Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
- Microsoft Defender para Endpoint para servidores
- Microsoft Defender para Servidores Plano 1 ou Plano 2
Como funcionam as atualizações de informações de segurança offline
Este artigo descreve como configurar atualizações de informações de segurança offline no Defender para Endpoint no Linux. Esta capacidade permite-lhe atualizar informações de segurança (também conhecidas como definições ou assinaturas) em dispositivos Linux com exposição limitada ou sem exposição à Internet. Com esta configuração, utiliza um servidor de alojamento local, denominado servidor espelhado, que se liga à cloud da Microsoft para transferir atualizações de informações de segurança. Outros dispositivos Linux extraem estas atualizações do servidor espelhado em intervalos predefinidos.
Benefícios da utilização de atualizações de informações de segurança offline
Os principais benefícios incluem:
- A sua equipa de segurança pode controlar e gerir a frequência das transferências de assinaturas no servidor local e a frequência com que os pontos finais extraem assinaturas do servidor local.
- Tem uma camada adicional de proteção e controlo, uma vez que as assinaturas transferidas podem ser testadas num dispositivo de teste antes de serem propagadas para toda a frota.
- Precisa de menos largura de banda de rede, porque apenas um servidor local obtém as atualizações mais recentes da cloud da Microsoft em nome de toda a sua frota.
- O servidor espelhado pode executar o Windows, Mac ou Linux e não tem de instalar o Defender para Endpoint nesse servidor.
- Obtém a proteção antivírus mais atualizada, porque as assinaturas são sempre transferidas juntamente com o motor antivírus compatível mais recente.
- As versões mais antigas das assinaturas (
n-1) são movidas para uma pasta de cópia de segurança no servidor espelhado em cada iteração. Se existir um problema com as atualizações mais recentes, pode solicitar an-1versão da assinatura da pasta de cópia de segurança para os seus dispositivos. - No caso raro de uma atualização offline falhar, pode configurar uma opção de contingência para obter atualizações online a partir da cloud da Microsoft.
Como funciona a atualização de informações de segurança offline
- Configure um servidor espelhado, que é um servidor Web local ou NFS acessível pela cloud da Microsoft.
- As assinaturas são transferidas a partir da cloud da Microsoft neste servidor espelhado ao executar um script com tarefa cron ou programador de tarefas no servidor local.
- Os pontos finais do Linux que executam o Defender para Endpoint extraem as assinaturas transferidas do servidor espelhado num intervalo de tempo predefinido.
- As assinaturas extraídas para dispositivos Linux a partir do servidor local são primeiro verificadas antes de serem carregadas para o motor antivírus.
- Para iniciar e configurar o processo de atualização, pode atualizar o ficheiro json de configuração gerida nos seus dispositivos Linux.
- Pode ver o estado das atualizações na CLI do mdatp.
Fig. 1: Diagrama de fluxo de processos no servidor espelhado para transferir as atualizações de informações de segurança
Fig. 2: Diagrama de fluxo de processos no ponto final do Linux para atualizações de informações de segurança
O servidor espelhado pode executar qualquer um dos seguintes sistemas operativos:
- Linux (qualquer sabor)
- Windows (qualquer versão)
- Mac (qualquer versão)
Pré-requisitos
A versão
101.24022.0001do Defender para Endpoint ou posterior tem de ser instalada nos pontos finais do Linux.Os pontos finais do Linux têm de ter conectividade ao servidor espelhado.
O ponto final do Linux tem de estar a executar qualquer uma das distribuições suportadas pelo Defender para Endpoint. (veja Distribuições suportadas do Linux.)
O servidor espelhado pode ser um servidor HTTP/HTTPS ou um servidor de partilha de rede, como um Servidor NFS.
O servidor espelhado tem de ter acesso aos seguintes URLs:
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
O servidor espelhado deve suportar bash ou PowerShell.
São necessárias as seguintes especificações mínimas do sistema para o servidor espelhado:
Núcleo da CPU RAM Disco gratuito Trocar 2 núcleos (Preferencial 4 Núcleos) 1 GB Min (4 GB Preferenciais) 2 GB Dependente do Sistema Nota
Esta configuração pode variar consoante o número de pedidos que são servidos e a carga que cada servidor tem de processar.
Configurar o servidor espelhado
Nota
- A gestão e a propriedade do Servidor Espelhado residem exclusivamente no cliente, uma vez que reside no ambiente privado do cliente.
- O Servidor Espelhado não precisa de ter o Defender para Endpoint instalado.
Obter o script do transferidor de informações de segurança offline
A Microsoft aloja um script de transferência de informações de segurança offline neste repositório do GitHub.
Execute os seguintes passos para obter o script do downloader:
Opção 1: Clonar o repositório (Preferencial)
Instale o git no servidor espelhado.
Navegue para o diretório onde pretende clonar o repositório.
Execute o seguinte comando:
git clone https://github.com/microsoft/mdatp-xplat.git
Opção 2: Transferir o ficheiro zipado
Copie o ficheiro transferido para a pasta onde pretende manter o script.
Extraia a pasta zipada.
Agende uma tarefa ou uma tarefa cron para manter o ficheiro zip repositório/transferido atualizado para a versão mais recente em intervalos regulares.
Estrutura de diretório local após clonar o repositório ou transferir o ficheiro zipado
Depois de clonar o repositório ou transferir o ficheiro zipado, a estrutura do diretório local deve ser a seguinte:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Nota
Percorra o README.md ficheiro para compreender detalhadamente como utilizar o script.
O settings.json ficheiro consiste em algumas variáveis que o utilizador pode configurar para determinar o resultado da execução do script.
| Nome do Campo | Valor | Descrição |
|---|---|---|
downloadFolder |
cadeia | Mapeia para a localização para onde o script transfere os ficheiros. |
downloadLinuxUpdates |
bool | Quando definido como true, o script transfere as atualizações específicas do Linux para o downloadFolder. |
logFilePath |
cadeia | Configura os registos de diagnóstico numa determinada pasta. Este ficheiro pode ser partilhado com a Microsoft para depurar o script, caso existam problemas. |
downloadMacUpdates |
bool | O script transfere as atualizações específicas do Mac para o downloadFolder. |
downloadPreviewUpdates |
bool | Transfere a versão de pré-visualização das atualizações disponíveis para o SO específico. |
backupPreviousUpdates |
bool | Permite que o script copie a atualização anterior na _back pasta e as novas atualizações são transferidas para downloadFolder. |
Executar o script do transferidor de informações de segurança offline
Para executar manualmente o script do transferidor, configure os parâmetros no settings.json ficheiro de acordo com a descrição na secção anterior e utilize um dos seguintes comandos com base no SO do servidor espelhado:
Bash:
./xplat_offline_updates_download.shPowerShell:
./xplat_offline_updates_download.ps1
Nota
Agende uma tarefa cron para executar este script para transferir as atualizações de informações de segurança mais recentes no servidor espelhado em intervalos regulares.
Alojar as atualizações de informações de segurança offline no servidor espelhado
Assim que o script for executado, as assinaturas mais recentes são transferidas para a pasta configurada no settings.json ficheiro (updates.zip).
Assim que o zip de assinaturas for transferido, o servidor espelhado pode ser utilizado para alojá-lo. O servidor espelhado pode ser alojado com qualquer um dos servidores de partilha http/HTTPS/rede ou um ponto de montagem local/remoto.
Uma vez alojado, copie o caminho absoluto do servidor alojado (até e não incluindo o arch_* diretório).
Nota
Por exemplo, se o script do transferidor for executado com downloadFolder=/tmp/wdav-updatee o servidor HTTP (www.example.server.com:8000) estiver a alojar o /tmp/wdav-update caminho, o URI correspondente será: www.example.server.com:8000/linux/production/ (verifique se no diretório existem arch_* diretórios).
Também pode utilizar o caminho absoluto do diretório (ponto de montagem local/remoto). Por exemplo, se os ficheiros forem transferidos pelo script para um diretório /tmp/wdav-update, o URI correspondente será:/tmp/wdav-update/linux/production.
Assim que o servidor espelhado estiver configurado, terá de propagar este URI para os pontos finais do Linux como no offlineDefinitionUpdateUrl na Configuração Gerida, conforme descrito na secção seguinte.
Configurar os pontos finais
Utilize o exemplo seguinte mdatp_managed.json e atualize os parâmetros de acordo com a configuração e copie o ficheiro para a localização /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| Nome do Campo | Valores | Comentários |
|---|---|---|
automaticDefinitionUpdateEnabled |
True/False |
Determina o comportamento do Defender para Endpoint ao tentar efetuar atualizações automaticamente, é ativado ou desativado, respetivamente. |
definitionUpdatesInterval |
Numérico | Tempo de intervalo entre cada atualização automática de assinaturas (em segundos). |
offlineDefinitionUpdateUrl |
Cadeia | Valor de URL gerado como parte da configuração do servidor espelhado. Isto pode ser em termos do URL do servidor remoto ou de um diretório (ponto de montagem local/remoto). Consulte a secção anterior para obter informações sobre como especificar este caminho. |
offlineDefinitionUpdate |
enabled/disabled |
Quando definida como enabled, a funcionalidade de atualização de informações de segurança offline está ativada e vice-versa. |
offlineDefinitionUpdateFallbackToCloud |
True/False |
Determine a abordagem de atualização de informações de segurança do Defender para Endpoint quando o servidor espelhado offline não conseguir servir o pedido de atualização. Se definida como true, a atualização é repetida através da cloud da Microsoft quando a atualização de informações de segurança offline falhou; caso contrário, vice-versa. |
offlineDefinitionUpdateVerifySig |
enabled/disabled |
Quando definidas como enabled, as definições transferidas são verificadas nos pontos finais; caso contrário, vice-versa. |
Nota
Atualmente, as atualizações de informações de segurança offline podem ser configuradas em pontos finais do Linux apenas através de json gerido. A integração com a gestão de definições de segurança do Defender para Endpoint no portal do Microsoft Defender está no mapa de objetivos, mas ainda não está disponível.
Verificar a configuração
Para testar se as definições são aplicadas corretamente nos pontos finais do Linux, execute o seguinte comando:
mdatp health --details definitions
Uma saída de exemplo teria um aspeto semelhante ao seguinte fragmento de código:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Acionar as atualizações de informações de segurança offline
Atualização automática
- Se o nível de imposição do motor antivírus estiver definido como
real_timee os camposautomaticDefinitionUpdateEnabledeoffline_definition_updateno json gerido estiverem definidos comotrue, as atualizações de informações de segurança offline são acionadas automaticamente em intervalos periódicos. - Por predefinição, este intervalo periódico é de 8 horas. No entanto, pode ser configurado ao definir o
definitionUpdatesIntervalparâmetro no json gerido.
Atualização manual
Para acionar a atualização de informações de segurança offline manualmente para transferir as assinaturas do servidor espelhado nos pontos finais do Linux, execute o seguinte comando:
mdatp definitions update
Verificar o estado da atualização
Depois de acionar atualizações de informações de segurança offline com o método automático ou manual, verifique se a atualização foi efetuada com êxito ao executar o comando:
mdatp health --details --definitions.Verifique os seguintes campos:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Resolução de problemas e diagnósticos
Se as atualizações falharem, estiverem bloqueadas ou não iniciarem, siga estes passos para resolver o problema:
Verifique o estado das atualizações de informações de segurança offline com o seguinte comando:
mdatp health --details definitionsProcure informações na
definitions_update_fail_reasonsecção .Certifique-se de que
offline_definition_updateeoffline_definition_update_verify_sigestão ativados.Certifique-se de que
definitions_update_source_urié igual aoffline_definition_url_configured.-
definitions_update_source_urié a origem de onde as assinaturas foram transferidas. -
offline_definition_url_configuredé a origem de onde as assinaturas devem ser transferidas, a mencionada no ficheiro de configuração gerida.
-
Experimente executar o teste de conectividade para verificar se o servidor espelhado está acessível a partir do anfitrião:
mdatp connectivity testTente iniciar uma atualização manual com o seguinte comando:
mdatp definitions update