Nieuw in Microsoft Defender voor Eindpunt in Linux
Dit artikel wordt regelmatig bijgewerkt om u te laten weten wat er nieuw is in de nieuwste versies van Microsoft Defender voor Eindpunt op Linux.
Belangrijk
Vanaf versie 101.2408.0004
ondersteunt Defender voor Eindpunt in Linux de Auditd
gebeurtenisprovider niet meer. We gaan volledig over op de efficiëntere eBPF-technologie. Deze wijziging zorgt voor betere prestaties, minder resourceverbruik en algehele verbeterde stabiliteit. eBPF-ondersteuning is beschikbaar sinds augustus 2023 en is volledig geïntegreerd in alle updates van Defender for Endpoint op Linux (versie 101.23082.0006
en hoger). We raden u ten zeerste aan om de eBPF-build te gebruiken, omdat deze aanzienlijke verbeteringen biedt ten opzichte van Auditd. Als eBPF niet wordt ondersteund op uw machines of als er specifieke vereisten zijn om gecontroleerd te blijven, hebt u de volgende opties:
Blijf Defender voor Eindpunt gebruiken op Linux-build
101.24072.0000
met Auditd. Deze build wordt nog enkele maanden ondersteund, dus u hebt tijd om uw migratie naar eBPF te plannen en uit te voeren.Als u versies gebruikt die hoger zijn dan
101.24072.0000
, is Defender voor Eindpunt in Linux afhankelijk vannetlink
als een aanvullende back-up-gebeurtenisprovider. In het geval van een terugval blijven alle procesbewerkingen naadloos verlopen.
Controleer uw huidige Implementatie van Defender voor Eindpunt op Linux en begin met het plannen van uw migratie naar de door eBPF ondersteunde build. Zie Op eBPF gebaseerde sensor gebruiken voor Microsoft Defender voor Eindpunt op Linux voor meer informatie over eBPF en hoe het werkt.
Als u zich zorgen maakt of hulp nodig hebt tijdens deze overgang, neemt u contact op met de ondersteuning.
Oct-2024 (build: 101.24082.0004 | Releaseversie: 30.124082.0004.0)
September-2024 Build: 101.24082.0004 | Releaseversie: 30.124082.0004.0
Uitgebracht: 15 oktober 2024
Gepubliceerd: 15 oktober 2024
Build: 101.24082.0004
Releaseversie: 30.124082.0004
Engineversie: 1.1.24080.9
Handtekeningversie: 1.417.659.0
Wat is er nieuw
- Vanaf deze versie wordt Defender voor Eindpunt op Linux niet meer ondersteund
AuditD
als een aanvullende gebeurtenisprovider. Voor verbeterde stabiliteit en prestaties zijn we volledig overgestapt op eBPF. Als u eBPF uitschakelt of als eBPF niet wordt ondersteund op een specifieke kernel, schakelt Defender voor Eindpunt op Linux automatisch terug naar Netlink als een aanvullende gebeurtenisprovider voor terugval. Netlink biedt verminderde functionaliteit en houdt alleen procesgerelateerde gebeurtenissen bij. In dit geval blijven alle procesbewerkingen naadloos verlopen, maar u kunt specifieke bestands- en socketgerelateerde gebeurtenissen missen die anders met eBPF zouden worden vastgelegd. Zie Op eBPF gebaseerde sensor gebruiken voor Microsoft Defender voor Eindpunt in Linux voor meer informatie. Als u zich zorgen maakt of hulp nodig hebt tijdens deze overgang, neemt u contact op met de ondersteuning. - Stabiliteits- en prestatieverbeteringen
- Andere oplossingen voor fouten
September-2024 (build: 101.24072.0001 | Releaseversie: 30.124072.0001.0)
September-2024 Build: 101.24072.0001 | Releaseversie: 30.124072.0001.0
Uitgebracht: 23 september 2024
Gepubliceerd: 23 september 2024
Build: 101.24072.0001
Releaseversie: 30.124072.0001.0
Engineversie: 1.1.24060.6
Handtekeningversie: 1.415.228.0
Wat is er nieuw
- Ondersteuning toegevoegd voor Ubuntu 24.04
- De standaardversie van de engine is bijgewerkt naar
1.1.24060.6
en de standaardversie van handtekeningen naar1.415.228.0
.
Juli-2024 (build: 101.24062.0001 | Releaseversie: 30.124062.0001.0)
Build juli-2024: 101.24062.0001 | Releaseversie: 30.124062.0001.0
Uitgebracht: 31 juli 2024
Gepubliceerd: 31 juli 2024
Build: 101.24062.0001
Releaseversie: 30.124062.0001.0
Engineversie: 1.1.24050.7
Handtekeningversie: 1.411.410.0
Wat is er nieuw
Deze release bevat meerdere oplossingen en nieuwe wijzigingen.
- Hiermee wordt een fout opgelost waarbij geïnfecteerde opdrachtregelbedreigingsinformatie niet correct werd weergegeven in de beveiligingsportal.
- Hiermee wordt een fout opgelost waarbij voor het uitschakelen van een preview-functie een Defender of Endpoint nodig was om deze uit te schakelen.
- De functie Globale uitsluitingen met beheerde JSON is nu beschikbaar in openbare preview. beschikbaar in insiders traag vanaf 101.23092.0012. Zie linux-uitsluitingen voor meer informatie.
- De standaardversie van de Linux-engine is bijgewerkt naar 1.1.24050.7 en standaard sigs-versie naar 1.411.410.0.
- Stabiliteits- en prestatieverbeteringen.
- Andere oplossingen voor fouten.
Juni-2024 (build: 101.24052.0002 | Releaseversie: 30.124052.0002.0)
Build juni-2024: 101.24052.0002 | Releaseversie: 30.124052.0002.0
Uitgebracht: 24 juni 2024
Gepubliceerd: 24 juni 2024
Build: 101.24052.0002
Releaseversie: 30.124052.0002.0
Engineversie: 1.1.24040.2
Handtekeningversie: 1.411.153.0
Wat is er nieuw
Deze release bevat meerdere oplossingen en nieuwe wijzigingen.
- In deze release wordt een fout opgelost met betrekking tot een hoog geheugengebruik dat uiteindelijk leidt tot een hoog CPU-gebruik als gevolg van een eBPF-geheugenlek in de kernelruimte, waardoor servers onbruikbaar worden. Dit was alleen van invloed op de kernelversies 3.10x en <= 4.16x, vooral op RHEL/CentOS-distributies. Werk bij naar de meest recente versie van MDE om eventuele gevolgen te voorkomen.
- We hebben nu de uitvoer van
mdatp health --detail features
- Stabiliteits- en prestatieverbeteringen.
- Andere oplossingen voor fouten.
Mei-2024 (build: 101.24042.0002 | Releaseversie: 30.124042.0002.0)
Build van mei-2024: 101.24042.0002 | Releaseversie: 30.124042.0002.0
Uitgebracht: 29 mei 2024
Gepubliceerd: 29 mei 2024
Build: 101.24042.0002
Releaseversie: 30.124042.0002.0
Engineversie: 1.1.24030.4
Handtekeningversie: 1.407.521.0
Wat is er nieuw
Deze release bevat meerdere correcties en nieuwe wijzigingen:
- In versie 24032.0007 was er een bekend probleem waarbij de inschrijving van apparaten voor MDE Beveiligingsbeheer mislukte bij het gebruik van het mechanisme 'Apparaatlabels' via het mdatp_managed.json-bestand. Dit probleem is opgelost in de huidige release.
- Stabiliteits- en prestatieverbeteringen.
- Andere oplossingen voor fouten.
Mei-2024 (build: 101.24032.0007 | Releaseversie: 30.124032.0007.0)
Build van mei-2024: 101.24032.0007 | Releaseversie: 30.124032.0007.0
Uitgebracht: 15 mei 2024
Gepubliceerd: 15 mei 2024
Build: 101.24032.0007
Releaseversie: 30.124032.0007.0
Engineversie: 1.1.24020.3
Handtekeningversie: 1.403.3500.0
Wat is er nieuw
Deze release bevat meerdere correcties en nieuwe wijzigingen:
In passieve en on-demand modi blijft de antivirus-engine inactief en wordt deze alleen gebruikt tijdens geplande aangepaste scans. Daarom hebben we als onderdeel van prestatieverbeteringen wijzigingen aangebracht om de AV-engine in passieve en on-demand modus te houden, behalve tijdens geplande aangepaste scans. Als de realtime-beveiliging is ingeschakeld, is de antivirus-engine altijd actief. Dit heeft geen invloed op de beveiliging van uw server in een modus.
Om gebruikers op de hoogte te houden van de status van de antivirus-engine, hebben we een nieuw veld met de naam 'engine_load_status' geïntroduceerd als onderdeel van de MDATP-status. Het geeft aan of de antivirus-engine momenteel wordt uitgevoerd of niet.
Field name
engine_load_status
Mogelijke waarden Motor niet geladen (AV-engineproces is uitgeschakeld), motorbelasting geslaagd (AV-engineproces actief) Scenario's in goede staat:
- Als RTP is ingeschakeld, moet engine_load_status 'Engine load succeeded' zijn
- Als MDE zich in de modus on-demand of passieve modus bevindt en de aangepaste scan niet wordt uitgevoerd, moet 'engine_load_status' 'Engine niet geladen' zijn
- Als MDE zich in de modus on-demand of passieve modus bevindt en er een aangepaste scan wordt uitgevoerd, moet 'engine_load_status' 'Engine load succeeded' zijn
Opgeloste fout om gedragsdetecties te verbeteren.
Stabiliteits- en prestatieverbeteringen.
Andere oplossingen voor fouten.
Bekende problemen
Er is een bekend probleem waarbij het inschrijven van apparaten voor MDE Beveiligingsbeheer via het mechanisme Apparaatlabels met behulp van mdatp_managed.json mislukt in 24032.0007. Gebruik de volgende mdatp CLI-opdracht om apparaten te taggen om dit probleem te verhelpen:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Het probleem is opgelost in build: 101.24042.0002
Maart-2024 (build: 101.24022.0001 | Releaseversie: 30.124022.0001.0)
Build maart-2024: 101.24022.0001 | Releaseversie: 30.124022.0001.0
Uitgebracht: 22 maart 2024
Gepubliceerd: 22 maart 2024
Build: 101.24022.0001
Releaseversie: 30.124022.0001.0
Engineversie: 1.1.23110.4
Handtekeningversie: 1.403.87.0
Wat is er nieuw
Deze release bevat meerdere correcties en nieuwe wijzigingen:
- De toevoeging van een nieuw logboekbestand -
microsoft_defender_scan_skip.log
. Hiermee worden de bestandsnamen geregistreerd die zijn overgeslagen uit verschillende antivirusscans door Microsoft Defender voor Eindpunt om welke reden dan ook. - Stabiliteits- en prestatieverbeteringen.
- Insectenmoeilijke.
Maart-2024 (build: 101.24012.0001 | Releaseversie: 30.124012.0001.0)
Build maart-2024: 101.24012.0001 | Releaseversie: 30.124012.0001.0
Uitgebracht: 12 maart 2024
Gepubliceerd: 12 maart 2024
Build: 101.24012.0001
Releaseversie: 30.124012.0001.0
Engineversie: 1.1.23110.4
Handtekeningversie: 1.403.87.0
Wat is er nieuw? Deze release bevat meerdere correcties en nieuwe wijzigingen:
- De standaardversie van de engine is bijgewerkt naar
1.1.23110.4
en de standaardversie van handtekeningen naar1.403.87.0
. - Stabiliteits- en prestatieverbeteringen.
- Insectenmoeilijke.
Februari-2024 (build: 101.23122.0002 | Releaseversie: 30.123122.0002.0)
Build februari-2024: 101.23122.0002 | Releaseversie: 30.123122.0002.0
Uitgebracht: 5 februari 2024
Gepubliceerd: 5 februari 2024
Build: 101.23122.0002
Releaseversie: 30.123122.0002.0
Engineversie: 1.1.23100.2010
Handtekeningversie: 1.399.1389.0
Wat is er nieuw? Deze release bevat meerdere correcties en nieuwe wijzigingen:
De standaardversie van de engine is bijgewerkt naar
1.1.23100.2010
en de standaardversie van handtekeningen naar1.399.1389.0
.Algemene stabiliteit en prestatieverbeteringen.
Insectenmoeilijke.
Microsoft Defender voor Eindpunt op Linux ondersteunt nu officieel de volgende distributies en versies:
Distributieversie & Ring Pak Mariner 2 Productie https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 en hoger Insiders traag https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 en hoger Insiders traag https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 en hoger Insiders traag https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 en hoger Insiders traag https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Als Defender voor Eindpunt al wordt uitgevoerd op een van deze distributies en problemen ondervindt in de oudere versies, voert u een upgrade uit naar de meest recente versie van Defender voor Eindpunt vanuit de bijbehorende ring die hierboven wordt vermeld. Raadpleeg onze openbare implementatiedocumenten voor meer informatie.
Opmerking
Bekende problemen:
Microsoft Defender voor Eindpunt voor Linux op Rocky en Alma heeft momenteel de volgende bekende problemen:
- Live Response en Threat Vulnerability Management worden momenteel niet ondersteund (er wordt gewerkt).
- Besturingssysteemgegevens voor apparaten zijn niet zichtbaar in de Microsoft Defender portal
Januari-2024 (build: 101.23112.0009 | Releaseversie: 30.123112.0009.0)
Build januari-2024: 101.23112.0009 | Releaseversie: 30.123112.0009.0
Uitgebracht: 29 januari 2024
Gepubliceerd: 29 januari 2024
Build: 101.23112.0009
Releaseversie: 30.123112.0009.0
Engineversie: 1.1.23100.2010
Handtekeningversie: 1.399.1389.0
Wat is er nieuw
- De standaardversie van de engine is bijgewerkt naar
1.1.23110.4
en de standaardversie van handtekeningen naar1.403.1579.0
. - Algemene stabiliteit en prestatieverbeteringen.
- Opgeloste fout voor de configuratie van gedragscontrole.
- Insectenmoeilijke.
November-2023 (build: 101.23102.0003 | Releaseversie: 30.123102.0003.0)
Build november-2023: 101.23102.0003 | Releaseversie: 30.123102.0003.0
Uitgebracht: 28 november 2023
Gepubliceerd: 28 november 2023
Build: 101.23102.0003
Releaseversie: 30.123102.0003.0
Engineversie: 1.1.23090.2008
Handtekeningversie: 1.399.690.0
Wat is er nieuw
- De standaardversie van de engine is bijgewerkt naar
1.1.23090.2008
en de standaardversie van handtekeningen naar1.399.690.0
. - Libcurl-bibliotheek bijgewerkt naar versie
8.4.0
om onlangs onthulde beveiligingsproblemen met de oudere versie op te lossen. - Openssl-bibliotheek bijgewerkt naar versie
3.1.1
om onlangs openbaar gemaakte beveiligingsproblemen met de oudere versie op te lossen. - Algemene stabiliteit en prestatieverbeteringen.
- Insectenmoeilijke.
November-2023 (build: 101.23092.0012 | Releaseversie: 30.123092.0012.0)
Build november-2023: 101.23092.0012 | Releaseversie: 30.123092.0012.0
Uitgebracht: 14 november 2023
Gepubliceerd: 14 november 2023
Build: 101.23092.0012
Releaseversie: 30.123092.0012.0
Engineversie: 1.1.23080.2007
Handtekeningversie: 1.395.1560.0
Wat is er nieuw
Deze release bevat meerdere correcties en nieuwe wijzigingen:
- Ondersteuning toegevoegd voor het herstellen van bedreigingen op basis van het oorspronkelijke pad met behulp van de volgende opdracht:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Vanaf deze release wordt Microsoft Defender voor Eindpunt in Linux geen oplossing meer geleverd voor RHEL 6.
RHEL 6 'Extended end of life support' is klaar om te eindigen op 30 juni 2024 en klanten wordt geadviseerd om hun RHEL-upgrades dienovereenkomstig te plannen in overeenstemming met de richtlijnen van Red Hat. Klanten die Defender voor Eindpunt moeten uitvoeren op RHEL 6-servers, kunnen blijven gebruikmaken van versie 101.23082.0011 (verloopt niet vóór 30 juni 2024), ondersteund op kernelversies 2.6.32-754.49.1.el6.x86_64 of eerder.
- Engine bijwerken naar
1.1.23080.2007
en handtekeningen Ver:1.395.1560.0
. - Gestroomlijnde connectiviteitservaring voor apparaten is nu beschikbaar in de openbare preview-modus. openbare blog
- Prestatieverbeteringen & opgeloste fouten.
- Engine bijwerken naar
Bekende problemen
- CPU-vergrendeling gezien op kernelversie 5.15.0-0.30.20 in ebpf-modus. Zie EBPF-sensor gebruiken voor Microsoft Defender voor Eindpunt op Linux voor meer informatie en opties voor risicobeperking.
November-2023 (build: 101.23082.0011 | Releaseversie: 30.123082.0011.0)
Build november-2023: 101.23082.0011 | Releaseversie: 30.123082.0011.0
Uitgebracht: 1 november 2023
Gepubliceerd: 1 november 2023
Build: 101.23082.0011
Releaseversie: 30.123082.0011.0
Engineversie: 1.1.23070.1002
Handtekeningversie: 1.393.1305.0
Wat is er nieuw? Deze nieuwe release is gebouwd vanaf de release van oktober 2023 ('101.23082.0009') met toevoeging van de volgende wijzigingen. Er is geen wijziging voor andere klanten en upgraden is optioneel.
Oplossing voor onveranderbare modus van gecontroleerd wanneer het aanvullende subsysteem ebpf is: in de ebpf-modus moeten alle mdatp-controleregels worden opgeschoond na het overschakelen naar ebpf en opnieuw opstarten. Na het opnieuw opstarten zijn mdatp-controleregels niet opgeschoond, waardoor de server vastliep. De oplossing schoont deze regels op. De gebruiker zou geen mdatp-regels moeten zien die zijn geladen bij het opnieuw opstarten
Oplossing voor MDE niet opstarten op RHEL 6.
Bekende problemen
Wanneer u een upgrade uitvoert van mdatp versie 101.75.43 of 101.78.13, kan de kernel vastlopen. Voer de volgende opdrachten uit voordat u een upgrade uitvoert naar versie 101.98.05. Meer informatie over het onderliggende probleem vindt u in Systeem vastlopen vanwege geblokkeerde taken in fanotify-code.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 (build: 101.23082.0009 | Releaseversie: 30.123082.0009.0)
Build oktober-2023: 101.23082.0009 | Releaseversie: 30.123082.0009.0
Uitgebracht: 9 oktober 2023
Gepubliceerd: 9 oktober 2023
Build: 101.23082.0009
Releaseversie: 30.123082.0009.0
Engineversie: 1.1.23070.1002
Handtekeningversie: 1.393.1305.0
Wat is er nieuw
- Deze nieuwe release is gebouwd vanaf de release van oktober 2023 ('101.23082.0009') met toevoeging van nieuwe CA-certificaten. Er is geen wijziging voor andere klanten en upgraden is optioneel.
Bekende problemen
Wanneer u een upgrade uitvoert van mdatp versie 101.75.43 of 101.78.13, kan de kernel vastlopen. Voer de volgende opdrachten uit voordat u een upgrade uitvoert naar versie 101.98.05. Meer informatie over het onderliggende probleem vindt u in Systeem vastlopen vanwege geblokkeerde taken in fanotify-code.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 (build: 101.23082.0006 | Releaseversie: 30.123082.0006.0)
Build oktober-2023: 101.23082.0006 | Releaseversie: 30.123082.0006.0
Uitgebracht: 9 oktober 2023
Gepubliceerd: 9 oktober 2023
Build: 101.23082.0006
Releaseversie: 30.123082.0006.0
Engineversie: 1.1.23070.1002
Handtekeningversie: 1.393.1305.0
Wat is er nieuw
Functie-updates en nieuwe wijzigingen
- eBPF-sensor is nu de standaard aanvullende gebeurtenisprovider voor eindpunten
- Microsoft Intune functie tenantkoppeling is in openbare preview (vanaf half juli)
- U moet *.dm.microsoft.com toevoegen aan firewalluitsluitingen om de functie correct te laten werken
- Defender voor Eindpunt is nu beschikbaar voor Debian 12 en Amazon Linux 2023
- Ondersteuning voor het inschakelen van handtekeningverificatie van gedownloade updates
Houd er rekening mee dat u de manajed.json moet bijwerken, zoals hieronder wordt weergegeven
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Vereiste voor het inschakelen van de functie
- De engineversie op het apparaat moet '1.1.23080.007' of hoger zijn. Controleer de versie van uw engine met behulp van de volgende opdracht.
mdatp health --field engine_version
- De engineversie op het apparaat moet '1.1.23080.007' of hoger zijn. Controleer de versie van uw engine met behulp van de volgende opdracht.
- Optie voor ondersteuning van bewaking van NFS- en FUSE-koppelpunten. Deze worden standaard genegeerd. In het volgende voorbeeld ziet u hoe u het hele bestandssysteem bewaakt terwijl alleen NFS wordt genegeerd:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Voorbeeld van het bewaken van alle bestandssystemen, inclusief NFS en FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- Andere prestatieverbeteringen
- Insectenmoeilijke
Bekende problemen
- Wanneer u een upgrade uitvoert van mdatp versie 101.75.43 of 101.78.13, kan de kernel vastlopen. Voer de volgende opdrachten uit voordat u een upgrade uitvoert naar versie 101.98.05. Meer informatie over het onderliggende probleem vindt u in Systeem vastlopen vanwege geblokkeerde taken in fanotify-code. Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
September-2023 (build: 101.23072.0021 | Releaseversie: 30.123072.0021.0)
Build september-2023: 101.23072.0021 | Releaseversie: 30.123072.0021.0
Uitgebracht: 11 september 2023
Gepubliceerd: 11 september 2023
Build: 101.23072.0021
Releaseversie: 30.123072.0021.0
Engineversie: 1.1.20100.7
Handtekeningversie: 1.385.1648.0
Wat is er nieuw
- Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- In mde_installer.sh v0.6.3 kunnen gebruikers het
--channel
argument gebruiken om het kanaal van de geconfigureerde opslagplaats op te geven tijdens het opschonen. Bijvoorbeeldsudo ./mde_installer --clean --channel prod
- De netwerkextensie kan nu opnieuw worden ingesteld door beheerders met behulp van
mdatp network-protection reset
. - Andere prestatieverbeteringen
- Insectenmoeilijke
- In mde_installer.sh v0.6.3 kunnen gebruikers het
Bekende problemen
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 (build: 101.23062.0010 | Releaseversie: 30.123062.0010.0)
Build juli-2023: 101.23062.0010 | Releaseversie: 30.123062.0010.0
Uitgebracht: 26 juli 2023
Gepubliceerd: 26 juli 2023
Build: 101.23062.0010
Releaseversie: 30.123062.0010.0
Engineversie: 1.1.20100.7
Handtekeningversie: 1.385.1648.0
Wat is er nieuw
Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- Als een proxy is ingesteld voor Defender voor Eindpunt, is deze zichtbaar in de uitvoer van de
mdatp health
opdracht - Met deze release hebben we twee opties geboden in mdatp diagnostic hot-event-sources:
- Bestanden
- Uitvoerbare bestanden
- Netwerkbeveiliging: Connections die worden geblokkeerd door Netwerkbeveiliging en het blok laten overschrijven door gebruikers, worden nu correct gerapporteerd aan Microsoft Defender XDR
- Verbeterde logboekregistratie in netwerkbeveiligingsblok en controlegebeurtenissen voor foutopsporing
- Als een proxy is ingesteld voor Defender voor Eindpunt, is deze zichtbaar in de uitvoer van de
Andere oplossingen en verbeteringen
- Vanaf deze versie bevindt enforcementLevel zich standaard in de passieve modus, zodat beheerders meer controle hebben over waar ze 'RTP' willen in hun estate
- Deze wijziging is alleen van toepassing op nieuwe MDE-implementaties, bijvoorbeeld servers waarop Defender voor Eindpunt voor het eerst wordt geïmplementeerd. In updatescenario's blijven servers waarop Defender voor Eindpunt is geïmplementeerd met RTP ON, zelfs na de update naar versie 101.23062.0010 verder met RTP ON
Insectenmoeilijke
- Probleem met rpm-databasebeschadiging in Defender Vulnerability Management basislijn is opgelost
Andere prestatieverbeteringen
Bekende problemen
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 (build: 101.23052.0009 | Releaseversie: 30.123052.0009.0)
Build juli-2023: 101.23052.0009 | Releaseversie: 30.123052.0009.0
Uitgebracht: 10 juli 2023
Gepubliceerd: 10 juli 2023
Build: 101.23052.0009
Releaseversie: 30.123052.0009.0
Engineversie: 1.1.20100.7
Handtekeningversie: 1.385.1648.0
Wat is er nieuw
- Er zijn meerdere correcties en nieuwe wijzigingen in deze release: het buildversieschema wordt bijgewerkt vanaf deze release. Hoewel het primaire versienummer hetzelfde blijft als 101, heeft het secundaire versienummer nu vijf cijfers, gevolgd door een patchnummer met vier cijfers,
101.xxxxx.yyy
namelijk: verbeterd geheugenverbruik van netwerkbeveiliging onder stress- De engineversie bijgewerkt naar
1.1.20300.5
en de handtekeningversie naar1.391.2837.0
. - Insectenmoeilijke.
- De engineversie bijgewerkt naar
Bekende problemen
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juni-2023 (build: 101.98.89 | Releaseversie: 30.123042.19889.0)
Build juni-2023: 101.98.89 | Releaseversie: 30.123042.19889.0
Uitgebracht: 12 juni 2023
Gepubliceerd: 12 juni 2023
Build: 101.98.89
Releaseversie: 30.123042.19889.0
Engineversie: 1.1.20100.7
Handtekeningversie: 1.385.1648.0
Wat is er nieuw
- Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- Verbeterde verwerking van netwerkbeveiligingsproxy.
- In de passieve modus scant Defender voor Eindpunt niet meer wanneer de definitie wordt bijgewerkt.
- Apparaten blijven beveiligd, zelfs nadat de Defender for Endpoint-agent is verlopen. We raden u aan de Defender voor Endpoint Linux-agent te upgraden naar de nieuwste beschikbare versie om oplossingen voor fouten, functies en prestatieverbeteringen te ontvangen.
- Afhankelijkheid van semanage-pakket is verwijderd.
- Engine bijwerken naar
1.1.20100.7
en handtekeningen Ver:1.385.1648.0
. - Insectenmoeilijke.
Bekende problemen
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Mei-2023 (build: 101.98.64 | Releaseversie: 30.123032.19864.0)
Build mei-2023: 101.98.64 | Releaseversie: 30.123032.19864.0
Uitgebracht: 3 mei 2023
Gepubliceerd: 3 mei 2023
Build: 101.98.64
Releaseversie: 30.123032.19864.0
Engineversie: 1.1.20100.6
Handtekeningversie: 1.385.68.0
Wat is er nieuw
- Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- Verbeteringen in statusberichten om details over gecontroleerde fouten vast te leggen.
- Verbeteringen voor het verwerken van augenrules, waardoor de installatie is mislukt.
- Periodieke geheugenopruiming in engineproces.
- Oplossing voor geheugenprobleem in mdatp audisp-invoegtoepassing.
- Het pad naar de map van de invoegtoepassing is tijdens de installatie verwerkt.
- Wanneer een conflicterende toepassing gebruikmaakt van blokkerende fanotify, wordt de Mdatp-standaardconfiguratiestatus beschadigd. Dit is nu opgelost.
- Ondersteuning voor ICMP-verkeersinspectie in BM.
- Engine bijwerken naar
1.1.20100.6
en handtekeningen Ver:1.385.68.0
. - Insectenmoeilijke.
Bekende problemen
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Let op: sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
April-2023 (build: 101.98.58 | Releaseversie: 30.123022.19858.0)
Build april-2023: 101.98.58 | Releaseversie: 30.123022.19858.0
Uitgebracht: 20 april 2023
Gepubliceerd: 20 april 2023
Build: 101.98.58
Releaseversie: 30.123022.19858.0
Engineversie: 1.1.20000.2
Handtekeningversie: 1.381.3067.0
Wat is er nieuw
- Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- Verbeteringen in logboekregistratie en foutrapportage voor gecontroleerde gebruikers.
- Fout bij het opnieuw laden van gecontroleerde configuratie afhandelen.
- Verwerking van lege gecontroleerde regelbestanden tijdens MDE installatie.
- Engine bijwerken naar
1.1.20000.2
en handtekeningen Ver:1.381.3067.0
. - Een statusprobleem in mdatp opgelost dat optreedt als gevolg van selinux-weigeringen.
- Insectenmoeilijke.
Bekende problemen
- Tijdens het upgraden van mdatp naar versie
101.94.13
of hoger, ziet u mogelijk dat de status onwaar is, met health_issues als 'geen actieve aanvullende gebeurtenisprovider'. Dit kan gebeuren als gevolg van onjuist geconfigureerde/conflicterende gecontroleerde regels op bestaande computers. Om het probleem te verhelpen, moeten de gecontroleerde regels op de bestaande machines worden opgelost. De volgende opdrachten kunnen u helpen dergelijke gecontroleerde regels te identificeren (opdrachten moeten worden uitgevoerd als supergebruiker). Maak een back-up van het volgende bestand: /etc/audit/rules.d/audit.rules, omdat deze stappen alleen bedoeld zijn om fouten te identificeren.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Er zijn twee manieren om dit upgradeprobleem te verhelpen:
- Gebruik uw pakketbeheer om de
101.75.43
of101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
- Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u een upgrade uitvoert. Let op: sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Maart-2023 (build: 101.98.30 | Releaseversie: 30.123012.19830.0)
Build van maart 2023: 101.98.30 | Releaseversie: 30.123012.19830.0
Uitgebracht: 20 maart 2023
Gepubliceerd: 20 maart 2023
Build: 101.98.30
Releaseversie: 30.123012.19830.0
Engineversie: 1.1.19900.2
Handtekeningversie: 1.379.1299.0
Wat is er nieuw
- Deze nieuwe release is gebouwd over de release van maart 2023 ('101.98.05') met een oplossing voor opdrachten voor live-antwoorden die mislukken voor een van onze klanten. Er is geen wijziging voor andere klanten en de upgrade is optioneel.
Bekende problemen
- Met mdatp-versie 101.98.30 ziet u mogelijk een foutprobleem met de status in sommige gevallen, omdat SELinux-regels niet zijn gedefinieerd voor bepaalde scenario's. De statuswaarschuwing kan er ongeveer als volgt uitzien:
SELinux-weigeringen gevonden binnen de afgelopen dag. Als de MDATP onlangs is geïnstalleerd, wist u de bestaande auditlogboeken of wacht u een dag totdat dit probleem automatisch is opgelost. Gebruik opdracht: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "geweigerd" om details te vinden
Het probleem kan worden verholpen door de volgende opdrachten uit te voeren.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Hier vertegenwoordigt my-mdatpaudisppl_v1 de naam van de beleidsmodule. Nadat u de opdrachten hebt uitgevoerd, wacht u 24 uur of wist/archiveert u de auditlogboeken. De auditlogboeken kunnen worden gearchiveerd door de volgende opdracht uit te voeren
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Voor het geval het probleem opnieuw optreedt met een aantal verschillende weigeringen. We moeten de beperking opnieuw uitvoeren met een andere modulenaam (bijvoorbeeld mijn-mdatpaudisppl_v2).
Maart-2023 (build: 101.98.05 | Releaseversie: 30.123012.19805.0)
Maart-2023 (build: 101.98.05 | Releaseversie: 30.123012.19805.0)
Uitgebracht: maart , 08,2023
Gepubliceerd: 8 maart 2023
Build: 101.98.05
Releaseversie: 30.123012.19805.0
Engineversie: 1.1.19900.2
Handtekeningversie: 1.379.1299.0
Wat is er nieuw
Deze release bevat meerdere oplossingen en nieuwe wijzigingen.
- Verbeterde volledigheid van gegevens voor netwerkverbindingsevenementen
- Verbeterde mogelijkheden voor het verzamelen van gegevens voor wijzigingen in bestandseigendom/machtigingen
- seManage in een deel van het pakket, aan dat seLinux-beleid kan worden geconfigureerd in verschillende distributie (opgelost).
- Verbeterde stabiliteit van enterprise-daemon
- AuditD stoppad opschonen
- Verbeterde stabiliteit van mdatp-stopstroom.
- Nieuw veld toegevoegd aan wdavstate om de tijd van het bijwerken van het platform bij te houden.
- Stabiliteitsverbeteringen voor het parseren van de onboarding-blob van Defender voor Eindpunt.
- De scan wordt niet uitgevoerd als er geen geldige licentie aanwezig is (opgelost)
- De optie prestatietracering toegevoegd aan xPlatClientAnalyzer, met tracering ingeschakeld mdatp-proces dumpt de stroom in all_process.zip bestand dat kan worden gebruikt voor het analyseren van prestatieproblemen.
- Ondersteuning toegevoegd in Defender voor Eindpunt voor de volgende RHEL-6-kernelversies:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- Andere oplossingen
Bekende problemen
- Tijdens het upgraden van mdatp naar versie 101.94.13 ziet u mogelijk dat de status onwaar is, met health_issues als 'geen actieve aanvullende gebeurtenisprovider'. Dit kan gebeuren als gevolg van onjuist geconfigureerde/conflicterende gecontroleerde regels op bestaande computers. Om het probleem te verhelpen, moeten de gecontroleerde regels op de bestaande machines worden opgelost. De volgende stappen kunnen u helpen bij het identificeren van dergelijke gecontroleerde regels (deze opdrachten moeten worden uitgevoerd als supergebruiker). Zorg ervoor dat u een back-up maakt van het volgende bestand: '/etc/audit/rules.d/audit.rules'' omdat deze stappen alleen zijn bedoeld om fouten te identificeren.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.98.05
. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie
Er zijn twee manieren om het probleem bij het upgraden te verhelpen.
Gebruik uw pakketbeheer om de 101.75.43
of 101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
Als alternatief kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u de upgrade uitvoert. Let op: sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 (build: 101.94.13 | Releaseversie: 30.122112.19413.0)
Jan-2023 (build: 101.94.13 | Releaseversie: 30.122112.19413.0)
Uitgebracht: 10 januari 2023
Gepubliceerd: 10 januari 2023
Build: 101.94.13
Releaseversie: 30.122112.19413.0
Engineversie: 1.1.19700.3
Handtekeningversie: 1.377.550.0
Wat is er nieuw
- Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- Sla standaard quarantaine van bedreigingen in passieve modus over.
- De nieuwe configuratie, nonExecMountPolicy, kan nu worden gebruikt om het gedrag van RTP op te geven op het koppelpunt dat is gemarkeerd als noexec.
- Nieuwe configuratie, unmonitoredFilesystems, kan worden gebruikt om de controle van bepaalde bestandssystemen op te heffen.
- Verbeterde prestaties bij testscenario's met hoge belasting en snelheidstests.
- Hiermee wordt een probleem opgelost met toegang tot SMB-shares achter Cisco AnyConnect VPN-verbindingen.
- Hiermee wordt een probleem met netwerkbeveiliging en SMB opgelost.
- Ondersteuning voor prestatietracering.
- Verbeteringen van TVM, eBPF, auditd, telemetrie en mdatp cli.
- mdatp-status rapporteert nu behavior_monitoring
- Andere oplossingen.
Bekende problemen
- Tijdens het upgraden van mdatp naar versie
101.94.13
ziet u mogelijk dat de status onwaar is, met health_issues als 'geen actieve aanvullende gebeurtenisprovider'. Dit kan gebeuren als gevolg van onjuist geconfigureerde/conflicterende gecontroleerde regels op bestaande computers. Om het probleem te verhelpen, moeten de gecontroleerde regels op de bestaande machines worden opgelost. De volgende stappen kunnen u helpen bij het identificeren van dergelijke gecontroleerde regels (deze opdrachten moeten worden uitgevoerd als supergebruiker). Maak een back-up van het volgende bestand:/etc/audit/rules.d/audit.rules
deze stappen zijn alleen om fouten te identificeren.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u een upgrade uitvoert naar versie 101.94.13. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie
Er zijn twee manieren om het probleem bij het upgraden te verhelpen.
Gebruik uw pakketbeheer om de 101.75.43
of 101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
Als alternatief voor het bovenstaande kunt u de instructies voor het verwijderen volgen en vervolgens de nieuwste versie van het pakket installeren .
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u de upgrade uitvoert. Let op: sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nov-2022 (build: 101.85.27 | Releaseversie: 30.122092.18527.0)
Nov-2022 (build: 101.85.27 | Releaseversie: 30.122092.18527.0)
Uitgebracht: 2 november 2022
Gepubliceerd: 2 november 2022
Build: 101.85.27
Releaseversie: 30.122092.18527.0
Engineversie: 1.1.19500.2
Handtekeningversie: 1.371.1369.0
Wat is er nieuw
- Er zijn meerdere oplossingen en nieuwe wijzigingen in deze release
- V2-engine is standaard in deze release en V1-enginebits worden verwijderd voor betere beveiliging.
- V2-engine ondersteunt configuratiepad voor AV-definities. (pad mdatp-definitieset)
- Afhankelijkheden van externe pakketten uit MDE-pakket zijn verwijderd. Verwijderde afhankelijkheden zijn libatomic1, libselinux, libseccomp, libfuse en libuuid
- Als de crashverzameling is uitgeschakeld door de configuratie, wordt het proces voor het bewaken van de crash niet gestart.
- Prestatiecorrecties om systeemevenementen optimaal te gebruiken voor AV-mogelijkheden.
- Stabiliteitsverbetering bij het opnieuw opstarten van mdatp- en laadproblemen met epsext.
- Andere oplossingen
Bekende problemen
- Tijdens het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u een upgrade uitvoert naar versie 101.85.21. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie
Er zijn twee manieren om het probleem bij het upgraden te verhelpen.
Gebruik uw pakketbeheer om de 101.75.43
of 101.78.13
mdatp-versie te verwijderen.
Voorbeeld:
sudo apt purge mdatp
sudo apt-get install mdatp
Als alternatief volgt u de instructies voor het verwijderen en installeert u vervolgens de nieuwste versie van het pakket.
Als u mdatp niet wilt verwijderen, kunt u rtp en mdatp in volgorde uitschakelen voordat u de upgrade uitvoert. Let op: sommige klanten (<1%) ondervinden problemen met deze methode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Sep-2022 (build: 101.80.97 | Releaseversie: 30.122072.18097.0)
Sep-2022 (build: 101.80.97 | Releaseversie: 30.122072.18097.0)
Uitgebracht: 14 september 2022
Gepubliceerd: 14 september 2022
Build: 101.80.97
Releaseversie: 30.122072.18097.0
Engineversie: 1.1.19300.3
Handtekeningversie: 1.369.395.0
Wat is er nieuw
- Corrigeert een kernel die is vastgelopen bij bepaalde klantworkloads met mdatp-versie
101.75.43
. Na RCA werd dit toegeschreven aan een racevoorwaarde tijdens het vrijgeven van het eigendom van een sensorbestandsdescriptor. De racevoorwaarde is zichtbaar vanwege een recente productwijziging in het afsluitpad. Klanten met nieuwere kernelversies (5.1+) worden niet beïnvloed door dit probleem. Zie Systeem vastlopen vanwege geblokkeerde taken in fanotify-code voor meer informatie.
Bekende problemen
- Bij het upgraden van mdatp-versie
101.75.43
of101.78.13
, kan er een kernel vastlopen. Voer de volgende opdrachten uit voordat u probeert te upgraden naar versie101.80.97
. Deze actie moet voorkomen dat het probleem optreedt.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nadat u de opdrachten hebt uitgevoerd, gebruikt u pakketbeheer om de upgrade uit te voeren.
Als alternatief volgt u de instructies voor het verwijderen en installeert u vervolgens de nieuwste versie van het pakket.
Aug-2022 (build: 101.78.13 | Releaseversie: 30.122072.17813.0)
Aug-2022 (build: 101.78.13 | Releaseversie: 30.122072.17813.0)
Uitgebracht: 24 augustus 2022
Gepubliceerd: 24 augustus 2022
Build: 101.78.13
Releaseversie: 30.122072.17813.0
Engineversie: 1.1.19300.3
Handtekeningversie: 1.369.395.0
Wat is er nieuw
- Teruggedraaid vanwege betrouwbaarheidsproblemen
Aug-2022 (build: 101.75.43 | Releaseversie: 30.122071.17543.0)
Aug-2022 (build: 101.75.43 | Releaseversie: 30.122071.17543.0)
Uitgebracht: 2 augustus 2022
Gepubliceerd: 2 augustus 2022
Build: 101.75.43
Releaseversie: 30.122071.17543.0
Engineversie: 1.1.19300.3
Handtekeningversie: 1.369.395.0
Wat is er nieuw
- Ondersteuning toegevoegd voor Red Hat Enterprise Linux versie 9.0
- Er is een nieuw veld toegevoegd in de uitvoer van
mdatp health
dat kan worden gebruikt om het afdwingingsniveau van de netwerkbeveiligingsfunctie op te vragen. Het nieuwe veld wordt aangeroepennetwork_protection_enforcement_level
en kan een van de volgende waarden aannemen:audit
,block
ofdisabled
. - Een productfout opgelost waarbij meerdere detecties van dezelfde inhoud konden leiden tot dubbele vermeldingen in de bedreigingsgeschiedenis
- Probleem opgelost waarbij een van de processen die door het product zijn voortgebracht (
mdatp_audisp_plugin
) soms niet correct werd beëindigd toen de service werd gestopt - Andere oplossingen voor fouten
Juli-2022 (build: 101.73.77 | Releaseversie: 30.122062.17377.0)
Juli-2022 (build: 101.73.77 | Releaseversie: 30.122062.17377.0)
Uitgebracht: 21 juli 2022
Gepubliceerd: 21 juli 2022
Build: 101.73.77
Releaseversie: 30.122062.17377.0
Engineversie: 1.1.19200.3
Handtekeningversie: 1.367.1011.0
Wat is er nieuw
- Er is een optie toegevoegd voor het configureren van bestands-hashberekeningen
- Vanaf deze build heeft het product standaard de nieuwe antimalware-engine
- Prestatieverbeteringen voor kopieerbewerkingen voor bestanden
- Insectenmoeilijke
Jun-2022 (build: 101.71.18 | Releaseversie: 30.122052.17118.0)
Uitgebracht: 24 juni 2022
Gepubliceerd: 24 juni 2022
Build: 101.71.18
Releaseversie: 30.122052.17118.0
Wat is er nieuw
- Oplossing voor ondersteuning van definitieopslag op niet-standaardlocaties (buiten /var) voor v2 definitie-updates
- Er is een probleem opgelost in de productsensor die wordt gebruikt op RHEL 6, waardoor het besturingssysteem vastloopt
-
mdatp connectivity test
is uitgebreid met een extra URL die het product nodig heeft om correct te kunnen werken. De nieuwe URL is https://go.microsoft.com/fwlink/?linkid=2144709. - Tot nu toe was het niveau van het productlogboek niet behouden tussen het opnieuw opstarten van het product. Vanaf deze versie is er een nieuwe schakeloptie voor opdrachtregelprogramma's die het logboekniveau blijft behouden. De nieuwe opdracht is
mdatp log level persist --level <level>
. - De afhankelijkheid
python
van het productinstallatiepakket is verwijderd - Prestatieverbeteringen voor kopieerbewerkingen voor bestanden en verwerking van netwerkevenementen die afkomstig zijn van
auditd
- Insectenmoeilijke
Mei-2022 (build: 101.68.80 | Releaseversie: 30.122042.16880.0)
Mei-2022 (build: 101.68.80 | Releaseversie: 30.122042.16880.0)
Uitgebracht: 23 mei 2022
Gepubliceerd: 23 mei 2022
Build: 101.68.80
Releaseversie: 30.122042.16880.0
Wat is er nieuw
- Ondersteuning toegevoegd voor kernelversie
2.6.32-754.47.1.el6.x86_64
bij uitvoering op RHEL 6 - Op RHEL 6 kan het product nu worden geïnstalleerd op apparaten met Unbreakable Enterprise Kernel (UEK)
- Er is een probleem opgelost waarbij de procesnaam soms onjuist werd weergegeven als
unknown
bij het uitvoerenmdatp diagnostic real-time-protection-statistics
- Er is een fout opgelost waarbij het product soms ten onrechte bestanden in de quarantainemap detecteerde
- Er is een probleem opgelost waarbij het
mdatp
opdrachtregelprogramma niet werkte toen/opt
het was gekoppeld als een soft-link - Prestatieverbeteringen & opgeloste fouten
Mei-2022 (build: 101.65.77 | Releaseversie: 30.122032.16577.0)
Mei-2022 (build: 101.65.77 | Releaseversie: 30.122032.16577.0)
Uitgebracht: 2 mei 2022
Gepubliceerd: 2 mei 2022
Build: 101.65.77
Releaseversie: 30.122032.16577.0
Wat is er nieuw
-
conflicting_applications
Het veld is verbeterd inmdatp health
om alleen de meest recente 10 processen weer te geven en ook om de procesnamen op te nemen. Hierdoor kunt u gemakkelijker bepalen welke processen mogelijk conflicteren met Microsoft Defender voor Eindpunt voor Linux. - Bugfixes
Mar-2022 (build: 101.62.74 | Releaseversie: 30.122022.16274.0)
Uitgebracht: 24 maart 2022
Gepubliceerd: 24 maart 2022
Build: 101.62.74
Releaseversie: 30.122022.16274.0
Wat is er nieuw
- Probleem opgelost waarbij het product ten onrechte de toegang blokkeert tot bestanden die groter zijn dan 2 GB bij uitvoering op oudere kernelversies
- Bugfixes
Mar-2022 (build: 101.60.93 | Releaseversie: 30.122012.16093.0)
Mar-2022 (build: 101.60.93 | Releaseversie: 30.122012.16093.0)
Uitgebracht: 9 maart 2022
Gepubliceerd: 9 maart 2022
Build: 101.60.93
Releaseversie: 30.122012.16093.0
Wat is er nieuw
- Deze versie bevat een beveiligingsupdate voor CVE-2022-23278
Mar-2022 (build: 101.60.05 | Releaseversie: 30.122012.16005.0)
Uitgebracht: 3 maart 2022
Gepubliceerd: 3 maart 2022
Build: 101.60.05
Releaseversie: 30.122012.16005.0
Wat is er nieuw
- Ondersteuning toegevoegd voor kernelversie 2.6.32-754.43.1.el6.x86_64 voor RHEL 6.10
- Bugfixes
Februari 2022 (build: 101.58.80 | Releaseversie: 30.122012.15880.0)
Februari 2022 (build: 101.58.80 | Releaseversie: 30.122012.15880.0)
Uitgebracht: 20 februari 2022
Gepubliceerd: 20 februari 2022
Build: 101.58.80
Releaseversie: 30.122012.15880.0
Wat is er nieuw
- Het opdrachtregelprogramma ondersteunt nu het herstellen van in quarantaine geplaatste bestanden naar een andere locatie dan de locatie waar het bestand oorspronkelijk is gedetecteerd. Dit kan worden gedaan via
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
. - Vanaf deze versie kan netwerkbeveiliging voor Linux op aanvraag worden geëvalueerd
- Bugfixes
Jan-2022 (build: 101.56.62 | Releaseversie: 30.121122.15662.0)
Jan-2022 (build: 101.56.62 | Releaseversie: 30.121122.15662.0)
Uitgebracht: 26 januari 2022
Gepubliceerd: 26 januari 2022
Build: 101.56.62
Releaseversie: 30.121122.15662.0
Wat is er nieuw
- Er is een productcrash opgelost die werd geïntroduceerd in 101.53.02 en dat meerdere klanten heeft beïnvloed
Jan-2022 (build: 101.53.02 | Releaseversie: (30.121112.15302.0)
Uitgebracht: 8 januari 2022
Gepubliceerd: 8 januari 2022
Build: 101.53.02
Releaseversie: 30.121112.15302.0
Wat is er nieuw
- Prestatieverbeteringen & opgeloste fouten
van 2021
(Build: 101.52.57 | Releaseversie: 30.121092.15257.0)
Build: 101.52.57
Releaseversie: 30.121092.15257.0
Wat is er nieuw?
Er is een mogelijkheid toegevoegd om kwetsbare log4j-jars te detecteren die worden gebruikt door Java-toepassingen. De machine wordt periodiek geïnspecteerd voor het uitvoeren van Java-processen met geladen log4j-jars. De informatie wordt gerapporteerd aan de Microsoft Defender voor Eindpunt back-end en wordt weergegeven in het gebied Beheer van beveiligingsproblemen van de portal.
(Build: 101.47.76 | Releaseversie: 30.121092.14776.0)
Build: 101.47.76
Releaseversie: 30.121092.14776.0
Wat is er nieuw
Er is een nieuwe schakeloptie toegevoegd aan het opdrachtregelprogramma om te bepalen of archieven worden gescand tijdens scans op aanvraag. Dit kan worden geconfigureerd via mdatp config scan-archives --value [ingeschakeld/uitgeschakeld]. Deze instelling is standaard ingesteld op ingeschakeld.
- Bugfixes
(Build: 101.45.13 | Releaseversie: 30.121082.14513.0)
Build: 101.45.13
Releaseversie: 30.121082.14513.0
Wat is er nieuw
Vanaf deze versie bieden we Microsoft Defender voor Eindpunt ondersteuning voor de volgende distributies:
- VERSIES VAN RHEL6.7-6.10 en CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 of hoger
Bugfixes
(Build: 101.45.00 | Releaseversie: 30.121072.14500.0)
Build: 101.45.00
Releaseversie: 30.121072.14500.0
Wat is er nieuw
- Nieuwe schakelopties toegevoegd aan het opdrachtregelprogramma:
- De mate van parallelle uitvoering van scans op aanvraag controleren. Dit kan worden geconfigureerd via
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
. Standaard wordt een mate van parallelle uitvoering van2
gebruikt. - Bepalen of scans na updates van beveiligingsupdates zijn ingeschakeld of uitgeschakeld. Dit kan worden geconfigureerd via
mdatp config scan-after-definition-update --value [enabled/disabled]
. Deze instelling is standaard ingesteld openabled
.
- De mate van parallelle uitvoering van scans op aanvraag controleren. Dit kan worden geconfigureerd via
- Voor het wijzigen van het niveau van het productlogboek is nu uitbreiding vereist
- Bugfixes
(Build: 101.39.98 | Releaseversie: 30.121062.13998.0)
Build: 101.39.98
Releaseversie: 30.121062.13998.0
Wat is er nieuw
Prestatieverbeteringen & opgeloste fouten
(Build: 101.34.27 | Releaseversie: 30.121052.13427.0)
Build: 101.34.27
Releaseversie: 30.121052.13427.0
Wat is er nieuw
Prestatieverbeteringen & opgeloste fouten
(Build: 101.29.64 | Releaseversie: 30.121042.12964.0)
Build: 101.29.64
Releaseversie: 30.121042.12964.0
Wat is er nieuw
- Vanaf deze versie worden bedreigingen die zijn gedetecteerd tijdens antivirusscans op aanvraag die worden geactiveerd via de opdrachtregelclient, automatisch hersteld. Bedreigingen die zijn gedetecteerd tijdens scans die zijn geactiveerd via de gebruikersinterface, vereisen nog steeds handmatige actie.
-
mdatp diagnostic real-time-protection-statistics
ondersteunt nu nog twee switches:-
--sort
: sorteert de uitvoer aflopend op het totale aantal gescande bestanden -
--top N
: geeft de bovenste N-resultaten weer (werkt alleen als--sort
ook is opgegeven)
-
- Prestatieverbeteringen & opgeloste fouten
(Build: 101.25.72 | Releaseversie: 30.121022.12563.0)
Build: 101.25.72
Releaseversie: 30.121022.12563.0
Wat is er nieuw
Microsoft Defender voor Eindpunt op Linux is nu beschikbaar als preview-versie voor klanten van de Amerikaanse overheid. Zie Microsoft Defender voor Eindpunt voor amerikaanse overheidsklanten voor meer informatie.
- Er is een probleem opgelost waarbij het gebruik van Microsoft Defender voor Eindpunt op Linux op systemen met FUSE-bestandssystemen ertoe leidde dat het besturingssysteem vastliep
- Prestatieverbeteringen & andere oplossingen voor fouten
(Build: 101.25.63 | Releaseversie: 30.121022.12563.0)
Build: 101.25.63
Releaseversie: 30.121022.12563.0
Wat is er nieuw
Prestatieverbeteringen & opgeloste fouten
(Build: 101.23.64 | Releaseversie: 30.121021.12364.0)
Build: 101.23.64
Releaseversie: 30.121021.12364.0
Wat is er nieuw
Prestatieverbetering voor de situatie waarin een volledig koppelpunt wordt toegevoegd aan de lijst met antivirusuitsluitingen. Vóór deze versie werd de bestandsactiviteit van het product verwerkt, afkomstig van het koppelpunt. Vanaf deze versie wordt bestandsactiviteit voor uitgesloten koppelpunten onderdrukt, wat leidt tot betere productprestaties
- Er is een nieuwe optie toegevoegd aan het opdrachtregelprogramma om informatie over de laatste scan op aanvraag weer te geven. Voer uit om informatie over de laatste scan op aanvraag weer te geven
mdatp health --details antivirus
- Andere prestatieverbeteringen & opgeloste fouten
(Build: 101.18.53)
Build: 101.18.53
Wat is er nieuw
EDR voor Linux is nu algemeen beschikbaar
- Er is een nieuwe opdrachtregelswitch (
--ignore-exclusions
) toegevoegd om AV-uitsluitingen tijdens aangepaste scans te negeren (mdatp scan custom
) - Uitgebreid
mdatp diagnostic create
met een nieuwe parameter (--path [directory]
) waarmee de diagnostische logboeken kunnen worden opgeslagen in een andere map - Prestatieverbeteringen & opgeloste fouten