Novinky v Microsoft Defender for Endpoint v Linuxu
Platí pro:
- Microsoft Defender for Endpoint Server
- Microsoft Defender pro servery
Tento článek se často aktualizuje, abyste věděli, co je nového v nejnovějších verzích Microsoft Defender for Endpoint v Linuxu.
Důležité
Počínaje verzí 101.24082.0004už Defender for Endpoint v Linuxu Auditd nepodporuje poskytovatele událostí. Zcela přecházíme na efektivnější technologii eBPF. Tato změna umožňuje lepší výkon, nižší spotřebu prostředků a celkově lepší stabilitu. Podpora eBPF je k dispozici od srpna 2023 a je plně integrovaná do všech aktualizací Defenderu for Endpoint v Linuxu (verze 101.23082.0006 a novější). Důrazně doporučujeme, abyste si osvojili build eBPF, protože oproti Auditd nabízí významná vylepšení. Pokud se eBPF na vašich počítačích nepodporuje nebo pokud existují konkrétní požadavky, které je potřeba v auditovaném prostředí zachovat, máte následující možnosti:
Pokračujte v používání Defenderu for Endpoint v linuxovém buildu
101.24072.0000s Auditd. Tento build se podporuje i několik měsíců, takže máte čas naplánovat a spustit migraci na eBPF.Pokud používáte novější verze než
101.24072.0000, defender for Endpoint v Linuxu se spoléhá jakonetlinkna záložního poskytovatele doplňkových událostí. V případě náhradního zpracování budou všechny operace procesu pokračovat bez problémů.
Zkontrolujte aktuální nasazení Defenderu for Endpoint v Linuxu a začněte plánovat migraci na build podporovaný eBPF. Další informace o funkci eBPF a o tom, jak funguje, najdete v tématu Použití senzoru založeného na eBPF pro Microsoft Defender for Endpoint v Linuxu.
Pokud máte během tohoto přechodu nějaké obavy nebo potřebujete pomoc, kontaktujte podporu.
Verze pro Defender for Endpoint v Linuxu
Build z února 2025: 101.24122.0008 | Vydaná verze: 30.124112.0008.0
| Vybudovat: | 101.24122.0008 |
|---|---|
| Uvolněný: | středa 20. února 2025 |
| Uvolněný: | středa 20. února 2025 |
| Publikovaný: | středa 20. února 2025 |
| Vydaná verze: | 30.124122.0008.0 |
| Verze modulu: | 1.1.24090.13 |
| Verze podpisu: | 1.421.226.0 |
Novinky
- Balíček
101.24122.0008MDATP se zavádí postupně pro každou distribuci. - Další vylepšení stability a opravy chyb
Build z února 2025: 101.24112.0003 | Vydaná verze: 30.124112.0003.0
| Vybudovat: | 101.24112.0003 |
|---|---|
| Uvolněný: | středa 4. února 2025 |
| Uvolněný: | středa 4. února 2025 |
| Publikovaný: | středa 4. února 2025 |
| Vydaná verze: | 30.124112.0003.0 |
| Verze modulu: | 1.1.24090.13 |
| Verze podpisu: | 1.421.1681.0 |
Novinky
- Opravili jsme chybu, která nesprávně hlásila DefenderEngineVersion na portálu zabezpečení.
- Balíček
101.24112.0003MDATP se zavádí postupně pro každou distribuci.
Build z ledna 2025: 101.24112.0001 | Vydaná verze: 30.124112.0001.0
| Vybudovat: | 101.24112.0001 |
|---|---|
| Uvolněný: | úterý 13. ledna 2025 |
| Publikovaný: | úterý 13. ledna 2025 |
| Vydaná verze: | 30.124112.0001.0 |
| Verze modulu: | 1.1.24090.13 |
| Verze podpisu: | 1.421.226.0 |
Novinky
Upgradovali jsme verzi bondu na 13.0.1, aby se vyřešily chyby zabezpečení ve verzi 12 nebo nižší.
Balíček Mdatp už není závislý na balíčcích SELinux.
Uživatelé se teď můžou dotazovat na stav doplňkového poskytovatele událostí eBPF pomocí dotazu proaktivního vyhledávání hrozeb v nástroji
DeviceTvmInfoGathering. Další informace o této kontrole dotazů najdete v tématu Použití senzoru založeného na eBPF pro Microsoft Defender for Endpoint v Linuxu. Výsledek tohoto dotazu může vrátit následující dvě hodnoty jako stav eBPF:- Povoleno: Pokud je funkce eBPF povolená podle očekávání.
- Zakázáno: Pokud je funkce eBPF zakázaná z jednoho z následujících důvodů:
- Když MDE používá auditD jako doplňkový senzor
- Pokud eBPF není k dispozici a my se jako poskytovatel doplňkových událostí přepojime na Netlink
- Není k dispozici žádný doplňkový senzor.
Od verze 2411 se vydání balíčku MDATP do produkčního prostředí
packages.microsoft.comřídí postupným zaváděným mechanismem, který trvá více než týden. Ostatní okruhy verzí, insiderFast a insiderSlow, nejsou touto změnou ovlivněné.Vylepšení stability a výkonu.
Opravy kritických chyb kolem toku aktualizace definic
Build z ledna 2025: 101.24102.0000 | Vydaná verze: 30.124102.0000.0
| Vybudovat: | 101.24102.0000 |
|---|---|
| Uvolněný: | úterý 8. ledna 2025 |
| Publikovaný: | úterý 8. ledna 2025 |
| Vydaná verze: | 30.124102.0000.0 |
| Verze modulu: | 1.1.24080.11 |
| Verze podpisu: | 1.419.351.0 |
Novinky
Výchozí verze modulu byla aktualizována na
1.1.24080.11a výchozí verze podpisu byla aktualizována na1.419.351.0.Vylepšili jsme protokolování informací o hrozbách z příkazového řádku pro krátkodobé procesy na portálu zabezpečení.
Listopad-2024 Build: 101.24092.0002 | Vydaná verze: 30.124092.0002.0
| Vybudovat: | 101.24092.0002 |
|---|---|
| Uvolněný: | úterý 14. listopadu 2024 |
| Publikovaný: | úterý 14. listopadu 2024 |
| Vydaná verze: | 30.124092.0002.0 |
| Verze modulu: | 1.1.24080.9 |
| Verze podpisu: | 1.417.659.0 |
Novinky
Kvůli podpoře posílených instalací s nespustitelnými
/varoddíly se teď definice antivirového/varprogramu mdatp instalují na/opt/microsoft/mdatp/definitions.noindexmísto , pokud se zjistí, že druhá z nich není výkonná. Během upgradů se instalační program pokusí migrovat starší definice do nové cesty po zjištění neschůdné/varcesty, pokud nenajde, že cesta už byla přizpůsobená (pomocímdatp definitions path set).Od této verze už Defender for Endpoint v Linuxu nepotřebuje oprávnění ke spustitelnému souboru pro
/var/log. Pokud tato oprávnění nejsou k dispozici, soubory protokolu se automaticky přesměrují na/opt.
Build z října 2024: 101.24082.0004 | Vydaná verze: 30.124082.0004.0
| Vybudovat: | 101.24082.0004 |
|---|---|
| Uvolněný: | úterý 15. října 2024 |
| Publikovaný: | úterý 15. října 2024 |
| Vydaná verze: | 30.124082.0004 |
| Verze modulu: | 1.1.24080.9 |
| Verze podpisu: | 1.417.659.0 |
Novinky
Od této verze už Defender for Endpoint v Linuxu nepodporuje
AuditDjako doplňkového poskytovatele událostí. Kvůli lepší stabilitě a výkonu jsme přešli na eBPF. Pokud zakážete eBPF nebo v případě, že eBPF není podporován v žádném konkrétním jádru, Defender for Endpoint v Linuxu automaticky přepne zpět na Netlink jako náhradního poskytovatele událostí. Netlink poskytuje omezenou funkčnost a sleduje pouze události související s procesy. V takovém případě budou všechny operace procesu bez problémů postupovat, ale můžete zmeškat konkrétní události související se soubory a sokety, které by jinak eBPF zachytával. Další informace najdete v tématu Použití senzoru založeného na eBPF pro Microsoft Defender for Endpoint v Linuxu. Pokud máte během tohoto přechodu nějaké obavy nebo potřebujete pomoc, kontaktujte podporu.Vylepšení stability a výkonu
Další opravy chyb
Build ze září 2024: 101.24072.0001 | Vydaná verze: 30.124072.0001.0
| Vybudovat: | 101.24072.0001 |
|---|---|
| Uvolněný: | úterý 23. září 2024 |
| Publikovaný: | úterý 23. září 2024 |
| Vydaná verze: | 30.124072.0001.0 |
| Verze modulu: | 1.1.24060.6 |
| Verze podpisu: | 1.415.228.0 |
Novinky
Přidání podpory pro Ubuntu 24.04
Aktualizace výchozí verze modulu na
1.1.24060.6a výchozí verze podpisů na1.415.228.0.
Build z července 2024: 101.24062.0001 | Vydaná verze: 30.124062.0001.0
| Vybudovat: | 101.24072.0001 |
|---|---|
| Uvolněný: | úterý 31. července 2024 |
| Publikovaný: | úterý 31. července 2024 |
| Vydaná verze: | 30.124062.0001.0 |
| Verze modulu: | 1.1.24050.7 |
| Verze podpisu: | 1.411.410.0 |
Novinky
V této verzi je několik oprav a nových změn.
Opravili jsme chybu, při které se na portálu zabezpečení správně nezobrazovaly informace o nakažených hrozbách z příkazového řádku.
Opravuje chybu, kdy zakázání funkce Preview vyžadovalo, aby ji defender koncového bodu zakázal.
Funkce globálních vyloučení využívající spravovaný kód JSON je teď ve verzi Public Preview. k dispozici pro účastníky programu Insider slow od verze 101.23092.0012. Další informace najdete v tématu linux-exclusions.
Aktualizovali jsme výchozí verzi modulu Linuxu na 1.1.24050.7 a výchozí verzi podpisu na 1.411.410.0.
Vylepšení stability a výkonu.
Další opravy chyb
Červen–2024 Build: 101.24052.0002 | Vydaná verze: 30.124052.0002.0
| Vybudovat: | 101.24052.0002 |
|---|---|
| Uvolněný: | úterý 24. června 2024 |
| Publikovaný: | úterý 24. června 2024 |
| Vydaná verze: | 30.124052.0002.0 |
| Verze modulu: | 1.1.24040.2 |
| Verze podpisu: | 1.411.153.0 |
Novinky
V této verzi je několik oprav a nových změn.
Tato verze opravuje chybu související s vysokým využitím paměti, která nakonec vedla k vysokému využití procesoru kvůli nevracení paměti eBPF v prostoru jádra, což vedlo k tomu, že servery přejdou do nepoužitelného stavu. To ovlivnilo pouze verze jádra 3.10x a <= 4.16x, hlavně na distribucích RHEL/CentOS. Aktualizujte na nejnovější verzi MDE, abyste se vyhnuli jakýmkoli dopadům.
Nyní jsme zjednodušili výstup
mdatp health --detail featuresVylepšení stability a výkonu.
Další opravy chyb
Build z května 2024: 101.24042.0002 | Vydaná verze: 30.124042.0002.0
| Vybudovat: | 101.24042.0002 |
|---|---|
| Uvolněný: | 29. května 2024 |
| Publikovaný: | 29. května 2024 |
| Vydaná verze: | 30.124042.0002.0 |
| Verze modulu: | 1.1.24030.4 |
| Verze podpisu: | 1.407.521.0 |
Novinky
V této verzi je několik oprav a nových změn:
Ve verzi 24032.0007 došlo k známému problému, kdy registrace zařízení pro MDE Správa zabezpečení selhala při použití mechanismu označování zařízení prostřednictvím souboru mdatp_managed.json. Tento problém byl vyřešen v aktuální verzi.
Vylepšení stability a výkonu.
Další opravy chyb
Build z května 2024: 101.24032.0007 | Vydaná verze: 30.124032.0007.0
| Vybudovat: | 101.24032.0007 |
|---|---|
| Uvolněný: | 15. května 2024 |
| Publikovaný: | 15. května 2024 |
| Vydaná verze: | 30.124032.0007.0 |
| Verze modulu: | 1.1.24020.3 |
| Verze podpisu: | 1.403.3500.0 |
Novinky
V této verzi je několik oprav a nových změn:
V pasivních režimech a režimech na vyžádání zůstává antivirový modul v nečinnosti a používá se pouze během plánovaných vlastních kontrol. Proto jsme v rámci vylepšení výkonu provedli změny, které udržují modul AV v pasivním režimu a režimu na vyžádání s výjimkou plánovaných vlastních kontrol. Pokud je povolená ochrana v reálném čase, antivirový modul bude vždy spuštěný a spuštěný. To nemá žádný vliv na ochranu serveru v jakémkoli režimu.
Abychom uživatele informovali o stavu antivirového modulu, zavedli jsme jako součást stavu MDATP nové pole s názvem "engine_load_status". Označuje, jestli je antivirový modul aktuálně spuštěný nebo ne.
Field nameengine_load_statusMožné hodnoty Modul není načten (proces modulu AV je mimo provoz), zatížení motoru bylo úspěšné (proces av modulu je spuštěný a spuštěný) Scénáře, které jsou v pořádku:
- Pokud je povolená funkce RTP, engine_load_status by měla být "Načtení modulu bylo úspěšné".
- Pokud je MDE v režimu na vyžádání nebo v pasivním režimu a vlastní kontrola není spuštěná, měla by být engine_load_status "Modul se nenačetl".
- Pokud je MDE v režimu na vyžádání nebo v pasivním režimu a je spuštěná vlastní kontrola, měla by být engine_load_status "Načtení modulu bylo úspěšné".
Oprava chyby pro vylepšení detekce chování
Vylepšení stability a výkonu.
Další opravy chyb
Známé problémy
Existuje známý problém, kdy ve verzi 24032.0007 selhává registrace zařízení do MDE správy zabezpečení pomocí mechanismu označování zařízení pomocí mdatp_managed.json. Pokud chcete tento problém zmírnit, použijte k označení zařízení následující příkaz rozhraní příkazového řádku mdatp:
sudo mdatp edr tag set --name GROUP --value MDE-ManagementTento problém je opravený v buildu: 101.24042.0002
Build z března 2024: 101.24022.0001 | Vydaná verze: 30.124022.0001.0
| Vybudovat: | 101.24022.0001 |
|---|---|
| Uvolněný: | 22. března 2024 |
| Publikovaný: | 22. března 2024 |
| Vydaná verze: | 30.124022.0001.0 |
| Verze modulu: | 1.1.23110.4 |
| Verze podpisu: | 1.403.87.0 |
Novinky
V této verzi je několik oprav a nových změn:
Přidání nového souboru protokolu –
microsoft_defender_scan_skip.log. To protokoluje názvy souborů, které byly z různých antivirových kontrol vynechány Microsoft Defender for Endpoint z jakéhokoli důvodu.Vylepšení stability a výkonu.
Opravy chyb
Build z března 2024: 101.24012.0001 | Vydaná verze: 30.124012.0001.0
| Vybudovat: | 101.24012.0001 |
|---|---|
| Uvolněný: | 12. března 2024 |
| Publikovaný: | 12. března 2024 |
| Vydaná verze: | 30.124012.0001.0 |
| Verze modulu: | 1.1.23110.4 |
| Verze podpisu: | 1.403.87.0 |
Novinky
V této verzi je několik oprav a nových změn:
Aktualizace výchozí verze modulu na
1.1.23110.4a výchozí verze podpisů na1.403.87.0.Vylepšení stability a výkonu.
Opravy chyb
Únor–2024 Build: 101.23122.0002 | Vydaná verze: 30.123122.0002.0
| Vybudovat: | 101.23122.0002 |
|---|---|
| Uvolněný: | 5. února 2024 |
| Publikovaný: | 5. února 2024 |
| Vydaná verze: | 30.123122.0002.0 |
| Verze modulu: | 1.1.23100.2010 |
| Verze podpisu: | 1.399.1389.0 |
Novinky
V této verzi je několik oprav a nových změn:
Aktualizace výchozí verze modulu na
1.1.23100.2010a výchozí verze podpisů na1.399.1389.0.Obecná vylepšení stability a výkonu
Opravy chyb
Microsoft Defender for Endpoint v Linuxu teď oficiálně podporuje následující distribuce a verze:
Verze & distribuce Prsten Balíček Mariňák 2 Produkce https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 a novější Pomalí účastníci programu Insider https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 a vyšší Pomalí účastníci programu Insider https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 a novější Pomalí účastníci programu Insider https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 a novější Pomalí účastníci programu Insider https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Pokud už máte Defender for Endpoint spuštěný na některé z těchto distribucí a dochází k problémům ve starších verzích, upgradujte na nejnovější verzi Defenderu for Endpoint z odpovídajícího okruhu uvedeného výše. Další podrobnosti najdete v naší dokumentaci k veřejnému nasazení .
Poznámka
Známé problémy:
Microsoft Defender for Endpoint pro Linux na Platformě Rocky a Alma v současné době mají následující známé problémy:
- Live Response a Threat Vulnerability Management nejsou v současné době podporovány (probíhá práce).
- Informace o operačním systému pro zařízení se na portálu Microsoft Defender nezobrazují
Build z ledna 2024: 101.23112.0009 | Vydaná verze: 30.123112.0009.0
| Vybudovat: | 101.23112.0009 |
|---|---|
| Uvolněný: | 29. ledna 2024 |
| Publikovaný: | 29. ledna 2024 |
| Vydaná verze: | 30.123112.0009.0 |
| Verze modulu: | 1.1.23100.2010 |
| Verze podpisu: | 1.399.1389.0 |
Novinky
Aktualizace výchozí verze modulu na
1.1.23110.4a výchozí verze podpisů na1.403.1579.0.Obecná vylepšení stability a výkonu
Oprava chyby pro konfiguraci monitorování chování
Opravy chyb
Build z listopadu 2023: 101.23102.0003 | Vydaná verze: 30.123102.0003.0
| Vybudovat: | 101.23102.0003 |
|---|---|
| Uvolněný: | 28. listopadu 2023 |
| Publikovaný: | 28. listopadu 2023 |
| Vydaná verze: | 30.123102.0003.0 |
| Verze modulu: | 1.1.23090.2008 |
| Verze podpisu: | 1.399.690.0 |
Novinky
Aktualizace výchozí verze modulu na
1.1.23090.2008a výchozí verze podpisů na1.399.690.0.Aktualizace knihovny libcurl na verzi
8.4.0za účelem opravy nedávno zveřejněných ohrožení zabezpečení u starší verzeAktualizace knihovny Openssl na verzi
3.1.1pro opravu nedávno zveřejněných chyb zabezpečení u starší verzeObecná vylepšení stability a výkonu
Opravy chyb
Listopad–2023 – build: 101.23092.0012 | Vydaná verze: 30.123092.0012.0
| Vybudovat: | 101.23092.0012 |
|---|---|
| Uvolněný: | 14. listopadu 2023 |
| Publikovaný: | 14. listopadu 2023 |
| Vydaná verze: | 30.123092.0012.0 |
| Verze modulu: | 1.1.23080.2007 |
| Verze podpisu: | 1.395.1560.0 |
Novinky
V této verzi je několik oprav a nových změn:
Přidání podpory pro obnovení hrozby na základě původní cesty pomocí následujícího příkazu:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]Od této verze už Microsoft Defender for Endpoint v Linuxu nebude dodávat řešení pro RHEL 6.
Podpora RHEL 6 s prodlouženým koncem životnosti má být ukončena do 30. června 2024 a zákazníkům se doporučuje naplánovat upgrady RHEL odpovídajícím způsobem podle pokynů společnosti Red Hat. Zákazníci, kteří potřebují spustit Defender for Endpoint na serverech RHEL 6, můžou dál používat verzi 101.23082.0011 (její platnost vyprší před 30. červnem 2024) podporovanou ve verzích jádra 2.6.32 754.49.1.el6.x86_64 nebo starších.
- Aktualizace modulu a
1.1.23080.2007Podpisy Ver:1.395.1560.0. - Zjednodušené možnosti připojení zařízení jsou teď ve verzi Public Preview. veřejný blog
- Vylepšení výkonu & opravy chyb.
- Aktualizace modulu a
Známé problémy
- K uzamčení procesoru dochází u jádra verze 5.15.0-0.30.20 v režimu ebpf. Podrobnosti a možnosti omezení rizik najdete v tématu Použití senzoru založeného na eBPF pro Microsoft Defender for Endpoint v Linuxu.
Build z listopadu 2023: 101.23082.0011 | Vydaná verze: 30.123082.0011.0
| Vybudovat: | 101.23082.0011 |
|---|---|
| Uvolněný: | 1. listopadu 2023 |
| Publikovaný: | 1. listopadu 2023 |
| Vydaná verze: | 30.123082.0011.0 |
| Verze modulu: | 1.1.23070.1002 |
| Verze podpisu: | 1.393.1305.0 |
Novinky
Tato nová verze je build z října 2023 (101.23082.0009) s přidáním následujících změn. Pro ostatní zákazníky nedošlo k žádné změně a upgrade je volitelný.
Oprava neměnného režimu auditování, když je doplňkový subsystém ebpf: V režimu ebpf by se měla všechna pravidla auditu mdatp po přepnutí na ebpf a restartování vyčistit. Po restartování se pravidla auditu mdatp nevyčistila, což mělo za následek zablokování serveru. Tato oprava tato pravidla vyčistí. Uživatel by neměl vidět žádná pravidla MDATP načtená při restartování.
Oprava MDE, které se nespouští na RHEL 6.
Známé problémy
Při upgradu z mdatp verze 101.75.43 nebo 101.78.13 může dojít k zablokování jádra. Před upgradem na verzi 101.98.05 spusťte následující příkazy. Další informace o základním problému najdete v tématu Zablokování systému kvůli blokovaným úlohům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build říjen–2023: 101.23082.0009 | Vydaná verze: 30.123082.0009.0
| Vybudovat: | 101.23082.0009 |
|---|---|
| Uvolněný: | 9. října 2023 |
| Publikovaný: | 9. října 2023 |
| Vydaná verze: | 30.123082.0009.0 |
| Verze modulu: | 1.1.23070.1002 |
| Verze podpisu: | 1.393.1305.0 |
Novinky
- Tato nová verze je build z října 2023 (101.23082.0009) s přidáním nových certifikátů certifikační autority. Pro ostatní zákazníky nedošlo k žádné změně a upgrade je volitelný.
Známé problémy
Při upgradu z mdatp verze 101.75.43 nebo 101.78.13 může dojít k zablokování jádra. Před upgradem na verzi 101.98.05 spusťte následující příkazy. Další informace o základním problému najdete v tématu Zablokování systému kvůli blokovaným úlohům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build říjen–2023: 101.23082.0006 | Vydaná verze: 30.123082.0006.0
| Vybudovat: | 101.23082.0006 |
|---|---|
| Uvolněný: | 9. října 2023 |
| Publikovaný: | 9. října 2023 |
| Vydaná verze: | 30.123082.0006.0 |
| Verze modulu: | 1.1.23070.1002 |
| Verze podpisu: | 1.393.1305.0 |
Novinky
Aktualizace funkcí a nové změny
Senzor eBPF je teď výchozím poskytovatelem doplňkových událostí pro koncové body.
Microsoft Intune funkce připojení tenanta je ve verzi Public Preview (od poloviny července)
- Aby funkce fungovala správně, musíte do vyloučení brány firewall přidat *.dm.microsoft.com.
Defender for Endpoint je nyní k dispozici pro Debian 12 a Amazon Linux 2023
Podpora povolení ověření podpisu stažených aktualizací
Musíte aktualizovat manajed.json, jak je znázorněno níže.
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }Předpoklad pro povolení funkce
- Verze motoru na zařízení musí být 1.1.23080.007 nebo vyšší. Pomocí následujícího příkazu zkontrolujte verzi modulu.
mdatp health --field engine_version
- Verze motoru na zařízení musí být 1.1.23080.007 nebo vyšší. Pomocí následujícího příkazu zkontrolujte verzi modulu.
Možnost podpory monitorování přípojných bodů SYSTÉMU SOUBORŮ NFS a FUSE Tyto hodnoty jsou ve výchozím nastavení ignorovány. Následující příklad ukazuje, jak monitorovat celý systém souborů a přitom ignorovat pouze systém souborů NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }Příklad monitorování všech systémů souborů, včetně systému souborů NFS a FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }Další vylepšení výkonu
Opravy chyb
Známé problémy
- Při upgradu z mdatp verze 101.75.43 nebo 101.78.13 může dojít k zablokování jádra. Před upgradem na verzi 101.98.05 spusťte následující příkazy. Další informace o základním problému najdete v tématu Zablokování systému kvůli blokovaným úlohům v kódu fanotify. Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build září–2023: 101.23072.0021 | Vydaná verze: 30.123072.0021.0
| Vybudovat: | 101.23072.0021 |
|---|---|
| Uvolněný: | úterý 11. září 2023 |
| Publikovaný: | úterý 11. září 2023 |
| Vydaná verze: | 30.123072.0021.0 |
| Verze modulu: | 1.1.20100.7 |
| Verze podpisu: | 1.385.1648.0 |
Novinky
V této verzi je několik oprav a nových změn:
Ve
mde_installer.shverzi 0.6.3 můžou uživatelé použít--channelargument k poskytnutí kanálu nakonfigurovaného úložiště během čištění. Napříkladsudo ./mde_installer --clean --channel prodSprávci teď můžou síťové rozšíření resetovat pomocí .
mdatp network-protection resetDalší vylepšení výkonu
Opravy chyb
Známé problémy
- Při upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build z července 2023: 101.23062.0010 | Vydaná verze: 30.123062.0010.0
| Vybudovat: | 101.23062.0010 |
|---|---|
| Uvolněný: | 26. července 2023 |
| Publikovaný: | 26. července 2023 |
| Vydaná verze: | 30.123062.0010.0 |
| Verze modulu: | 1.1.20100.7 |
| Verze podpisu: | 1.385.1648.0 |
Novinky
V této verzi je několik oprav a nových změn.
Pokud je proxy server nastavený pro Defender for Endpoint, je viditelný ve výstupu
mdatp healthpříkazu. V této verzi jsme v diagnostice mdatp hot-event-sources poskytli dvě možnosti:- Soubory
- Spustitelné soubory
Ochrana sítě: Connections blokované ochranou sítě a blok přepsané uživateli se teď správně hlásí Microsoft Defender XDR
Vylepšené protokolování v událostech blokování a auditování služby Network Protection pro ladění |
Další opravy a vylepšení
- Od této verze je vynuceníLevel ve výchozím nastavení v pasivním režimu, což správcům poskytuje větší kontrolu nad tím, kde ve svých aktivech chtějí protokol RTP zapnout.
- Tato změna se vztahuje pouze na nová nasazení MDE, například na servery, na které se Defender for Endpoint nasazuje poprvé. Ve scénářích aktualizací budou servery, které mají defender for Endpoint nasazený se zapnutou funkcí RTP, dál fungovat se zapnutou funkcí RTP i po aktualizaci na verzi 101.23062.0010.
Oprava chyby: Problém s poškozením databáze RPM ve standardních hodnotách Defender Správa zranitelností byl opraven
Další vylepšení výkonu
Známé problémy
Při upgradu z verze 101.75.43 mdatp nebo 101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi 101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build červenec–2023: 101.23052.0009 | Vydaná verze: 30.123052.0009.0
| Vybudovat: | 101.23052.0009 |
|---|---|
| Uvolněný: | úterý 10. července 2023 |
| Publikovaný: | úterý 10. července 2023 |
| Vydaná verze: | 30.123052.0009.0 |
| Verze modulu: | 1.1.20100.7 |
| Verze podpisu: | 1.385.1648.0 |
Novinky
- V této verzi je několik oprav a nových změn – Schéma verze sestavení je aktualizované z této verze. I když číslo hlavní verze zůstává stejné jako 101, číslo podverze má nyní pět číslic následovaných čtyřmístným číslem opravy,
101.xxxxx.yyycož je – Vylepšená spotřeba paměti ochrany sítě při zatížení- Aktualizace verze modulu na
1.1.20300.5a verze podpisu na1.391.2837.0. - Opravy chyb
- Aktualizace verze modulu na
Známé problémy
Při upgradu z verze 101.75.43 mdatp nebo 101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi 101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build z června 2023: 101.98.89 | Vydaná verze: 30.123042.19889.0
| Vybudovat: | 101.98.89 |
|---|---|
| Uvolněný: | úterý 12. června 2023 |
| Publikovaný: | úterý 12. června 2023 |
| Vydaná verze: | 30.123042.19889.0 |
| Verze modulu: | 1.1.20100.7 |
| Verze podpisu: | 1.385.1648.0 |
Novinky
V této verzi je několik oprav a nových změn.
Vylepšené zpracování proxy služby Network Protection.
V pasivním režimu už Defender for Endpoint neskenuje, když dojde k aktualizaci definice.
Zařízení budou dál chráněná i po vypršení platnosti agenta Defender for Endpoint. Doporučujeme upgradovat agenta Defender for Endpoint Pro Linux na nejnovější dostupnou verzi, abyste získali opravy chyb, funkce a vylepšení výkonu.
Byla odebrána závislost balíčku semanage.
Aktualizace modulu a
1.1.20100.7Podpisy Ver:1.385.1648.0.Opravy chyb
Známé problémy
- Při upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build z května 2023: 101.98.64 | Vydaná verze: 30.123032.19864.0
| Vybudovat: | 101.98.64 |
|---|---|
| Uvolněný: | 3. května 2023 |
| Publikovaný: | 3. května 2023 |
| Vydaná verze: | 30.123032.19864.0 |
| Verze modulu: | 1.1.20100.6 |
| Verze podpisu: | 1.385.68.0 |
Novinky
V této verzi je několik oprav a nových změn.
Vylepšení zpráv o stavu pro zachycení podrobností o auditovaných selháních
Vylepšení zpracování vlastních pravidel, která způsobovala selhání instalace.
Pravidelné čištění paměti v procesu modulu
Oprava problému s pamětí v modulu plug-in mdatp audisp
Během instalace byla zpracována chybějící cesta k adresáři modulu plug-in.
Pokud konfliktní aplikace používá blokování fanotify, ve výchozí konfiguraci se stav MdatP zobrazuje v pořádku. To je teď opravené.
Podpora kontroly provozu ICMP v BM.
Aktualizace modulu a
1.1.20100.6Podpisy Ver:1.385.68.0.Opravy chyb
Známé problémy
- Při upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. Upozornění: U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build z dubna 2023: 101.98.58 | Vydaná verze: 30.123022.19858.0
| Vybudovat: | 101.98.58 |
|---|---|
| Uvolněný: | 20. dubna 2023 |
| Publikovaný: | 20. dubna 2023 |
| Vydaná verze: | 30.123022.19858.0 |
| Verze modulu: | 1.1.20000.2 |
| Verze podpisu: | 1.381.3067.0 |
Novinky
V této verzi je několik oprav a nových změn.
Vylepšení protokolování a zasílání zpráv o chybách pro auditované.
Zpracování selhání při opětovném načtení auditované konfigurace
Zpracování prázdných auditovaných souborů pravidel během instalace MDE
Aktualizace modulu a
1.1.20000.2Podpisy Ver:1.381.3067.0.Byl vyřešen problém se stavem v mdatp, ke kterému dochází kvůli odepření selinuxu.
Opravy chyb
Známé problémy
Při upgradu nástroje mdatp na verzi
101.94.13nebo novější si můžete všimnout, že stav je nepravdivý a health_issues jako "žádný aktivní poskytovatel doplňkových událostí". K tomu může dojít kvůli chybně nakonfigurovaným nebo konfliktem auditovaných pravidel na existujících počítačích. Pokud chcete tento problém zmírnit, je potřeba opravit auditovaná pravidla na stávajících počítačích. Následující příkazy vám můžou pomoct identifikovat taková auditovaná pravidla (příkazy je potřeba spustit jako superuživatel). Vytvořte zálohu následujícího souboru: /etc/audit/rules.d/audit.rules, protože tyto kroky slouží pouze k identifikaci selhání.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadPři upgradu z verze
101.75.43mdatp nebo101.78.13můžete narazit na zablokování jádra. Před pokusem o upgrade na verzi101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Tento problém s upgradem můžete zmírnit dvěma způsoby:
Pomocí správce balíčků odinstalujte
101.75.43verzi nebo101.78.13mdatp.Příklad:
sudo apt purge mdatp sudo apt-get install mdatpJako alternativu můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. Upozornění: U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build z března 2023: 101.98.30 | Vydaná verze: 30.123012.19830.0
| Vybudovat: | 101.98.30 |
|---|---|
| Uvolněný: | úterý 20. března 2023 |
| Publikovaný: | úterý 20. března 2023 |
| Vydaná verze: | 30.123012.19830.0 |
| Verze modulu: | 1.1.19900.2 |
| Verze podpisu: | 1.379.1299.0 |
Novinky
- Tato nová verze je build v březnu 2023 (101.98.05) s opravou chybových příkazů odpovědi za provozu u jednoho z našich zákazníků. U ostatních zákazníků nedošlo k žádné změně a upgrade je volitelný.
Známé problémy
- U mdatp verze 101.98.30 se může v některých případech zobrazit problém s chybou stavu, protože pravidla SELinux nejsou pro určité scénáře definovaná. Upozornění na stav může vypadat nějak takto:
zjistila odepření SELinuxu během posledního dne. Pokud je MDATP nedávno nainstalovaný, vymažte stávající protokoly auditu nebo počkejte den, než se tento problém automaticky vyřeší. Použijte příkaz: sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | Grep "denied" to find details
Tento problém je možné zmírnit spuštěním následujících příkazů.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
My-mdatpaudisppl_v1 zde představuje název modulu zásad. Po spuštění příkazů buď počkejte 24 hodin, nebo vymažte nebo archivujte protokoly auditu. Protokoly auditu je možné archivovat spuštěním následujícího příkazu.
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
V případě, že se problém znovu objeví s různými odepřeními. Zmírnění rizik musíme spustit znovu s jiným názvem modulu (například my-mdatpaudisppl_v2).
Build z března 2023: 101.98.05 | Vydaná verze: 30.123012.19805.0
| Vybudovat: | 101.98.05 |
|---|---|
| Uvolněný: | úterý 8. března 2023 |
| Publikovaný: | úterý 8. března 2023 |
| Vydaná verze: | 30.123012.19805.0 |
| Verze modulu: | 1.1.19900.2 |
| Verze podpisu: | 1.379.1299.0 |
Novinky
Vylepšení úplnosti dat pro události síťového připojení
Vylepšené možnosti shromažďování dat pro změny vlastnictví nebo oprávnění souborů
seManage v části balíčku, aby zásady seLinux mohly být nakonfigurovány v jiné distribuci (pevné).
Vylepšená stabilita podnikového démona
AuditD stop – vyčištění cesty
Zlepšila se stabilita toku zastavení mdatp.
Přidání nového pole do wdavstate, aby bylo možné sledovat čas aktualizace platformy.
Vylepšení stability při analýze objektů blob onboardingu Defenderu for Endpoint
Kontrola nepokračuje, pokud není k dispozici platná licence (opraveno).
Přidání možnosti trasování výkonu do xPlatClientAnalyzer s povoleným trasováním proces mdatp vy výpisy toku v souboru all_process.zip, který lze použít k analýze problémů s výkonem.
Přidání podpory v Defenderu for Endpoint pro následující verze jádra RHEL-6:
2.6.32-754.43.1.el6.x86_642.6.32-754.49.1.el6.x86_64
Další opravy
Známé problémy
Při upgradu mdatp na verzi 101.94.13 si můžete všimnout, že stav je nepravdivý a health_issues jako "žádný aktivní poskytovatel doplňkových událostí". K tomu může dojít kvůli chybně nakonfigurovaným nebo konfliktem auditovaných pravidel na existujících počítačích. Pokud chcete tento problém zmírnit, je potřeba opravit auditovaná pravidla na stávajících počítačích. Následující kroky vám můžou pomoct identifikovat taková auditovaná pravidla (tyto příkazy je potřeba spustit jako superuživatel). Nezapomeňte zálohovat následující soubor: /etc/audit/rules.d/audit.rules, protože tyto kroky slouží pouze k identifikaci selhání.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Při upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi101.98.05spusťte následující příkazy . Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Existují dva způsoby, jak tento problém při upgradu zmírnit.
Pomocí správce balíčků odinstalujte 101.75.43 verzi nebo 101.78.13 mdatp.
Příklad:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternativně můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. Upozornění: U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build z ledna 2023: 101.94.13 | Vydaná verze: 30.122112.19413.0
| Vybudovat: | 101.94.13 |
|---|---|
| Uvolněný: | 10. ledna 2023 |
| Publikovaný: | 10. ledna 2023 |
| Vydaná verze: | 30.122112.19413.0 |
| Verze modulu: | 1.1.19700.3 |
| Verze podpisu: | 1.377.550.0 |
Novinky
- V této verzi je několik oprav a nových změn.
- Ve výchozím nastavení přeskočte karanténu hrozeb v pasivním režimu.
- Nová konfigurace nonExecMountPolicy se teď dá použít k určení chování protokolu RTP u přípojného bodu označeného jako noexec.
- K zrušení sledování určitých systémů souborů je možné použít novou konfiguraci unmonitoredFilesystems.
- Zvýšení výkonu při vysokém zatížení a ve scénářích testování rychlosti
- Opravuje problém s přístupem ke sdíleným složkám SMB za připojením VPN Cisco AnyConnect.
- Opravuje problém s ochranou sítě a protokolem SMB.
- lttng podpora trasování výkonu.
- Vylepšení TVM, eBPF, auditd, telemetrie a rozhraní příkazového řádku mdatp.
- Stav mdatp teď hlásí behavior_monitoring
- Další opravy:
Známé problémy
Při upgradu mdatp na verzi
101.94.13si můžete všimnout, že stav je false a health_issues jako "žádný aktivní poskytovatel doplňkových událostí". K tomu může dojít kvůli chybně nakonfigurovaným nebo konfliktem auditovaných pravidel na existujících počítačích. Pokud chcete tento problém zmírnit, je potřeba opravit auditovaná pravidla na stávajících počítačích. Následující kroky vám můžou pomoct identifikovat taková auditovaná pravidla (tyto příkazy je potřeba spustit jako superuživatel). Vytvořte zálohu následujícího souboru:/etc/audit/rules.d/audit.rulestyto kroky slouží pouze k identifikaci selhání.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadPři upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Než se pokusíte upgradovat na verzi 101.94.13, spusťte následující příkazy. Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Existují dva způsoby, jak tento problém při upgradu zmírnit.
Pomocí správce balíčků odinstalujte 101.75.43 verzi nebo 101.78.13 mdatp.
Příklad:
sudo apt purge mdatp
sudo apt-get install mdatp
Jako alternativu k výše uvedenému můžete podle pokynů odinstalovat a pak nainstalovat nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. Upozornění: U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Listopad-2022 Build: 101.85.27 | Vydaná verze: 30.122092.18527.0
| Vybudovat: | 101.85.27 |
|---|---|
| Uvolněný: | úterý 2. listopadu 2022 |
| Publikovaný: | úterý 2. listopadu 2022 |
| Vydaná verze: | 30.122092.18527.0 |
| Verze modulu: | 1.1.19500.2 |
| Verze podpisu: | 1.371.1369.0 |
Novinky
- V této verzi je několik oprav a nových změn.
- Modul V2 je s touto verzí ve výchozím nastavení a bity modulu V1 se kvůli lepšímu zabezpečení odeberou.
- Cesta konfigurace modulu v2 pro definice AV. (cesta sady definic mdatp)
- Odebrání závislostí externích balíčků z balíčku MDE. Odebrané závislosti jsou libatomic1, libselinux, libseccomp, libfuse a libuuid.
- V případě, že je shromažďování chyb zakázáno konfigurací, proces monitorování chyb se nespouštějí.
- Opravy výkonu pro optimální využití systémových událostí pro funkce AV.
- Zlepšení stability při restartování nástroje mdatp a načítání problémů s nástrojem epsext
- Další opravy
Známé problémy
- Při upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Než se pokusíte upgradovat na verzi 101.85.21, spusťte následující příkazy. Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Existují dva způsoby, jak tento problém při upgradu zmírnit.
Pomocí správce balíčků odinstalujte 101.75.43 verzi nebo 101.78.13 mdatp.
Příklad:
sudo apt purge mdatp
sudo apt-get install mdatp
Jako alternativní přístup postupujte podle pokynů k odinstalaci a pak nainstalujte nejnovější verzi balíčku.
Pokud nechcete odinstalovat mdatp, můžete před upgradem postupně zakázat rtp a mdatp. Upozornění: U některých zákazníků (<1 %) dochází k problémům s touto metodou.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Září 2022 Build: 101.80.97 | Vydaná verze: 30.122072.18097.0
| Vybudovat: | 101.80.97 |
|---|---|
| Uvolněný: | úterý 14. září 2022 |
| Publikovaný: | úterý 14. září 2022 |
| Vydaná verze: | 30.122072.18097.0 |
| Verze modulu: | 1.1.19300.3 |
| Verze podpisu: | 1.369.395.0 |
Novinky
- Opravuje zablokování jádra zjištěné u vybraných zákaznických úloh s verzí
101.75.43mdatp . Po rca se to přičítalo konfliktu časování při uvolnění vlastnictví popisovače souboru senzoru. Konflikt časování byl vystavený kvůli nedávné změně produktu v cestě vypnutí. Zákazníci s novějšími verzemi jádra (5.1 nebo novější) nejsou tímto problémem ovlivněni. Další informace najdete v tématu Zablokování systému kvůli blokovaným úkolům v kódu fanotify.
Známé problémy
Při upgradu z verze
101.75.43mdatp nebo101.78.13může dojít k zablokování jádra. Před pokusem o upgrade na verzi101.80.97spusťte následující příkazy . Tato akce by měla zabránit výskytu problému.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
Po spuštění příkazů proveďte upgrade pomocí správce balíčků.
Jako alternativní přístup postupujte podle pokynů k odinstalaci a pak nainstalujte nejnovější verzi balíčku.
Aug-2022 Build: 101.78.13 | Vydaná verze: 30.122072.17813.0
| Vybudovat: | 101.78.13 |
|---|---|
| Uvolněný: | úterý 24. srpna 2022 |
| Publikovaný: | úterý 24. srpna 2022 |
| Vydaná verze: | 30.122072.17813.0 |
| Verze modulu: | 1.1.19300.3 |
| Verze podpisu: | 1.369.395.0 |
Novinky
- Vrácení zpět kvůli problémům se spolehlivostí
Aug-2022 (build: 101.75.43 | Vydaná verze: 30.122071.17543.0)
| Vybudovat: | 101.75.43 |
|---|---|
| Uvolněný: | úterý 2. srpna 2022 |
| Publikovaný: | úterý 2. srpna 2022 |
| Vydaná verze: | 30.122071.17543.0 |
| Verze modulu: | 1.1.19300.3 |
| Verze podpisu: | 1.369.395.0 |
Novinky
- Přidání podpory pro Red Hat Enterprise Linux verze 9.0
- Ve výstupu
mdatp healthbylo přidáno nové pole, které se dá použít k dotazování úrovně vynucení funkce ochrany sítě. Nové pole se nazývánetwork_protection_enforcement_levela může mít jednu z následujících hodnot:audit,blocknebodisabled. - Byla vyřešena chyba produktu, kdy více detekcí stejného obsahu mohlo vést k duplicitním položkám v historii hrozeb.
- Byl vyřešen problém, kdy se při zastavení služby někdy správně neukončil jeden z procesů vytvořených produktem (
mdatp_audisp_plugin). - Další opravy chyb
Červenec-2022 Build: 101.73.77 | Vydaná verze: 30.122062.17377.0
| Vybudovat: | 101.73.77 |
|---|---|
| Uvolněný: | čtvrtek 21. července 2022 |
| Publikovaný: | čtvrtek 21. července 2022 |
| Vydaná verze: | 30.122062.17377.0 |
| Verze modulu: | 1.1.19200.3 |
| Verze podpisu: | 1.367.1011.0 |
Novinky
- Přidání možnosti konfigurace výpočtu hodnoty hash souboru
- Od tohoto buildu má produkt ve výchozím nastavení nový antimalwarový modul.
- Vylepšení výkonu operací kopírování souborů
- Opravy chyb
Červen-2022 Build: 101.71.18 | Vydaná verze: 30.122052.17118.0
| Vybudovat: | 101.71.18 |
|---|---|
| Uvolněný: | úterý 24. června 2022 |
| Publikovaný: | úterý 24. června 2022 |
| Vydaná verze: | 30.122052.17118.0 |
Novinky
- Oprava podpory úložiště definic v nestandardních umístěních (mimo /var) pro aktualizace definic v2
- Opravili jsme problém se senzorem produktu použitým v RHEL 6, který mohl vést k zablokování operačního systému.
-
mdatp connectivity testbyla rozšířena o další adresu URL, kterou produkt potřebuje ke správnému fungování. Nová adresa URL je https://go.microsoft.com/fwlink/?linkid=2144709. - Až dosud se úroveň protokolu produktů neuchovávala mezi restartováními produktu. Počínaje touto verzí je k dispozici nový přepínač nástrojů příkazového řádku, který zachovává úroveň protokolu. Nový příkaz je
mdatp log level persist --level <level>. - Odebrání závislosti na
pythonz instalačního balíčku produktu - Vylepšení výkonu operací kopírování souborů a zpracování síťových událostí pocházejících z
auditd - Opravy chyb
Build z května 2022: 101.68.80 | Vydaná verze: 30.122042.16880.0
| Vybudovat: | 101.68.80 |
|---|---|
| Uvolněný: | pondělí 23. května 2022 |
| Publikovaný: | pondělí 23. května 2022 |
| Vydaná verze: | 30.122042.16880.0 |
Novinky
- Přidání podpory pro verzi
2.6.32-754.47.1.el6.x86_64jádra při spuštění na RHEL 6 - V RHEL 6 je teď možné produkt nainstalovat na zařízeních s nerozbitným podnikovým jádrem (UEK).
- Opravili jsme problém, kdy se při spuštění někdy nesprávně zobrazoval název procesu.
unknownmdatp diagnostic real-time-protection-statistics - Opravili jsme chybu, kdy produkt někdy nesprávně rozpoznal soubory ve složce karantény.
- Opravili jsme problém, kdy nástroj příkazového
mdatpřádku nefungoval, když/optbyl připojený jako soft-link. - Vylepšení výkonu & opravy chyb
Build z května 2022: 101.65.77 | Vydaná verze: 30.122032.16577.0
| Vybudovat: | 101.65.77 |
|---|---|
| Uvolněný: | 2. května 2022 |
| Publikovaný: | 2. května 2022 |
| Vydaná verze: | 30.122032.16577.0 |
Novinky
- Pole v
mdatp healthsouboru byloconflicting_applicationsvylepšeno tak, aby zobrazoval pouze posledních 10 procesů a také obsahovalo názvy procesů. To usnadňuje identifikaci procesů, které mohou být v konfliktu s Microsoft Defender for Endpoint pro Linux. - Opravy chyb
Březen-2022 (build: 101.62.74 | Vydaná verze: 30.122022.16274.0)
| Vybudovat: | 101.62.74 |
|---|---|
| Uvolněný: | 24. března 2022 |
| Publikovaný: | 24. března 2022 |
| Vydaná verze: | 30.122022.16274.0 |
Novinky
- Byl vyřešen problém, kdy produkt nesprávně zablokoval přístup k souborům větším než 2 GB při spuštění ve starších verzích jádra.
- Opravy chyb
Build březen-2022: 101.60.93 | Vydaná verze: 30.122012.16093.0
| Vybudovat: | 101.60.93 |
|---|---|
| Uvolněný: | 9. března 2022 |
| Publikovaný: | 9. března 2022 |
| Vydaná verze: | 30.122012.16093.0 |
Novinky
- Tato verze obsahuje aktualizaci zabezpečení pro CVE-2022-23278
Březen-2022 Build: 101.60.05 | Vydaná verze: 30.122012.16005.0
| Vybudovat: | 101.60.05 |
|---|---|
| Uvolněný: | 3. března 2022 |
| Publikovaný: | 3. března 2022 |
| Vydaná verze: | 30.122012.16005.0 |
Novinky
- Přidání podpory pro jádro verze 2.6.32-754.43.1.el6.x86_64 pro RHEL 6.10
- Opravy chyb
Build z února 2022: 101.58.80 | Vydaná verze: 30.122012.15880.0
| Vybudovat: | 101.58.80 |
|---|---|
| Uvolněný: | pondělí 20. února 2022 |
| Publikovaný: | pondělí 20. února 2022 |
| Vydaná verze: | 30.122012.15880.0 |
Novinky
- Nástroj příkazového řádku teď podporuje obnovení souborů v karanténě do jiného umístění, než ve kterém byl soubor původně zjištěn. To lze provést prostřednictvím .
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] - Od této verze je možné ochranu sítě pro Linux vyhodnotit na vyžádání.
- Opravy chyb
Jan-2022 Build: 101.56.62 | Vydaná verze: 30.121122.15662.0
| Vybudovat: | 101.56.62 |
|---|---|
| Uvolněný: | 26. ledna 2022 |
| Publikovaný: | 26. ledna 2022 |
| Vydaná verze: | 30.121122.15662.0 |
Novinky
- Opravili jsme chybové ukončení produktu, které se objevilo ve verzi 101.53.02 a ovlivnilo několik zákazníků.
Leden-2022 Build: 101.53.02 | Vydaná verze: 30.121112.15302.0
| Vybudovat: | 101.53.02 |
|---|---|
| Uvolněný: | 8. ledna 2022 |
| Publikovaný: | 8. ledna 2022 |
| Vydaná verze: | 30.121112.15302.0 |
Novinky
- Vylepšení výkonu & opravy chyb
Verze z roku 2021
Build: 101.52.57 | Vydaná verze: 30.121092.15257.0
| Vybudovat: | 101.52.57 |
|---|---|
| Vydaná verze: | 30.121092.15257.0 |
Novinky
- Přidání funkce pro detekci ohrožených souborů JAR log4j, které používají aplikace v Javě. Na počítači se pravidelně kontroluje spouštění procesů Java s načtenými soubory JAR log4j. Informace se hlásí do back-endu Microsoft Defender for Endpoint a jsou zpřístupněny v oblasti Správa ohrožení zabezpečení na portálu.
Build: 101.47.76 | Vydaná verze: 30.121092.14776.0
| Vybudovat: | 101.47.76 |
|---|---|
| Vydaná verze: | 30.121092.14776.0 |
Novinky
Do nástroje příkazového řádku byl přidán nový přepínač, který určuje, jestli se archivy kontrolují během kontrol na vyžádání. To se dá nakonfigurovat prostřednictvím mdatp config scan-archives --value [enabled/disabled]. Ve výchozím nastavení je toto nastavení nastavené na povoleno.
Opravy chyb
Build: 101.45.13 | Vydaná verze: 30.121082.14513.0
| Vybudovat: | 101.45.13 |
|---|---|
| Vydaná verze: | 30.121082.14513.0 |
Novinky
Počínaje touto verzí přinášíme podporu Microsoft Defender for Endpoint pro následující distribuce:
- Verze RHEL6.7-6.10 a CentOS6.7-6.10
- Amazon Linux 2
- Fedora 33 nebo novější
Opravy chyb
Build: 101.45.00 | Vydaná verze: 30.121072.14500.0
| Vybudovat: | 101.45.00 |
|---|---|
| Vydaná verze: | 30.121072.14500.0 |
Novinky
- Přidání nových přepínačů do nástroje příkazového řádku:
- Řízení stupně paralelismu pro kontroly na vyžádání To se dá nakonfigurovat prostřednictvím .
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]Ve výchozím nastavení se používá stupeň paralelismu2. - Určete, jestli jsou kontroly po aktualizacích bezpečnostních informací povolené nebo zakázané. To se dá nakonfigurovat prostřednictvím .
mdatp config scan-after-definition-update --value [enabled/disabled]Ve výchozím nastavení je toto nastavení nastavené naenabledhodnotu . - Změna úrovně protokolu produktu teď vyžaduje zvýšení oprávnění
- Opravy chyb
- Řízení stupně paralelismu pro kontroly na vyžádání To se dá nakonfigurovat prostřednictvím .
Build: 101.39.98 | Vydaná verze: 30.121062.13998.0
| Vybudovat: | 101.39.98 |
|---|---|
| Vydaná verze: | 30.121062.13998.0 |
Novinky
- Vylepšení výkonu & opravy chyb
Build: 101.34.27 | Vydaná verze: 30.121052.13427.0
| Vybudovat: | 101.34.27 |
|---|---|
| Vydaná verze: | 30.121052.13427.0 |
Novinky
- Vylepšení výkonu & opravy chyb
Build: 101.29.64 | Vydaná verze: 30.121042.12964.0
| Vybudovat: | 101.29.64 |
|---|---|
| Vydaná verze: | 30.121042.12964.0 |
Novinky
- Od této verze se hrozby zjištěné během antivirových kontrol na vyžádání aktivovaných klientem příkazového řádku automaticky opravují. Hrozby zjištěné během kontrol aktivovaných prostřednictvím uživatelského rozhraní stále vyžadují ruční akci.
-
mdatp diagnostic real-time-protection-statisticsnyní podporuje další dva přepínače: -
--sort: Seřadí výstup sestupně podle celkového počtu zkontrolovaných souborů. -
--top N: zobrazí prvních N výsledků (funguje jenom v případě, že--sortje také zadaný). - Vylepšení výkonu & opravy chyb
Build: 101.25.72 | Vydaná verze: 30.121022.12563.0
| Vybudovat: | 101.25.72 |
|---|---|
| Vydaná verze: | 30.121022.12563.0 |
Novinky
- Microsoft Defender for Endpoint v Linuxu je teď k dispozici ve verzi Preview pro zákazníky státní správy USA. Další informace najdete v tématu Microsoft Defender for Endpoint pro zákazníky státní správy USA.
- Opravili jsme problém, kdy používání Microsoft Defender for Endpoint v Linuxu v systémech se systémy souborů FUSE vedlo k zablokování operačního systému.
- Vylepšení výkonu & další opravy chyb
Build: 101.25.63 | Vydaná verze: 30.121022.12563.0
| Vybudovat: | 101.25.63 |
|---|---|
| Vydaná verze: | 30.121022.12563.0 |
Novinky
- Vylepšení výkonu & opravy chyb
Build: 101.23.64 | Vydaná verze: 30.121021.12364.0
| Vybudovat: | 101.23.64 |
|---|---|
| Vydaná verze: | 30.121021.12364.0 |
Novinky
- Zlepšení výkonu v situaci, kdy je celý přípojný bod přidán do seznamu vyloučení antivirového softwaru. Před touto verzí byla aktivita zpracovaného souboru produktu pocházející z přípojného bodu. Od této verze je aktivita souborů pro vyloučené přípojné body potlačena, což vede k lepšímu výkonu produktu.
- Do nástroje příkazového řádku byla přidána nová možnost pro zobrazení informací o poslední kontrole na vyžádání. Pokud chcete zobrazit informace o poslední kontrole na vyžádání, spusťte příkaz
mdatp health --details antivirus - Další vylepšení výkonu & opravy chyb
Build: 101.18.53
Novinky
EDR pro Linux je teď obecně dostupný
Přidání nového přepínače příkazového řádku (
--ignore-exclusions) pro ignorování vyloučení av během vlastních kontrol (mdatp scan custom)Rozšířeno
mdatp diagnostic createo nový parametr (), který umožňuje ukládání diagnostických protokolů do jiného adresáře.--path [directory]Vylepšení výkonu & opravy chyb