Nyheter i Microsoft Defender for endepunkt på Linux
Gjelder for:
- Microsoft Defender for endepunkt Server
- Microsoft Defender for servere
Denne artikkelen oppdateres jevnlig for å fortelle deg hva som er nytt i de nyeste versjonene av Microsoft Defender for endepunkt på Linux.
Viktig
Fra og med versjon 101.24082.0004
støtter Auditd
ikke Defender for Endpoint på Linux lenger hendelsesleverandøren. Vi går helt over til den mer effektive eBPF-teknologien. Denne endringen gir bedre ytelse, redusert ressursforbruk og generell forbedret stabilitet. Støtte for eBPF har vært tilgjengelig siden august 2023, og er fullstendig integrert i alle oppdateringer av Defender for Endpoint på Linux (versjon 101.23082.0006
og nyere). Vi oppfordrer deg sterkt til å ta i bruk eBPF-bygget, da det gir betydelige forbedringer over revidert. Hvis eBPF ikke støttes på maskinene dine, eller hvis det finnes spesifikke krav for å forbli på overvåket, har du følgende alternativer:
Fortsett å bruke Defender for endepunkt på Linux-bygg
101.24072.0000
med Auditd. Dette bygget støttes fortsatt i flere måneder, slik at du har tid til å planlegge og utføre overføringen til eBPF.Hvis du er på versjoner senere enn
101.24072.0000
, er Defender for Endpoint på Linux avhengig av som en reservetilleggshendelsesleverandørnetlink
. Hvis det oppstår et tilbakefall, fortsetter alle prosessoperasjoner å flyte sømløst.
Se gjennom gjeldende Defender for Endpoint på Linux-distribusjon, og begynn planleggingen av overføringen til det eBPF-støttede bygget. Hvis du vil ha mer informasjon om eBPF og hvordan det fungerer, kan du se Bruke eBPF-basert sensor for Microsoft Defender for endepunkt på Linux.
Hvis du har problemer eller trenger hjelp under denne overgangen, kan du kontakte kundestøtte.
Bygge: | 101.24122.0008 |
---|---|
Utgitt: | 19. februar 2025 kl. |
Utgitt: | 19. februar 2025 kl. |
Publisert: | 19. februar 2025 kl. |
Versjon: | 30.124122.0008.0 |
Motorversjon: | 1.1.24090.13 |
Signaturversjon: | 1.421.226.0 |
- Endret den frakoblede definisjonsoppdateringslogikken til først å prøve å laste ned definisjoner uten proxy, og prøv deretter på nytt med proxy.
- MDATP-pakken
101.24122.0008
rulles gradvis ut for hver distribusjon. - Andre stabilitetsforbedringer og feilrettinger
Bygge: | 101.24112.0003 |
---|---|
Utgitt: | 04. februar 2025 kl. |
Utgitt: | 04. februar 2025 kl. |
Publisert: | 04. februar 2025 kl. |
Versjon: | 30.124112.0003.0 |
Motorversjon: | 1.1.24090.13 |
Signaturversjon: | 1.421.1681.0 |
Nyheter
- Løste en feil som feilaktig rapporterte DefenderEngineVersion til sikkerhetsportalen.
- MDATP-pakken
101.24112.0003
rulles gradvis ut for hver distribusjon.
Bygge: | 101.24112.0001 |
---|---|
Utgitt: | 13. januar 2025 kl. |
Publisert: | 13. januar 2025 kl. |
Versjon: | 30.124112.0001.0 |
Motorversjon: | 1.1.24090.13 |
Signaturversjon: | 1.421.226.0 |
Oppgraderte Bond-versjonen til 13.0.1 for å håndtere sikkerhetsproblemer i versjon 12 eller lavere.
Mdatp-pakken er ikke lenger avhengig av SELinux-pakker.
Brukere kan nå spørre statusen til den supplerende hendelsesleverandøren eBPF ved hjelp av trusseljaktspørringen i
DeviceTvmInfoGathering
. Hvis du vil lære mer om denne spørringskontrollen, kan du bruke eBPF-basert sensor for Microsoft Defender for endepunkt på Linux. Resultatet av denne spørringen kan returnere følgende to verdier som eBPF-status:- Aktivert: Når eBPF er aktivert som forventet.
- Deaktivert: Når eBPF er deaktivert av én av følgende årsaker:
- Når MDE bruker auditD som en supplerende sensor
- Når eBPF ikke finnes, og vi faller tilbake til Netlink som tilleggsleverandør av hendelser
- Det finnes ingen ekstra sensor.
Fra og med 2411 følger MDATP-pakkeutgivelsen til Produksjon på
packages.microsoft.com
en gradvis utrullingsmekanisme som strekker seg over en uke. De andre utgivelsesringene, insiderFast og insiderSlow, påvirkes ikke av denne endringen.Stabilitet og ytelsesforbedringer.
Kritiske feil løser problemet rundt oppdateringsflyten for definisjon.
Bygge: | 101.24102.0000 |
---|---|
Utgitt: | 8. januar 2025 kl. |
Publisert: | 8. januar 2025 kl. |
Versjon: | 30.124102.0000.0 |
Motorversjon: | 1.1.24080.11 |
Signaturversjon: | 1.419.351.0 |
Standard motorversjon er oppdatert til
1.1.24080.11
, og standard signaturversjon er oppdatert til1.419.351.0
.Forbedret rapportering av kommandolinjetrusselinformasjon for kortvarige prosesser i sikkerhetsportalen.
Bygge: | 101.24092.0002 |
---|---|
Utgitt: | 14. november 2024 kl. |
Publisert: | 14. november 2024 kl. |
Versjon: | 30.124092.0002.0 |
Motorversjon: | 1.1.24080.9 |
Signaturversjon: | 1.417.659.0 |
For å støtte herdede installasjoner med partisjoner som ikke kan
/var
startes, installeres mdatp-antivirusdefinisjoner nå til i stedet/var
for/opt/microsoft/mdatp/definitions.noindex
hvis sistnevnte oppdages som ikke-utsettbar. Under oppgraderinger forsøker installasjonsprogrammet å overføre eldre definisjoner til den nye banen ved oppdaging av en ikke-delbar/var
, med mindre den finner ut at banen allerede er tilpasset (ved hjelp avmdatp definitions path set
).Fra og med denne versjonen trenger ikke Defender for Endpoint på Linux lenger kjørbare tillatelser for
/var/log
. Hvis disse tillatelsene ikke er tilgjengelige, omdirigeres loggfiler automatisk til/opt
.
Bygge: | 101.24082.0004 |
---|---|
Utgitt: | 15. oktober 2024 kl. |
Publisert: | 15. oktober 2024 kl. |
Versjon: | 30.124082.0004 |
Motorversjon: | 1.1.24080.9 |
Signaturversjon: | 1.417.659.0 |
Når du starter denne versjonen, støtter
AuditD
ikke Defender for Endpoint på Linux lenger som en supplerende hendelsesleverandør. For bedre stabilitet og ytelse har vi gått over til eBPF. Hvis du deaktiverer eBPF, eller hvis eBPF ikke støttes på en bestemt kjerne, bytter Defender for Endpoint på Linux automatisk tilbake til Netlink som en reservetilleggsleverandør. Netlink gir redusert funksjonalitet og sporer bare prosessrelaterte hendelser. I dette tilfellet fortsetter alle prosessoperasjoner å flyte sømløst, men du kan gå glipp av bestemte fil- og socket-relaterte hendelser som eBPF ellers ville tatt opp. Hvis du vil ha mer informasjon, kan du se Bruke eBPF-basert sensor for Microsoft Defender for endepunkt på Linux. Hvis du har problemer eller trenger hjelp under denne overgangen, kan du kontakte kundestøtte.Stabilitet og ytelsesforbedringer
Andre feilrettinger
Bygge: | 101.24072.0001 |
---|---|
Utgitt: | 23. september 2024 kl. |
Publisert: | 23. september 2024 kl. |
Versjon: | 30.124072.0001.0 |
Motorversjon: | 1.1.24060.6 |
Signaturversjon: | 1.415.228.0 |
Lagt til støtte for Ubuntu 24.04
Oppdaterte standard motorversjon til
1.1.24060.6
og standard signaturversjon til1.415.228.0
.
Bygge: | 101.24072.0001 |
---|---|
Utgitt: | 31. juli 2024 kl. |
Publisert: | 31. juli 2024 kl. |
Versjon: | 30.124062.0001.0 |
Motorversjon: | 1.1.24050.7 |
Signaturversjon: | 1.411.410.0 |
Det finnes flere løsninger og nye endringer i denne versjonen.
Løser feil der infisert kommandolinjetrusselinformasjon ikke ble vist riktig i sikkerhetsportalen.
Løser en feil der deaktivering av en forhåndsvisningsfunksjon krevde en Defender av endepunkt for å deaktivere den.
Funksjonen for globale utelatelser ved hjelp av administrert JSON er nå i offentlig forhåndsversjon. tilgjengelig i insiders treg fra 101.23092.0012. Hvis du vil ha mer informasjon, kan du se linux-utelukkelser.
Oppdaterte standardmotorversjonen for Linux til 1.1.24050.7 og standard signaturversjon til 1.411.410.0.
Stabilitet og ytelsesforbedringer.
Andre feilrettinger.
Bygge: | 101.24052.0002 |
---|---|
Utgitt: | 24. juni 2024 kl. |
Publisert: | 24. juni 2024 kl. |
Versjon: | 30.124052.0002.0 |
Motorversjon: | 1.1.24040.2 |
Signaturversjon: | 1.411.153.0 |
Det finnes flere løsninger og nye endringer i denne versjonen.
Denne utgivelsen løser en feil relatert til høy minnebruk som til slutt fører til høy CPU på grunn av eBPF-minnelekkasje i kjerneplass, noe som resulterer i at servere går inn i ubrukelige tilstander. Dette påvirket bare kjernen versjoner 3.10x og <= 4.16x, hovedsakelig på RHEL / CentOS distros. Oppdater til den nyeste MDE versjonen for å unngå innvirkning.
Vi har nå forenklet utdataene for
mdatp health --detail features
Stabilitet og ytelsesforbedringer.
Andre feilrettinger.
Bygge: | 101.24042.0002 |
---|---|
Utgitt: | 29. mai 2024 kl. |
Publisert: | 29. mai 2024 kl. |
Versjon: | 30.124042.0002.0 |
Motorversjon: | 1.1.24030.4 |
Signaturversjon: | 1.407.521.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
I versjon 24032.0007 var det et kjent problem der registrering av enheter til MDE Security Management mislyktes ved bruk av «Enhetsmerking»-mekanismen via mdatp_managed.json-filen. Dette problemet er løst i den gjeldende versjonen.
Stabilitet og ytelsesforbedringer.
Andre feilrettinger.
Bygge: | 101.24032.0007 |
---|---|
Utgitt: | 15. mai 2024 kl. |
Publisert: | 15. mai 2024 kl. |
Versjon: | 30.124032.0007.0 |
Motorversjon: | 1.1.24020.3 |
Signaturversjon: | 1.403.3500.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
I passive moduser og behovsbetingede moduser forblir antivirusmotoren inaktiv og brukes bare under planlagte egendefinerte skanninger. Derfor, som en del av ytelsesforbedringer, har vi gjort endringer for å holde AV-motoren nede i passiv og behovsbetinget modus unntatt under planlagte egendefinerte skanninger. Hvis sanntidsbeskyttelsen er aktivert, vil antivirusmotoren alltid være oppe og gå. Dette har ingen innvirkning på serverbeskyttelsen i noen modus.
For å holde brukerne informert om tilstanden til antivirusmotoren, har vi innført et nytt felt kalt «engine_load_status» som en del av MDATP-tilstanden. Den angir om antivirusmotoren kjører eller ikke.
Field name
engine_load_status
Mulige verdier Motoren er ikke lastet inn (AV-motorprosessen er nede), motorlasting vellykket (AV-motorprosessen er oppe og går) Sunne scenarier:
- Hvis RTP er aktivert, skal engine_load_status være «Motorlasting vellykket»
- Hvis MDE er i behovsbetinget eller passiv modus, og egendefinert skanning ikke kjører, skal «engine_load_status» være «Motoren er ikke lastet inn»
- Hvis MDE er i behovsbetinget eller passiv modus, og egendefinert skanning kjører, skal «engine_load_status» være «Motorlasting vellykket»
Feilretting for å forbedre atferdsgjenkjenninger.
Stabilitet og ytelsesforbedringer.
Andre feilrettinger.
Det er et kjent problem der registrering av enheter til MDE Security Management via «Enhetsmerking»-mekanisme ved hjelp av mdatp_managed.json mislykkes i 24032.0007. Hvis du vil redusere dette problemet, kan du bruke følgende mdatp CLI-kommando til å merke enheter:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Problemet er løst i bygg: 101.24042.0002
Bygge: | 101.24022.0001 |
---|---|
Utgitt: | 22. mars 2024 kl. |
Publisert: | 22. mars 2024 kl. |
Versjon: | 30.124022.0001.0 |
Motorversjon: | 1.1.23110.4 |
Signaturversjon: | 1.403.87.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
Tillegg av en ny loggfil -
microsoft_defender_scan_skip.log
. Dette loggfører filnavnene som ble hoppet over fra ulike antivirusskanninger av Microsoft Defender for endepunkt av en eller annen grunn.Stabilitet og ytelsesforbedringer.
Feilrettinger.
Bygge: | 101.24012.0001 |
---|---|
Utgitt: | 12. mars 2024 kl. |
Publisert: | 12. mars 2024 kl. |
Versjon: | 30.124012.0001.0 |
Motorversjon: | 1.1.23110.4 |
Signaturversjon: | 1.403.87.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
Oppdaterte standard motorversjon til
1.1.23110.4
, og standard signaturer versjon til1.403.87.0
.Stabilitet og ytelsesforbedringer.
Feilrettinger.
Bygge: | 101.23122.0002 |
---|---|
Utgitt: | Februar 5,2024 |
Publisert: | Februar 5,2024 |
Versjon: | 30.123122.0002.0 |
Motorversjon: | 1.1.23100.2010 |
Signaturversjon: | 1.399.1389.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
Oppdaterte standard motorversjon til
1.1.23100.2010
, og standard signaturer versjon til1.399.1389.0
.Generelle stabilitets- og ytelsesforbedringer.
Feilrettinger.
Microsoft Defender for endepunkt på Linux støtter nå offisielt følgende distros og versjoner:
Distro & versjon Ring Pakke Mariner 2 Produksjon https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8,7 og høyere Insiders Slow https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 og høyere Insiders Slow https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8,4 og nyere Insiders Slow https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 og nyere Insiders Slow https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Hvis du allerede har Defender for Endpoint som kjører på noen av disse distroene og står overfor eventuelle problemer i de eldre versjonene, kan du oppgradere til den nyeste Defender for Endpoint-versjonen fra den tilsvarende ringen nevnt ovenfor. Se våre offentlige distribusjonsdokumenter for mer informasjon.
Obs!
Kjente problemer:
Microsoft Defender for endepunkt for Linux på Rocky og Alma har for tiden følgende kjente problemer:
- Live Response og Threat Vulnerability Management støttes for øyeblikket ikke (arbeid pågår).
- Operativsysteminformasjon for enheter er ikke synlig i Microsoft Defender-portalen
Bygge: | 101.23112.0009 |
---|---|
Utgitt: | 29. januar 2024 kl. |
Publisert: | 29. januar 2024 kl. |
Versjon: | 30.123112.0009.0 |
Motorversjon: | 1.1.23100.2010 |
Signaturversjon: | 1.399.1389.0 |
Oppdaterte standard motorversjon til
1.1.23110.4
, og standard signaturer versjon til1.403.1579.0
.Generelle stabilitets- og ytelsesforbedringer.
Feilretting for konfigurasjon av virkemåteovervåking.
Feilrettinger.
Bygge: | 101.23102.0003 |
---|---|
Utgitt: | 28. november 2023 kl. |
Publisert: | 28. november 2023 kl. |
Versjon: | 30.123102.0003.0 |
Motorversjon: | 1.1.23090.2008 |
Signaturversjon: | 1.399.690.0 |
Oppdaterte standard motorversjon til
1.1.23090.2008
, og standard signaturer versjon til1.399.690.0
.Oppdatert libcurl bibliotek til versjon
8.4.0
for å løse nylig avslørte sårbarheter med den eldre versjonen.Oppdatert Openssl-bibliotek til versjon
3.1.1
for å løse nylig avslørte sikkerhetsproblemer med den eldre versjonen.Generelle stabilitets- og ytelsesforbedringer.
Feilrettinger.
Bygge: | 101.23092.0012 |
---|---|
Utgitt: | 14. november 2023 kl. |
Publisert: | 14. november 2023 kl. |
Versjon: | 30.123092.0012.0 |
Motorversjon: | 1.1.23080.2007 |
Signaturversjon: | 1.395.1560.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
Støtte lagt til for å gjenopprette trussel basert på opprinnelig bane ved hjelp av følgende kommando:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Fra og med denne utgivelsen vil Microsoft Defender for endepunkt på Linux ikke lenger sende en løsning for RHEL 6.
RHEL 6 'Utvidet kundestøtte for slutten av levetiden' er klar til å avsluttes innen 30. juni 2024, og kunder rådes til å planlegge sine RHEL-oppgraderinger i henhold til veiledning fra Red Hat. Kunder som trenger å kjøre Defender for Endpoint på RHEL 6-servere, kan fortsette å bruke versjon 101.23082.0011 (utløper ikke før 30. juni 2024) som støttes på kjerneversjoner 2.6.32-754.49.1.el6.x86_64 eller tidligere.
- Motoroppdatering til
1.1.23080.2007
og signaturer ver:1.395.1560.0
. - Strømlinjeformet enhetstilkoblingsopplevelse er nå i offentlig forhåndsvisningsmodus. offentlig blogg
- Ytelsesforbedringer & feilrettinger.
- Motoroppdatering til
- CPU lock-up sett på kjerneversjon 5.15.0-0.30.20 i ebpf-modus, se Bruke eBPF-basert sensor for Microsoft Defender for endepunkt på Linux for detaljer og begrensningsalternativer.
Bygge: | 101.23082.0011 |
---|---|
Utgitt: | 1. november 2023 kl. |
Publisert: | 1. november 2023 kl. |
Versjon: | 30.123082.0011.0 |
Motorversjon: | 1.1.23070.1002 |
Signaturversjon: | 1.393.1305.0 |
Denne nye utgivelsen er bygg over oktober 2023-utgivelsen (101.23082.0009) med tillegg av følgende endringer. Det er ingen endring for andre kunder, og oppgradering er valgfritt.
Løsning for uforanderlig modus for overvåking når det supplerende delsystemet er ebpf: I ebpf-modus bør alle mdatp-overvåkingsregler rengjøres etter at du har byttet til ebpf og startet på nytt. Etter omstart ble ikke mdatp-overvåkingsregler rengjort på grunn av at det resulterte i at serveren ble hengt. Løsningen renser disse reglene, brukeren skal ikke se noen mdatp-regler lastet inn ved omstart
Løsning for MDE ikke starter opp på RHEL 6.
Når du oppgraderer fra mdatp versjon 101.75.43 eller 101.78.13, kan det hende at du får et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.98.05. Mer informasjon om det underliggende problemet finner du på System hang på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.23082.0009 |
---|---|
Utgitt: | Oktober 9,2023 |
Publisert: | Oktober 9,2023 |
Versjon: | 30.123082.0009.0 |
Motorversjon: | 1.1.23070.1002 |
Signaturversjon: | 1.393.1305.0 |
- Denne nye versjonen er bygg over oktober 2023-utgivelsen ('101.23082.0009'') med tillegg av nye CA-sertifikater. Det er ingen endring for andre kunder, og oppgradering er valgfritt.
Når du oppgraderer fra mdatp versjon 101.75.43 eller 101.78.13, kan det hende at du får et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.98.05. Mer informasjon om det underliggende problemet finner du på System hang på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.23082.0006 |
---|---|
Utgitt: | Oktober 9,2023 |
Publisert: | Oktober 9,2023 |
Versjon: | 30.123082.0006.0 |
Motorversjon: | 1.1.23070.1002 |
Signaturversjon: | 1.393.1305.0 |
Funksjonsoppdateringer og nye endringer
eBPF-sensor er nå standard tilleggsleverandør for hendelser for endepunkter
Microsoft Intune tenantvedleggsfunksjon er i offentlig forhåndsversjon (fra midten av juli)
- Du må legge til *.dm.microsoft.com i brannmurutelukkelser for at funksjonen skal fungere som den skal
Defender for Endpoint er nå tilgjengelig for Debian 12 og Amazon Linux 2023
Støtte for å aktivere signaturbekreftelse av oppdateringer som er lastet ned
Du må oppdatere manajed.json som vist nedenfor
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Forutsetning for å aktivere funksjonen
- Motorversjonen på enheten må være 1.1.23080.007 eller nyere. Kontroller motorversjonen ved hjelp av følgende kommando.
mdatp health --field engine_version
- Motorversjonen på enheten må være 1.1.23080.007 eller nyere. Kontroller motorversjonen ved hjelp av følgende kommando.
Alternativ for å støtte overvåking av NFS- og FUSE-monteringspunkter. Disse ignoreres som standard. Følgende eksempel viser hvordan du overvåker alle filsystem mens du bare ignorerer NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Eksempel for å overvåke alle filsystemene, inkludert NFS og FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
Andre ytelsesforbedringer
Feilrettinger
- Når du oppgraderer fra mdatp versjon 101.75.43 eller 101.78.13, kan det hende at du får et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.98.05. Mer informasjon om det underliggende problemet finner du på System hang på grunn av blokkerte oppgaver i fanotifisere kode. Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.23072.0021 |
---|---|
Utgitt: | 11. september 2023 kl. |
Publisert: | 11. september 2023 kl. |
Versjon: | 30.123072.0021.0 |
Motorversjon: | 1.1.20100.7 |
Signaturversjon: | 1.385.1648.0 |
Det finnes flere løsninger og nye endringer i denne versjonen:
I
mde_installer.sh
v0.6.3 kan brukere bruke--channel
argumentet til å oppgi kanalen for det konfigurerte repositoriet under oppryddingen. For eksempelsudo ./mde_installer --clean --channel prod
Nettverksutvidelsen kan nå tilbakestilles av administratorer som bruker
mdatp network-protection reset
.Andre ytelsesforbedringer
Feilrettinger
- Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.23062.0010 |
---|---|
Utgitt: | 26. juli 2023 kl. |
Publisert: | 26. juli 2023 kl. |
Versjon: | 30.123062.0010.0 |
Motorversjon: | 1.1.20100.7 |
Signaturversjon: | 1.385.1648.0 |
Det finnes flere løsninger og nye endringer i denne versjonen
Hvis en proxy er angitt for Defender for endepunkt, er den
mdatp health
synlig i kommandoutdataene. Med denne utgivelsen har vi gitt to alternativer i mdatp diagnostic hot-event-sources:- Filer
- Kjørbare filer
Nettverksbeskyttelse: Connections som er blokkert av Nettverksbeskyttelse og som har blokkoverstyrt av brukere, rapporteres nå riktig til Microsoft Defender XDR
Forbedret logging i blokk- og overvåkingshendelser for nettverksbeskyttelse for feilsøking |
Andre løsninger og forbedringer
- Fra denne versjonen er enforcementLevel i passiv modus som standard, noe som gir administratorer mer kontroll over hvor de vil ha RTP på i sin eiendom
- Denne endringen gjelder bare for nye MDE distribusjoner, for eksempel servere der Defender for Endpoint distribueres for første gang. I oppdateringsscenarioer fortsetter servere som har Defender for Endpoint distribuert med RTP ON, å operere med RTP PÅ selv etter oppdatering til versjon 101.23062.0010
Feilretting: Problem med RPM-databasefeil i Defender Vulnerability Management opprinnelig plan er løst
Andre ytelsesforbedringer
Når du oppgraderer fra mdatp-versjonen 101.75.43
eller 101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.23052.0009 |
---|---|
Utgitt: | 10. juli 2023 kl. |
Publisert: | 10. juli 2023 kl. |
Versjon: | 30.123052.0009.0 |
Motorversjon: | 1.1.20100.7 |
Signaturversjon: | 1.385.1648.0 |
- Det finnes flere løsninger og nye endringer i denne versjonen . Build-versjonsskjemaet oppdateres fra denne versjonen. Selv om hovedversjonsnummeret forblir det samme som 101, har det underordnede versjonsnummeret nå fem sifre etterfulgt av firesifret oppdateringsnummer som er,
101.xxxxx.yyy
- Forbedret minneforbruk for nettverksbeskyttelse under stress- Oppdaterte motorversjonen til
1.1.20300.5
og signaturversjonen til1.391.2837.0
. - Feilrettinger.
- Oppdaterte motorversjonen til
Når du oppgraderer fra mdatp-versjonen 101.75.43
eller 101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.98.89 |
---|---|
Utgitt: | 12. juni 2023 kl. |
Publisert: | 12. juni 2023 kl. |
Versjon: | 30.123042.19889.0 |
Motorversjon: | 1.1.20100.7 |
Signaturversjon: | 1.385.1648.0 |
Det finnes flere løsninger og nye endringer i denne versjonen
Forbedret proxy-behandling for nettverksbeskyttelse.
I passiv modus skanner ikke Defender for endepunkt lenger når definisjonsoppdateringen skjer.
Enheter er fortsatt beskyttet selv etter at Defender for Endpoint-agenten er utløpt. Vi anbefaler at du oppgraderer Defender for Endpoint Linux-agenten til den nyeste tilgjengelige versjonen for å motta feilrettinger, funksjoner og ytelsesforbedringer.
Fjernet avhengighet av semanage-pakke.
Motoroppdatering til
1.1.20100.7
og signaturer ver:1.385.1648.0
.Feilrettinger.
- Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.98.64 |
---|---|
Utgitt: | 3. mai 2023 kl. |
Publisert: | 3. mai 2023 kl. |
Versjon: | 30.123032.19864.0 |
Motorversjon: | 1.1.20100.6 |
Signaturversjon: | 1.385.68.0 |
Det finnes flere løsninger og nye endringer i denne versjonen
Forbedringer i tilstandsmeldinger for å fange opp detaljer om overvåkede feil.
Forbedringer for å håndtere augenrules, som forårsaket installasjonsfeil.
Periodisk minneopprydding i motorprosessen.
Løsning på minneproblemer i plugin-modulen mdatp audisp.
Håndterte manglende plugin-katalogbane under installasjonen.
Når motstridende programmer bruker blokkerende fanotifisere, med standard konfigurasjon mdatp tilstand viser usunn. Dette er nå løst.
Støtte for ICMP-trafikkinspeksjon i BM.
Motoroppdatering til
1.1.20100.6
og signaturer ver:1.385.68.0
.Feilrettinger.
- Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Forsiktig! Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.98.58 |
---|---|
Utgitt: | 20. april 2023 kl. |
Publisert: | 20. april 2023 kl. |
Versjon: | 30.123022.19858.0 |
Motorversjon: | 1.1.20000.2 |
Signaturversjon: | 1.381.3067.0 |
Det finnes flere løsninger og nye endringer i denne versjonen
Forbedringer for logging og feilrapportering for overvåket.
Håndtere feil i innlasting av revisjonskonfigurasjon på nytt.
Håndtering av tomme overvåkede regelfiler under MDE installasjonen.
Motoroppdatering til
1.1.20000.2
og signaturer ver:1.381.3067.0
.Løste et helseproblem i mdatp som oppstår på grunn av selinux-fornektelser.
Feilrettinger.
Når du oppgraderer mdatp til versjon
101.94.13
eller nyere, vil du kanskje legge merke til at tilstanden er usann, med health_issues som «ingen aktiv tilleggsleverandør». Dette kan skje på grunn av feilkonfigurerte/motstridende reviderte regler på eksisterende maskiner. For å løse problemet må de reviderte reglene på de eksisterende maskinene løses. Følgende kommandoer kan hjelpe deg med å identifisere slike overvåkede regler (kommandoer må kjøres som superbruker). Ta en sikkerhetskopi av følgende fil: /etc/audit/rules.d/audit.rules, da disse trinnene bare er for å identifisere feil.echo -c >> /etc/audit/rules.d/audit.rules augenrules --load
Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan du støte på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Det finnes to måter å redusere dette oppgraderingsproblemet på:
Bruk pakkebehandling til å avinstallere
101.75.43
eller101.78.13
mdatp-versjonen.Eksempel:
sudo apt purge mdatp sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
Hvis du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før du oppgraderer. Forsiktig! Noen kunder (<1 %) opplever problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.98.30 |
---|---|
Utgitt: | 20. mars 2023 kl. |
Publisert: | 20. mars 2023 kl. |
Versjon: | 30.123012.19830.0 |
Motorversjon: | 1.1.19900.2 |
Signaturversjon: | 1.379.1299.0 |
- Denne nye versjonen er bygg over mars 2023-utgivelsen ('101.98.05'') med en løsning for live-svarkommandoer som mislykkes for en av våre kunder. Det er ingen endring for andre kunder, og oppgradering er valgfritt.
- Med mdatp versjon 101.98.30 kan det hende du ser et falskt problem med tilstanden i noen av tilfellene, fordi SELinux-regler ikke er definert for bestemte scenarioer. Tilstandsadvarselen kan se omtrent slik ut:
fant SELinux-fornektelser innen siste dag. Hvis MDATP nylig er installert, fjerner du de eksisterende overvåkingsloggene eller venter på at problemet skal løses automatisk. Bruk kommando: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep " nektet" for å finne detaljer
Problemet kan reduseres ved å kjøre følgende kommandoer.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Her representerer mitt mdatpaudisppl_v1 navnet på policymodulen. Når du har kjørt kommandoene, må du enten vente i 24 timer eller fjerne/arkivere overvåkingsloggene. Overvåkingsloggene kan arkiveres ved å kjøre følgende kommando
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
I tilfelle problemet dukker opp igjen med noen forskjellige fornektelser. Vi må kjøre begrensningen på nytt med et annet modulnavn (for eksempel min-mdatpaudisppl_v2).
Bygge: | 101.98.05 |
---|---|
Utgitt: | Mars 08, 2023 |
Publisert: | Mars 08, 2023 |
Versjon: | 30.123012.19805.0 |
Motorversjon: | 1.1.19900.2 |
Signaturversjon: | 1.379.1299.0 |
Forbedret datafullføring for nettverkstilkoblingshendelser
Forbedrede funksjoner for datainnsamling for fileierskap/-tillatelsesendringer
seManage i en del av pakken, til at seLinux-policyer kan konfigureres i en annen distro (fast).
Forbedret stabilitet for virksomhets-daemon
Opprydding av overvåkingsstoppbane
Forbedret stabiliteten til mdatp-stoppflyten.
La til nytt felt i wdavstate for å holde oversikt over oppdateringstiden for plattformen.
Stabilitetsforbedringer for analysering av Defender for endepunktpålastingsblob.
Skanningen fortsetter ikke hvis en gyldig lisens ikke finnes (fast)
Lagt til alternativet for ytelsessporing til xPlatClientAnalyzer, med sporingsaktivert mdatp-prosess dumper flyten i all_process.zip fil som kan brukes til analyse av ytelsesproblemer.
Lagt til støtte i Defender for Endpoint for følgende RHEL-6-kjerneversjoner:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
Andre løsninger
Mens du oppgraderer mdatp til versjon 101.94.13, vil du kanskje legge merke til at tilstanden er usann, med health_issues som «ingen aktiv tilleggsleverandør». Dette kan skje på grunn av feilkonfigurerte/motstridende reviderte regler på eksisterende maskiner. For å løse problemet må de reviderte reglene på de eksisterende maskinene løses. Følgende trinn kan hjelpe deg med å identifisere slike overvåkede regler (disse kommandoene må kjøres som superbruker). Pass på å sikkerhetskopiere følgende fil: '/etc/audit/rules.d/audit.rules'' fordi disse trinnene bare er for å identifisere feil.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon101.98.05
. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifiseringskode
Det finnes to måter å løse problemet på når du oppgraderer.
Bruk pakkebehandling til å avinstallere 101.75.43
eller 101.78.13
mdatp-versjonen.
Eksempel:
sudo apt purge mdatp
sudo apt-get install mdatp
Som et alternativ kan du følge instruksjonene for å avinstallere, og deretter installere den nyeste versjonen av pakken.
I tilfelle du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før oppgraderingen. Forsiktig! Noen kunder (<1 %) har problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.94.13 |
---|---|
Utgitt: | 10. januar 2023 |
Publisert: | 10. januar 2023 |
Versjon: | 30.122112.19413.0 |
Motorversjon: | 1.1.19700.3 |
Signaturversjon: | 1.377.550.0 |
- Det finnes flere løsninger og nye endringer i denne versjonen
- Hopp over karantene av trusler i passiv modus som standard.
- Ny konfigurasjon, nonExecMountPolicy, kan nå brukes til å angi virkemåten til RTP på monteringspunktet merket som noexec.
- Ny konfigurasjon, uovervåkedeFilesystems, kan brukes til å uovervåke bestemte filsystemer.
- Forbedret ytelse under høy belastning og i hastighetstestscenarioer.
- Løser et problem med tilgang til SMB-delinger bak Cisco AnyConnect VPN-tilkoblinger.
- Løser et problem med Nettverksbeskyttelse og SMB.
- lttng ytelsessporingsstøtte.
- Forbedringer av TVM, eBPF, revidert, telemetri og mdatp-kommandolinje.
- mdatp-tilstand rapporterer nå behavior_monitoring
- Andre løsninger.
Når du oppgraderer mdatp til versjon
101.94.13
, vil du kanskje legge merke til at tilstanden er usann, med health_issues som «ingen aktiv tilleggsleverandør». Dette kan skje på grunn av feilkonfigurerte/motstridende reviderte regler på eksisterende maskiner. For å løse problemet må de reviderte reglene på de eksisterende maskinene løses. Følgende trinn kan hjelpe deg med å identifisere slike overvåkede regler (disse kommandoene må kjøres som superbruker). Ta en sikkerhetskopi av følgende fil:/etc/audit/rules.d/audit.rules
da disse trinnene bare er for å identifisere feil.echo -c >> /etc/audit/rules.d/audit.rules augenrules --load
Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.94.13. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifiseringskode
Det finnes to måter å løse problemet på når du oppgraderer.
Bruk pakkebehandling til å avinstallere 101.75.43
eller 101.78.13
mdatp-versjonen.
Eksempel:
sudo apt purge mdatp
sudo apt-get install mdatp
Som et alternativ til det ovennevnte, kan du følge instruksjonene for å avinstallere og deretter installere den nyeste versjonen av pakken.
I tilfelle du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før oppgraderingen. Forsiktig! Noen kunder (<1 %) har problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.85.27 |
---|---|
Utgitt: | 02. november 2022 kl. |
Publisert: | 02. november 2022 kl. |
Versjon: | 30.122092.18527.0 |
Motorversjon: | 1.1.19500.2 |
Signaturversjon: | 1.371.1369.0 |
- Det finnes flere løsninger og nye endringer i denne versjonen
- V2-motoren er standard med denne utgivelsen, og V1-motorbiter fjernes for forbedret sikkerhet.
- V2-motor støtter konfigurasjonsbane for AV-definisjoner. (bane for mdatp-definisjonssett)
- Fjernet avhengigheter for eksterne pakker fra MDE pakke. Fjernede avhengigheter er libatomic1, libselinux, libseccomp, libfuse og libuuid
- I tilfelle krasjsamlingen er deaktivert av konfigurasjonen, startes ikke krasjovervåkingsprosessen.
- Ytelsesløsninger for optimal bruk av systemhendelser for AV-funksjoner.
- Stabilitetsforbedring når du starter mdatp og laster inn epsext-problemer på nytt.
- Andre løsninger
- Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende du støter på et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon 101.85.21. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifiseringskode
Det finnes to måter å løse problemet på når du oppgraderer.
Bruk pakkebehandling til å avinstallere 101.75.43
eller 101.78.13
mdatp-versjonen.
Eksempel:
sudo apt purge mdatp
sudo apt-get install mdatp
Som en alternativ fremgangsmåte følger du instruksjonene for å avinstallere, og deretter installerer du den nyeste versjonen av pakken.
I tilfelle du ikke vil avinstallere mdatp, kan du deaktivere rtp og mdatp i rekkefølge før oppgraderingen. Forsiktig! Noen kunder (<1 %) har problemer med denne metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Bygge: | 101.80.97 |
---|---|
Utgitt: | 14. september 2022 kl. |
Publisert: | 14. september 2022 kl. |
Versjon: | 30.122072.18097.0 |
Motorversjon: | 1.1.19300.3 |
Signaturversjon: | 1.369.395.0 |
- Reparerer et kjerneheng observert på utvalgte kundearbeidsbelastninger som kjører mdatp-versjon
101.75.43
. Etter RCA ble dette tilskrevet en rasetilstand mens eierskapet til en sensorfilbeskrivelse ble utgitt. Rasetilstanden ble utsatt på grunn av en nylig produktendring i avslutningsbanen. Kunder på nyere kjerneversjoner (5.1+) påvirkes ikke av dette problemet. Hvis du vil ha mer informasjon, kan du se Systemheng på grunn av blokkerte oppgaver i fanotifisere kode.
Når du oppgraderer fra mdatp-versjonen
101.75.43
eller101.78.13
, kan det hende at du får et kjerneheng. Kjør følgende kommandoer før du prøver å oppgradere til versjon101.80.97
. Denne handlingen bør hindre at problemet oppstår.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
Når du har utført kommandoene, kan du bruke pakkebehandling til å utføre oppgraderingen.
Som en alternativ fremgangsmåte følger du instruksjonene for å avinstallere, og deretter installerer du den nyeste versjonen av pakken.
Bygge: | 101.78.13 |
---|---|
Utgitt: | 24. august 2022 kl. |
Publisert: | 24. august 2022 kl. |
Versjon: | 30.122072.17813.0 |
Motorversjon: | 1.1.19300.3 |
Signaturversjon: | 1.369.395.0 |
- Rullet tilbake på grunn av pålitelighetsproblemer
Bygge: | 101.75.43 |
---|---|
Utgitt: | 2. august 2022 kl. |
Publisert: | 2. august 2022 kl. |
Versjon: | 30.122071.17543.0 |
Motorversjon: | 1.1.19300.3 |
Signaturversjon: | 1.369.395.0 |
- Lagt til støtte for Red Hat Enterprise Linux versjon 9.0
- Lagt til et nytt felt i utdataene
mdatp health
som kan brukes til å spørre håndhevelsesnivået for funksjonen for nettverksbeskyttelse. Det nye feltet kallesnetwork_protection_enforcement_level
og kan ta én av følgende verdier:audit
,block
ellerdisabled
. - Adresserte en produktfeil der flere gjenkjenninger av samme innhold kan føre til dupliserte oppføringer i trusselloggen
- Løste et problem der en av prosessene som ble startet av produktet (
mdatp_audisp_plugin
) noen ganger ikke ble avsluttet på riktig måte når tjenesten ble stoppet - Andre feilrettinger
Bygge: | 101.73.77 |
---|---|
Utgitt: | torsdag 21. juli 2022 |
Publisert: | torsdag 21. juli 2022 |
Versjon: | 30.122062.17377.0 |
Motorversjon: | 1.1.19200.3 |
Signaturversjon: | 1.367.1011.0 |
- La til et alternativ for å konfigurere hash-kodebehandling for fil
- Fra og med dette bygget har produktet den nye motoren for skadelig programvare som standard
- Ytelsesforbedringer for filkopieringsoperasjoner
- Feilrettinger
Bygge: | 101.71.18 |
---|---|
Utgitt: | 24. juni 2022 kl. |
Publisert: | 24. juni 2022 kl. |
Versjon: | 30.122052.17118.0 |
- Løsning for å støtte definisjonslagring i ikke-standardplasseringer (utenfor /var) for v2-definisjonsoppdateringer
- Løste et problem i produktsensoren som brukes på RHEL 6 som kan føre til at et operativsystem henger
-
mdatp connectivity test
ble utvidet med en ekstra NETTADRESSE som produktet krever for å fungere riktig. Den nye URL-adressen er https://go.microsoft.com/fwlink/?linkid=2144709. - Frem til nå var ikke produktloggnivået fast mellom omstart av produktet. Fra og med denne versjonen finnes det en ny kommandolinjeverktøybryter som opprettholder loggnivået. Den nye kommandoen er
mdatp log level persist --level <level>
. - Fjernet avhengigheten
python
fra installasjonspakken for produktet - Ytelsesforbedringer for filkopioperasjoner og behandling av nettverkshendelser med opprinnelse fra
auditd
- Feilrettinger
Bygge: | 101.68.80 |
---|---|
Utgitt: | mandag 23. mai 2022 |
Publisert: | mandag 23. mai 2022 |
Versjon: | 30.122042.16880.0 |
- Lagt til støtte for kjerneversjon
2.6.32-754.47.1.el6.x86_64
når du kjører på RHEL 6 - På RHEL 6 kan produktet nå installeres på enheter som kjører Unbreakable Enterprise Kernel (UEK)
- Løste et problem der prosessnavnet noen ganger ble vist feil som
unknown
når det kjørtemdatp diagnostic real-time-protection-statistics
- Løste en feil der produktet noen ganger feilaktig oppdaget filer i karantenemappen
- Løste et problem der
mdatp
kommandolinjeverktøyet ikke fungerte når/opt
det ble montert som en myk kobling - Ytelsesforbedringer & feilrettinger
Bygge: | 101.65.77 |
---|---|
Utgitt: | 2. mai 2022 kl. |
Publisert: | 2. mai 2022 kl. |
Versjon: | 30.122032.16577.0 |
-
conflicting_applications
Forbedret feltetmdatp health
til å vise bare de siste 10 prosessene og inkludere prosessnavnene. Dette gjør det enklere å identifisere hvilke prosesser som potensielt er i konflikt med Microsoft Defender for endepunkt for Linux. - Feilrettinger
Bygge: | 101.62.74 |
---|---|
Utgitt: | 24. mars 2022 kl. |
Publisert: | 24. mars 2022 kl. |
Versjon: | 30.122022.16274.0 |
- Løste et problem der produktet feilaktig ville blokkere tilgang til filer som er større enn 2 GB når det kjører på eldre kjerneversjoner
- Feilrettinger
Bygge: | 101.60.93 |
---|---|
Utgitt: | 9. mars 2022 kl. |
Publisert: | 9. mars 2022 kl. |
Versjon: | 30.122012.16093.0 |
- Denne versjonen inneholder en sikkerhetsoppdatering for CVE-2022-23278
Bygge: | 101.60.05 |
---|---|
Utgitt: | 3. mars 2022 kl. |
Publisert: | 3. mars 2022 kl. |
Versjon: | 30.122012.16005.0 |
- Lagt til støtte for kjerneversjon 2.6.32-754.43.1.el6.x86_64 for RHEL 6.10
- Feilrettinger
Bygge: | 101.58.80 |
---|---|
Utgitt: | 20. februar 2022 kl. |
Publisert: | 20. februar 2022 kl. |
Versjon: | 30.122012.15880.0 |
- Kommandolinjeverktøyet støtter nå gjenoppretting av filer i karantene til en annen plassering enn den der filen opprinnelig ble oppdaget. Dette kan gjøres gjennom
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
. - Fra og med denne versjonen kan nettverksbeskyttelse for Linux evalueres ved behov
- Feilrettinger
Bygge: | 101.56.62 |
---|---|
Utgitt: | 26. januar 2022 kl. |
Publisert: | 26. januar 2022 kl. |
Versjon: | 30.121122.15662.0 |
- Løste en produktkrasj introdusert i 101.53.02, og det har påvirket flere kunder
Bygge: | 101.53.02 |
---|---|
Utgitt: | 8. januar 2022 kl. |
Publisert: | 8. januar 2022 kl. |
Versjon: | 30.121112.15302.0 |
- Ytelsesforbedringer & feilrettinger
Bygge: | 101.52.57 |
---|---|
Versjon: | 30.121092.15257.0 |
- La til en funksjon for å oppdage sårbare log4j-krukker i bruk av Java-programmer. Maskinen undersøkes regelmessig for kjøring av Java-prosesser med innlastede log4j-krukker. Informasjonen rapporteres til Microsoft Defender for endepunkt serverdel og vises i området sikkerhetsbehandling i portalen.
Bygge: | 101.47.76 |
---|---|
Versjon: | 30.121092.14776.0 |
La til en ny bryter til kommandolinjeverktøyet for å kontrollere om arkiver skannes under behovsbetingede skanninger. Dette kan konfigureres gjennom mdatp config scan-archives --value [enabled/disabled]. Som standard er denne innstillingen satt til aktivert.
Feilrettinger
Bygge: | 101.45.13 |
---|---|
Versjon: | 30.121082.14513.0 |
Fra og med denne versjonen tar vi med Microsoft Defender for endepunkt støtte til følgende distroer:
- RHEL6.7-6.10 og CentOS6.7-6.10 versjoner.
- Amazon Linux 2
- Fedora 33 eller nyere
Feilrettinger
Bygge: | 101.45.00 |
---|---|
Versjon: | 30.121072.14500.0 |
- La til nye brytere i kommandolinjeverktøyet:
- Kontroller graden av parallellitet for behovsbetingede skanninger. Dette kan konfigureres gjennom
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
. Som standard brukes en grad av parallellitet.2
- Kontroller om skanninger etter sikkerhetsanalyseoppdateringer er aktivert eller deaktivert. Dette kan konfigureres gjennom
mdatp config scan-after-definition-update --value [enabled/disabled]
. Som standard er denne innstillingen satt tilenabled
. - Endring av produktloggnivået krever nå opphøyning
- Feilrettinger
- Kontroller graden av parallellitet for behovsbetingede skanninger. Dette kan konfigureres gjennom
Bygge: | 101.39.98 |
---|---|
Versjon: | 30.121062.13998.0 |
- Ytelsesforbedringer & feilrettinger
Bygge: | 101.34.27 |
---|---|
Versjon: | 30.121052.13427.0 |
- Ytelsesforbedringer & feilrettinger
Bygge: | 101.29.64 |
---|---|
Versjon: | 30.121042.12964.0 |
- Fra og med denne versjonen utbedres trusler som oppdages under behovsbetingede antivirusskanninger som utløses gjennom kommandolinjeklienten. Trusler som oppdages under skanninger utløst gjennom brukergrensesnittet, krever fortsatt manuell handling.
-
mdatp diagnostic real-time-protection-statistics
støtter nå to brytere til: -
--sort
: sorterer utdataene synkende etter totalt antall filer som skannes -
--top N
: viser de øverste N-resultatene (fungerer bare hvis--sort
det også er angitt) - Ytelsesforbedringer & feilrettinger
Bygge: | 101.25.72 |
---|---|
Versjon: | 30.121022.12563.0 |
- Microsoft Defender for endepunkt på Linux er nå tilgjengelig i forhåndsversjon for US Government-kunder. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for endepunkt for US Government-kunder.
- Løste et problem der bruk av Microsoft Defender for endepunkt på Linux på systemer med FUSE-filsystemer førte til at operativsystemet hang
- Ytelsesforbedringer & andre feilrettinger
Bygge: | 101.25.63 |
---|---|
Versjon: | 30.121022.12563.0 |
- Ytelsesforbedringer & feilrettinger
Bygge: | 101.23.64 |
---|---|
Versjon: | 30.121021.12364.0 |
- Ytelsesforbedring for situasjonen der et helt monteringspunkt legges til i listen over antivirusutelukkelser. Før denne versjonen behandlet produktet filaktivitet med opprinnelse fra monteringspunktet. Fra og med denne versjonen undertrykkes filaktiviteten for utelatte monteringspunkter, noe som fører til bedre produktytelse
- La til et nytt alternativ i kommandolinjeverktøyet for å vise informasjon om den siste behovsbetingede skanningen. Hvis du vil vise informasjon om den siste behovsbetingede skanningen, kjører du
mdatp health --details antivirus
- Andre ytelsesforbedringer & feilrettinger
EDR for Linux er nå generelt tilgjengelig
La til en ny kommandolinjebryter (
--ignore-exclusions
) for å ignorere AV-utelatelser under egendefinerte skanninger (mdatp scan custom
)Utvidet
mdatp diagnostic create
med en ny parameter (--path [directory]
) som gjør at diagnoseloggene kan lagres i en annen katalogYtelsesforbedringer & feilrettinger