴리스 버전: 30.124022.0001.0)
2024년 3월 빌드: 101.24022.0001 | 릴리스 버전: 30.124022.0001.0
릴리스 날짜: 2024년 3월 22일
게시 날짜: 2024년 3월 22일
빌드: 101.24022.0001
릴리스 버전: 30.124022.0001.0
엔진 버전: 1.1.23110.4
서명 버전: 1.403.87.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 새 로그 파일 추가 -
microsoft_defender_scan_skip.log
. 이렇게 하면 어떤 이유로든 엔드포인트용 Microsoft Defender 다양한 바이러스 백신 검사에서 건너뛴 파일 이름이 기록됩니다. - 안정성 및 성능 향상.
- 버그 수정
2024년 3월(빌드: 101.24012.0001 | 릴리스 버전: 30.124012.0001.0)
2024년 3월 빌드: 101.24012.0001 | 릴리스 버전: 30.124012.0001.0
릴리스 날짜: 2024년 3월 12일
게시 날짜: 2024년 3월 12일
빌드: 101.24012.0001
릴리스 버전: 30.124012.0001.0
엔진 버전: 1.1.23110.4
서명 버전: 1.403.87.0
새로운 기능 이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 기본 엔진 버전을 로
1.1.23110.4
업데이트하고 기본 서명 버전을 로1.403.87.0
업데이트했습니다. - 안정성 및 성능 향상.
- 버그 수정
2024년 2월(빌드: 101.23122.0002 | 릴리스 버전: 30.123122.0002.0)
2024년 2월 빌드: 101.23122.0002 | 릴리스 버전: 30.123122.0002.0
릴리스 날짜: 2024년 2월 5일
게시 날짜: 2024년 2월 5일
빌드: 101.23122.0002
릴리스 버전: 30.123122.0002.0
엔진 버전: 1.1.23100.2010
서명 버전: 1.399.1389.0
새로운 기능 이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
기본 엔진 버전을 로
1.1.23100.2010
업데이트하고 기본 서명 버전을 로1.399.1389.0
업데이트했습니다.일반적인 안정성 및 성능 향상.
버그 수정
이제 Linux의 엔드포인트용 Microsoft Defender 다음 배포판 및 버전을 공식적으로 지원합니다.
배포판 & 버전 반지 패키지 마리너 2 프로덕션 https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 이상 참가자 느림 https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 이상 참가자 느림 https://packages.microsoft.com/config/rocky/9/insiders-slow.repo 앨마 8.4 이상 참가자 느림 https://packages.microsoft.com/config/alma/8/insiders-slow.repo 앨마 9.2 이상 참가자 느림 https://packages.microsoft.com/config/alma/9/insiders-slow.repo
이러한 배포판에서 엔드포인트용 Defender를 이미 실행 중이고 이전 버전에서 문제가 발생하는 경우 위에서 언급한 해당 링에서 엔드포인트용 최신 Defender 버전으로 업그레이드하세요. 자세한 내용은 공개 배포 문서를 참조하세요.
참고
알려진 문제:
rocky 및 Alma의 Linux용 엔드포인트용 Microsoft Defender 현재 다음과 같은 알려진 문제가 있습니다.
- 라이브 응답 및 위협 취약성 관리는 현재 지원되지 않습니다(진행 중인 작업).
- 디바이스에 대한 운영 체제 정보가 Microsoft Defender 포털에 표시되지 않습니다.
2024년 1월(빌드: 101.23112.0009 | 릴리스 버전: 30.123112.0009.0)
2024년 1월 빌드: 101.23112.0009 | 릴리스 버전: 30.123112.0009.0
릴리스 날짜: 2024년 1월 29일
게시 날짜: 2024년 1월 29일
빌드: 101.23112.0009
릴리스 버전: 30.123112.0009.0
엔진 버전: 1.1.23100.2010
서명 버전: 1.399.1389.0
새로운 기능
- 기본 엔진 버전을 로
1.1.23110.4
업데이트하고 기본 서명 버전을 로1.403.1579.0
업데이트했습니다. - 일반적인 안정성 및 성능 향상.
- 동작 모니터링 구성에 대한 버그 수정
- 버그 수정
2023년 11월(빌드: 101.23102.0003 | 릴리스 버전: 30.123102.0003.0)
2023년 11월 빌드: 101.23102.0003 | 릴리스 버전: 30.123102.0003.0
릴리스 날짜: 2023년 11월 28일
게시 날짜: 2023년 11월 28일
빌드: 101.23102.0003
릴리스 버전: 30.123102.0003.0
엔진 버전: 1.1.23090.2008
서명 버전: 1.399.690.0
새로운 기능
- 기본 엔진 버전을 로
1.1.23090.2008
업데이트하고 기본 서명 버전을 로1.399.690.0
업데이트했습니다. - libcurl 라이브러리를 버전
8.4.0
으로 업데이트하여 최근에 공개된 취약성을 이전 버전으로 수정했습니다. - 이전 버전
3.1.1
으로 최근에 공개된 취약성을 수정하기 위해 Openssl 라이브러리를 버전으로 업데이트했습니다. - 일반적인 안정성 및 성능 향상.
- 버그 수정
2023년 11월(빌드: 101.23092.0012 | 릴리스 버전: 30.123092.0012.0)
2023년 11월 빌드: 101.23092.0012 | 릴리스 버전: 30.123092.0012.0
릴리스 날짜: 2023년 11월 14일
게시 날짜: 2023년 11월 14일
빌드: 101.23092.0012
릴리스 버전: 30.123092.0012.0
엔진 버전: 1.1.23080.2007
서명 버전: 1.395.1560.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 다음 명령을 사용하여 원래 경로에 따라 위협을 복원하기 위해 지원이 추가되었습니다.
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
이 릴리스부터 Linux의 엔드포인트용 Microsoft Defender 더 이상 RHEL 6용 솔루션을 제공하지 않습니다.
RHEL 6 '수명 종료 지원 연장'은 2024년 6월 30일까지 종료될 예정이며, 고객은 Red Hat의 지침에 따라 RHEL 업그레이드를 계획하는 것이 좋습니다. RHEL 6 서버에서 엔드포인트용 Defender를 실행해야 하는 고객은 커널 버전 2.6.32-754.49.1.el6.x86_64 또는 이전 버전에서 지원되는 버전 101.23082.0011(2024년 6월 30일 이전에 만료되지 않음)을 계속 활용할 수 있습니다.
- 및 서명에
1.1.23080.2007
대한 엔진 업데이트 Ver:1.395.1560.0
. - 이제 간소화된 디바이스 연결 환경이 공개 미리 보기 모드로 전환되었습니다. 공개 블로그
- 버그 수정에 & 성능이 향상되었습니다.
- 및 서명에
알려진 문제
- 커널 버전 5.15.0-0.30.20에서 볼 수 있는 CPU 잠금은 자세한 내용 및 완화 옵션은 Linux에서 엔드포인트용 Microsoft Defender eBPF 기반 센서 사용을 참조하세요.
2023년 11월(빌드: 101.23082.0011 | 릴리스 버전: 30.123082.0011.0)
2023년 11월 빌드: 101.23082.0011 | 릴리스 버전: 30.123082.0011.0
릴리스 날짜: 2023년 11월 1일
게시 날짜: 2023년 11월 1일
빌드: 101.23082.0011
릴리스 버전: 30.123082.0011.0
엔진 버전: 1.1.23070.1002
서명 버전: 1.393.1305.0
새로운 기능 이 새 릴리스는 다음 변경 내용이 추가된 2023년 10월 릴리스('101.23082.0009')에 빌드됩니다. 다른 고객에게는 변경 사항이 없으며 업그레이드는 선택 사항입니다.
보조 하위 시스템이 ebpf인 경우 변경할 수 없는 감사 모드 수정: ebpf 모드에서는 ebpf로 전환하고 다시 부팅한 후 모든 mdatp 감사 규칙을 정리해야 합니다. 다시 부팅한 후 mdatp 감사 규칙이 정리되지 않아 서버가 중단되었습니다. 수정은 이러한 규칙을 정리합니다. 다시 부팅 시 로드된 mdatp 규칙이 사용자에게 표시되지 않습니다.
RHEL 6에서 시작되지 않는 MDE 대한 수정입니다.
알려진 문제
mdatp 버전 101.75.43 또는 101.78.13에서 업그레이드할 때 커널 중단이 발생할 수 있습니다. 버전 101.98.05로 업그레이드하기 전에 다음 명령을 실행합니다. 기본 문제에 대한 자세한 내용은 기조 코드의 차단된 작업으로 인해 시스템 중단에서 찾을 수 있습니다.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 10월(빌드: 101.23082.0009 | 릴리스 버전: 30.123082.0009.0)
2023년 10월 빌드: 101.23082.0009 | 릴리스 버전: 30.123082.0009.0
릴리스 날짜: 2023년 10월 9일
게시 날짜: 2023년 10월 9일
빌드: 101.23082.0009
릴리스 버전: 30.123082.0009.0
엔진 버전: 1.1.23070.1002
서명 버전: 1.393.1305.0
새로운 기능
- 이 새 릴리스는 새로운 CA 인증서를 추가하여 2023년 10월 릴리스('101.23082.0009')에 빌드됩니다. 다른 고객에게는 변경 사항이 없으며 업그레이드는 선택 사항입니다.
알려진 문제
mdatp 버전 101.75.43 또는 101.78.13에서 업그레이드할 때 커널 중단이 발생할 수 있습니다. 버전 101.98.05로 업그레이드하기 전에 다음 명령을 실행합니다. 기본 문제에 대한 자세한 내용은 기조 코드의 차단된 작업으로 인해 시스템 중단에서 찾을 수 있습니다.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 10월(빌드: 101.23082.0006 | 릴리스 버전: 30.123082.0006.0)
2023년 10월 빌드: 101.23082.0006 | 릴리스 버전: 30.123082.0006.0
릴리스 날짜: 2023년 10월 9일
게시 날짜: 2023년 10월 9일
빌드: 101.23082.0006
릴리스 버전: 30.123082.0006.0
엔진 버전: 1.1.23070.1002
서명 버전: 1.393.1305.0
새로운 기능
기능 업데이트 및 새 변경 내용
- eBPF 센서는 이제 엔드포인트에 대한 기본 보조 이벤트 공급자입니다.
- Microsoft Intune 테넌트 연결 기능은 공개 미리 보기로 제공됩니다(7월 중순부터).
- 기능이 올바르게 작동하려면 방화벽 제외에 "*.dm.microsoft.com"를 추가해야 합니다.
- 엔드포인트용 Defender는 이제 Debian 12 및 Amazon Linux 2023에 사용할 수 있습니다.
- 다운로드한 업데이트의 서명 확인을 사용하도록 설정하는 지원
아래와 같이 manajed.json 업데이트해야 합니다.
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
기능을 사용하도록 설정하기 위한 필수 구성 요소
- 디바이스의 엔진 버전은 "1.1.23080.007" 이상이어야 합니다. 다음 명령을 사용하여 엔진 버전을 확인합니다.
mdatp health --field engine_version
- 디바이스의 엔진 버전은 "1.1.23080.007" 이상이어야 합니다. 다음 명령을 사용하여 엔진 버전을 확인합니다.
- NFS 및 FUSE 탑재 지점의 모니터링을 지원하는 옵션입니다. 기본적으로 무시됩니다. 다음 예제에서는 NFS만 무시하면서 모든 파일 시스템을 모니터링하는 방법을 보여 줍니다.
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
NFS 및 FUSE를 포함한 모든 파일 시스템을 모니터링하는 예제:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- 기타 성능 향상
- 버그 수정
알려진 문제
- mdatp 버전 101.75.43 또는 101.78.13에서 업그레이드할 때 커널 중단이 발생할 수 있습니다. 버전 101.98.05로 업그레이드하기 전에 다음 명령을 실행합니다. 기본 문제에 대한 자세한 내용은 기조 코드의 차단된 작업으로 인해 시스템 중단에서 찾을 수 있습니다. 이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 9월(빌드: 101.23072.0021 | 릴리스 버전: 30.123072.0021.0)
2023년 9월 빌드: 101.23072.0021 | 릴리스 버전: 30.123072.0021.0
릴리스 날짜: 2023년 9월 11일
게시 날짜: 2023년 9월 11일
빌드: 101.23072.0021
릴리스 버전: 30.123072.0021.0
엔진 버전: 1.1.20100.7
서명 버전: 1.385.1648.0
새로운 기능
- 이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- mde_installer.sh v0.6.3에서 사용자는 인수를
--channel
사용하여 정리하는 동안 구성된 리포지토리의 채널을 제공할 수 있습니다. 예를 들면sudo ./mde_installer --clean --channel prod
- 이제 를 사용하여
mdatp network-protection reset
관리자가 네트워크 확장을 다시 설정할 수 있습니다. - 기타 성능 향상
- 버그 수정
- mde_installer.sh v0.6.3에서 사용자는 인수를
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 7월(빌드: 101.23062.0010 | 릴리스 버전: 30.123062.0010.0)
2023년 7월 빌드: 101.23062.0010 | 릴리스 버전: 30.123062.0010.0
릴리스 날짜: 2023년 7월 26일
게시 날짜: 2023년 7월 26일
빌드: 101.23062.0010
릴리스 버전: 30.123062.0010.0
엔진 버전: 1.1.20100.7
서명 버전: 1.385.1648.0
새로운 기능
이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- 엔드포인트용 Defender에 대해 프록시가 설정된 경우 명령 출력에
mdatp health
표시됩니다. - 이 릴리스에서는 mdatp 진단 hot-event-sources에 다음 두 가지 옵션을 제공했습니다.
- 파일
- 실행 파일
- 네트워크 보호: 네트워크 보호에 의해 차단되고 사용자가 블록을 재정의한 Connections 이제 Microsoft Defender XDR
- 네트워크 보호 블록의 로깅 및 디버깅을 위한 감사 이벤트 개선
- 엔드포인트용 Defender에 대해 프록시가 설정된 경우 명령 출력에
기타 수정 사항 및 개선 사항
- 이 버전에서 enforcementLevel은 기본적으로 수동 모드에 있으므로 관리자는 자산 내에서 'RTP 켜기'를 원하는 위치를 더 많이 제어할 수 있습니다.
- 이 변경 내용은 엔드포인트용 Defender가 처음으로 배포되는 서버와 같은 새로운 MDE 배포에만 적용됩니다. 업데이트 시나리오에서 엔드포인트용 Defender가 RTP ON으로 배포된 서버는 버전 101.23062.0010에 대한 업데이트 후에도 RTP ON으로 계속 작동합니다.
버그 수정
- Defender 취약성 관리 기준의 RPM 데이터베이스 손상 문제가 해결되었습니다.
기타 성능 향상
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 7월(빌드: 101.23052.0009 | 릴리스 버전: 30.123052.0009.0)
2023년 7월 빌드: 101.23052.0009 | 릴리스 버전: 30.123052.0009.0
릴리스 날짜: 2023년 7월 10일
게시 날짜: 2023년 7월 10일
빌드: 101.23052.0009
릴리스 버전: 30.123052.0009.0
엔진 버전: 1.1.20100.7
서명 버전: 1.385.1648.0
새로운 기능
- 이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다. 빌드 버전 스키마는 이 릴리스에서 업데이트됩니다. 주 버전 번호는 101과 동일하게 유지되지만 부 버전 번호에는 이제 5자리 숫자와 네 자리 패치 번호가 있습니다. 즉,
101.xxxxx.yyy
스트레스가 있는 네트워크 보호 메모리 소비가 향상되었습니다.- 엔진 버전을 로
1.1.20300.5
업데이트하고 서명 버전을 로 업데이트했습니다1.391.2837.0
. - 버그 수정
- 엔진 버전을 로
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 6월(빌드: 101.98.89 | 릴리스 버전: 30.123042.19889.0)
2023년 6월 빌드: 101.98.89 | 릴리스 버전: 30.123042.19889.0
릴리스 날짜: 2023년 6월 12일
게시 날짜: 2023년 6월 12일
빌드: 101.98.89
릴리스 버전: 30.123042.19889.0
엔진 버전: 1.1.20100.7
서명 버전: 1.385.1648.0
새로운 기능
- 이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- 향상된 네트워크 보호 프록시 처리.
- 수동 모드에서 엔드포인트용 Defender는 정의 업데이트가 발생할 때 더 이상 검색하지 않습니다.
- 엔드포인트용 Defender 에이전트가 만료된 후에도 디바이스는 계속 보호됩니다. 엔드포인트용 Defender Linux 에이전트를 사용 가능한 최신 버전으로 업그레이드하여 버그 수정, 기능 및 성능 향상을 받는 것이 좋습니다.
- 의미 체계 패키지 종속성이 제거되었습니다.
- 및 서명에
1.1.20100.7
대한 엔진 업데이트 Ver:1.385.1648.0
. - 버그 수정
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 5월(빌드: 101.98.64 | 릴리스 버전: 30.123032.19864.0)
2023년 5월 빌드: 101.98.64 | 릴리스 버전: 30.123032.19864.0
릴리스 날짜: 2023년 5월 3일
게시 날짜: 2023년 5월 3일
빌드: 101.98.64
릴리스 버전: 30.123032.19864.0
엔진 버전: 1.1.20100.6
서명 버전: 1.385.68.0
새로운 기능
- 이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- 감사된 실패에 대한 세부 정보를 캡처하기 위한 상태 메시지 개선 사항입니다.
- 설치 실패를 초래한 augenrules를 처리하는 개선 사항입니다.
- 엔진 프로세스에서 주기적인 메모리 정리.
- mdatp audisp 플러그 인의 메모리 문제를 해결합니다.
- 설치하는 동안 누락된 플러그 인 디렉터리 경로를 처리했습니다.
- 충돌하는 애플리케이션이 차단 fanotify를 사용하는 경우 기본 구성 mdatp 상태가 비정상으로 표시됩니다. 이제 이 문제는 해결되었습니다.
- BM에서 ICMP 트래픽 검사를 지원합니다.
- 및 서명에
1.1.20100.6
대한 엔진 업데이트 Ver:1.385.68.0
. - 버그 수정
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 주의: 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 4월(빌드: 101.98.58 | 릴리스 버전: 30.123022.19858.0)
2023년 4월 빌드: 101.98.58 | 릴리스 버전: 30.123022.19858.0
릴리스 날짜: 2023년 4월 20일
게시 날짜: 2023년 4월 20일
빌드: 101.98.58
릴리스 버전: 30.123022.19858.0
엔진 버전: 1.1.20000.2
서명 버전: 1.381.3067.0
새로운 기능
- 이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- 감사에 대한 로깅 및 오류 보고 개선 사항
- 감사된 구성의 다시 로드에서 오류를 처리합니다.
- MDE 설치하는 동안 빈 감사된 규칙 파일에 대한 처리입니다.
- 및 서명에
1.1.20000.2
대한 엔진 업데이트 Ver:1.381.3067.0
. - selinux 거부로 인해 발생하는 mdatp의 상태 문제를 해결했습니다.
- 버그 수정
알려진 문제
- mdatp를 버전
101.94.13
이상으로 업그레이드하는 동안 상태가 false이며 health_issues "활성 보조 이벤트 공급자 없음"으로 표시될 수 있습니다. 이는 기존 컴퓨터에서 잘못 구성/충돌하는 감사 규칙으로 인해 발생할 수 있습니다. 이 문제를 완화하려면 기존 컴퓨터에서 감사된 규칙을 수정해야 합니다. 다음 명령은 이러한 감사된 규칙을 식별하는 데 도움이 될 수 있습니다(명령을 슈퍼 사용자로 실행해야 합니다). /etc/audit/rules.d/audit.rules 파일의 백업을 수행합니다. 이러한 단계는 오류를 식별하기 위한 것일 뿐입니다.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
이 업그레이드 문제를 완화하는 방법에는 두 가지가 있습니다.
- 패키지 관리자를 사용하여 또는
101.78.13
mdatp 버전을 제거101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
mdatp를 제거하지 않으려면 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 주의: 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 3월(빌드: 101.98.30 | 릴리스 버전: 30.123012.19830.0)
2023년 3월 빌드: 101.98.30 | 릴리스 버전: 30.123012.19830.0
릴리스 날짜: 2023년 3월, 2023년
게시 날짜: 2023년 3월 20일
빌드: 101.98.30
릴리스 버전: 30.123012.19830.0
엔진 버전: 1.1.19900.2
서명 버전: 1.379.1299.0
새로운 기능
- 이 새 릴리스는 2023년 3월 릴리스('101.98.05'')에 빌드되며 고객 중 한 명이 라이브 응답 명령에 대한 수정이 실패합니다. 다른 고객에게는 변경 사항이 없으며 업그레이드는 선택 사항입니다.
알려진 문제
- mdatp 버전 101.98.30에서는 SELinux 규칙이 특정 시나리오에 대해 정의되지 않았기 때문에 일부 경우 상태 거짓 문제가 표시될 수 있습니다. 상태 경고는 다음과 같이 표시할 수 있습니다.
은 지난 1일 이내에 SELinux 거부를 발견했습니다. MDATP가 최근에 설치된 경우 기존 감사 로그를 지우거나 이 문제가 자동으로 해결될 때까지 하루 동안 기다립니다. 명령 사용: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "거부됨" 세부 정보 찾기
다음 명령을 실행하여 문제를 완화할 수 있습니다.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
여기서 my-mdatpaudisppl_v1 정책 모듈 이름을 나타냅니다. 명령을 실행한 후 24시간 동안 기다리거나 감사 로그를 지우거나 보관합니다. 다음 명령을 실행하여 감사 로그를 보관할 수 있습니다.
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
문제가 몇 가지 다른 거부와 함께 다시 나타나는 경우. 다른 모듈 이름(예: my-mdatpaudisppl_v2)으로 완화를 다시 실행해야 합니다.
2023년 3월(빌드: 101.98.05 | 릴리스 버전: 30.123012.19805.0)
2023년 3월(빌드: 101.98.05 | 릴리스 버전: 30.123012.19805.0)
릴리스 날짜: 2023년 3월, 08,23일
게시 날짜: 2023년 3월 8일
빌드: 101.98.05
릴리스 버전: 30.123012.19805.0
엔진 버전: 1.1.19900.2
서명 버전: 1.379.1299.0
새로운 기능
이 릴리스에는 여러 수정 사항과 새로운 변경 내용이 있습니다.
- 네트워크 연결 이벤트에 대한 데이터 완성도 향상
- 파일 소유권/권한 변경에 대한 향상된 데이터 수집 기능
- seManage 패키지의 일부에서 해당 seLinux 정책을 다른 배포판(고정)으로 구성할 수 있습니다.
- 엔터프라이즈 디먼 안정성 향상
- AuditD 중지 경로 클린
- mdatp 중지 흐름의 안정성이 향상되었습니다.
- 플랫폼 업데이트 시간을 추적하기 위해 wdavstate에 새 필드가 추가되었습니다.
- 엔드포인트용 Defender 온보딩 Blob 구문 분석의 안정성 향상.
- 유효한 라이선스가 없는 경우 검사가 진행되지 않음(고정)
- xPlatClientAnalyzer에 성능 추적 옵션이 추가되었습니다. 추적이 설정된 mdatp 프로세스는 성능 문제를 분석하는 데 사용할 수 있는 all_process.zip 파일의 흐름을 덤프합니다.
- 다음 RHEL-6 커널 버전에 대한 엔드포인트용 Defender 지원이 추가되었습니다.
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- 기타 수정 사항
알려진 문제
- mdatp를 버전 101.94.13으로 업그레이드하는 동안 상태가 false이며 health_issues "활성 보조 이벤트 공급자 없음"으로 표시될 수 있습니다. 이는 기존 컴퓨터에서 잘못 구성/충돌하는 감사 규칙으로 인해 발생할 수 있습니다. 이 문제를 완화하려면 기존 컴퓨터에서 감사된 규칙을 수정해야 합니다. 다음 단계는 이러한 감사된 규칙을 식별하는 데 도움이 될 수 있습니다(이러한 명령은 슈퍼 사용자로 실행해야 합니다). 다음 파일 '/etc/audit/rules.d/audit.rules'를 백업해야 합니다. 이러한 단계는 오류를 식별하기 위한 것일 뿐입니다.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전101.98.05
으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
업그레이드에서 문제를 완화하는 방법에는 두 가지가 있습니다.
패키지 관리자를 사용하여 또는 101.78.13
mdatp 버전을 제거 101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
또는 지침에 따라 제거한 다음 최신 버전의 패키지를 설치 할 수 있습니다.
mdatp를 제거하지 않으려는 경우 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 주의: 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023년 1월(빌드: 101.94.13 | 릴리스 버전: 30.122112.19413.0)
2023년 1월(빌드: 101.94.13 | 릴리스 버전: 30.122112.19413.0)
릴리스 날짜: 2023년 1월 10일
게시 날짜: 2023년 1월 10일
빌드: 101.94.13
릴리스 버전: 30.122112.19413.0
엔진 버전: 1.1.19700.3
서명 버전: 1.377.550.0
새로운 기능
- 이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- 기본적으로 수동 모드에서 위협 격리를 건너뜁니다.
- 이제 새 구성인 nonExecMountPolicy를 사용하여 noexec로 표시된 탑재 지점에서 RTP의 동작을 지정할 수 있습니다.
- 새 구성인 unmonitoredFilesystems는 특정 파일 시스템을 모니터링 해제하는 데 사용할 수 있습니다.
- 높은 부하 및 속도 테스트 시나리오에서 성능이 향상되었습니다.
- Cisco AnyConnect VPN 연결 뒤에 있는 SMB 공유에 액세스하는 문제를 해결합니다.
- 네트워크 보호 및 SMB 관련 문제를 해결합니다.
- lttng 성능 추적 지원.
- TVM, eBPF, 감사, 원격 분석 및 mdatp cli 개선.
- mdatp 상태는 이제 behavior_monitoring 보고합니다.
- 기타 수정 사항.
알려진 문제
- mdatp를 버전
101.94.13
으로 업그레이드하는 동안 상태가 false이며 health_issues "활성 보조 이벤트 공급자 없음"으로 표시될 수 있습니다. 이는 기존 컴퓨터에서 잘못 구성/충돌하는 감사 규칙으로 인해 발생할 수 있습니다. 이 문제를 완화하려면 기존 컴퓨터에서 감사된 규칙을 수정해야 합니다. 다음 단계는 이러한 감사된 규칙을 식별하는 데 도움이 될 수 있습니다(이러한 명령은 슈퍼 사용자로 실행해야 합니다). 다음 파일/etc/audit/rules.d/audit.rules
의 백업을 수행합니다. 이러한 단계는 오류를 식별하는 것일 뿐입니다.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전 101.94.13으로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
업그레이드에서 문제를 완화하는 방법에는 두 가지가 있습니다.
패키지 관리자를 사용하여 또는 101.78.13
mdatp 버전을 제거 101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
위의 대신 지침에 따라 제거한 다음 최신 버전의 패키지를 설치 할 수 있습니다.
mdatp를 제거하지 않으려는 경우 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 주의: 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2022년 11월(빌드: 101.85.27 | 릴리스 버전: 30.122092.18527.0)
2022년 11월(빌드: 101.85.27 | 릴리스 버전: 30.122092.18527.0)
릴리스 날짜: 2022년 11월 2일
게시 날짜: 2022년 11월 2일
빌드: 101.85.27
릴리스 버전: 30.122092.18527.0
엔진 버전: 1.1.19500.2
서명 버전: 1.371.1369.0
새로운 기능
- 이 릴리스에는 여러 수정 사항 및 새로운 변경 내용이 있습니다.
- V2 엔진은 이 릴리스에서 기본값이며 보안 강화를 위해 V1 엔진 비트가 제거됩니다.
- V2 엔진은 AV 정의에 대한 구성 경로를 지원합니다. (mdatp 정의 집합 경로)
- MDE 패키지에서 외부 패키지 종속성이 제거되었습니다. 제거된 종속성은 libatomic1, libselinux, libseccomp, libfuse 및 libuuid입니다.
- 구성에서 크래시 수집을 사용하지 않도록 설정한 경우 크래시 모니터링 프로세스가 시작되지 않습니다.
- AV 기능에 시스템 이벤트를 최적으로 사용하도록 성능이 수정되었습니다.
- mdatp를 다시 시작하고 epsext 문제를 로드할 때 안정성이 향상됩니다.
- 기타 수정 사항
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드하는 동안 커널 중단이 발생할 수 있습니다. 버전 101.85.21로 업그레이드하기 전에 다음 명령을 실행합니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
업그레이드에서 문제를 완화하는 방법에는 두 가지가 있습니다.
패키지 관리자를 사용하여 또는 101.78.13
mdatp 버전을 제거 101.75.43
합니다.
예:
sudo apt purge mdatp
sudo apt-get install mdatp
다른 방법으로, 제거 지침에 따라 패키지의 최신 버전을 설치 합니다.
mdatp를 제거하지 않으려는 경우 업그레이드하기 전에 rtp 및 mdatp를 순서대로 사용하지 않도록 설정할 수 있습니다. 주의: 일부 고객(<1%)은 이 방법에 문제가 있습니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2022년 9월(빌드: 101.80.97 | 릴리스 버전: 30.122072.18097.0)
2022년 9월(빌드: 101.80.97 | 릴리스 버전: 30.122072.18097.0)
릴리스 날짜: 2022년 9월 14일
게시 날짜: 2022년 9월 14일
빌드: 101.80.97
릴리스 버전: 30.122072.18097.0
엔진 버전: 1.1.19300.3
서명 버전: 1.369.395.0
새로운 기능
- mdatp 버전을
101.75.43
실행하는 일부 고객 워크로드에서 관찰되는 커널 중단을 수정합니다. RCA 후 센서 파일 설명자의 소유권을 해제하는 동안 경합 상태에 기인했습니다. 최근 종료 경로의 제품 변경으로 인해 경합 상태가 노출되었습니다. 최신 커널 버전(5.1 이상)의 고객은 이 문제의 영향을 받지 않습니다. 자세한 내용은 fanotify 코드의 차단된 작업으로 인한 시스템 중단을 참조하세요.
알려진 문제
- mdatp 버전
101.75.43
또는101.78.13
에서 업그레이드할 때 커널 중단이 발생할 수 있습니다. 버전101.80.97
으로 업그레이드하기 전에 다음 명령을 실행합니다. 이 작업은 문제가 발생하지 않도록 해야 합니다.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
명령을 실행한 후 패키지 관리자를 사용하여 업그레이드를 수행합니다.
다른 방법으로, 제거 지침에 따라 패키지의 최신 버전을 설치 합니다.
2022년 8월(빌드: 101.78.13 | 릴리스 버전: 30.122072.17813.0)
2022년 8월(빌드: 101.78.13 | 릴리스 버전: 30.122072.17813.0)
릴리스 날짜: 2022년 8월 24일
게시 날짜: 2022년 8월 24일
빌드: 101.78.13
릴리스 버전: 30.122072.17813.0
엔진 버전: 1.1.19300.3
서명 버전: 1.369.395.0
새로운 기능
- 안정성 문제로 인해 롤백됨
2022년 8월(빌드: 101.75.43 | 릴리스 버전: 30.122071.17543.0)
2022년 8월(빌드: 101.75.43 | 릴리스 버전: 30.122071.17543.0)
릴리스 날짜: 2022년 8월 2일
게시 날짜: 2022년 8월 2일
빌드: 101.75.43
릴리스 버전: 30.122071.17543.0
엔진 버전: 1.1.19300.3
서명 버전: 1.369.395.0
새로운 기능
- Red Hat Enterprise Linux 버전 9.0에 대한 지원이 추가됨
- 의 출력에 네트워크 보호 기능의
mdatp health
적용 수준을 쿼리하는 데 사용할 수 있는 새 필드가 추가되었습니다. 새 필드가 호출network_protection_enforcement_level
되고 ,block
또는disabled
값audit
중 하나를 사용할 수 있습니다. - 동일한 콘텐츠를 여러 번 검색하면 위협 기록에서 중복 항목이 발생할 수 있는 제품 버그를 해결했습니다.
- 서비스가 중지되었을 때 제품(
mdatp_audisp_plugin
)에서 생성한 프로세스 중 하나가 제대로 종료되지 않는 문제를 해결했습니다. - 기타 버그 수정
Jul-2022(빌드: 101.73.77 | 릴리스 버전: 30.122062.17377.0)
Jul-2022(빌드: 101.73.77 | 릴리스 버전: 30.122062.17377.0)
릴리스 날짜: 2022년 7월 21일
게시 날짜: 2022년 7월 21일
빌드: 101.73.77
릴리스 버전: 30.122062.17377.0
엔진 버전: 1.1.19200.3
서명 버전: 1.367.1011.0
새로운 기능
- 파일 해시 계산을 구성하는 옵션이 추가되었습니다.
- 이 빌드부터 제품에는 기본적으로 새 맬웨어 방지 엔진이 있습니다.
- 파일 복사 작업에 대한 성능 향상
- 버그 수정
2022년 6월(빌드: 101.71.18 | 릴리스 버전: 30.122052.17118.0)
릴리스 날짜: 2022년 6월 24일
게시 날짜: 2022년 6월 24일
빌드: 101.71.18
릴리스 버전: 30.122052.17118.0
새로운 기능
- v2 정의 업데이트에 대한 비표준 위치(/var 외부)의 정의 스토리지를 지원하도록 수정
- OS 중단으로 이어질 수 있는 RHEL 6에서 사용되는 제품 센서의 문제를 해결했습니다.
-
mdatp connectivity test
는 제품이 올바르게 작동하는 데 필요한 추가 URL로 확장되었습니다. 새 URL은 입니다 https://go.microsoft.com/fwlink/?linkid=2144709. - 지금까지 제품 로그 수준은 제품 다시 시작 사이에 유지되지 않았습니다. 이 버전부터 로그 수준을 유지하는 새로운 명령줄 도구 스위치가 있습니다. 새 명령은 입니다
mdatp log level persist --level <level>
. - 제품 설치 패키지에서 종
python
속성 제거 - 파일 복사 작업 및 에서 시작된 네트워크 이벤트 처리에 대한 성능 향상
auditd
- 버그 수정
2022년 5월(빌드: 101.68.80 | 릴리스 버전: 30.122042.16880.0)
2022년 5월(빌드: 101.68.80 | 릴리스 버전: 30.122042.16880.0)
릴리스 날짜: 2022년 5월 23일
게시 날짜: 2022년 5월 23일
빌드: 101.68.80
릴리스 버전: 30.122042.16880.0
새로운 기능
- RHEL 6에서 실행할 때 커널 버전
2.6.32-754.47.1.el6.x86_64
에 대한 지원이 추가됨 - RHEL 6에서 이제 UEK(Unbreakable Enterprise Kernel)를 실행하는 디바이스에 제품을 설치할 수 있습니다.
- 실행 시 프로세스 이름이 때때로 잘못 표시되는 문제를 해결했습니다
unknown
.mdatp diagnostic real-time-protection-statistics
- 제품에서 격리 폴더 내의 파일을 잘못 검색하는 버그가 수정되었습니다.
- 소프트 링크로 탑재될 때
/opt
명령줄 도구가 작동하지 않는 문제를 해결mdatp
했습니다. - 버그 수정에 & 성능 향상
2022년 5월(빌드: 101.65.77 | 릴리스 버전: 30.122032.16577.0)
2022년 5월(빌드: 101.65.77 | 릴리스 버전: 30.122032.16577.0)
릴리스 날짜: 2022년 5월 2일
게시 날짜: 2022년 5월 2일
빌드: 101.65.77
릴리스 버전: 30.122032.16577.0
새로운 기능
-
conflicting_applications
에서 필드를mdatp health
개선하여 가장 최근의 10개 프로세스만 표시하고 프로세스 이름을 포함하도록 했습니다. 이렇게 하면 Linux용 엔드포인트용 Microsoft Defender 충돌할 수 있는 프로세스를 보다 쉽게 식별할 수 있습니다. - 버그 수정
2022년 3월(빌드: 101.62.74 | 릴리스 버전: 30.122022.16274.0)
릴리스 날짜: 2022년 3월 24일
게시 날짜: 2022년 3월 24일
빌드: 101.62.74
릴리스 버전: 30.122022.16274.0
새로운 기능
- 제품이 이전 커널 버전에서 실행할 때 크기가 2GB보다 큰 파일에 대한 액세스를 잘못 차단하는 문제를 해결했습니다.
- 버그 수정
2022년 3월(빌드: 101.60.93 | 릴리스 버전: 30.122012.16093.0)
2022년 3월(빌드: 101.60.93 | 릴리스 버전: 30.122012.16093.0)
릴리스 날짜: 2022년 3월 9일
게시 날짜: 2022년 3월 9일
빌드: 101.60.93
릴리스 버전: 30.122012.16093.0
새로운 기능
- 이 버전에는 CVE-2022-23278에 대한 보안 업데이트가 포함되어 있습니다.
2022년 3월(빌드: 101.60.05 | 릴리스 버전: 30.122012.16005.0)
릴리스 날짜: 2022년 3월 3일
게시 날짜: 2022년 3월 3일
빌드: 101.60.05
릴리스 버전: 30.122012.16005.0
새로운 기능
- RHEL 6.10용 커널 버전 2.6.32-754.43.1.el6.x86_64 대한 지원이 추가됨
- 버그 수정
2022년 2월(빌드: 101.58.80 | 릴리스 버전: 30.122012.15880.0)
2022년 2월(빌드: 101.58.80 | 릴리스 버전: 30.122012.15880.0)
릴리스 날짜: 2022년 2월 20일
게시 날짜: 2022년 2월 20일
빌드: 101.58.80
릴리스 버전: 30.122012.15880.0
새로운 기능
- 이제 명령줄 도구는 격리된 파일을 파일이 원래 검색된 위치가 아닌 다른 위치로 복원하도록 지원합니다. 이 작업은 를 통해
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
수행할 수 있습니다. - 이 버전부터 Linux용 네트워크 보호를 요청 시 평가할 수 있습니다.
- 버그 수정
2022년 1월(빌드: 101.56.62 | 릴리스 버전: 30.121122.15662.0)
2022년 1월(빌드: 101.56.62 | 릴리스 버전: 30.121122.15662.0)
릴리스 날짜: 2022년 1월 26일
게시 날짜: 2022년 1월 26일
빌드: 101.56.62
릴리스 버전: 30.121122.15662.0
새로운 기능
- 101.53.02에 도입되어 여러 고객에게 영향을 주는 제품 크래시가 해결되었습니다.
2022년 1월(빌드: 101.53.02 | 릴리스 버전: (30.121112.15302.0)
릴리스 날짜: 2022년 1월 8일
게시 날짜: 2022년 1월 8일
빌드: 101.53.02
릴리스 버전: 30.121112.15302.0
새로운 기능
- 버그 수정에 & 성능 향상
2021년
(빌드: 101.52.57 | 릴리스 버전: 30.121092.15257.0)
빌드: 101.52.57
릴리스 버전: 30.121092.15257.0
새로운 기능
Java 애플리케이션에서 사용 중인 취약한 log4j jar을 검색하는 기능이 추가되었습니다. 컴퓨터는 로드된 log4j jars를 사용하여 Java 프로세스를 실행하기 위해 주기적으로 검사됩니다. 정보는 엔드포인트용 Microsoft Defender 백 엔드에 보고되고 포털의 취약성 관리 영역에 노출됩니다.
(빌드: 101.47.76 | 릴리스 버전: 30.121092.14776.0)
빌드: 101.47.76
릴리스 버전: 30.121092.14776.0
새로운 기능
주문형 검사 중에 보관이 검사되는지 여부를 제어하기 위해 명령줄 도구에 새 스위치를 추가했습니다. mdatp 구성 scan-archives --value [enabled/disabled]를 통해 구성할 수 있습니다. 기본적으로 이 설정은 사용으로 설정됩니다.
- 버그 수정
(빌드: 101.45.13 | 릴리스 버전: 30.121082.14513.0)
빌드: 101.45.13
릴리스 버전: 30.121082.14513.0
새로운 기능
이 버전부터 다음 배포판에 엔드포인트용 Microsoft Defender 지원을 제공합니다.
- RHEL6.7-6.10 및 CentOS6.7-6.10 버전.
- Amazon Linux 2
- Fedora 33 이상
버그 수정
(빌드: 101.45.00 | 릴리스 버전: 30.121072.14500.0)
빌드: 101.45.00
릴리스 버전: 30.121072.14500.0
새로운 기능
- 명령줄 도구에 새 스위치가 추가되었습니다.
- 주문형 검사에 대한 병렬 처리 수준을 제어합니다. 를 통해
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
구성할 수 있습니다. 기본적으로 의 병렬 처리2
정도가 사용됩니다. - 보안 인텔리전스 업데이트 후 검사를 사용하도록 설정하거나 사용하지 않도록 설정할지 여부를 제어합니다. 를 통해
mdatp config scan-after-definition-update --value [enabled/disabled]
구성할 수 있습니다. 기본적으로 이 설정은 로 설정됩니다enabled
.
- 주문형 검사에 대한 병렬 처리 수준을 제어합니다. 를 통해
- 이제 제품 로그 수준을 변경하려면 상승이 필요합니다.
- 버그 수정
(빌드: 101.39.98 | 릴리스 버전: 30.121062.13998.0)
빌드: 101.39.98
릴리스 버전: 30.121062.13998.0
새로운 기능
버그 수정에 & 성능 향상
(빌드: 101.34.27 | 릴리스 버전: 30.121052.13427.0)
빌드: 101.34.27
릴리스 버전: 30.121052.13427.0
새로운 기능
버그 수정에 & 성능 향상
(빌드: 101.29.64 | 릴리스 버전: 30.121042.12964.0)
빌드: 101.29.64
릴리스 버전: 30.121042.12964.0
새로운 기능
- 이 버전부터 명령줄 클라이언트를 통해 트리거되는 주문형 바이러스 백신 검사 중에 검색된 위협이 자동으로 수정됩니다. 사용자 인터페이스를 통해 트리거되는 검사 중에 검색된 위협은 여전히 수동 작업이 필요합니다.
-
mdatp diagnostic real-time-protection-statistics
이제 두 개의 스위치를 추가로 지원합니다.-
--sort
: 검색된 총 파일 수만큼 출력 내림차순을 정렬합니다. -
--top N
: 상위 N개 결과를 표시합니다(도 지정된 경우에만--sort
작동)
-
- 버그 수정에 & 성능 향상
(빌드: 101.25.72 | 릴리스 버전: 30.121022.12563.0)
빌드: 101.25.72
릴리스 버전: 30.121022.12563.0
새로운 기능
Linux의 엔드포인트용 Microsoft Defender 이제 미국 정부 고객을 위해 미리 보기로 제공됩니다. 자세한 내용은 미국 정부 고객에 대한 엔드포인트용 Microsoft Defender 참조하세요.
- FUSE 파일 시스템이 있는 시스템에서 Linux에서 엔드포인트용 Microsoft Defender 사용하는 경우 OS가 중단되는 문제를 해결했습니다.
- 성능 향상 & 기타 버그 수정
(빌드: 101.25.63 | 릴리스 버전: 30.121022.12563.0)
빌드: 101.25.63
릴리스 버전: 30.121022.12563.0
새로운 기능
버그 수정에 & 성능 향상
(빌드: 101.23.64 | 릴리스 버전: 30.121021.12364.0)
빌드: 101.23.64
릴리스 버전: 30.121021.12364.0
새로운 기능
전체 탑재 지점이 바이러스 백신 제외 목록에 추가되는 상황에 대한 성능 향상. 이 버전 이전에는 탑재 지점에서 시작된 제품 처리 파일 작업이 있습니다. 이 버전부터 제외된 탑재 지점에 대한 파일 작업이 표시되지 않으므로 제품 성능이 향상됩니다.
- 명령줄 도구에 마지막 주문형 검사에 대한 정보를 볼 수 있는 새 옵션이 추가되었습니다. 마지막 주문형 검사에 대한 정보를 보려면 를 실행합니다.
mdatp health --details antivirus
- 버그 수정에 & 기타 성능 향상
(빌드: 101.18.53)
빌드: 101.18.53
새로운 기능
이제 Linux용 EDR 을 일반 공급
- 사용자 지정 검사 중에 AV 제외를 무시하는 새 명령줄 스위치(
--ignore-exclusions
)가 추가됨(mdatp scan custom
) - 진단 로그를 다른 디렉터리에 저장할 수 있는 새 매개 변수(
--path [directory]
)로 확장mdatp diagnostic create
- 버그 수정에 & 성능 향상