Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Ten artykuł jest często aktualizowany w celu poinformowania o nowościach w najnowszych wersjach Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
- Co nowego w usłudze Defender for Endpoint w systemie macOS
- Co nowego w usłudze Defender for Endpoint w systemie iOS
Ważna
Począwszy od wersji 101.2408.0004
, usługa Defender dla punktu końcowego w systemie Linux nie obsługuje Auditd
już dostawcy zdarzeń. Całkowicie przechodzimy na bardziej wydajną technologię eBPF. Ta zmiana umożliwia lepszą wydajność, mniejsze zużycie zasobów i ogólną lepszą stabilność. Obsługa eBPF jest dostępna od sierpnia 2023 r. i jest w pełni zintegrowana ze wszystkimi aktualizacjami usługi Defender for Endpoint w systemie Linux (wersja 101.23082.0006
i nowsze). Zdecydowanie zachęcamy do przyjęcia kompilacji eBPF, ponieważ zapewnia ona znaczące ulepszenia w stosunku do wersji Auditd. Jeśli eBPF nie jest obsługiwany na maszynach lub jeśli istnieją konkretne wymagania dotyczące zachowania inspekcji, dostępne są następujące opcje:
Kontynuuj korzystanie z usługi Defender for Endpoint w kompilacji
101.24072.0000
systemu Linux z usługą Auditd. Ta kompilacja będzie nadal obsługiwana przez kilka miesięcy, więc masz czas na zaplanowanie i wykonanie migracji do platformy eBPF.Jeśli korzystasz z wersji późniejszych niż
101.24072.0000
, usługa Defender for Endpoint w systemie Linux jest oparta nanetlink
jako dostawca zdarzeń uzupełniających kopii zapasowych. W przypadku rezerwy wszystkie operacje procesu będą nadal bezproblemowo przepływać.
Przejrzyj bieżące wdrożenie usługi Defender for Endpoint w systemie Linux i rozpocznij planowanie migracji do kompilacji obsługiwanej przez platformę eBPF. Aby uzyskać więcej informacji na temat eBPF i jego działania, zobacz Używanie czujnika opartego na eBPF do Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Jeśli masz jakiekolwiek obawy lub potrzebujesz pomocy podczas tego przejścia, skontaktuj się z pomocą techniczną.
Październik-2024 (kompilacja: 101.24082.0004 | Wersja wydania: 30.124082.0004.0)
Kompilacja z września 2024 r.: 101.24082.0004 | Wersja wydania: 30.124082.0004.0
Data wydania: 15 października 2024 r.
Opublikowano: 15 października 2024 r.
Kompilacja: 101.24082.0004
Wersja wydania: 30.124082.0004
Wersja aparatu: 1.1.24080.9
Wersja podpisu: 1.417.659.0
Co nowego
- Począwszy od tej wersji, usługa Defender for Endpoint w systemie Linux nie jest już obsługiwana jako dostawca zdarzeń uzupełniających
AuditD
. Aby uzyskać lepszą stabilność i wydajność, całkowicie przeszliśmy do eBPF. Jeśli wyłączysz eBPF lub w przypadku, gdy eBPF nie jest obsługiwany na żadnym konkretnym jądrze, usługa Defender for Endpoint w systemie Linux automatycznie przełącza się z powrotem do usługi Netlink jako rezerwowy dostawca zdarzeń uzupełniających. Usługa Netlink zapewnia ograniczoną funkcjonalność i śledzi tylko zdarzenia związane z procesami. W takim przypadku wszystkie operacje procesu nadal bezproblemowo przepływają, ale można pominąć określone zdarzenia związane z plikami i gniazdami, które w przeciwnym razie przechwyciłby eBPF. Aby uzyskać więcej informacji, zobacz Use eBPF-based sensor for Ochrona punktu końcowego w usłudze Microsoft Defender on Linux (Używanie czujnika opartego na platformie eBPF dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux). Jeśli masz jakiekolwiek obawy lub potrzebujesz pomocy podczas tego przejścia, skontaktuj się z pomocą techniczną. - Ulepszenia stabilności i wydajności
- Inne poprawki błędów
Wrzesień 2024 r. (kompilacja: 101.24072.0001 | Wersja wydania: 30.124072.0001.0)
Kompilacja z września 2024 r.: 101.24072.0001 | Wersja wydania: 30.124072.0001.0
Data wydania: 23 września 2024 r.
Opublikowano: 23 września 2024 r.
Kompilacja: 101.24072.0001
Wersja wydania: 30.124072.0001.0
Wersja aparatu: 1.1.24060.6
Wersja podpisu: 1.415.228.0
Co nowego
- Dodano obsługę systemu Ubuntu 24.04
- Zaktualizowano domyślną wersję aparatu do
1.1.24060.6
i domyślną wersję podpisów na1.415.228.0
wartość .
Lipiec 2024 r. (kompilacja: 101.24062.0001 | Wersja wydania: 30.124062.0001.0)
Kompilacja z lipca 2024 r.: 101.24062.0001 | Wersja wydania: 30.124062.0001.0
Data wydania: 31 lipca 2024 r.
Opublikowano: 31 lipca 2024 r.
Kompilacja: 101.24062.0001
Wersja wydania: 30.124062.0001.0
Wersja aparatu: 1.1.24050.7
Wersja podpisu: 1.411.410.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian.
- Naprawia usterkę polegającą na tym, że zainfekowane informacje o zagrożeniu wiersza polecenia nie były poprawnie wyświetlane w portalu zabezpieczeń.
- Naprawia usterkę polegającą na tym, że wyłączenie funkcji w wersji zapoznawczej wymagało wyłączenia usługi Defender of Endpoint.
- Funkcja wykluczeń globalnych korzystająca z zarządzanego kodu JSON jest teraz dostępna w publicznej wersji zapoznawczej. dostępne w testerach powoli od 101.23092.0012. Aby uzyskać więcej informacji, zobacz linux-exclusions (Wykluczenia systemu Linux).
- Zaktualizowano domyślną wersję aparatu systemu Linux do wersji 1.1.24050.7 i domyślną wersję sigs do wersji 1.411.410.0.
- Ulepszenia stabilności i wydajności.
- Inne poprawki błędów.
Czerwiec 2024 r. (kompilacja: 101.24052.0002 | Wersja wydania: 30.124052.0002.0)
Kompilacja z czerwca 2024 r.: 101.24052.0002 | Wersja wydania: 30.124052.0002.0
Data wydania: 24 czerwca 2024 r.
Opublikowano: 24 czerwca 2024 r.
Kompilacja: 101.24052.0002
Wersja wydania: 30.124052.0002.0
Wersja aparatu: 1.1.24040.2
Wersja podpisu: 1.411.153.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian.
- Ta wersja naprawia usterkę związaną z wysokim użyciem pamięci, co ostatecznie prowadzi do dużego użycia procesora CPU z powodu wycieku pamięci eBPF w przestrzeni jądra, co powoduje, że serwery przechodzą w stany bezużyteczne. Miało to wpływ tylko na jądro w wersjach 3.10x i <= 4.16x, głównie w dystrybucji RHEL/CentOS. Zaktualizuj najnowszą wersję MDE, aby uniknąć wpływu.
- Uprościliśmy teraz dane wyjściowe
mdatp health --detail features
- Ulepszenia stabilności i wydajności.
- Inne poprawki błędów.
Maj-2024 r. (kompilacja: 101.24042.0002 | Wersja wydania: 30.124042.0002.0)
Kompilacja z maja 2024 r.: 101.24042.0002 | Wersja wydania: 30.124042.0002.0
Data wydania: 29 maja 2024 r.
Opublikowano: 29 maja 2024 r.
Kompilacja: 101.24042.0002
Wersja wydania: 30.124042.0002.0
Wersja aparatu: 1.1.24030.4
Wersja podpisu: 1.407.521.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian:
- W wersji 24032.0007 wystąpił znany problem polegający na tym, że rejestrowanie urządzeń w celu MDE Security Management nie powiodło się podczas korzystania z mechanizmu "Tagowanie urządzenia" za pośrednictwem pliku mdatp_managed.json. Ten problem został rozwiązany w bieżącej wersji.
- Ulepszenia stabilności i wydajności.
- Inne poprawki błędów.
Maj-2024 r. (kompilacja: 101.24032.0007 | Wersja wydania: 30.124032.0007.0)
Kompilacja z maja 2024 r.: 101.24032.0007 | Wersja wydania: 30.124032.0007.0
Data wydania: 15 maja 2024 r.
Opublikowano: 15 maja 2024 r.
Kompilacja: 101.24032.0007
Wersja wydania: 30.124032.0007.0
Wersja aparatu: 1.1.24020.3
Wersja podpisu: 1.403.3500.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian:
W trybach pasywnych i na żądanie aparat antywirusowy pozostaje w stanie bezczynności i jest używany tylko podczas zaplanowanych skanowania niestandardowego. W związku z tym w ramach ulepszeń wydajności wprowadziliśmy zmiany, aby aparat AV był wyłączony w trybie pasywnym i na żądanie, z wyjątkiem zaplanowanych skanowania niestandardowego. Jeśli ochrona w czasie rzeczywistym jest włączona, aparat antywirusowy zawsze będzie uruchomiony. Nie będzie to miało wpływu na ochronę serwera w żadnym trybie.
Aby informować użytkowników o stanie aparatu antywirusowego, wprowadziliśmy nowe pole o nazwie "engine_load_status" w ramach kondycji protokołu MDATP. Wskazuje, czy aparat antywirusowy jest obecnie uruchomiony, czy nie.
Field name
engine_load_status
Dopuszczalne wartości Nie załadowano aparatu (proces aparatu AV nie działa), ładowanie aparatu powiodło się (proces aparatu AV jest uruchomiony) Scenariusze w dobrej kondycji:
- Jeśli rtp jest włączona, engine_load_status powinno być "Ładowanie aparatu powiodło się"
- Jeśli MDE jest w trybie na żądanie lub pasywnym, a skanowanie niestandardowe nie jest uruchomione, "engine_load_status" powinno być "Nie załadowano aparatu"
- Jeśli MDE jest w trybie na żądanie lub pasywnym, a skanowanie niestandardowe jest uruchomione, "engine_load_status" powinno być "Ładowanie aparatu powiodło się"
Poprawka usterki w celu ulepszenia wykrywania zachowań.
Ulepszenia stabilności i wydajności.
Inne poprawki błędów.
Znane problemy
Istnieje znany problem polegający na tym, że rejestrowanie urządzeń w celu MDE zarządzania zabezpieczeniami za pomocą mechanizmu "Device Tagging" przy użyciu mdatp_managed.json kończy się niepowodzeniem w wersji 24032.0007. Aby rozwiązać ten problem, użyj następującego polecenia interfejsu wiersza polecenia mdatp, aby otagować urządzenia:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Problem został rozwiązany w sekcji Kompilacja: 101.24042.0002
Marzec-2024 (kompilacja: 101.24022.0001 | Wersja wydania: 30.124022.0001.0)
Kompilacja z marca 2024 r.: 101.24022.0001 | Wersja wydania: 30.124022.0001.0
Data wydania: 22 marca 2024 r.
Opublikowano: 22 marca 2024 r.
Kompilacja: 101.24022.0001
Wersja wydania: 30.124022.0001.0
Wersja aparatu: 1.1.23110.4
Wersja podpisu: 1.403.87.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian:
- Dodanie nowego pliku dziennika —
microsoft_defender_scan_skip.log
. Spowoduje to rejestrowanie nazw plików, które zostały pominięte z różnych skanowania antywirusowego przez Ochrona punktu końcowego w usłudze Microsoft Defender z jakiegokolwiek powodu. - Ulepszenia stabilności i wydajności.
- Poprawki.
Marzec-2024 (kompilacja: 101.24012.0001 | Wersja wydania: 30.124012.0001.0)
Kompilacja z marca 2024 r.: 101.24012.0001 | Wersja wydania: 30.124012.0001.0
Data wydania: 12 marca 2024 r.
Opublikowano: 12 marca 2024 r.
Kompilacja: 101.24012.0001
Wersja wydania: 30.124012.0001.0
Wersja aparatu: 1.1.23110.4
Wersja podpisu: 1.403.87.0
Co nowego W tej wersji istnieje wiele poprawek i nowych zmian:
- Zaktualizowano domyślną wersję aparatu na
1.1.23110.4
wartość , a domyślną wersję podpisów na1.403.87.0
wartość . - Ulepszenia stabilności i wydajności.
- Poprawki.
Luty-2024 r. (kompilacja: 101.23122.0002 | Wersja wydania: 30.123122.0002.0)
Kompilacja z lutego 2024 r.: 101.23122.0002 | Wersja wydania: 30.123122.0002.0
Data wydania: 5 lutego 2024 r.
Opublikowano: 5 lutego 2024 r.
Kompilacja: 101.23122.0002
Wersja wydania: 30.123122.0002.0
Wersja aparatu: 1.1.23100.2010
Wersja podpisu: 1.399.1389.0
Co nowego W tej wersji istnieje wiele poprawek i nowych zmian:
Zaktualizowano domyślną wersję aparatu na
1.1.23100.2010
wartość , a domyślną wersję podpisów na1.399.1389.0
wartość .Ogólne ulepszenia stabilności i wydajności.
Poprawki.
Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux oficjalnie obsługuje teraz następujące dystrybucje i wersje:
Wersja & dystrybucji Pierścień Pakiet Marynarz 2 Produkcja https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 i nowsze Wtajemniczonych wolno https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 i nowsze Wtajemniczonych wolno https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 i nowsze Wtajemniczonych wolno https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 i nowsze Wtajemniczonych wolno https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Jeśli masz już usługę Defender for Endpoint uruchomioną w dowolnej z tych dystrybucji i masz problemy w starszych wersjach, uaktualnij do najnowszej wersji usługi Defender for Endpoint z odpowiedniego pierścienia wymienionego powyżej. Aby uzyskać więcej informacji, zapoznaj się z naszymi dokumentami dotyczącymi wdrażania publicznego .
Uwaga
Znane problemy:
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux w systemach Rocky i Alma ma obecnie następujące znane problemy:
- Zarządzanie lukami w zabezpieczeniach na żywo i reagowaniem na zagrożenia nie jest obecnie obsługiwane (praca w toku).
- Informacje o systemie operacyjnym dla urządzeń nie są widoczne w portalu Microsoft Defender
Styczeń-2024 r. (kompilacja: 101.23112.0009 | Wersja wydania: 30.123112.0009.0)
Kompilacja ze stycznia 2024 r.: 101.23112.0009 | Wersja wydania: 30.123112.0009.0
Data wydania: 29 stycznia 2024 r.
Opublikowano: 29 stycznia 2024 r.
Kompilacja: 101.23112.0009
Wersja wydania: 30.123112.0009.0
Wersja aparatu: 1.1.23100.2010
Wersja podpisu: 1.399.1389.0
Co nowego
- Zaktualizowano domyślną wersję aparatu na
1.1.23110.4
wartość , a domyślną wersję podpisów na1.403.1579.0
wartość . - Ogólne ulepszenia stabilności i wydajności.
- Poprawka błędu dotycząca konfiguracji monitorowania zachowania.
- Poprawki.
Listopad-2023 r. (kompilacja: 101.23102.0003 | Wersja wydania: 30.123102.0003.0)
Kompilacja z listopada 2023 r.: 101.23102.0003 | Wersja wydania: 30.123102.0003.0
Data wydania: 28 listopada 2023 r.
Opublikowano: 28 listopada 2023 r.
Kompilacja: 101.23102.0003
Wersja wydania: 30.123102.0003.0
Wersja aparatu: 1.1.23090.2008
Wersja podpisu: 1.399.690.0
Co nowego
- Zaktualizowano domyślną wersję aparatu na
1.1.23090.2008
wartość , a domyślną wersję podpisów na1.399.690.0
wartość . - Zaktualizowano bibliotekę libcurl do wersji
8.4.0
w celu rozwiązania ostatnio ujawnionych luk w zabezpieczeniach w starszej wersji. - Zaktualizowano bibliotekę Openssl do wersji
3.1.1
w celu rozwiązania ostatnio ujawnionych luk w zabezpieczeniach w starszej wersji. - Ogólne ulepszenia stabilności i wydajności.
- Poprawki.
Listopad-2023 r. (kompilacja: 101.23092.0012 | Wersja wydania: 30.123092.0012.0)
Kompilacja z listopada 2023 r.: 101.23092.0012 | Wersja wydania: 30.123092.0012.0
Data wydania: 14 listopada 2023 r.
Opublikowano: 14 listopada 2023 r.
Kompilacja: 101.23092.0012
Wersja wydania: 30.123092.0012.0
Wersja aparatu: 1.1.23080.2007
Wersja podpisu: 1.395.1560.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian:
- Dodano obsługę przywracania zagrożeń na podstawie oryginalnej ścieżki przy użyciu następującego polecenia:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Począwszy od tej wersji, Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux nie będzie już dostarczać rozwiązania dla RHEL 6.
RHEL 6 "Extended end of life support" jest gotowy do końca do 30 czerwca 2024 r., a klientom zaleca się zaplanowanie uaktualnień RHEL odpowiednio zgodnych ze wskazówkami firmy Red Hat. Klienci, którzy muszą uruchomić usługę Defender for Endpoint na serwerach RHEL 6, mogą nadal korzystać z wersji 101.23082.0011 (nie wygasa przed 30 czerwca 2024 r.) obsługiwanej w wersjach jądra 2.6.32-754.49.1.el6.x86_64 lub starszych.
- Aktualizacja aparatu do
1.1.23080.2007
i podpisy Ver:1.395.1560.0
. - Usprawnione środowisko łączności urządzeń jest teraz w trybie publicznej wersji zapoznawczej. publiczny blog
- Ulepszenia wydajności & poprawek błędów.
- Aktualizacja aparatu do
Znane problemy
- Blokada procesora cpu widoczna w jądrze w wersji 5.15.0-0.30.20 w trybie ebpf, zobacz Use eBPF-based sensor for Ochrona punktu końcowego w usłudze Microsoft Defender on Linux (Używanie czujnika opartego na eBPF dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux), aby uzyskać szczegółowe informacje i opcje ograniczania ryzyka.
Listopad-2023 r. (kompilacja: 101.23082.0011 | Wersja wydania: 30.123082.0011.0)
Kompilacja z listopada 2023 r.: 101.23082.0011 | Wersja wydania: 30.123082.0011.0
Data wydania: 1 listopada 2023 r.
Opublikowano: 1 listopada 2023 r.
Kompilacja: 101.23082.0011
Wersja wydania: 30.123082.0011.0
Wersja aparatu: 1.1.23070.1002
Wersja podpisu: 1.393.1305.0
Co nowego Ta nowa wersja jest kompilowana w wersji z października 2023 r. ("101.23082.0009") z dodatkiem następujących zmian. Nie ma żadnych zmian dla innych klientów, a uaktualnienie jest opcjonalne.
Poprawka dla niezmiennego trybu inspekcji, gdy dodatkowy podsystem to ebpf: w trybie ebpf wszystkie reguły inspekcji mdatp powinny być czyszczone po przełączeniu na ebpf i ponownym uruchomieniu. Po ponownym uruchomieniu reguły inspekcji mdatp nie zostały wyczyszczone, ponieważ spowodowało to zawieszenie serwera. Poprawka czyści te reguły, użytkownik nie powinien widzieć żadnych reguł mdatp załadowanych po ponownym uruchomieniu
Poprawka dotycząca MDE nie uruchamiania w systemie RHEL 6.
Znane problemy
Podczas uaktualniania z programu mdatp w wersji 101.75.43 lub 101.78.13 może wystąpić zawieszenie jądra. Przed próbą uaktualnienia do wersji 101.98.05 uruchom następujące polecenia. Więcej informacji na temat podstawowego problemu można znaleźć w artykule Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyzowania.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Październik-2023 r. (kompilacja: 101.23082.0009 | Wersja wydania: 30.123082.0009.0)
Kompilacja z października 2023 r.: 101.23082.0009 | Wersja wydania: 30.123082.0009.0
Data wydania: 9 października 2023 r.
Opublikowano: 9 października 2023 r.
Kompilacja: 101.23082.0009
Wersja wydania: 30.123082.0009.0
Wersja aparatu: 1.1.23070.1002
Wersja podpisu: 1.393.1305.0
Co nowego
- Ta nowa wersja jest kompilowana w wersji z października 2023 r. ("101.23082.0009") z dodatkiem nowych certyfikatów urzędu certyfikacji. Nie ma żadnych zmian dla innych klientów, a uaktualnienie jest opcjonalne.
Znane problemy
Podczas uaktualniania z programu mdatp w wersji 101.75.43 lub 101.78.13 może wystąpić zawieszenie jądra. Przed próbą uaktualnienia do wersji 101.98.05 uruchom następujące polecenia. Więcej informacji na temat podstawowego problemu można znaleźć w artykule Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyzowania.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Październik-2023 (kompilacja: 101.23082.0006 | Wersja wydania: 30.123082.0006.0)
Kompilacja z października 2023 r.: 101.23082.0006 | Wersja wydania: 30.123082.0006.0
Data wydania: 9 października 2023 r.
Opublikowano: 9 października 2023 r.
Kompilacja: 101.23082.0006
Wersja wydania: 30.123082.0006.0
Wersja aparatu: 1.1.23070.1002
Wersja podpisu: 1.393.1305.0
Co nowego
Aktualizacje funkcji i nowe zmiany
- Czujnik eBPF jest teraz domyślnym dodatkowym dostawcą zdarzeń dla punktów końcowych
- Microsoft Intune funkcja dołączania dzierżawy jest dostępna w publicznej wersji zapoznawczej (od połowy lipca)
- Aby funkcja działała prawidłowo, musisz dodać opcję "*.dm.microsoft.com" do wykluczeń zapory
- Usługa Defender for Endpoint jest teraz dostępna dla systemów Debian 12 i Amazon Linux 2023
- Obsługa włączania weryfikacji sygnatur pobranych aktualizacji
Pamiętaj, że musisz zaktualizować manajed.json, jak pokazano poniżej
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Wymagania wstępne dotyczące włączania funkcji
- Wersja aparatu na urządzeniu musi mieć wartość "1.1.23080.007" lub nowszą. Sprawdź wersję aparatu przy użyciu następującego polecenia.
mdatp health --field engine_version
- Wersja aparatu na urządzeniu musi mieć wartość "1.1.23080.007" lub nowszą. Sprawdź wersję aparatu przy użyciu następującego polecenia.
- Opcja obsługi monitorowania punktów instalacji systemu plików NFS i FUSE. Są one domyślnie ignorowane. W poniższym przykładzie pokazano, jak monitorować cały system plików, ignorując tylko system plików NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Przykład monitorowania wszystkich systemów plików, w tym systemów plików NFS i FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- Inne ulepszenia wydajności
- Poprawki
Znane problemy
- Podczas uaktualniania z programu mdatp w wersji 101.75.43 lub 101.78.13 może wystąpić zawieszenie jądra. Przed próbą uaktualnienia do wersji 101.98.05 uruchom następujące polecenia. Więcej informacji na temat podstawowego problemu można znaleźć w artykule Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyzowania. Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Wrzesień 2023 r. (kompilacja: 101.23072.0021 | Wersja wydania: 30.123072.0021.0)
Kompilacja z września 2023 r.: 101.23072.0021 | Wersja wydania: 30.123072.0021.0
Data wydania: 11 września 2023 r.
Opublikowano: 11 września 2023 r.
Kompilacja: 101.23072.0021
Wersja wydania: 30.123072.0021.0
Wersja aparatu: 1.1.20100.7
Wersja podpisu: 1.385.1648.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian
- W mde_installer.sh wersji 0.6.3 użytkownicy mogą użyć argumentu
--channel
, aby podać kanał skonfigurowanego repozytorium podczas czyszczenia. Na przykładsudo ./mde_installer --clean --channel prod
- Rozszerzenie sieciowe może być teraz resetowane przez administratorów przy użyciu polecenia
mdatp network-protection reset
. - Inne ulepszenia wydajności
- Poprawki
- W mde_installer.sh wersji 0.6.3 użytkownicy mogą użyć argumentu
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Lipiec 2023 r. (kompilacja: 101.23062.0010 | Wersja wydania: 30.123062.0010.0)
Kompilacja z lipca 2023 r.: 101.23062.0010 | Wersja wydania: 30.123062.0010.0
Data wydania: 26 lipca 2023 r.
Opublikowano: 26 lipca 2023 r.
Kompilacja: 101.23062.0010
Wersja wydania: 30.123062.0010.0
Wersja aparatu: 1.1.20100.7
Wersja podpisu: 1.385.1648.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian
- Jeśli dla usługi Defender dla punktu końcowego ustawiono serwer proxy, jest on widoczny w danych wyjściowych
mdatp health
polecenia - W tej wersji udostępniliśmy dwie opcje w źródłach danych diagnostycznych mdatp hot-event-sources:
- Pliki
- Elementy wykonywalne
- Ochrona sieci: Connections, które są blokowane przez ochronę sieci i mają blok przesłonięte przez użytkowników, są teraz prawidłowo zgłaszane do Microsoft Defender XDR
- Ulepszone rejestrowanie w bloku ochrony sieci i zdarzenia inspekcji na potrzeby debugowania
- Jeśli dla usługi Defender dla punktu końcowego ustawiono serwer proxy, jest on widoczny w danych wyjściowych
Inne poprawki i ulepszenia
- Z tej wersji, enforcementLevel są domyślnie w trybie pasywnym dając administratorom większą kontrolę nad tym, gdzie chcą "RTP na" w ich majątku
- Ta zmiana dotyczy tylko nowych wdrożeń MDE, na przykład serwerów, na których usługa Defender dla punktu końcowego jest wdrażana po raz pierwszy. W scenariuszach aktualizacji serwery, które mają usługę Defender for Endpoint wdrożoną z włączoną wersją RTP ON, kontynuuj obsługę protokołu RTP ON nawet po aktualizacji do wersji 101.23062.0010
Poprawki
- Rozwiązano problem z uszkodzeniem bazy danych programu RPM w Zarządzanie lukami w zabezpieczeniach w usłudze Defender linii bazowej
Inne ulepszenia wydajności
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Lipiec 2023 r. (kompilacja: 101.23052.0009 | Wersja wydania: 30.123052.0009.0)
Kompilacja z lipca 2023 r.: 101.23052.0009 | Wersja wydania: 30.123052.0009.0
Data wydania: 10 lipca 2023 r.
Opublikowano: 10 lipca 2023 r.
Kompilacja: 101.23052.0009
Wersja wydania: 30.123052.0009.0
Wersja aparatu: 1.1.20100.7
Wersja podpisu: 1.385.1648.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian — schemat wersji kompilacji jest aktualizowany z tej wersji. Chociaż numer wersji głównej pozostaje taki sam jak 101, numer wersji pomocniczej ma teraz pięć cyfr, po którym następuje czterocyfrowy numer poprawki,
101.xxxxx.yyy
czyli — ulepszone zużycie pamięci w ramach ochrony sieci pod wpływem obciążenia- Zaktualizowano wersję aparatu do
1.1.20300.5
wersji i sygnaturę do1.391.2837.0
. - Poprawki.
- Zaktualizowano wersję aparatu do
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Czerwiec-2023 (kompilacja: 101.98.89 | Wersja wydania: 30.123042.19889.0)
Kompilacja z czerwca 2023 r.: 101.98.89 | Wersja wydania: 30.123042.19889.0
Data wydania: 12 czerwca 2023 r.
Opublikowano: 12 czerwca 2023 r.
Kompilacja: 101.98.89
Wersja wydania: 30.123042.19889.0
Wersja aparatu: 1.1.20100.7
Wersja podpisu: 1.385.1648.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian
- Ulepszona obsługa serwera proxy ochrony sieci.
- W trybie pasywnym usługa Defender dla punktu końcowego nie skanuje się już po aktualizacji definicji.
- Urządzenia są nadal chronione nawet po wygaśnięciu agenta usługi Defender for Endpoint. Zalecamy uaktualnienie agenta usługi Defender for Endpoint Dla systemu Linux do najnowszej dostępnej wersji w celu otrzymywania poprawek błędów, funkcji i ulepszeń wydajności.
- Usunięto zależność pakietu semanage.
- Aktualizacja aparatu do
1.1.20100.7
i podpisy Ver:1.385.1648.0
. - Poprawki.
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Maj-2023 r. (kompilacja: 101.98.64 | Wersja wydania: 30.123032.19864.0)
Kompilacja z maja 2023 r.: 101.98.64 | Wersja wydania: 30.123032.19864.0
Data wydania: 3 maja 2023 r.
Opublikowano: 3 maja 2023 r.
Kompilacja: 101.98.64
Wersja wydania: 30.123032.19864.0
Wersja aparatu: 1.1.20100.6
Wersja podpisu: 1.385.68.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian
- Ulepszenia komunikatów o kondycji umożliwiające przechwytywanie szczegółów dotyczących inspekcji błędów.
- Ulepszenia obsługi augenrules, co powodowało niepowodzenie instalacji.
- Okresowe oczyszczanie pamięci w procesie aparatu.
- Rozwiązano problem z pamięcią w wtyczce mdatp audisp.
- Obsłużona brakująca ścieżka katalogu wtyczki podczas instalacji.
- Gdy aplikacja powodująca konflikt używa blokowania fanotyfikacji, z domyślną konfiguracją kondycji mdatp pokazuje złej kondycji. To jest teraz naprawione.
- Obsługa inspekcji ruchu ICMP w usłudze BM.
- Aktualizacja aparatu do
1.1.20100.6
i podpisy Ver:1.385.68.0
. - Poprawki.
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Kwiecień-2023 r. (kompilacja: 101.98.58 | Wersja wydania: 30.123022.19858.0)
Kompilacja z kwietnia 2023 r.: 101.98.58 | Wersja wydania: 30.123022.19858.0
Data wydania: 20 kwietnia 2023 r.
Opublikowano: 20 kwietnia 2023 r.
Kompilacja: 101.98.58
Wersja wydania: 30.123022.19858.0
Wersja aparatu: 1.1.20000.2
Wersja podpisu: 1.381.3067.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian
- Ulepszenia rejestrowania i raportowania błędów dla inspekcji.
- Obsługa błędu podczas ponownego ładowania inspekcji konfiguracji.
- Obsługa pustych plików reguł inspekcji podczas instalacji MDE.
- Aktualizacja aparatu do
1.1.20000.2
i podpisy Ver:1.381.3067.0
. - Rozwiązano problem z kondycją w programie mdatp, który występuje z powodu odmów selinux.
- Poprawki.
Znane problemy
- Podczas uaktualniania programu mdatp do wersji lub nowszej
101.94.13
można zauważyć, że kondycja jest fałszywa, a health_issues jako "brak aktywnego dostawcy zdarzeń uzupełniających". Może się to zdarzyć z powodu błędnie skonfigurowanych/powodujących konflikt reguł inspekcji na istniejących maszynach. Aby rozwiązać ten problem, należy naprawić reguły inspekcji na istniejących maszynach. Poniższe polecenia mogą pomóc w zidentyfikowaniu takich reguł inspekcji (polecenia muszą być uruchamiane jako superużytkownik). Wykonaj kopię zapasową następującego pliku: /etc/audit/rules.d/audit.rules, ponieważ te kroki służą tylko do identyfikowania błędów.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:
- Odinstaluj
101.75.43
wersję lub101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
- Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Marzec-2023 (kompilacja: 101.98.30 | Wersja wydania: 30.123012.19830.0)
Kompilacja z marca 2023 r.: 101.98.30 | Wersja wydania: 30.123012.19830.0
Data wydania: 20 marca 2023 r.
Opublikowano: 20 marca 2023 r.
Kompilacja: 101.98.30
Wersja wydania: 30.123012.19830.0
Wersja aparatu: 1.1.19900.2
Wersja podpisu: 1.379.1299.0
Co nowego
- Ta nowa wersja jest kompilowana w wersji z marca 2023 r. ("101.98.05"),a poprawka dotycząca poleceń odpowiedzi na żywo kończy się niepowodzeniem dla jednego z naszych klientów. Nie ma żadnych zmian dla innych klientów, a uaktualnienie jest opcjonalne.
Znane problemy
- W przypadku programu mdatp w wersji 101.98.30 w niektórych przypadkach może wystąpić problem z błędem kondycji, ponieważ reguły SELinux nie są zdefiniowane dla niektórych scenariuszy. Ostrzeżenie o kondycji może wyglądać mniej więcej tak:
wykryto odmowy SELinux w ciągu ostatniego dnia. Jeśli protokół MDATP jest niedawno zainstalowany, wyczyść istniejące dzienniki inspekcji lub poczekaj jeden dzień na autoresolve tego problemu. Użyj polecenia: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "odmowa", aby znaleźć szczegóły
Problem można rozwiązać, uruchamiając następujące polecenia.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
W tym miejscu mdatpaudisppl_v1 reprezentuje nazwę modułu zasad. Po uruchomieniu poleceń poczekaj 24 godziny lub wyczyść/zarchiwizować dzienniki inspekcji. Dzienniki inspekcji można zarchiwizować, uruchamiając następujące polecenie
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
W przypadku ponownego pojawienia się problemu z różnymi odmowami. Musimy ponownie uruchomić środki zaradcze o innej nazwie modułu (na przykład my-mdatpaudisppl_v2).
Marzec-2023 (kompilacja: 101.98.05 | Wersja wydania: 30.123012.19805.0)
Marzec-2023 (kompilacja: 101.98.05 | Wersja wydania: 30.123012.19805.0)
Data wydania: 8 marca 2023 r.
Opublikowano: 8 marca 2023 r.
Kompilacja: 101.98.05
Wersja wydania: 30.123012.19805.0
Wersja aparatu: 1.1.19900.2
Wersja podpisu: 1.379.1299.0
Co nowego
W tej wersji istnieje wiele poprawek i nowych zmian.
- Ulepszona kompletność danych dla zdarzeń połączenia sieciowego
- Ulepszone możliwości zbierania danych dla zmian własności plików/uprawnień
- seManage w części pakietu, do tej zasady seLinux można skonfigurować w innej dystrybucji (stałe).
- Ulepszona stabilność demona przedsiębiorstwa
- Czyszczenie ścieżki zatrzymania AuditD
- Ulepszono stabilność przepływu zatrzymywania danych mdatp.
- Dodano nowe pole do wdavstate, aby śledzić czas aktualizacji platformy.
- Ulepszenia stabilności analizowania obiektu blob dołączania usługi Defender for Endpoint.
- Skanowanie nie jest kontynuowane, jeśli ważna licencja nie jest obecna (stała)
- Dodano opcję śledzenia wydajności do narzędzia xPlatClientAnalyzer z włączonym śledzeniem zrzutów procesu mdatp w pliku all_process.zip, który może służyć do analizy problemów z wydajnością.
- Dodano obsługę w usłudze Defender for Endpoint dla następujących wersji jądra RHEL-6:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- Inne poprawki
Znane problemy
- Podczas uaktualniania programu mdatp do wersji 101.94.13 można zauważyć, że kondycja jest fałszywa, a health_issues jako "brak aktywnego dostawcy zdarzeń uzupełniających". Może się to zdarzyć z powodu błędnie skonfigurowanych/powodujących konflikt reguł inspekcji na istniejących maszynach. Aby rozwiązać ten problem, należy naprawić reguły inspekcji na istniejących maszynach. Poniższe kroki mogą pomóc w zidentyfikowaniu takich reguł inspekcji (te polecenia muszą być uruchamiane jako superużytkownik). Pamiętaj, aby utworzyć kopię zapasową następującego pliku: "/etc/audit/rules.d/audit.rules", ponieważ te kroki służą tylko do identyfikowania błędów.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.98.05
. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotify
Istnieją dwa sposoby rozwiązania problemu podczas uaktualniania.
Odinstaluj 101.75.43
wersję lub 101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternatywnie możesz wykonać instrukcje, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 (Kompilacja: 101.94.13 | Wersja wydania: 30.122112.19413.0)
Jan-2023 (Kompilacja: 101.94.13 | Wersja wydania: 30.122112.19413.0)
Data wydania: 10 stycznia 2023 r.
Opublikowano: 10 stycznia 2023 r.
Kompilacja: 101.94.13
Wersja wydania: 30.122112.19413.0
Wersja aparatu: 1.1.19700.3
Wersja podpisu: 1.377.550.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian
- Domyślnie pomiń kwarantannę zagrożeń w trybie pasywnym.
- Nowa konfiguracja, nonExecMountPolicy, może teraz służyć do określania zachowania protokołu RTP w punkcie instalacji oznaczonym jako noexec.
- Nowa konfiguracja, unmonitoredFilesystems, może służyć do niemonitorowania niektórych systemów plików.
- Zwiększona wydajność przy dużym obciążeniu i w scenariuszach testów prędkości.
- Rozwiązuje problem z uzyskiwaniem dostępu do udziałów SMB za połączeniami sieci VPN Cisco AnyConnect.
- Rozwiązuje problem z usługą Network Protection i SMB.
- obsługa śledzenia wydajności lttng.
- Ulepszenia interfejsu wiersza polecenia tvm, eBPF, auditd, telemetria i mdatp.
- Kondycja mdatp zgłasza teraz behavior_monitoring
- Inne poprawki.
Znane problemy
- Podczas uaktualniania programu mdatp do wersji
101.94.13
można zauważyć, że kondycja jest fałszywa, a health_issues jako "brak aktywnego dostawcy zdarzeń uzupełniających". Może się to zdarzyć z powodu błędnie skonfigurowanych/powodujących konflikt reguł inspekcji na istniejących maszynach. Aby rozwiązać ten problem, należy naprawić reguły inspekcji na istniejących maszynach. Poniższe kroki mogą pomóc w zidentyfikowaniu takich reguł inspekcji (te polecenia muszą być uruchamiane jako superużytkownik). Wykonaj kopię zapasową następującego pliku:/etc/audit/rules.d/audit.rules
ponieważ te kroki służą tylko do identyfikowania błędów.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Przed podjęciem próby uaktualnienia do wersji 101.94.13 uruchom następujące polecenia. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotify
Istnieją dwa sposoby rozwiązania problemu podczas uaktualniania.
Odinstaluj 101.75.43
wersję lub 101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternatywnie, możesz wykonać instrukcje, aby odinstalować pakiet, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Listopad 2022 r. (kompilacja: 101.85.27 | Wersja wydania: 30.122092.18527.0)
Listopad 2022 r. (kompilacja: 101.85.27 | Wersja wydania: 30.122092.18527.0)
Data wydania: 2 listopada 2022 r.
Opublikowano: 2 listopada 2022 r.
Kompilacja: 101.85.27
Wersja wydania: 30.122092.18527.0
Wersja aparatu: 1.1.19500.2
Wersja podpisu: 1.371.1369.0
Co nowego
- W tej wersji istnieje wiele poprawek i nowych zmian
- Aparat w wersji 2 jest domyślnie w tej wersji, a bity aparatu w wersji 1 są usuwane w celu zwiększenia bezpieczeństwa.
- Ścieżka konfiguracji aparatu w wersji 2 obsługuje definicje av. (ścieżka zestawu definicji mdatp)
- Usunięto zależności pakietów zewnętrznych z pakietu MDE. Usunięte zależności to libatomic1, libselinux, libseccomp, libfuse i libuuid
- W przypadku wyłączenia zbierania awarii przez konfigurację proces monitorowania awarii nie jest uruchamiany.
- Poprawki wydajności umożliwiające optymalne używanie zdarzeń systemowych na potrzeby funkcji av.
- Poprawa stabilności podczas ponownego uruchamiania problemów z mdatp i ładowaniem epsext.
- Inne poprawki
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.85.21. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotify
Istnieją dwa sposoby rozwiązania problemu podczas uaktualniania.
Odinstaluj 101.75.43
wersję lub 101.78.13
mdatp za pomocą menedżera pakietów.
Przykład:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternatywnie, postępuj zgodnie z instrukcjami, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Sep-2022 (Kompilacja: 101.80.97 | Wersja wydania: 30.122072.18097.0)
Sep-2022 (Kompilacja: 101.80.97 | Wersja wydania: 30.122072.18097.0)
Data wydania: 14 września 2022 r.
Opublikowano: 14 września 2022 r.
Kompilacja: 101.80.97
Wersja wydania: 30.122072.18097.0
Wersja aparatu: 1.1.19300.3
Wersja podpisu: 1.369.395.0
Co nowego
- Naprawia zawieszanie jądra zaobserwowane w przypadku wybranych obciążeń klienta z uruchomioną wersją
101.75.43
mdatp . Po analizie głównej przyczyny przypisano to warunkowi wyścigu podczas wydawania własności deskryptora pliku czujnika. Stan wyścigu został ujawniony z powodu niedawnej zmiany produktu na ścieżce zamknięcia. Ten problem nie ma wpływu na klientów w nowszych wersjach jądra (5.1 lub nowszym). Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.
Znane problemy
- Podczas uaktualniania z wersji
101.75.43
mdatp lub101.78.13
może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji101.80.97
. Ta akcja powinna uniemożliwić wystąpienie problemu.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Po wykonaniu poleceń wykonaj uaktualnienie za pomocą menedżera pakietów.
Alternatywnie, postępuj zgodnie z instrukcjami, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.
Sierpień 2022 r. (kompilacja: 101.78.13 | Wersja wydania: 30.122072.17813.0)
Sierpień 2022 r. (kompilacja: 101.78.13 | Wersja wydania: 30.122072.17813.0)
Data wydania: 24 sierpnia 2022 r.
Opublikowano: 24 sierpnia 2022 r.
Kompilacja: 101.78.13
Wersja wydania: 30.122072.17813.0
Wersja aparatu: 1.1.19300.3
Wersja podpisu: 1.369.395.0
Co nowego
- Wycofano z powodu problemów z niezawodnością
Sierpień 2022 r. (kompilacja: 101.75.43 | Wersja wydania: 30.122071.17543.0)
Sierpień 2022 r. (kompilacja: 101.75.43 | Wersja wydania: 30.122071.17543.0)
Data wydania: 2 sierpnia 2022 r.
Opublikowano: 2 sierpnia 2022 r.
Kompilacja: 101.75.43
Wersja wydania: 30.122071.17543.0
Wersja aparatu: 1.1.19300.3
Wersja podpisu: 1.369.395.0
Co nowego
- Dodano obsługę systemu Red Hat Enterprise Linux w wersji 9.0
- Dodano nowe pole w danych wyjściowych
mdatp health
, które może służyć do wykonywania zapytań dotyczących poziomu wymuszania funkcji ochrony sieci. Nowe pole jest wywoływanenetwork_protection_enforcement_level
i może przyjmować jedną z następujących wartości:audit
,block
lubdisabled
. - Rozwiązano problem polegający na tym, że wiele wykryć tę samą zawartość mogło prowadzić do zduplikowanych wpisów w historii zagrożeń
- Rozwiązano problem polegający na tym, że jeden z procesów zduplikowanych przez produkt (
mdatp_audisp_plugin
) czasami nie został prawidłowo zakończony, gdy usługa została zatrzymana - Inne poprawki błędów
Lip-2022 (Kompilacja: 101.73.77 | Wersja wydania: 30.122062.17377.0)
Lip-2022 (Kompilacja: 101.73.77 | Wersja wydania: 30.122062.17377.0)
Data wydania: 21 lipca 2022 r.
Opublikowano: 21 lipca 2022 r.
Kompilacja: 101.73.77
Wersja wydania: 30.122062.17377.0
Wersja aparatu: 1.1.19200.3
Wersja podpisu: 1.367.1011.0
Co nowego
- Dodano opcję konfigurowania obliczeń skrótów plików
- Od tej kompilacji produkt ma domyślnie nowy aparat ochrony przed złośliwym kodem
- Ulepszenia wydajności operacji kopiowania plików
- Poprawki
Czerwiec 2022 r. (kompilacja: 101.71.18 | Wersja wydania: 30.122052.17118.0)
Data wydania: 24 czerwca 2022 r.
Opublikowano: 24 czerwca 2022 r.
Kompilacja: 101.71.18
Wersja wydania: 30.122052.17118.0
Co nowego
- Poprawka umożliwiająca obsługę magazynu definicji w niestandardowych lokalizacjach (poza /var) dla aktualizacji definicji w wersji 2
- Rozwiązano problem z czujnikiem produktu używanym w systemie RHEL 6, który mógł prowadzić do zawieszenia systemu operacyjnego
-
mdatp connectivity test
został rozszerzony o dodatkowy adres URL, który produkt wymaga poprawnego działania. Nowy adres URL to https://go.microsoft.com/fwlink/?linkid=2144709. - Do tej pory poziom dziennika produktu nie był utrwalany między ponownym uruchomieniem produktu. Począwszy od tej wersji, istnieje nowy przełącznik narzędzia wiersza polecenia, który utrwala poziom dziennika. Nowe polecenie to
mdatp log level persist --level <level>
. - Usunięto zależność
python
od pakietu instalacyjnego produktu - Ulepszenia wydajności operacji kopiowania plików i przetwarzania zdarzeń sieciowych pochodzących z
auditd
- Poprawki
Maj-2022 r. (kompilacja: 101.68.80 | Wersja wydania: 30.122042.16880.0)
Maj-2022 r. (kompilacja: 101.68.80 | Wersja wydania: 30.122042.16880.0)
Data wydania: 23 maja 2022 r.
Opublikowano: 23 maja 2022 r.
Kompilacja: 101.68.80
Wersja wydania: 30.122042.16880.0
Co nowego
- Dodano obsługę wersji
2.6.32-754.47.1.el6.x86_64
jądra podczas uruchamiania w systemie RHEL 6 - W systemie RHEL 6 produkt można teraz zainstalować na urządzeniach z uruchomionym nierozerwalnym jądrem przedsiębiorstwa (UEK)
- Rozwiązano problem polegający na tym, że nazwa procesu była czasami niepoprawnie wyświetlana, jak
unknown
podczas uruchamianiamdatp diagnostic real-time-protection-statistics
- Usunięto usterkę polegającą na tym, że produkt czasami niepoprawnie wykrywał pliki w folderze kwarantanny
- Rozwiązano problem polegający na tym
mdatp
, że narzędzie wiersza polecenia nie działało, gdy/opt
było zainstalowane jako łącze nietrwałe - Ulepszenia wydajności & poprawek błędów
Maj-2022 r. (kompilacja: 101.65.77 | Wersja wydania: 30.122032.16577.0)
Maj-2022 r. (kompilacja: 101.65.77 | Wersja wydania: 30.122032.16577.0)
Data wydania: 2 maja 2022 r.
Opublikowano: 2 maja 2022 r.
Kompilacja: 101.65.77
Wersja wydania: 30.122032.16577.0
Co nowego
- Ulepszono pole w programie
conflicting_applications
,mdatp health
aby wyświetlić tylko najnowsze 10 procesów, a także uwzględnić nazwy procesów. Dzięki temu łatwiej jest określić, które procesy mogą być w konflikcie z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux. - Poprawki błędów
Mar-2022 (Kompilacja: 101.62.74 | Wersja wydania: 30.122022.16274.0)
Data wydania: 24 marca 2022 r.
Opublikowano: 24 marca 2022 r.
Kompilacja: 101.62.74
Wersja wydania: 30.122022.16274.0
Co nowego
- Rozwiązano problem polegający na tym, że produkt niepoprawnie blokował dostęp do plików o rozmiarze większym niż 2 GB podczas uruchamiania w starszych wersjach jądra
- Poprawki błędów
Mar-2022 (Kompilacja: 101.60.93 | Wersja wydania: 30.122012.16093.0)
Mar-2022 (Kompilacja: 101.60.93 | Wersja wydania: 30.122012.16093.0)
Data wydania: 9 marca 2022 r.
Opublikowano: 9 marca 2022 r.
Kompilacja: 101.60.93
Wersja wydania: 30.122012.16093.0
Co nowego
- Ta wersja zawiera aktualizację zabezpieczeń dla CVE-2022-23278
Mar-2022 (Kompilacja: 101.60.05 | Wersja wydania: 30.122012.16005.0)
Data wydania: 3 marca 2022 r.
Opublikowano: 3 marca 2022 r.
Kompilacja: 101.60.05
Wersja wydania: 30.122012.16005.0
Co nowego
- Dodano obsługę jądra w wersji 2.6.32-754.43.1.el6.x86_64 dla RHEL 6.10
- Poprawki błędów
Luty 2022 r. (kompilacja: 101.58.80 | Wersja wydania: 30.122012.15880.0)
Luty 2022 r. (kompilacja: 101.58.80 | Wersja wydania: 30.122012.15880.0)
Data wydania: 20 lutego 2022 r.
Opublikowano: 20 lutego 2022 r.
Kompilacja: 101.58.80
Wersja wydania: 30.122012.15880.0
Co nowego
- Narzędzie wiersza polecenia obsługuje teraz przywracanie plików poddanych kwarantannie do lokalizacji innej niż ta, w której plik został pierwotnie wykryty. Można to zrobić za pośrednictwem programu
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
. - Począwszy od tej wersji, ochronę sieci dla systemu Linux można ocenić na żądanie
- Poprawki błędów
Jan-2022 (Kompilacja: 101.56.62 | Wersja wydania: 30.121122.15662.0)
Jan-2022 (Kompilacja: 101.56.62 | Wersja wydania: 30.121122.15662.0)
Data wydania: 26 stycznia 2022 r.
Opublikowano: 26 stycznia 2022 r.
Kompilacja: 101.56.62
Wersja wydania: 30.121122.15662.0
Co nowego
- Naprawiono awarię produktu wprowadzoną w wersji 101.53.02, która wpłynęła na wielu klientów
Jan-2022 (Kompilacja: 101.53.02 | Wersja wydania: (30.121112.15302.0)
Data wydania: 8 stycznia 2022 r.
Opublikowano: 8 stycznia 2022 r.
Kompilacja: 101.53.02
Wersja wydania: 30.1211112.15302.0
Co nowego
- Ulepszenia wydajności & poprawek błędów
Wersje 2021
(Kompilacja: 101.52.57 | Wersja wydania: 30.121092.15257.0)
Kompilacja: 101.52.57
Wersja wydania: 30.121092.15257.0
Co nowego
Dodano możliwość wykrywania zagrożonych plików jar log4j używanych przez aplikacje Java. Maszyna jest okresowo sprawdzana pod kątem uruchamiania procesów Java z załadowanymi plikami jar log4j. Informacje są zgłaszane do zaplecza Ochrona punktu końcowego w usłudze Microsoft Defender i są widoczne w obszarze Zarządzanie lukami w zabezpieczeniach w portalu.
(Kompilacja: 101.47.76 | Wersja wydania: 30.121092.14776.0)
Kompilacja: 101.47.76
Wersja wydania: 30.121092.14776.0
Co nowego
Dodano nowy przełącznik do narzędzia wiersza polecenia, aby kontrolować, czy archiwa są skanowane podczas skanowania na żądanie. Można to skonfigurować za pomocą konfiguracji mdatp scan-archives --value [enabled/disabled]. Domyślnie to ustawienie jest włączone.
- Poprawki błędów
(Kompilacja: 101.45.13 | Wersja wydania: 30.121082.14513.0)
Kompilacja: 101.45.13
Wersja wydania: 30.121082.14513.0
Co nowego
Począwszy od tej wersji, oferujemy obsługę Ochrona punktu końcowego w usłudze Microsoft Defender do następujących dystrybucji:
- Wersje RHEL6.7-6.10 i CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 lub nowsza
Poprawki błędów
(Kompilacja: 101.45.00 | Wersja wydania: 30.121072.14500.0)
Kompilacja: 101.45.00
Wersja wydania: 30.121072.14500.0
Co nowego
- Dodano nowe przełączniki do narzędzia wiersza polecenia:
- Kontrolowanie stopnia równoległości skanowania na żądanie. Można to skonfigurować za pomocą programu
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
. Domyślnie używany jest stopień równoległości2
. - Określ, czy skanowanie po włączeniu lub wyłączeniu aktualizacji analizy zabezpieczeń. Można to skonfigurować za pomocą programu
mdatp config scan-after-definition-update --value [enabled/disabled]
. Domyślnie to ustawienie ma wartośćenabled
.
- Kontrolowanie stopnia równoległości skanowania na żądanie. Można to skonfigurować za pomocą programu
- Zmiana poziomu dziennika produktu wymaga teraz podniesienia uprawnień
- Poprawki błędów
(Kompilacja: 101.39.98 | Wersja wydania: 30.121062.13998.0)
Kompilacja: 101.39.98
Wersja wydania: 30.121062.13998.0
Co nowego
Ulepszenia wydajności & poprawek błędów
(Kompilacja: 101.34.27 | Wersja wydania: 30.121052.13427.0)
Kompilacja: 101.34.27
Wersja wydania: 30.121052.13427.0
Co nowego
Ulepszenia wydajności & poprawek błędów
(Kompilacja: 101.29.64 | Wersja wydania: 30.121042.12964.0)
Kompilacja: 101.29.64
Wersja wydania: 30.121042.12964.0
Co nowego
- Począwszy od tej wersji, zagrożenia wykryte podczas skanowania antywirusowego na żądanie wyzwalane za pośrednictwem klienta wiersza polecenia są automatycznie korygowane. Zagrożenia wykryte podczas skanowania wyzwalane za pośrednictwem interfejsu użytkownika nadal wymagają akcji ręcznej.
-
mdatp diagnostic real-time-protection-statistics
Teraz obsługuje jeszcze dwa przełączniki:-
--sort
: sortuje dane wyjściowe malejąco według całkowitej liczby skanowanych plików -
--top N
: wyświetla pierwsze wyniki N (działa tylko wtedy, gdy--sort
jest również określona)
-
- Ulepszenia wydajności & poprawek błędów
(Kompilacja: 101.25.72 | Wersja wydania: 30.121022.12563.0)
Kompilacja: 101.25.72
Wersja wydania: 30.121022.12563.0
Co nowego
Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux jest teraz dostępna w wersji zapoznawczej dla klientów rządowych USA. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.
- Rozwiązano problem polegający na tym, że użycie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux w systemach z systemami plików FUSE doprowadziło do zawieszenia systemu operacyjnego
- Ulepszenia wydajności & innych poprawek błędów
(Kompilacja: 101.25.63 | Wersja wydania: 30.121022.12563.0)
Kompilacja: 101.25.63
Wersja wydania: 30.121022.12563.0
Co nowego
Ulepszenia wydajności & poprawek błędów
(Kompilacja: 101.23.64 | Wersja wydania: 30.121021.12364.0)
Kompilacja: 101.23.64
Wersja wydania: 30.121021.12364.0
Co nowego
Poprawa wydajności w sytuacji, gdy cały punkt instalacji jest dodawany do listy wykluczeń programu antywirusowego. Przed tą wersją produkt przetworował działanie pliku pochodzące z punktu instalacji. Począwszy od tej wersji, działanie plików dla wykluczonych punktów instalacji jest pomijane, co prowadzi do lepszej wydajności produktu
- Dodano nową opcję do narzędzia wiersza polecenia, aby wyświetlić informacje o ostatnim skanowaniu na żądanie. Aby wyświetlić informacje o ostatnim skanowaniu na żądanie, uruchom polecenie
mdatp health --details antivirus
- Inne ulepszenia wydajności & poprawki błędów
(Kompilacja: 101.18.53)
Kompilacja: 101.18.53
Co nowego
EDR dla systemu Linux jest teraz ogólnie dostępny
- Dodano nowy przełącznik wiersza polecenia (
--ignore-exclusions
) w celu ignorowania wykluczeń av podczas skanowania niestandardowego (mdatp scan custom
) - Rozszerzono
mdatp diagnostic create
o nowy parametr (--path [directory]
), który umożliwia zapisywanie dzienników diagnostycznych w innym katalogu - Ulepszenia wydajności & poprawek błędów