設定 Linux 上 適用於端點的 Microsoft Defender 的離線安全性情報更新
適用於:
本文件說明Linux上 適用於端點的 Microsoft Defender的離線安全性情報更新功能。
重要事項
本文中的資訊與發行前版本產品相關,可能會在正式發行之前進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
此功能可讓組織更新安全性情報 (也稱為本檔中的定義或簽章,) 在Linux端點上使用本檔中稱為 鏡像伺服器 的本機主機伺服器 () 來限制或不暴露於因特網。
鏡像伺服器是客戶環境中可以連線到 Microsoft 雲端以下載簽章的任何伺服器。 其他 Linux 端點會以預先定義的間隔從鏡像伺服器提取簽章。
主要優點包括:
- 控制和管理本地伺服器上籤章下載頻率的能力,& 端點從本地伺服器提取簽章的頻率。
- 新增額外的保護層 & 控件,因為下載的簽章可以在測試裝置上測試,然後再傳播至整個車隊。
- 減少網路頻寬,因為現在只有一部本地伺服器會輪詢 MS 雲端,代表整個車隊取得最新的簽章。
- 本地伺服器可以執行三個操作系統中的任何一個 - Windows、Mac、Linux,而且不需要安裝適用於端點的 Defender。
- 提供最新的防病毒軟體保護,因為簽章一律會隨著最新的相容 AV 引擎一起下載。
- 在每個反覆專案中,具有 n-1 版本的簽章會移至本地伺服器上的備份資料夾。 如果最新的簽章有任何問題,您可以從備份資料夾將 n-1 簽章版本提取到端點。
- 在離線更新失敗的罕見情況下,您也可以選擇從 Microsoft 雲端後援至在線更新, (傳統方法) 。
離線安全情報更新的運作方式
- 組織必須設定鏡像伺服器,這是 Microsoft 雲端可連線的本機 Web/NFS 伺服器。
- 簽章是透過在本地伺服器上使用cron作業/工作排程器執行腳本,從此鏡像伺服器上的 Microsoft Cloud 下載。
- 執行適用於端點的 Defender 的 Linux 端點會以使用者定義的時間間隔從此鏡像伺服器提取下載的簽章。
- 從本地伺服器提取在 Linux 端點上的簽章會先進行驗證,再將其載入 AV 引擎。
- 若要觸發和設定更新程式,請更新 Linux 端點上的 Managed config json 檔案。
- 您可以在 mdatp CLI 上看到更新的狀態。
圖 1:鏡像伺服器上用於下載安全性情報更新的流程圖
圖 2:Linux 端點上用於安全性情報更新的流程圖
必要條件
適用於端點的 Defender 版本 「101.24022.0001」 或更新版本必須安裝在 Linux 端點上。
Linux 端點必須能夠連線到鏡像伺服器。
Linux 端點必須執行任何適用於端點的Defender支援的散發套件。
鏡像伺服器可以是 HTTP/HTTPS 伺服器或網路共享伺服器。 例如,NFS 伺服器。
鏡像伺服器必須能夠存取下列 URL:
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
鏡像伺服器支援下列作業系統:
- Linux (任何類別)
- Windows (任何版本)
- Mac (任何版本)
鏡像伺服器應該支援bash或PowerShell。
鏡像伺服器需要下列最低系統規格:
CPU Core RAM 可用磁碟 交換 2 個核心 (慣用 4 核心) 1 GB (慣用 4 GB) 2 GB 系統相依 注意事項
此組態可能會因所服務的要求數目和每部伺服器必須處理的負載而有所不同。
設定鏡像伺服器
注意事項
鏡像伺服器的管理和擁有權僅與客戶有關,因為它位於客戶的私人環境中。
注意事項
鏡像伺服器不需要安裝適用於端點的Defender。
取得離線安全情報下載程式腳本
Microsoft 會在此 GitHub 存放庫上裝載離機安全情報下載程式腳本。
請遵循下列步驟來取得下載程式文稿:
選項 1:複製存放庫 (慣用)
- 在鏡像伺服器上安裝 git。
- 瀏覽至您要複製存放庫的目錄。
- 執行命令:
git clone https://github.com/microsoft/mdatp-xplat.git
選項 2:下載 zip 檔案
從這裡下載存放庫的 zip 檔案
將 zip 檔案複製到您要保留文稿的資料夾
擷取 zip
注意事項
排程 cron作業 ,讓存放庫/下載的 zip 檔案定期更新為最新版本。
複製存放庫/下載的 zip 檔案之後,本機目錄結構應如下所示:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
注意事項
請流覽 README.md 檔案,以深入瞭解如何使用腳本。
檔案 settings.json 包含一些變數,用戶可以設定這些變數來判斷腳本執行的輸出。
| 功能變數名稱 | 值 | 描述 |
|---|---|---|
downloadFolder |
字串 | 對應至腳本下載檔的位置 |
downloadLinuxUpdates |
bool | 當設定為 true時,腳本會將Linux特定更新下載至 downloadFolder |
logFilePath |
字串 | 在指定的資料夾設定診斷記錄。 如果有任何問題,此檔案可以與 Microsoft 共用以偵錯腳本 |
downloadMacUpdates |
bool | 腳本會將Mac特定更新下載至 downloadFolder |
downloadPreviewUpdates |
bool | 下載特定作業系統可用的更新預覽版本 |
backupPreviousUpdates |
bool | 允許文本複製_back資料夾中的先前更新,並將新的更新下載到 downloadFolder |
執行離線安全情報下載程式腳本
若要手動執行下載程式腳本,請根據上一節中的描述設定檔案中的參數 settings.json ,並根據鏡像伺服器的 OS 使用下列其中一個命令:
Bash:
./xplat_offline_updates_download.shPowerShell:
./xplat_offline_updates_download.ps1
注意事項
排程 cron作業 以執行此腳本,以定期在鏡像伺服器中下載最新的安全情報更新。
在鏡像伺服器上裝載離線安全情報更新
執行腳本之後,系統會將最新的簽章下載到檔案中 settings.json 設定的資料夾, (updates.zip) 。
下載簽章 zip 之後,就可以使用鏡像伺服器來裝載它。 鏡像伺服器可以使用任何 HTTP/ HTTPS / 網路共用伺服器來裝載。
裝載之後,請將託管伺服器的絕對路徑複製 (最多,不包含 arch_* 目錄) 。
例如,如果腳本是以 downloadFolder=/tmp/wdav-update執行,而 HTTP 伺服器 () www.example.server.com:8000 裝載 /tmp/wdav-update 路徑,則對應的 URI 為: www.example.server.com:8000/linux/production/
設定鏡像伺服器之後,我們需要使用受控組態將此 URL 傳播至 Linux 端點,如下一節所述。
設定端點
- 使用下列範例
mdatp_managed.json並根據組態更新參數,並將檔案複製到 位置/etc/opt/microsoft/mdatp/managed/mdatp_managed.json。
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefintionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| 功能變數名稱 | 值 | Comments |
|---|---|---|
automaticDefinitionUpdateEnabled |
True / False |
決定適用於端點的 Defender 嘗試自動執行更新的行為,會分別開啟或關閉。 |
definitionUpdatesInterval |
數值 | 每次自動更新簽章的時間間隔 () 秒。 |
offlineDefinitionUpdateUrl |
字串 | 在鏡像伺服器設定過程中產生的 URL 值。 |
offlineDefinitionUpdate |
enabled / disabled |
當設定為 enabled時,會啟用離線安全情報更新功能,反之亦然。 |
offlineDefinitionUpdateFallbackToCloud |
True / False |
判斷離線鏡像伺服器無法提供更新要求時,適用於端點的Defender安全性情報更新方法。 如果設定為 true,當離線安全情報更新失敗時,會透過 Microsoft 雲端重試更新,反之亦然。 |
offlineDefinitionUpdateVerifySig |
enabled / disabled |
設定為 enabled時,會在端點上驗證下載的定義,反之亦然。 |
注意事項
從今天起,離線安全情報更新功能只能透過受控 json 在 Linux 端點上設定。 我們已在藍圖中與安全性入口網站上的安全性設定管理整合。
確認組態
若要測試設定是否在 Linux 端點上正確套用,請執行下列命令:
mdatp health --details definitions
範例輸出看起來會像下列代碼段:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
觸發脫機安全情報 匯報
自動更新
- 如果 Managed json 中的字段
automaticDefinitionUpdateEnabled和 『offline_definition_update』 設定為 true,則會定期自動觸發離線安全情報更新。 - 根據預設,此定期間隔為8小時。 但是,您可以在Managed json 中設定
definitionUpdatesInterval來設定。
手動更新
若要手動觸發離線安全情報更新,以從Linux端點上的鏡像伺服器下載簽章,請執行 命令:
mdatp definitions update
檢查更新狀態
使用自動或手動方法觸發離線安全情報更新之後,請執行下列命令來確認更新是否成功:
mdatp health --details --definitions。確認下欄位:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
疑難解答和診斷
問題:MDATP 更新失敗
- 更新停滯,或更新未觸發。
- 更新失敗。
常見疑難解答步驟
使用 命令檢查離線安全情報更新功能的狀態:
mdatp health --details definitions- 此命令應該會在區段中提供一些用戶易記的
definitions_update_fail_reason訊息。 - 檢查和是否
offline_definition_updateoffline_definition_update_verify_sig已啟用。 - 檢查 是否
definitions_update_source_uri等於offline_definition_url_configured-
definitions_update_source_uri是下載簽章的來源。 -
offline_definition_url_configured是應下載簽章的來源,也就是 Managed 組態檔中所述的簽章來源。
-
- 此命令應該會在區段中提供一些用戶易記的
嘗試執行連線能力測試,以檢查是否可從主機連線鏡像伺服器:
mdatp connectivity test嘗試使用 命令觸發手動更新:
mdatp definitions update
已知問題:
在下列案例中,離線簽章更新可能會失敗:
您已啟用此功能、套用簽章更新,然後停用此功能以從雲端套用進一步的簽章更新,然後針對其他簽章更新重新啟用此功能。
風險降低步驟:
此問題的修正計劃即將發行。
有用的連結
下載者腳本
排程cron作業
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應