Linux 上的 Microsoft Defender for Endpoint 中的新增功能

  • 项目

适用于:

本文经常更新,让你了解 Linux 上Microsoft Defender for Endpoint的最新版本中的新增功能。

2024 年 3 月 (内部版本:101.24022.0001 |发布版本:30.124022.0001.0)

2024 年 3 月内部版本:101.24022.0001 |发布版本:30.124022.0001.0

 发布日期: 2024 年 3 月 22 日
 发布日期: 2024 年 3 月 22 日
 内部版本: 101.24022.0001
 发布版本: 30.124022.0001.0
 引擎版本: 1.1.23110.4
 签名版本: 1.403.87.0

新增功能

此版本中有多个修补程序和新更改:

  • 添加新日志文件 - microsoft_defender_scan_skip.log。 这将记录由于任何原因,Microsoft Defender for Endpoint从各种防病毒扫描中跳过的文件名。
  • 稳定性和性能改进。
  • Bug 修复。
2024 年 3 月 (内部版本:101.24012.0001 |版本:30.124012.0001.0)

2024 年 3 月内部版本:101.24012.0001 |发布版本:30.124012.0001.0

 发布日期: 2024 年 3 月 12 日
 发布日期: 2024 年 3 月 12 日
 内部版本: 101.24012.0001
 发布版本: 30.124012.0001.0
 引擎版本: 1.1.23110.4
 签名版本: 1.403.87.0

新增功能 此版本中有多个修补程序和新更改:

  • 将默认引擎版本更新为 1.1.23110.4,将默认签名版本更新为 1.403.87.0
  • 稳定性和性能改进。
  • Bug 修复。
2024 年 2 月 (内部版本:101.23122.0002 |版本:30.123122.0002.0)

2024 年 2 月 内部版本:101.23122.0002 |发布版本:30.123122.0002.0

 发布日期: 2024 年 2 月 5 日
 发布日期: 2024 年 2 月 5 日
 内部版本: 101.23122.0002
 发布版本: 30.123122.0002.0
 引擎版本: 1.1.23100.2010
 签名版本: 1.399.1389.0

新增功能 此版本中有多个修补程序和新更改:

如果已在上述任何发行版上运行 Defender for Endpoint,并在旧版本中遇到任何问题,请从上述相应通道升级到最新的 Defender for Endpoint 版本。 有关更多详细信息 ,请参阅我们的公共部署文档

注意

已知问题:

Microsoft Defender for Endpoint适用于 Linux on Rocky 和 Alma 当前存在以下已知问题:

  • 当前不支持实时响应和威胁漏洞管理, () 正在进行的工作。
  • Microsoft Defender门户中不显示设备的操作系统信息
2024 年 1 月 (内部版本:101.23112.0009 |发布版本:30.123112.0009.0)

2024 年 1 月内部版本:101.23112.0009 |发布版本:30.123112.0009.0

 发布日期: 2024 年 1 月 29 日
 发布时间: 2024 年 1 月 29 日
 内部版本: 101.23112.0009
 发布版本: 30.123112.0009.0
 引擎版本: 1.1.23100.2010
 签名版本: 1.399.1389.0

新增功能

  • 将默认引擎版本更新为 1.1.23110.4,将默认签名版本更新为 1.403.1579.0
  • 常规稳定性和性能改进。
  • 行为监视配置的 Bug 修复。
  • Bug 修复。
2023 年 11 月- (版本:101.23102.0003 |发布版本:30.123102.0003.0)

2023 年 11 月版本:101.23102.0003 |版本:30.123102.0003.0

 发布日期: 2023 年 11 月 28 日
 发布日期: 2023 年 11 月 28 日
 内部版本: 101.23102.0003
 版本: 30.123102.0003.0
 引擎版本: 1.1.23090.2008
 签名版本: 1.399.690.0

新增功能

  • 将默认引擎版本更新为 1.1.23090.2008,将默认签名版本更新为 1.399.690.0
  • 已将 libcurl 库更新到版本 8.4.0 ,以修复较旧版本最近披露的漏洞。
  • 已将 Openssl 库更新到版本 3.1.1 ,以修复较旧版本最近披露的漏洞。
  • 常规稳定性和性能改进。
  • Bug 修复。
2023 年 11 月- (内部版本:101.23092.0012 |发布版本:30.123092.0012.0)

2023 年 11 月内部版本:101.23092.0012 |发布版本:30.123092.0012.0

 发布日期: 2023 年 11 月 14 日
 发布时间: 2023年11月14日
 内部版本: 101.23092.0012
 发布版本: 30.123092.0012.0
 引擎版本: 1.1.23080.2007
 签名版本: 1.395.1560.0

新增功能

此版本中有多个修补程序和新更改:

  • 添加了支持以使用以下命令基于原始路径还原威胁:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]

  • 从此版本开始,Linux 上的Microsoft Defender for Endpoint将不再提供适用于 RHEL 6 的解决方案。

    RHEL 6“延长生命周期终止支持”定于 2024 年 6 月 30 日结束,建议客户根据 Red Hat 的指导相应地规划其 RHEL 升级。 需要在 RHEL 6 服务器上运行 Defender for Endpoint 的客户可以继续使用版本 101.23082.0011, (不会在 2024 年 6 月 30 日之前过期,) 内核版本 2.6.32-754.49.1.el6.x86_64 或更早版本支持。

    • 引擎更新到 1.1.23080.2007 和 签名版本: 1.395.1560.0
    • 简化的设备连接体验现在处于公共预览模式。 公共博客
    • 性能改进 & bug 修复。

已知问题

2023 年 11 月- (内部版本:101.23082.0011 |发布版本:30.123082.0011.0)

2023 年 11 月版本:101.23082.0011 |发布版本:30.123082.0011.0

 发布日期: 2023 年 11 月 1 日
 发布时间: 2023 年 11 月 1 日
 内部版本: 101.23082.0011
 发布版本: 30.123082.0011.0
 引擎版本: 1.1.23070.1002
 签名版本: 1.393.1305.0

新增功能 此新版本在 2023 年 10 月版本 (“101.23082.0009”) ,并添加了以下更改。 对于其他客户没有更改,升级是可选的。

修复了当补充子系统为 ebpf 时审核的不可变模式:在 ebpf 模式下,切换到 ebpf 并重新启动后,应清理所有 mdatp 审核规则。 重新启动后,mdatp 审核规则未清理,导致服务器挂起。 修复将清理这些规则,用户不应看到重新启动时加载的任何 mdatp 规则

修复了 RHEL 6 上未启动MDE。

已知问题

从 mdatp 版本 101.75.43 或 101.78.13 升级时,可能会遇到内核挂起。 在尝试升级到版本 101.98.05 之前运行以下命令。 有关基础问题的详细信息,请参阅 由于 fanotify 代码中被阻止的任务而导致系统挂起

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 10 月 (内部版本:101.23082.0009 |发布版本:30.123082.0009.0)

2023 年 10 月内部版本:101.23082.0009 |版本:30.123082.0009.0

 发布日期: 2023 年 10 月 9 日
 发布日期: 2023 年 10 月 9 日
 内部版本: 101.23082.0009
 版本: 30.123082.0009.0
 引擎版本: 1.1.23070.1002
 签名版本: 1.393.1305.0

新增功能

  • 此新版本在 2023 年 10 月版本 (“101.23082.0009”) 添加了新的 CA 证书。 对于其他客户没有更改,升级是可选的。

已知问题

从 mdatp 版本 101.75.43 或 101.78.13 升级时,可能会遇到内核挂起。 在尝试升级到版本 101.98.05 之前运行以下命令。 有关基础问题的详细信息,请参阅 由于 fanotify 代码中被阻止的任务而导致系统挂起

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 10 月 (内部版本:101.23082.0006 |发布版本:30.123082.0006.0)

2023 年 10 月内部版本:101.23082.0006 |发布版本:30.123082.0006.0

 发布日期: 2023 年 10 月 9 日
 发布日期: 2023 年 10 月 9 日
 内部版本: 101.23082.0006
 发布版本: 30.123082.0006.0
 引擎版本: 1.1.23070.1002
 签名版本: 1.393.1305.0

新增功能

  • 功能更新和新更改

    • eBPF 传感器现在是终结点的默认补充事件提供程序
    • Microsoft Intune租户附加功能自) 年 7 月中旬开始提供公共预览版 (
      • 必须将“*.dm.microsoft.com”添加到防火墙排除项,才能使该功能正常工作
    • Defender for Endpoint 现在可用于 Debian 12 和 Amazon Linux 2023
    • 支持启用已下载更新的签名验证

      • 请注意,必须更新manajed.json,如下所示

          "features":{
    "OfflineDefinitionUpdateVerifySig":"enabled"
  }

      • 启用功能的先决条件

        • 设备上的引擎版本必须为“1.1.23080.007”或更高版本。 使用以下命令检查引擎版本。 mdatp health --field engine_version
    • 支持监视 NFS 和 FUSE 装入点的选项。 默认情况下会忽略这些项。 以下示例演示如何在仅忽略 NFS 时监视所有文件系统:
      "antivirusEngine": {
      "unmonitoredFilesystems": ["nfs"]
  }

    监视所有文件系统(包括 NFS 和 FUSE)的示例:

    "antivirusEngine": {
    "unmonitoredFilesystems": []
}
    • 其他性能改进
    • Bug 修复

已知问题

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 9 月 (内部版本:101.23072.0021 |发布版本:30.123072.0021.0)

2023 年 9 月内部版本:101.23072.0021 |发布版本:30.123072.0021.0

 发布日期: 2023 年 9 月 11 日
 发布日期: 2023 年 9 月 11 日
 内部版本: 101.23072.0021
 发布版本: 30.123072.0021.0
 引擎版本: 1.1.20100.7
 签名版本: 1.385.1648.0

新增功能

  • 此版本中有多个修补程序和新更改
    • 在 mde_installer.sh v0.6.3 中,用户可以使用 --channel 参数在清理期间提供已配置存储库的通道。 例如,sudo ./mde_installer --clean --channel prod
    • 管理员 mdatp network-protection reset现在可以使用 重置网络扩展。
    • 其他性能改进
    • Bug 修复

已知问题

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 7 月 (内部版本:101.23062.0010 |发布版本:30.123062.0010.0)

2023 年 7 月 内部版本:101.23062.0010 |发布版本:30.123062.0010.0

 发布日期: 2023 年 7 月 26 日
 发布时间: 2023年7月26日
 内部版本: 101.23062.0010
 发布版本: 30.123062.0010.0
 引擎版本: 1.1.20100.7
 签名版本: 1.385.1648.0

新增功能

  • 此版本中有多个修补程序和新更改

    • 如果为 Defender for Endpoint 设置了代理,则该代理在命令输出中 mdatp health 可见
    • 在此版本中,我们在 mdatp 诊断热事件源中提供了两个选项:
      1. 文件
      2. 可执行 文件
    • 网络保护:网络保护阻止并被用户覆盖的Connections现在已正确报告给Microsoft Defender XDR
    • 改进了网络保护阻止和审核事件中的日志记录以用于调试

  • 其他修复和改进

    • 在此版本中,enforcementLevel 默认处于被动模式,使管理员能够更好地控制他们希望在其资产中“打开 RTP”的位置
    • 此更改仅适用于新的MDE部署,例如首次部署 Defender for Endpoint 的服务器。 在更新方案中,使用 RTP ON 部署了 Defender for Endpoint 的服务器,即使更新到版本 101.23062.0010 后,仍继续使用 RTP ON 运行

  • Bug 修复

    • 已修复 Defender 漏洞管理基线中的 RPM 数据库损坏问题

  • 其他性能改进

已知问题

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 7 月 (内部版本:101.23052.0009 |发布版本:30.123052.0009.0)

2023 年 7 月内部版本:101.23052.0009 |发布版本:30.123052.0009.0

 发布日期: 2023 年 7 月 10 日
 发布时间: 2023年7月10日
 内部版本: 101.23052.0009
 发布版本: 30.123052.0009.0
 引擎版本: 1.1.20100.7
 签名版本: 1.385.1648.0

新增功能

  • 此版本中有多个修补程序和新更改 - 从此版本更新了生成版本架构。 虽然主版本号与 101 保持相同,但次要版本号现在有 5 位数字,后跟 4 位修补程序号, 101.xxxxx.yyy 即 - 在压力下改进了网络保护内存消耗
    • 将引擎版本更新为 1.1.20300.5 并将签名版本更新为 1.391.2837.0
    • Bug 修复。

已知问题

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 6 月 (内部版本:101.98.89 |版本:30.123042.19889.0)

2023 年 6 月 版本:101.98.89 |发布版本:30.123042.19889.0

 发布日期: 2023 年 6 月 12 日
 发布时间: 2023 年 6 月 12 日
 内部版本: 101.98.89
 发布版本: 30.123042.19889.0
 引擎版本: 1.1.20100.7
 签名版本: 1.385.1648.0

新增功能

  • 此版本中有多个修补程序和新更改
    • 改进了网络保护代理处理。
    • 在被动模式下,当发生定义更新时,Defender for Endpoint 不再扫描。
    • 即使 Defender for Endpoint 代理过期,设备也将继续受到保护。 建议将 Defender for Endpoint Linux 代理升级到最新可用版本,以接收 bug 修复、功能和性能改进。
    • 删除了 semanage 包依赖项。
    • 引擎更新到 1.1.20100.7 和 签名版本: 1.385.1648.0
    • Bug 修复。

已知问题

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 5 月 (版本:101.98.64 |发布版本:30.123032.19864.0)

2023 年 5 月 内部版本:101.98.64 |发布版本:30.123032.19864.0

 发布日期: 2023 年 5 月 3 日
 发布时间: 2023 年 5 月 3 日
 内部版本: 101.98.64
 发布版本: 30.123032.19864.0
 引擎版本: 1.1.20100.6
 签名版本: 1.385.68.0

新增功能

  • 此版本中有多个修补程序和新更改
    • 改进了运行状况消息,以捕获有关审核失败的详细信息。
    • 改进了处理导致安装失败的 augenrules。
    • 引擎进程中的定期内存清理。
    • 修复了 mdatp audisp 插件中的内存问题。
    • 在安装过程中处理了缺少的插件目录路径。
    • 当发生冲突的应用程序正在使用阻止 fanotify 时,默认配置 mdatp 运行状况显示不正常。 此问题已修复。
    • 支持 BM 中的 ICMP 流量检查。
    • 引擎更新到 1.1.20100.6 和 签名版本: 1.385.68.0
    • Bug 修复。

已知问题

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 警告:某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 4 月 (内部版本:101.98.58 |发布版本:30.123022.19858.0)

2023 年 4 月内部版本:101.98.58 |发布版本:30.123022.19858.0

 发布日期: 2023 年 4 月 20 日
 发布时间: 2023 年 4 月 20 日
 内部版本: 101.98.58
 发布版本: 30.123022.19858.0
 引擎版本: 1.1.20000.2
 签名版本: 1.381.3067.0

新增功能

  • 此版本中有多个修补程序和新更改
    • 已审核的日志记录和错误报告改进。
    • 处理重新加载已审核配置的失败。
    • 在安装MDE期间处理空的审核规则文件。
    • 引擎更新到 1.1.20000.2 和 签名版本: 1.381.3067.0
    • 解决了 mdatp 中由于 selinux 拒绝而出现的运行状况问题。
    • Bug 修复。

已知问题

  • 将 mdatp 升级到版本 101.94.13 或更高版本时,你可能会注意到运行状况为 false,health_issues为“无活动的补充事件提供程序”。 这可能是由于现有计算机上的审核规则配置错误/冲突导致的。 若要缓解此问题,需要修复现有计算机上的审核规则。 以下命令可帮助你识别此类审核规则 (命令需要以超级用户) 运行。 备份以下文件:/etc/audit/rules.d/audit.rules,因为这些步骤仅用于识别失败。
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

有两种方法可以缓解此升级问题:

  1. 使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. 作为替代方法,可以按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级之前按顺序禁用 rtp 和 mdatp。 警告:某些客户 (<1%) 遇到此方法的问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 3 月 (内部版本:101.98.30 |发布版本:30.123012.19830.0)

2023 年 3 月 内部版本:101.98.30 |发布版本:30.123012.19830.0

 发布日期: 2023 年 3 月 20 日
 发布时间: 2023 年 3 月 20 日
 内部版本: 101.98.30
 发布版本: 30.123012.19830.0
 引擎版本: 1.1.19900.2
 签名版本: 1.379.1299.0
新增功能

  • 此新版本于 2023 年 3 月版本 (“101.98.05”) ,并修复了某个客户的实时响应命令失败问题。 其他客户没有变化,升级是可选的。

已知问题

  • 对于 mdatp 版本 101.98.30,在某些情况下,你可能会看到运行状况错误问题,因为 SELinux 规则未针对某些方案定义。 运行状况警告可能如下所示:

在最近一天内发现 SELinux 拒绝。 如果最近安装了 MDATP,请清除现有审核日志或等待一天,以便此问题自动解决。 使用命令:“sudo ausearch -i -c 'mdatp_audisp_pl' |grep “type=AVC” |grep“拒绝”查找详细信息

可以通过运行以下命令来缓解此问题。

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

此处,my-mdatpaudisppl_v1 表示策略模块名称。 运行命令后,请等待 24 小时或清除/存档审核日志。 可以通过运行以下命令来存档审核日志

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

如果问题再次出现并出现一些不同的拒绝。 我们需要使用不同的模块名称再次运行缓解措施, (例如 my-mdatpaudisppl_v2) 。

2023 年 3 月 (内部版本:101.98.05 |发布版本:30.123012.19805.0)

2023 年 3 月 (内部版本:101.98.05 |发布版本:30.123012.19805.0)

 发布日期: 2023 年 3 月 8 日
 发布时间: 2023 年 3 月 8 日
 内部版本: 101.98.05
 发布版本: 30.123012.19805.0
 引擎版本: 1.1.19900.2
 签名版本: 1.379.1299.0

新增功能

此版本中有多个修补程序和新更改。

  • 改进了网络连接事件的数据完整性
  • 改进了文件所有权/权限更改的数据收集功能
  • seManage 在包的一部分,可以在不同的发行版中配置 seLinux 策略, (固定) 。
  • 改进了企业守护程序稳定性
  • AuditD 停止路径清理
  • 提高了 mdatp 停止流的稳定性。
  • 向 wdavstate 添加了新字段,以跟踪平台更新时间。
  • 对分析 Defender for Endpoint 载入 Blob 的稳定性进行了改进。
  • 如果不存在有效的许可证 (修复) ,则扫描不会继续
  • 向 xPlatClientAnalyzer 添加了性能跟踪选项,启用了跟踪的 mdatp 进程会转储可用于分析性能问题的 all_process.zip 文件中的流。
  • 在 Defender for Endpoint 中添加了对以下 RHEL-6 内核版本的支持:
    • 2.6.32-754.43.1.el6.x86_64
    • 2.6.32-754.49.1.el6.x86_64
  • 其他修复

已知问题

  • 将 mdatp 升级到版本 101.94.13 时,你可能会注意到运行状况为 false,health_issues为“无活动的补充事件提供程序”。 这可能是由于现有计算机上的审核规则配置错误/冲突导致的。 若要缓解此问题,需要修复现有计算机上的审核规则。 以下步骤可帮助你识别此类审核规则, (这些命令需要以超级用户) 运行。 请确保备份以下文件:“/etc/audit/rules.d/audit.rules”,因为这些步骤仅用于识别失败。
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

有两种方法可以缓解升级问题。

使用包管理器卸载 101.75.43101.78.13 mdatp 版本。 示例:

sudo apt purge mdatp
sudo apt-get install mdatp

或者,可以按照说明 卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级前按顺序禁用 rtp 和 mdatp。 警告:某些客户 (<1%) 遇到此方法问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2023 年 1 月 (版本:101.94.13 |发布版本:30.122112.19413.0)

2023 年 1 月 (版本:101.94.13 |发布版本:30.122112.19413.0)

 发布日期: 2023 年 1 月 10 日
 发布时间: 2023 年 1 月 10 日
 内部版本: 101.94.13
 发布版本: 30.122112.19413.0
 引擎版本: 1.1.19700.3
 签名版本: 1.377.550.0

新增功能

  • 此版本中有多个修补程序和新更改
    • 默认情况下,在被动模式下跳过威胁隔离。
    • 新配置 nonExecMountPolicy 现在可用于指定标记为 noexec 的装载点上的 RTP 行为。
    • 新配置 unmonitoredFilesystems 可用于取消监视某些文件系统。
    • 提高了高负载和速度测试方案中的性能。
    • 修复了访问 Cisco AnyConnect VPN 连接后面的 SMB 共享的问题。
    • 修复了网络保护和 SMB 的问题。
    • lttng 性能跟踪支持。
    • TVM、eBPF、审核、遥测和 mdatp cli 改进。
    • mdatp 运行状况现在报告behavior_monitoring
    • 其他修复。

已知问题

  • 将 mdatp 升级到版本 101.94.13时,你可能会注意到运行状况为 false,health_issues为“无活动的补充事件提供程序”。 这可能是由于现有计算机上的审核规则配置错误/冲突导致的。 若要缓解此问题,需要修复现有计算机上的审核规则。 以下步骤可帮助你识别此类审核规则, (这些命令需要以超级用户) 运行。 备份以下文件: /etc/audit/rules.d/audit.rules 因为这些步骤仅用于识别故障。
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

有两种方法可以缓解升级问题。

使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp

作为上述方法的替代方法,可以按照说明 卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级前按顺序禁用 rtp 和 mdatp。 警告:某些客户 (<1%) 遇到此方法问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2022 年 11 月 (版本:101.85.27 |发布版本:30.122092.18527.0)

2022 年 11 月 (版本:101.85.27 |发布版本:30.122092.18527.0)

 发布日期: 2022 年 11 月 2 日
 发布时间: 2022 年 11 月 2 日
 内部版本: 101.85.27
 发布版本: 30.122092.18527.0
 引擎版本: 1.1.19500.2
 签名版本: 1.371.1369.0

新增功能

  • 此版本中有多个修补程序和新更改
    • 此版本默认为 V2 引擎,为了增强安全性,将删除 V1 引擎位。
    • V2 引擎支持 AV 定义的配置路径。 (mdatp 定义集路径)
    • 从 MDE 包中删除了外部包依赖项。 已删除的依赖项为 libatomic1、libselinux、libseccomp、libfuse 和 libuuid
    • 如果配置禁用了崩溃收集,则不会启动崩溃监视过程。
    • 性能修复,以最佳方式将系统事件用于 AV 功能。
    • 重启 mdatp 和加载 epsext 问题时的稳定性改进。
    • 其他修复

已知问题

有两种方法可以缓解升级问题。

使用包管理器卸载 101.75.43101.78.13 mdatp 版本。

示例:

sudo apt purge mdatp
sudo apt-get install mdatp

作为替代方法,请按照说明 进行卸载,然后 安装 最新版本的包。

如果不想卸载 mdatp,可以在升级前按顺序禁用 rtp 和 mdatp。 警告:某些客户 (<1%) 遇到此方法问题。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2022 年 9 月 (版本:101.80.97 |版本:30.122072.18097.0)

2022 年 9 月 (版本:101.80.97 |发布版本:30.122072.18097.0)

 发布日期: 2022 年 9 月 14 日
 发布日期: 2022 年 9 月 14 日
 内部版本: 101.80.97
 发布版本: 30.122072.18097.0
 引擎版本: 1.1.19300.3
 签名版本: 1.369.395.0

新增功能

  • 修复了在运行 mdatp 版本 101.75.43的选定客户工作负载上观察到的内核挂起。 在 RCA 之后,这归因于在释放传感器文件描述符的所有权时出现争用条件。 由于关闭路径中最近的产品更改,争用条件已公开。 使用较新内核版本 (5.1 以上) 的客户不受此问题的影响。 有关详细信息,请参阅 在 fanotify 代码中由于任务被阻止而导致系统挂起

已知问题

  • 从 mdatp 版本 101.75.43101.78.13升级时,可能会遇到内核挂起。 在尝试升级到版本 101.80.97之前运行以下命令。 此操作应可防止问题发生。
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

执行命令后,使用包管理器执行升级。

作为替代方法,请按照说明 进行卸载,然后 安装 最新版本的包。













2022 年 8 月 (版本:101.78.13 |发布版本:30.122072.17813.0)

2022 年 8 月 (版本:101.78.13 |发布版本:30.122072.17813.0)

 发布日期: 2022 年 8 月 24 日
 发布时间: 2022 年 8 月 24 日
 内部版本: 101.78.13
 发布版本: 30.122072.17813.0
 引擎版本: 1.1.19300.3
 签名版本: 1.369.395.0

新增功能

  • 由于可靠性问题而回滚













2022 年 8 月 (版本:101.75.43 |发布版本:30.122071.17543.0)

2022 年 8 月 (版本:101.75.43 |发布版本:30.122071.17543.0)

 发布日期: 2022 年 8 月 2 日
 发布时间: 2022 年 8 月 2 日
 内部版本: 101.75.43
 发布版本: 30.122071.17543.0
 引擎版本: 1.1.19300.3
 签名版本: 1.369.395.0

新增功能

  • 添加了对 Red Hat Enterprise Linux 版本 9.0 的支持
  • 在 的输出 mdatp health 中添加了一个新字段,该字段可用于查询网络保护功能的强制级别。 新字段被调用 network_protection_enforcement_level ,可以采用以下值之一: auditblockdisabled
  • 解决了对相同内容的多次检测可能导致威胁历史记录中的重复条目的产品 bug
  • 解决了服务停止时产品 (mdatp_audisp_plugin) 生成的某个进程有时未正确终止的问题
  • 其他 bug 修复













2022 年 7 月 (版本:101.73.77 |发布版本:30.122062.17377.0)

2022 年 7 月 (版本:101.73.77 |发布版本:30.122062.17377.0)

 发布日期: 2022 年 7 月 21 日
 发布时间: 2022 年 7 月 21 日
 内部版本: 101.73.77
 发布版本: 30.122062.17377.0
 引擎版本: 1.1.19200.3
 签名版本: 1.367.1011.0

新增功能

  • 添加了用于配置文件哈希计算的选项
  • 从此版本开始,产品默认具有新的反恶意软件引擎
  • 文件复制操作的性能改进
  • Bug 修复













2022 年 6 月 (版本:101.71.18 |发布版本:30.122052.17118.0)

 发布日期: 2022 年 6 月 24 日
 发布时间: 2022 年 6 月 24 日
 内部版本: 101.71.18
 发布版本: 30.122052.17118.0

新增功能

  • 修复了 支持非标准位置的定义存储, (v2 定义更新的 /var) 之外
  • 修复了 RHEL 6 上使用的产品传感器中可能导致 OS 挂起的问题
  • mdatp connectivity test 扩展了产品正常运行所需的额外 URL。 新 URL 为 https://go.microsoft.com/fwlink/?linkid=2144709
  • 到目前为止,产品日志级别在产品重启之间未保留。 从此版本开始,有一个新的命令行工具开关,用于保留日志级别。 新命令为 mdatp log level persist --level <level>
  • 从产品安装包中删除了 对 python 的依赖项
  • 对源自 的文件复制操作和处理网络事件的性能改进 auditd
  • Bug 修复













2022 年 5 月 (版本:101.68.80 |发布版本:30.122042.16880.0)

2022 年 5 月 (版本:101.68.80 |版本:30.122042.16880.0)

 发布日期: 2022 年 5 月 23 日
 发布时间: 2022 年 5 月 23 日
 内部版本: 101.68.80
 发布版本: 30.122042.16880.0

新增功能

  • 添加了在 RHEL 6 上运行时对内核版本的 2.6.32-754.47.1.el6.x86_64 支持
  • 在 RHEL 6 上,现在可以在运行 Unbreakable Enterprise Kernel (UEK) 的设备上安装产品
  • 修复了以下问题:进程名称有时在运行时错误地 unknown 显示为 mdatp diagnostic real-time-protection-statistics
  • 修复了产品有时错误地检测隔离文件夹中的文件的 bug
  • 修复了命令行工具在作为软链接装载时/opt不起作用的问题mdatp
  • 性能改进 & bug 修复













2022 年 5 月 (内部版本:101.65.77 |发布版本:30.122032.16577.0)

2022 年 5 月 (内部版本:101.65.77 |发布版本:30.122032.16577.0)

 发布日期: 2022 年 5 月 2 日
 发布时间: 2022 年 5 月 2 日
 内部版本: 101.65.77
 发布版本: 30.122032.16577.0

新增功能

  • 改进了 中的 conflicting_applicationsmdatp health 字段,以仅显示最近的 10 个进程,并包括进程名称。 这样可以更轻松地识别哪些进程与适用于 Linux 的Microsoft Defender for Endpoint有冲突。
  • 错误修补程序



2022 年 3 月 (版本:101.62.74 |发布版本:30.122022.16274.0)

 发布日期: 2022 年 3 月 24 日
 发布时间: 2022 年 3 月 24 日
 内部版本: 101.62.74
 发布版本: 30.122022.16274.0

新增功能

  • 解决了在旧内核版本上运行时,产品会错误地阻止访问大于 2 GB 的文件的问题
  • 错误修补程序



2022 年 3 月 (版本:101.60.93 |发布版本:30.122012.16093.0)

2022 年 3 月 (版本:101.60.93 |发布版本:30.122012.16093.0)

 发布日期: 2022 年 3 月 9 日
 发布时间: 2022 年 3 月 9 日
 内部版本: 101.60.93
 发布版本: 30.122012.16093.0

新增功能



2022 年 3 月 (版本:101.60.05 |发布版本:30.122012.16005.0)

 发布日期: 2022 年 3 月 3 日
 发布时间: 2022 年 3 月 3 日
 内部版本: 101.60.05
 版本: 30.122012.16005.0

新增功能

  • 添加了对 RHEL 6.10 内核版本 2.6.32-754.43.1.el6.x86_64 的支持
  • 错误修补程序



2022 年 2 月 (版本:101.58.80 |发布版本:30.122012.15880.0)

2022 年 2 月 (版本:101.58.80 |版本:30.122012.15880.0)

 发布日期: 2022 年 2 月 20 日
 发布时间: 2022 年 2 月 20 日
 内部版本: 101.58.80
 版本: 30.122012.15880.0

新增功能

  • 命令行工具现在支持将隔离文件还原到最初检测到该文件的位置以外的位置。 这可以通过 完成 mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
  • 从此版本开始,可以按需评估 Linux 的网络保护
  • 错误修补程序



2022 年 1 月 (版本:101.56.62 |发布版本:30.121122.15662.0)

2022 年 1 月 (版本:101.56.62 |发布版本:30.121122.15662.0)

 发布时间: 2022 年 1 月 26 日
 发布时间: 2022 年 1 月 26 日
 内部版本: 101.56.62
 发布版本: 30.121122.15662.0

新增功能

  • 修复了在 101.53.02 中引入并影响了多个客户的产品崩溃



2022 年 1 月 (版本:101.53.02 |发布版本: (30.121112.15302.0)

 发布日期: 2022 年 1 月 8 日
 发布日期: 2022 年 1 月 8 日
 内部版本: 101.53.02
 发布版本: 30.121112.15302.0

新增功能

  • 性能改进 & bug 修复
2021 版本
(内部版本:101.52.57 |发布版本:30.121092.15257.0)

内部版本:101.52.57
发布版本:30.121092.15257.0

新增功能

  • 添加了一项功能,用于检测 Java 应用程序正在使用的易受攻击的 log4j jar。 定期检查计算机是否使用加载的 log4j jar 运行 Java 进程。 该信息将报告给Microsoft Defender for Endpoint后端,并在门户的“漏洞管理”区域中公开。

(内部版本:101.47.76 |发布版本:30.121092.14776.0)

内部版本:101.47.76
发布版本:30.121092.14776.0

新增功能

  • 向命令行工具添加了一个新开关,用于控制是否在按需扫描期间扫描存档。 这可以通过 mdatp config scan-archives --value [enabled/disabled] 进行配置。 默认情况下,此设置设置为 enabled。

    • 错误修补程序
    • (内部版本:101.45.13 |发布版本:30.121082.14513.0)

    内部版本: 101.45.13
    发布版本: 30.121082.14513.0

    新增功能

    • 从此版本开始,我们将为以下发行版提供Microsoft Defender for Endpoint支持:

      • RHEL6.7-6.10 和 CentOS6.7-6.10 版本。
      • Amazon Linux 2
      • Fedora 33 或更高版本

    • 错误修补程序

    (内部版本:101.45.00 |发布版本:30.121072.14500.0)

    内部版本: 101.45.00
    发布版本: 30.121072.14500.0

    新增功能

    • 向命令行工具添加了新的开关:
      • 控制按需扫描的并行度。 这可以通过 进行配置 mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]。 默认情况下,使用 的 2 并行度。
      • 控制是启用还是禁用安全智能更新后的扫描。 这可以通过 进行配置 mdatp config scan-after-definition-update --value [enabled/disabled]。 默认情况下,此设置设置为 enabled
    • 更改产品日志级别现在需要提升
    • 错误修补程序
    (内部版本:101.39.98 |版本:30.121062.13998.0)

    内部版本: 101.39.98
    发布版本: 30.121062.13998.0

    新增功能

  • 性能改进 & bug 修复

    • (内部版本:101.34.27 |版本:30.121052.13427.0)

    内部版本: 101.34.27
    发布版本: 30.121052.13427.0

    新增功能

  • 性能改进 & bug 修复

    • (内部版本:101.29.64 |发布版本:30.121042.12964.0)

    内部版本: 101.29.64
    发布版本: 30.121042.12964.0

    新增功能

    • 从此版本开始,将自动修正在通过命令行客户端触发的按需防病毒扫描期间检测到的威胁。 在通过用户界面触发的扫描期间检测到的威胁仍需要手动操作。
    • mdatp diagnostic real-time-protection-statistics 现在支持另外两个开关:
      • --sort:按扫描的文件总数对输出进行降序排序
      • --top N:显示前 N 个结果, (仅当 --sort 也指定了)
    • 性能改进 & bug 修复
    (内部版本:101.25.72 |发布版本:30.121022.12563.0)

    内部版本: 101.25.72
    发布版本: 30.121022.12563.0

    新增功能

  • Linux 上的Microsoft Defender for Endpoint现在以预览版的形式提供给美国政府客户。 有关详细信息,请参阅美国政府客户的Microsoft Defender for Endpoint

    • 修复了在具有 FUSE 文件系统的系统上使用 Linux 上的Microsoft Defender for Endpoint导致操作系统挂起的问题
    • 性能改进 & 其他 bug 修复
    • (内部版本:101.25.63 |发布版本:30.121022.12563.0)

    内部版本: 101.25.63
    发布版本: 30.121022.12563.0

    新增功能

  • 性能改进 & bug 修复

    • (内部版本:101.23.64 |发布版本:30.121021.12364.0)

    内部版本: 101.23.64
    发布版本:30.121021.12364.0

    新增功能

  • 针对将整个装入点添加到防病毒排除列表的情况的性能改进。 在此版本之前,产品处理了源自装入点的文件活动。 从此版本开始,已排除装入点的文件活动将被禁止,从而提高产品性能

    • 向命令行工具添加了一个新选项,用于查看有关上次按需扫描的信息。 若要查看有关上次按需扫描的信息,请运行 mdatp health --details antivirus
    • 其他性能改进 & bug 修复
    • (内部版本:101.18.53)

    内部版本: 101.18.53

    新增功能

  • 适用于 Linux 的 EDR 现已 正式发布

    • 添加了新的命令行开关, --ignore-exclusions () ,以在自定义扫描 (mdatp scan custom) 期间忽略 AV 排除项
    • 扩展了 mdatp diagnostic create 一个新参数 (--path [directory]) ,该参数允许将诊断日志保存到其他目录
    • 性能改进 & bug 修复