Neuerungen in Microsoft Defender for Endpoint unter Linux
Gilt für:
- Microsoft Defender for Endpoint-Server
- Microsoft Defender für Server
Dieser Artikel wird regelmäßig aktualisiert, um Ihnen mitzuteilen, was in den neuesten Versionen von Microsoft Defender for Endpoint für Linux neu ist.
Wichtig
Ab Version 101.2408.0004
unterstützt Defender für Endpunkt unter Linux den Auditd
Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen. Diese Änderung ermöglicht eine bessere Leistung, einen geringeren Ressourcenverbrauch und insgesamt eine verbesserte Stabilität. eBPF-Unterstützung ist seit August 2023 verfügbar und vollständig in alle Updates von Defender für Endpunkt für Linux (Version 101.23082.0006
und höher) integriert. Wir empfehlen Ihnen dringend, den eBPF-Build zu übernehmen, da er gegenüber Auditd erhebliche Verbesserungen bietet. Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditd zu bleiben, haben Sie die folgenden Optionen:
Verwenden Sie den Build
101.24072.0000
von Defender für Endpunkt unter Linux weiterhin mit Auditd. Dieser Build wird für mehrere Monate weiterhin unterstützt, sodass Sie Zeit haben, Ihre Migration zu eBPF zu planen und auszuführen.Wenn Sie höhere Versionen als
101.24072.0000
verwenden, verwendetnetlink
Defender für Endpunkt für Linux als ergänzenden Sicherungsereignisanbieter. Im Fall eines Fallbacks werden alle Prozessvorgänge weiterhin nahtlos ausgeführt.
Überprüfen Sie Ihre aktuelle Bereitstellung von Defender für Endpunkt unter Linux, und beginnen Sie mit der Planung Ihrer Migration zum von eBPF unterstützten Build. Weitere Informationen zu eBPF und seiner Funktionsweise finden Sie unter Verwenden eines eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux.
Wenn Sie während dieser Umstellung Bedenken haben oder Unterstützung benötigen, wenden Sie sich an den Support.
Nov-2024 (Build: 101.24092.0002 | Releaseversion: 30.124092.0002.0)
Nov-2024 Build: 101.24092.0002 | Releaseversion: 30.124092.0002.0
Veröffentlicht: 14. November 2024 Veröffentlicht: 14. November 2024 Build: 101.24092.0002 Releaseversion: 30.124092.0002 Engine-Version: 1.1.24080.9 Signaturversion: 1.417.659.0
Neuerungen
Unterstützung für gehärtete Installationen auf nicht ausführbaren
/var
Partitionen hinzugefügt. Ab diesem Release werden Antivirensignaturen standardmäßig unter/opt/microsoft/mdatp/definitions.noindex
anstelle von/var/opt/microsoft/mdatp/definitions.noindex
installiert. Bei Upgrades versucht das Installationsprogramm, ältere Definitionen zum neuen Pfad zu migrieren, es sei denn, es erkennt, dass der Pfad bereits angepasst wurde (mitmdatp definitions path set
).Ab dieser Version benötigt Defender für Endpunkt unter Linux keine ausführbaren Berechtigungen mehr für
/var/log
. Wenn diese Berechtigungen nicht verfügbar sind, werden Protokolldateien automatisch an/opt
umgeleitet.
Okt-2024 (Build: 101.24082.0004 | Releaseversion: 30.124082.0004.0)
Okt-2024 Build: 101.24082.0004 | Releaseversion: 30.124082.0004.0
Veröffentlicht: 15. Oktober 2024
Veröffentlicht: 15. Oktober 2024
Build: 101.24082.0004
Releaseversion: 30.124082.0004
Modulversion: 1.1.24080.9
Signaturversion: 1.417.659.0
Neuerungen
- Ab dieser Version wird Defender für Endpunkt unter Linux nicht mehr als ergänzender Ereignisanbieter unterstützt
AuditD
. Um die Stabilität und Leistung zu verbessern, haben wir vollständig auf eBPF umgestellt. Wenn Sie eBPF deaktivieren oder wenn eBPF auf einem bestimmten Kernel nicht unterstützt wird, wechselt Defender für Endpunkt unter Linux automatisch zurück zu Netlink als ergänzender Fallback-Ereignisanbieter. Netlink bietet reduzierte Funktionalität und verfolgt nur prozessbezogene Ereignisse nach. In diesem Fall werden alle Prozessvorgänge weiterhin nahtlos ausgeführt, aber Sie könnten bestimmte datei- und socketbezogene Ereignisse verpassen, die eBPF andernfalls erfassen würde. Weitere Informationen finden Sie unter Verwenden des eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux. Wenn Sie während dieser Umstellung Bedenken haben oder Unterstützung benötigen, wenden Sie sich an den Support. - Stabilitäts- und Leistungsverbesserungen
- Weitere Fehlerbehebungen
Sept-2024 (Build: 101.24072.0001 | Releaseversion: 30.124072.0001.0)
Sept-2024 Build: 101.24072.0001 | Releaseversion: 30.124072.0001.0
Veröffentlicht: 23. September 2024
Veröffentlicht: 23. September 2024
Build: 101.24072.0001
Releaseversion: 30.124072.0001.0
Modulversion: 1.1.24060.6
Signaturversion: 1.415.228.0
Neuerungen
- Unterstützung für Ubuntu 24.04 hinzugefügt
- Die Standardversion der Engine wurde auf
1.1.24060.6
und die Standardsignaturversion auf1.415.228.0
aktualisiert.
Juli-2024 (Build: 101.24062.0001 | Releaseversion: 30.124062.0001.0)
Juli-2024 Build: 101.24062.0001 | Releaseversion: 30.124062.0001.0
Veröffentlicht: 31. Juli 2024
Veröffentlicht: 31. Juli 2024
Build: 101.24062.0001
Releaseversion: 30.124062.0001.0
Modulversion: 1.1.24050.7
Signaturversion: 1.411.410.0
Neuerungen
In dieser Version gibt es mehrere Korrekturen und neue Änderungen.
- Behebt einen Fehler, bei dem infizierte Befehlszeilenbedrohungsinformationen im Sicherheitsportal nicht ordnungsgemäß angezeigt wurden.
- Behebt einen Fehler, bei dem das Deaktivieren einer Vorschaufunktion einen Defender von Endpunkt erforderte, um es zu deaktivieren.
- Das Feature "Globale Ausschlüsse" mit verwaltetem JSON-Code befindet sich jetzt in der öffentlichen Vorschau. verfügbar in Insider langsam ab 101.23092.0012. Weitere Informationen finden Sie unter Linux-Ausschlüsse.
- Die Linux-Standard-Engine-Version wurde auf 1.1.24050.7 und die Standardversion der Sigs auf 1.411.410.0 aktualisiert.
- Stabilitäts- und Leistungsverbesserungen.
- Andere Fehlerbehebungen.
Juni-2024 (Build: 101.24052.0002 | Releaseversion: 30.124052.0002.0)
Build juni-2024: 101.24052.0002 | Releaseversion: 30.124052.0002.0
Veröffentlicht: 24. Juni 2024
Veröffentlicht: 24. Juni 2024
Build: 101.24052.0002
Releaseversion: 30.124052.0002.0
Modulversion: 1.1.24040.2
Signaturversion: 1.411.153.0
Neuerungen
In dieser Version gibt es mehrere Korrekturen und neue Änderungen.
- Dieses Release behebt einen Fehler im Zusammenhang mit einer hohen Arbeitsspeicherauslastung, die schließlich zu einer hohen CPU-Auslastung aufgrund eines eBPF-Speicherverlusts im Kernelspeicher führt, was dazu führt, dass Server in unbrauchbare Zustände geraten. Dies wirkte sich nur auf die Kernelversionen 3.10x und <= 4.16x aus, hauptsächlich auf RHEL/CentOS-Distributionen. Aktualisieren Sie auf die neueste MDE Version, um Auswirkungen zu vermeiden.
- Wir haben nun die Ausgabe von vereinfacht.
mdatp health --detail features
- Stabilitäts- und Leistungsverbesserungen.
- Andere Fehlerbehebungen.
Mai-2024 (Build: 101.24042.0002 | Releaseversion: 30.124042.0002.0)
Build mai-2024: 101.24042.0002 | Releaseversion: 30.124042.0002.0
Veröffentlicht: 29. Mai 2024
Veröffentlicht: 29. Mai 2024
Build: 101.24042.0002
Releaseversion: 30.124042.0002.0
Modulversion: 1.1.24030.4
Signaturversion: 1.407.521.0
Neuerungen
In diesem Release gibt es mehrere Korrekturen und neue Änderungen:
- In Version 24032.0007 gab es ein bekanntes Problem, bei dem die Registrierung von Geräten bei MDE Sicherheitsverwaltung fehlgeschlagen ist, wenn der Mechanismus "Gerätetagging" über die mdatp_managed.json-Datei verwendet wurde. Dieses Problem wurde in der aktuellen Version behoben.
- Stabilitäts- und Leistungsverbesserungen.
- Andere Fehlerbehebungen.
Mai-2024 (Build: 101.24032.0007 | Releaseversion: 30.124032.0007.0)
Mai-2024 Build: 101.24032.0007 | Releaseversion: 30.124032.0007.0
Veröffentlicht: 15. Mai 2024
Veröffentlicht: 15. Mai 2024
Build: 101.24032.0007
Releaseversion: 30.124032.0007.0
Modulversion: 1.1.24020.3
Signaturversion: 1.403.3500.0
Neuerungen
In diesem Release gibt es mehrere Korrekturen und neue Änderungen:
Im passiven und bedarfsgesteuerten Modus verbleibt das Antivirenmodul im Leerlauf und wird nur während geplanter benutzerdefinierter Überprüfungen verwendet. Daher haben wir im Rahmen der Leistungsverbesserungen Änderungen vorgenommen, um die AV-Engine im passiven und bedarfsgesteuerten Modus zu halten, außer bei geplanten benutzerdefinierten Scans. Wenn der Echtzeitschutz aktiviert ist, ist das Antivirenmodul immer aktiv. Dies hat in keinem Modus Auswirkungen auf ihren Serverschutz.
Um Benutzer über den Status der Antiviren-Engine auf dem Laufenden zu halten, haben wir ein neues Feld namens "engine_load_status" als Teil der MDATP-Integrität eingeführt. Es gibt an, ob die Antiviren-Engine derzeit ausgeführt wird.
Field name
engine_load_status
Mögliche Werte Engine nicht geladen (AV-Engine-Prozess ist ausgefallen), Engine load succeeded (AV Engine Process up and running) Fehlerfreie Szenarien:
- Wenn RTP aktiviert ist, sollte engine_load_status "Engine load succeeded" (Engine load succeeded) sein.
- Wenn sich MDE im bedarfsgesteuerten oder passiven Modus befindet und die benutzerdefinierte Überprüfung nicht ausgeführt wird, sollte "engine_load_status" "Engine nicht geladen" sein.
- Wenn sich MDE im bedarfsgesteuerten oder passiven Modus befindet und eine benutzerdefinierte Überprüfung ausgeführt wird, sollte "engine_load_status" auf "Engine load succeeded" (Engine load succeeded) festgelegt werden.
Fehlerbehebung zur Verbesserung von Verhaltenserkennungen.
Stabilitäts- und Leistungsverbesserungen.
Andere Fehlerbehebungen.
Bekannte Probleme
Es gibt ein bekanntes Problem, bei dem die Registrierung von Geräten für MDE Sicherheitsverwaltung über den Mechanismus "Gerätetagging" mit mdatp_managed.json in 24032.0007 fehlschlägt. Um dieses Problem zu beheben, verwenden Sie den folgenden mdatp CLI-Befehl, um Geräte zu markieren:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Das Problem wurde in Build 101.24042.0002 behoben.
März-2024 (Build: 101.24022.0001 | Releaseversion: 30.124022.0001.0)
März-2024 Build: 101.24022.0001 | Releaseversion: 30.124022.0001.0
Veröffentlicht: 22. März 2024
Veröffentlicht: 22. März 2024
Build: 101.24022.0001
Releaseversion: 30.124022.0001.0
Modulversion: 1.1.23110.4
Signaturversion: 1.403.87.0
Neuerungen
In diesem Release gibt es mehrere Korrekturen und neue Änderungen:
- Das Hinzufügen einer neuen Protokolldatei :
microsoft_defender_scan_skip.log
. Dadurch werden die Dateinamen protokolliert, die aus verschiedenen Antivirenscans von Microsoft Defender for Endpoint aus irgendeinem Grund übersprungen wurden. - Stabilitäts- und Leistungsverbesserungen.
- Fehlerbehebungen.
März-2024 (Build: 101.24012.0001 | Releaseversion: 30.124012.0001.0)
März-2024 Build: 101.24012.0001 | Releaseversion: 30.124012.0001.0
Veröffentlicht: 12. März 2024
Veröffentlicht: 12. März 2024
Build: 101.24012.0001
Releaseversion: 30.124012.0001.0
Modulversion: 1.1.23110.4
Signaturversion: 1.403.87.0
Neuerungen In diesem Release gibt es mehrere Korrekturen und neue Änderungen:
- Die Standardversion der Engine wurde auf
1.1.23110.4
und die Standardsignaturversion auf1.403.87.0
aktualisiert. - Stabilitäts- und Leistungsverbesserungen.
- Fehlerbehebungen.
Februar-2024 (Build: 101.23122.0002 | Releaseversion: 30.123122.0002.0)
Februar-2024 Build: 101.23122.0002 | Releaseversion: 30.123122.0002.0
Veröffentlicht: 5. Februar 2024
Veröffentlicht: 5. Februar 2024
Build: 101.23122.0002
Releaseversion: 30.123122.0002.0
Modulversion: 1.1.23100.2010
Signaturversion: 1.399.1389.0
Neuerungen In diesem Release gibt es mehrere Korrekturen und neue Änderungen:
Die Standardversion der Engine wurde auf
1.1.23100.2010
und die Standardsignaturversion auf1.399.1389.0
aktualisiert.Allgemeine Stabilitäts- und Leistungsverbesserungen.
Fehlerbehebungen.
Microsoft Defender for Endpoint unter Linux unterstützt jetzt offiziell die folgenden Distributionen und Versionen:
Distributionsversion & Ring Paket Mariner 2 Produktion https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 und höher Insider langsam https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 und höher Insider langsam https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 und höher Insider langsam https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 und höher Insider langsam https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Wenn Defender für Endpunkt bereits in einer dieser Distributionen ausgeführt wird und Probleme in den älteren Versionen auftreten, führen Sie ein Upgrade auf die neueste Version von Defender für Endpunkt aus dem entsprechenden oben erwähnten Ring aus. Weitere Informationen finden Sie in unserer Dokumentation zur öffentlichen Bereitstellung .
Hinweis
Bekannte Probleme:
Microsoft Defender for Endpoint für Linux auf Rocky und Alma weist derzeit die folgenden bekannten Probleme auf:
- Live Response und Threat Vulnerability Management werden derzeit nicht unterstützt (wird ausgeführt).
- Betriebssysteminformationen für Geräte sind im Microsoft Defender-Portal nicht sichtbar
Januar-2024 (Build: 101.23112.0009 | Releaseversion: 30.123112.0009.0)
Januar-2024 Build: 101.23112.0009 | Releaseversion: 30.123112.0009.0
Veröffentlicht: 29. Januar 2024
Veröffentlicht: 29. Januar 2024
Build: 101.23112.0009
Releaseversion: 30.123112.0009.0
Modulversion: 1.1.23100.2010
Signaturversion: 1.399.1389.0
Neuerungen
- Die Standardversion der Engine wurde auf
1.1.23110.4
und die Standardsignaturversion auf1.403.1579.0
aktualisiert. - Allgemeine Stabilitäts- und Leistungsverbesserungen.
- Fehlerbehebung für die Konfiguration der Verhaltensüberwachung.
- Fehlerbehebungen.
November-2023 (Build: 101.23102.0003 | Releaseversion: 30.123102.0003.0)
November-2023 Build: 101.23102.0003 | Releaseversion: 30.123102.0003.0
Veröffentlicht: 28. November 2023
Veröffentlicht: 28. November 2023
Build: 101.23102.0003
Releaseversion: 30.123102.0003.0
Modulversion: 1.1.23090.2008
Signaturversion: 1.399.690.0
Neuerungen
- Die Standardversion der Engine wurde auf
1.1.23090.2008
und die Standardsignaturversion auf1.399.690.0
aktualisiert. - Libcurl-Bibliothek wurde auf version
8.4.0
aktualisiert, um kürzlich offengelegte Sicherheitsrisiken mit der älteren Version zu beheben. - Die Openssl-Bibliothek wurde auf version
3.1.1
aktualisiert, um kürzlich offengelegte Sicherheitsrisiken mit der älteren Version zu beheben. - Allgemeine Stabilitäts- und Leistungsverbesserungen.
- Fehlerbehebungen.
November-2023 (Build: 101.23092.0012 | Releaseversion: 30.123092.0012.0)
November-2023 Build: 101.23092.0012 | Releaseversion: 30.123092.0012.0
Veröffentlicht: 14. November 2023
Veröffentlicht: 14. November 2023
Build: 101.23092.0012
Releaseversion: 30.123092.0012.0
Modulversion: 1.1.23080.2007
Signaturversion: 1.395.1560.0
Neuerungen
In diesem Release gibt es mehrere Korrekturen und neue Änderungen:
Unterstützung für die Wiederherstellung der Bedrohung basierend auf dem ursprünglichen Pfad mithilfe des folgenden Befehls hinzugefügt:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Ab diesem Release werden Microsoft Defender for Endpoint unter Linux keine Lösung mehr für RHEL 6 ausgeliefert.
RHEL 6 "Erweiterter Support für das Ende der Lebensdauer" endet am 30. Juni 2024, und Kunden wird empfohlen, ihre RHEL-Upgrades entsprechend den Empfehlungen von Red Hat zu planen. Kunden, die Defender für Endpunkt auf RHEL 6-Servern ausführen müssen, können weiterhin version 101.23082.0011 (läuft nicht vor dem 30. Juni 2024 ab) nutzen, die für Kernelversionen 2.6.32-754.49.1.el6.x86_64 oder früher unterstützt wird.
- Engine update to and Signatures Ver (Engine Update to
1.1.23080.2007
and Signatures Ver):1.395.1560.0
. - Die optimierte Gerätekonnektivität befindet sich jetzt im öffentlichen Vorschaumodus. öffentlicher Blog
- Leistungsverbesserungen & Fehlerbehebungen.
- Engine update to and Signatures Ver (Engine Update to
Bekannte Probleme
- Die CPU-Sperrung in kernel version 5.15.0-0.30.20 im ebpf-Modus finden Sie unter Verwenden des eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux.
November-2023 (Build: 101.23082.0011 | Releaseversion: 30.123082.0011.0)
Build november-2023: 101.23082.0011 | Releaseversion: 30.123082.0011.0
Veröffentlicht: 1. November 2023
Veröffentlicht: 1. November 2023
Build: 101.23082.0011
Releaseversion: 30.123082.0011.0
Modulversion: 1.1.23070.1002
Signaturversion: 1.393.1305.0
Neuerungen Dieses neue Release wird im Oktober 2023-Release ('101.23082.0009') erstellt, und es wurden die folgenden Änderungen hinzugefügt. Für andere Kunden gibt es keine Änderung, und ein Upgrade ist optional.
Korrektur für den unveränderlichen Überwachungsmodus, wenn das ergänzende Subsystem ebpf ist: Im ebpf-Modus sollten alle mdatp-Überwachungsregeln nach dem Wechsel zu ebpf und einem Neustart bereinigt werden. Nach dem Neustart wurden mdatp-Überwachungsregeln nicht bereinigt, was dazu führte, dass der Server hängen blieb. Die Korrektur bereinigt diese Regeln. Benutzer sollten beim Neustart keine mdatp-Regeln geladen sehen
Korrektur für MDE nicht unter RHEL 6 gestartet wird.
Bekannte Probleme
Beim Upgrade von mdatp-Version 101.75.43 oder 101.78.13 tritt möglicherweise ein Kernel-Fehler auf. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05 zu aktualisieren. Weitere Informationen zum zugrunde liegenden Problem finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 (Build: 101.23082.0009 | Releaseversion: 30.123082.0009.0)
Oktober-2023 Build: 101.23082.0009 | Releaseversion: 30.123082.0009.0
Veröffentlicht: 9. Oktober 2023
Veröffentlicht: 9. Oktober 2023
Build: 101.23082.0009
Releaseversion: 30.123082.0009.0
Modulversion: 1.1.23070.1002
Signaturversion: 1.393.1305.0
Neuerungen
- Dieses neue Release wird im Oktober 2023-Release ('101.23082.0009') erstellt, und es wurden neue Zertifizierungsstellenzertifikate hinzugefügt. Für andere Kunden gibt es keine Änderung, und ein Upgrade ist optional.
Bekannte Probleme
Beim Upgrade von mdatp-Version 101.75.43 oder 101.78.13 tritt möglicherweise ein Kernel-Fehler auf. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05 zu aktualisieren. Weitere Informationen zum zugrunde liegenden Problem finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 (Build: 101.23082.0006 | Releaseversion: 30.123082.0006.0)
Oktober-2023 Build: 101.23082.0006 | Releaseversion: 30.123082.0006.0
Veröffentlicht: 9. Oktober 2023
Veröffentlicht: 9. Oktober 2023
Build: 101.23082.0006
Releaseversion: 30.123082.0006.0
Modulversion: 1.1.23070.1002
Signaturversion: 1.393.1305.0
Neuerungen
Featureupdates und neue Änderungen
- Der eBPF-Sensor ist jetzt der Standardanbieter für ergänzende Ereignisse für Endpunkte.
- Microsoft Intune Feature zum Anfügen von Mandanten befindet sich in der öffentlichen Vorschau (Mitte Juli)
- Sie müssen "*.dm.microsoft.com" zu Firewallausschlüssen hinzufügen, damit das Feature ordnungsgemäß funktioniert.
- Defender für Endpunkt ist jetzt für Debian 12 und Amazon Linux 2023 verfügbar.
- Unterstützung zum Aktivieren der Signaturüberprüfung heruntergeladener Updates
Beachten Sie, dass Sie die manajed.json wie unten gezeigt aktualisieren müssen.
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Voraussetzung für die Aktivierung des Features
- Die Modulversion auf dem Gerät muss "1.1.23080.007" oder höher sein. Überprüfen Sie Ihre Engine-Version mithilfe des folgenden Befehls.
mdatp health --field engine_version
- Die Modulversion auf dem Gerät muss "1.1.23080.007" oder höher sein. Überprüfen Sie Ihre Engine-Version mithilfe des folgenden Befehls.
- Option zur Unterstützung der Überwachung von NFS- und FUSE-Bereitstellungspunkten. Diese werden standardmäßig ignoriert. Das folgende Beispiel zeigt, wie das gesamte Dateisystem überwacht wird, während nur NFS ignoriert wird:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Beispiel für die Überwachung aller Dateisysteme, einschließlich NFS und FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- Weitere Leistungsverbesserungen
- Fehlerbehebungen
Bekannte Probleme
- Beim Upgrade von mdatp-Version 101.75.43 oder 101.78.13 tritt möglicherweise ein Kernel-Fehler auf. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.98.05 zu aktualisieren. Weitere Informationen zum zugrunde liegenden Problem finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code. Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
September-2023 (Build: 101.23072.0021 | Releaseversion: 30.123072.0021.0)
September-2023 Build: 101.23072.0021 | Releaseversion: 30.123072.0021.0
Veröffentlicht: 11. September 2023
Veröffentlicht: 11. September 2023
Build: 101.23072.0021
Releaseversion: 30.123072.0021.0
Modulversion: 1.1.20100.7
Signaturversion: 1.385.1648.0
Neuerungen
- Dieses Release enthält mehrere Fixes und neue Änderungen.
- In mde_installer.sh v0.6.3 können Benutzer das
--channel
Argument verwenden, um den Kanal des konfigurierten Repositorys während der Bereinigung bereitzustellen. Beispiel:sudo ./mde_installer --clean --channel prod
- Die Netzwerkerweiterung kann jetzt von Administratoren mithilfe
mdatp network-protection reset
von zurückgesetzt werden. - Weitere Leistungsverbesserungen
- Fehlerbehebungen
- In mde_installer.sh v0.6.3 können Benutzer das
Bekannte Probleme
- Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 (Build: 101.23062.0010 | Releaseversion: 30.123062.0010.0)
Juli-2023 Build: 101.23062.0010 | Releaseversion: 30.123062.0010.0
Veröffentlicht: 26. Juli 2023
Veröffentlicht: 26. Juli 2023
Build: 101.23062.0010
Releaseversion: 30.123062.0010.0
Modulversion: 1.1.20100.7
Signaturversion: 1.385.1648.0
Neuerungen
Dieses Release enthält mehrere Fixes und neue Änderungen.
- Wenn ein Proxy für Defender für Endpunkt festgelegt ist, wird er in der
mdatp health
Befehlsausgabe angezeigt. - Mit diesem Release haben wir zwei Optionen in mdatp diagnostic hot-event-sources bereitgestellt:
- Dateien
- Ausführbare Dateien
- Netzwerkschutz: Connections, die vom Netzwerkschutz blockiert werden und die von Benutzern überschrieben werden, werden jetzt ordnungsgemäß an Microsoft Defender XDR
- Verbesserte Protokollierung in Block- und Überwachungsereignissen für das Debuggen im Netzwerkschutz
- Wenn ein Proxy für Defender für Endpunkt festgelegt ist, wird er in der
Weitere Korrekturen und Verbesserungen
- Ab dieser Version befindet sich enforcementLevel standardmäßig im passiven Modus, sodass Administratoren mehr Kontrolle darüber erhalten, wo sie "RTP on" in ihrem Bestand verwenden möchten.
- Diese Änderung gilt nur für neue MDE Bereitstellungen, z. B. Server, auf denen Defender für Endpunkt zum ersten Mal bereitgestellt wird. In Updateszenarien werden Server, auf denen Defender für Endpunkt mit RTP ON bereitgestellt wurde, auch nach dem Update auf Version 101.23062.0010 weiterhin mit RTP ON betrieben.
Fehlerbehebungen
- Problem mit einer Beschädigung der RPM-Datenbank in Defender Vulnerability Management Baseline wurde behoben
Weitere Leistungsverbesserungen
Bekannte Probleme
- Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 (Build: 101.23052.0009 | Releaseversion: 30.123052.0009.0)
Juli-2023 Build: 101.23052.0009 | Releaseversion: 30.123052.0009.0
Veröffentlicht: 10. Juli 2023
Veröffentlicht: 10. Juli 2023
Build: 101.23052.0009
Releaseversion: 30.123052.0009.0
Modulversion: 1.1.20100.7
Signaturversion: 1.385.1648.0
Neuerungen
- In diesem Release gibt es mehrere Korrekturen und neue Änderungen: Das Buildversionsschema wird von diesem Release aus aktualisiert. Während die Hauptversionsnummer mit 101 identisch bleibt, weist die Nebenversionsnummer jetzt fünf Ziffern auf, gefolgt von einer vierstelligen Patchnummer,
101.xxxxx.yyy
also – Verbesserter Netzwerkschutz-Speicherverbrauch unter Belastung- Die Modulversion wurde auf
1.1.20300.5
und die Signaturversion auf1.391.2837.0
aktualisiert. - Fehlerbehebungen.
- Die Modulversion wurde auf
Bekannte Probleme
- Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juni-2023 (Build: 101.98.89 | Releaseversion: 30.123042.19889.0)
Build juni-2023: 101.98.89 | Releaseversion: 30.123042.19889.0
Veröffentlicht: 12. Juni 2023
Veröffentlicht: 12. Juni 2023
Build: 101.98.89
Releaseversion: 30.123042.19889.0
Modulversion: 1.1.20100.7
Signaturversion: 1.385.1648.0
Neuerungen
- Dieses Release enthält mehrere Fixes und neue Änderungen.
- Verbesserte Behandlung des Netzwerkschutzproxys.
- Im passiven Modus überprüft Defender für Endpunkt nicht mehr, wenn das Definitionsupdate erfolgt.
- Geräte werden auch nach Ablauf des Defender für Endpunkt-Agents weiterhin geschützt. Es wird empfohlen, den Defender für Endpunkt Linux-Agent auf die neueste verfügbare Version zu aktualisieren, um Fehlerbehebungen, Features und Leistungsverbesserungen zu erhalten.
- Semanage-Paketabhängigkeit entfernt.
- Engine update to and Signatures Ver (Engine Update to
1.1.20100.7
and Signatures Ver):1.385.1648.0
. - Fehlerbehebungen.
Bekannte Probleme
- Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Mai-2023 (Build: 101.98.64 | Releaseversion: 30.123032.19864.0)
Mai-2023 Build: 101.98.64 | Releaseversion: 30.123032.19864.0
Veröffentlicht: 3. Mai 2023
Veröffentlicht: 3. Mai 2023
Build: 101.98.64
Releaseversion: 30.123032.19864.0
Modulversion: 1.1.20100.6
Signaturversion: 1.385.68.0
Neuerungen
- Dieses Release enthält mehrere Fixes und neue Änderungen.
- Verbesserungen der Integritätsmeldung, um Details zu überwachten Fehlern zu erfassen.
- Verbesserungen bei der Behandlung von Augenregeln, die zu Installationsfehlern geführt haben.
- Regelmäßige Speicherbereinigung im Engine-Prozess.
- Behebung eines Speicherproblems im mdatp audisp-Plug-In.
- Fehlender Plug-In-Verzeichnispfad während der Installation behandelt.
- Wenn eine in Konflikt stehende Anwendung blockierende Fanotify verwendet, zeigt die mdatp-Integrität mit der Standardkonfiguration fehlerhaft an. Dieses Problem wurde behoben.
- Unterstützung für die ICMP-Datenverkehrsuntersuchung in BM.
- Engine update to and Signatures Ver (Engine Update to
1.1.20100.6
and Signatures Ver):1.385.68.0
. - Fehlerbehebungen.
Bekannte Probleme
- Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
April-2023 (Build: 101.98.58 | Releaseversion: 30.123022.19858.0)
April-2023 Build: 101.98.58 | Releaseversion: 30.123022.19858.0
Veröffentlicht: 20. April 2023
Veröffentlicht: 20. April 2023
Build: 101.98.58
Releaseversion: 30.123022.19858.0
Modulversion: 1.1.20000.2
Signaturversion: 1.381.3067.0
Neuerungen
- Dieses Release enthält mehrere Fixes und neue Änderungen.
- Verbesserungen bei der Protokollierung und Fehlerberichterstattung für auditd.
- Behandeln Sie fehler beim erneuten Laden der überwachten Konfiguration.
- Behandlung leerer überwachter Regeldateien während MDE Installation.
- Engine update to and Signatures Ver (Engine Update to
1.1.20000.2
and Signatures Ver):1.381.3067.0
. - Es wurde ein Integritätsproblem in mdatp behoben, das aufgrund von Selinux-Ablehnungen auftritt.
- Fehlerbehebungen.
Bekannte Probleme
Beim Upgrade von mdatp auf version
101.94.13
oder höher stellen Sie möglicherweise fest, dass die Integrität falsch ist, wobei health_issues als "kein aktiver ergänzender Ereignisanbieter" angegeben ist. Dies kann aufgrund von falsch konfigurierten/in Konflikt stehenden Überwachungsregeln auf vorhandenen Computern auftreten. Um das Problem zu beheben, müssen die überwachten Regeln auf den vorhandenen Computern behoben werden. Die folgenden Befehle können Ihnen helfen, solche überwachten Regeln zu identifizieren (Befehle müssen als Superbenutzer ausgeführt werden). Erstellen Sie eine Sicherung der folgenden Datei: /etc/audit/rules.d/audit.rules, da diese Schritte nur zum Identifizieren von Fehlern dienen.echo -c >> /etc/audit/rules.d/audit.rules augenrules --load
Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann ein Kernel hängen bleiben. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, dieses Upgradeproblem zu beheben:
Verwenden Sie Ihren Paket-Manager, um die
101.75.43
mdatp-Version oder101.78.13
zu deinstallieren.Beispiel:
sudo apt purge mdatp sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Wenn Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
März-2023 (Build: 101.98.30 | Releaseversion: 30.123012.19830.0)
März-2023 Build: 101.98.30 | Releaseversion: 30.123012.19830.0
Veröffentlicht: März , 20,2023
Veröffentlicht: 20. März 2023
Build: 101.98.30
Releaseversion: 30.123012.19830.0
Modulversion: 1.1.19900.2
Signaturversion: 1.379.1299.0
Neuerungen
- Diese neue Version wurde im März 2023-Release ('101.98.05') erstellt, mit einem Fix für Live-Antwortbefehle, die für einen unserer Kunden fehlschlagen. Für andere Kunden gibt es keine Änderung, und das Upgrade ist optional.
Bekannte Probleme
- Bei mdatp Version 101.98.30 kann in einigen Fällen ein Problem mit der Integrität falsch auftreten, da SELinux-Regeln für bestimmte Szenarien nicht definiert sind. Die Integritätswarnung könnte in etwa wie folgt aussehen:
SELinux-Denialen innerhalb des letzten Tages gefunden. Wenn MDATP kürzlich installiert wurde, löschen Sie die vorhandenen Überwachungsprotokolle, oder warten Sie einen Tag, bis dieses Problem automatisch behoben wird. Verwenden Sie den Befehl : "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "denied", um Details zu finden
Das Problem kann durch Ausführen der folgenden Befehle behoben werden.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Hier stellt my-mdatpaudisppl_v1 den Namen des Richtlinienmoduls dar. Nachdem Sie die Befehle ausgeführt haben, warten Sie entweder 24 Stunden, oder löschen/archivieren Sie die Überwachungsprotokolle. Die Überwachungsprotokolle können archiviert werden, indem Sie den folgenden Befehl ausführen:
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Falls das Problem mit einigen anderen Ablehnungen erneut angezeigt wird. Wir müssen die Entschärfung erneut mit einem anderen Modulnamen ausführen (z. B. my-mdatpaudisppl_v2).
März-2023 (Build: 101.98.05 | Releaseversion: 30.123012.19805.0)
März-2023 (Build: 101.98.05 | Releaseversion: 30.123012.19805.0)
Veröffentlicht: März , 08,2023
Veröffentlicht: 08. März 2023
Build: 101.98.05
Releaseversion: 30.123012.19805.0
Modulversion: 1.1.19900.2
Signaturversion: 1.379.1299.0
Neuerungen
In dieser Version gibt es mehrere Korrekturen und neue Änderungen.
- Verbesserte Datenvollständigkeit für Netzwerkverbindungsereignisse
- Verbesserte Datensammlungsfunktionen für Änderungen des Dateibesitzes/der Berechtigungen
- seManage in einem Teil des Pakets, damit seLinux-Richtlinien in unterschiedlichen Distributionen (fest) konfiguriert werden können.
- Verbesserte Stabilität des Unternehmensdaemons
- AuditD-Stopppfad sauber nach oben
- Verbesserte Stabilität des mdatp-Stoppflusses.
- Neues Feld zu wdavstate hinzugefügt, um die Plattformupdatezeit nachzuverfolgen.
- Stabilitätsverbesserungen beim Analysieren des Onboarding-Blobs von Defender für Endpunkt.
- Die Überprüfung wird nicht fortgesetzt, wenn keine gültige Lizenz vorhanden ist (behoben)
- Die Option für die Leistungsablaufverfolgung wurde zu xPlatClientAnalyzer hinzugefügt, wobei der mdatp-Prozess die Ablaufverfolgung aktiviert hat, um den Flow in all_process.zip Datei abzuspeichern, die für die Analyse von Leistungsproblemen verwendet werden kann.
- Unterstützung in Defender für Endpunkt für die folgenden RHEL-6-Kernelversionen hinzugefügt:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- Weitere Korrekturen
Bekannte Probleme
Beim Upgrade von mdatp auf Version 101.94.13 stellen Sie möglicherweise fest, dass die Integrität false ist, wobei health_issues als "kein aktiver ergänzender Ereignisanbieter" angegeben ist. Dies kann aufgrund von falsch konfigurierten/in Konflikt stehenden Überwachungsregeln auf vorhandenen Computern auftreten. Um das Problem zu beheben, müssen die überwachten Regeln auf den vorhandenen Computern behoben werden. Die folgenden Schritte können Ihnen helfen, solche überwachten Regeln zu identifizieren (diese Befehle müssen als Superbenutzer ausgeführt werden). Stellen Sie sicher, dass Sie die folgende Datei sichern: "/etc/audit/rules.d/audit.rules", da diese Schritte nur zum Identifizieren von Fehlern dienen.
echo -c >> /etc/audit/rules.d/audit.rules augenrules --load
Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.98.05
zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, das Problem beim Upgrade zu beheben.
Verwenden Sie Ihren Paket-Manager, um die 101.75.43
mdatp-Version oder 101.78.13
zu deinstallieren.
Beispiel:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternativ können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Falls Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 (Build: 101.94.13 | Releaseversion: 30.122112.19413.0)
Jan-2023 (Build: 101.94.13 | Releaseversion: 30.122112.19413.0)
Veröffentlicht: 10. Januar 2023
Veröffentlicht: 10. Januar 2023
Build: 101.94.13
Releaseversion: 30.122112.19413.0
Modulversion: 1.1.19700.3
Signaturversion: 1.377.550.0
Neuerungen
- Dieses Release enthält mehrere Fixes und neue Änderungen.
- Überspringen Sie standardmäßig die Quarantäne von Bedrohungen im passiven Modus.
- Die neue Konfiguration nonExecMountPolicy kann jetzt verwendet werden, um das Verhalten von RTP auf dem Als noexec gekennzeichneten Bereitstellungspunkt anzugeben.
- Die neue Konfiguration unmonitoredFilesystems kann verwendet werden, um die Überwachung bestimmter Dateisysteme aufzuheben.
- Verbesserte Leistung bei hoher Auslastung und in Testszenarien mit hoher Geschwindigkeit.
- Behebt ein Problem mit dem Zugriff auf SMB-Freigaben hinter Cisco AnyConnect VPN-Verbindungen.
- Behebt ein Problem mit Netzwerkschutz und SMB.
- Lttng-Unterstützung der Leistungsablaufverfolgung.
- Verbesserungen an TVM, eBPF, auditd, Telemetrie und mdatp CLI.
- mdatp health meldet jetzt behavior_monitoring
- Andere Korrekturen.
Bekannte Probleme
Beim Upgrade von mdatp auf version
101.94.13
stellen Sie möglicherweise fest, dass die Integrität falsch ist, wobei health_issues als "kein aktiver ergänzender Ereignisanbieter" angegeben ist. Dies kann aufgrund von falsch konfigurierten/in Konflikt stehenden Überwachungsregeln auf vorhandenen Computern auftreten. Um das Problem zu beheben, müssen die überwachten Regeln auf den vorhandenen Computern behoben werden. Die folgenden Schritte können Ihnen helfen, solche überwachten Regeln zu identifizieren (diese Befehle müssen als Superbenutzer ausgeführt werden). Erstellen Sie eine Sicherung der folgenden Datei:/etc/audit/rules.d/audit.rules
Da diese Schritte nur zum Identifizieren von Fehlern dienen.echo -c >> /etc/audit/rules.d/audit.rules augenrules --load
Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.94.13 zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, das Problem beim Upgrade zu beheben.
Verwenden Sie Ihren Paket-Manager, um die 101.75.43
mdatp-Version oder 101.78.13
zu deinstallieren.
Beispiel:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternativ zu den obigen Anweisungen können Sie die Anweisungen zum Deinstallieren befolgen und dann die neueste Version des Pakets installieren .
Falls Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nov-2022 (Build: 101.85.27 | Releaseversion: 30.122092.18527.0)
Nov-2022 (Build: 101.85.27 | Releaseversion: 30.122092.18527.0)
Veröffentlicht: 02. November 2022
Veröffentlicht: 02. November 2022
Build: 101.85.27
Releaseversion: 30.122092.18527.0
Modulversion: 1.1.19500.2
Signaturversion: 1.371.1369.0
Neuerungen
- Dieses Release enthält mehrere Fixes und neue Änderungen.
- V2-Engine ist in diesem Release standardmäßig, und V1-Engine-Bits werden aus Sicherheitsgründen entfernt.
- V2-Engine unterstützt den Konfigurationspfad für AV-Definitionen. (mdatp-Definitionssatzpfad)
- Abhängigkeiten externer Pakete aus MDE Paket entfernt. Entfernte Abhängigkeiten sind libatomic1, libselinux, libseccomp, libfuse und libuuid
- Falls die Absturzsammlung durch die Konfiguration deaktiviert wird, wird der Absturzüberwachungsprozess nicht gestartet.
- Leistungskorrekturen zur optimalen Verwendung von Systemereignissen für AV-Funktionen.
- Stabilitätsverbesserung beim Neustarten von mdatp und Laden von epsext-Problemen.
- Weitere Korrekturen
Bekannte Probleme
- Beim Upgrade von der mdatp-Version
101.75.43
oder101.78.13
kann es zu einer Kernel-Hänger kommen. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version 101.85.21 zu aktualisieren. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Es gibt zwei Möglichkeiten, das Problem beim Upgrade zu beheben.
Verwenden Sie Ihren Paket-Manager, um die 101.75.43
mdatp-Version oder 101.78.13
zu deinstallieren.
Beispiel:
sudo apt purge mdatp
sudo apt-get install mdatp
Führen Sie alternativ die Anweisungen zum Deinstallieren aus, und installieren Sie dann die neueste Version des Pakets.
Falls Sie mdatp nicht deinstallieren möchten, können Sie rtp und mdatp vor dem Upgrade nacheinander deaktivieren. Achtung: Bei einigen Kunden (<1 %) treten Probleme mit dieser Methode auf.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Sep-2022 (Build: 101.80.97 | Releaseversion: 30.122072.18097.0)
Sep-2022 (Build: 101.80.97 | Releaseversion: 30.122072.18097.0)
Veröffentlicht: 14. September 2022
Veröffentlicht: 14. September 2022
Build: 101.80.97
Releaseversion: 30.122072.18097.0
Modulversion: 1.1.19300.3
Signaturversion: 1.369.395.0
Neuerungen
- Behebt einen Kernelfehler, der bei ausgewählten Kundenworkloads mit mdatp-Version
101.75.43
beobachtet wurde. Nach der Fehlerursachenanalyse wurde dies einer Racebedingung zugeordnet, während der Besitz eines Sensordateideskriptors freigegeben wurde. Die Racebedingung wurde aufgrund einer kürzlich vorgenommenen Produktänderung im Herunterfahren-Pfad verfügbar gemacht. Kunden mit neueren Kernelversionen (5.1 und höher) sind von diesem Problem nicht betroffen. Weitere Informationen finden Sie unter System hängt aufgrund blockierter Aufgaben in Fanotify-Code.
Bekannte Probleme
Wenn Sie ein Upgrade von der mdatp-Version
101.75.43
oder101.78.13
durchführen, kann es vorkommen, dass der Kernel nicht reagiert. Führen Sie die folgenden Befehle aus, bevor Sie versuchen, auf Version101.80.97
zu aktualisieren. Diese Aktion sollte verhindern, dass das Problem auftritt.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
Nachdem Sie die Befehle ausgeführt haben, verwenden Sie ihren Paket-Manager, um das Upgrade durchzuführen.
Führen Sie alternativ die Anweisungen zum Deinstallieren aus, und installieren Sie dann die neueste Version des Pakets.
Aug-2022 (Build: 101.78.13 | Releaseversion: 30.122072.17813.0)
Aug-2022 (Build: 101.78.13 | Releaseversion: 30.122072.17813.0)
Veröffentlicht: 24. August 2022
Veröffentlicht: 24. August 2022
Build: 101.78.13
Releaseversion: 30.122072.17813.0
Modulversion: 1.1.19300.3
Signaturversion: 1.369.395.0
Neuerungen
- Rollback aufgrund von Zuverlässigkeitsproblemen
Aug-2022 (Build: 101.75.43 | Releaseversion: 30.122071.17543.0)
Aug-2022 (Build: 101.75.43 | Releaseversion: 30.122071.17543.0)
Veröffentlicht: 2. August 2022
Veröffentlicht: 2. August 2022
Build: 101.75.43
Releaseversion: 30.122071.17543.0
Modulversion: 1.1.19300.3
Signaturversion: 1.369.395.0
Neuerungen
- Unterstützung für Red Hat Enterprise Linux Version 9.0 hinzugefügt
- In der Ausgabe von
mdatp health
wurde ein neues Feld hinzugefügt, das zum Abfragen der Erzwingungsebene des Netzwerkschutzfeatures verwendet werden kann. Das neue Feld wird aufgerufennetwork_protection_enforcement_level
und kann einen der folgenden Werte annehmen:audit
,block
oderdisabled
. - Es wurde ein Produktfehler behoben, bei dem mehrere Erkennungen desselben Inhalts zu doppelten Einträgen im Bedrohungsverlauf führen konnten.
- Es wurde ein Problem behoben, bei dem einer der vom Produkt erzeugten Prozesse (
mdatp_audisp_plugin
) manchmal nicht ordnungsgemäß beendet wurde, als der Dienst beendet wurde. - Weitere Fehlerbehebungen
Jul-2022 (Build: 101.73.77 | Releaseversion: 30.122062.17377.0)
Jul-2022 (Build: 101.73.77 | Releaseversion: 30.122062.17377.0)
Veröffentlicht: 21. Juli 2022
Veröffentlicht: 21. Juli 2022
Build: 101.73.77
Releaseversion: 30.122062.17377.0
Modulversion: 1.1.19200.3
Signaturversion: 1.367.1011.0
Neuerungen
- Option zum Konfigurieren der Dateihashberechnung hinzugefügt
- Ab diesem Build verfügt das Produkt standardmäßig über die neue Antischadsoftware-Engine.
- Leistungsverbesserungen für Dateikopiervorgänge
- Fehlerbehebungen
Jun-2022 (Build: 101.71.18 | Releaseversion: 30.122052.17118.0)
Veröffentlicht: 24. Juni 2022
Veröffentlicht: 24. Juni 2022
Build: 101.71.18
Releaseversion: 30.122052.17118.0
Neuerungen
- Korrektur zur Unterstützung von Definitionsspeicher an nicht standardmäßigen Speicherorten (außerhalb von /var) für v2-Definitionsupdates
- Es wurde ein Problem im Produktsensor behoben, der unter RHEL 6 verwendet wurde und zu einer Hängenbleiben des Betriebssystems führen konnte.
-
mdatp connectivity test
wurde um eine zusätzliche URL erweitert, die für die ordnungsgemäße Funktion des Produkts erforderlich ist. Die neue URL lautet https://go.microsoft.com/fwlink/?linkid=2144709. - Bisher wurde der Produktprotokolliergrad zwischen Produktneustarts nicht beibehalten. Ab dieser Version gibt es einen neuen Befehlszeilentoolschalter, mit dem die Protokollebene beibehalten wird. Der neue Befehl ist
mdatp log level persist --level <level>
. - Die Abhängigkeit
python
von wurde aus dem Produktinstallationspaket entfernt. - Leistungsverbesserungen für Dateikopiervorgänge und die Verarbeitung von Netzwerkereignissen, die von stammen
auditd
- Fehlerbehebungen
Mai-2022 (Build: 101.68.80 | Releaseversion: 30.122042.16880.0)
Mai-2022 (Build: 101.68.80 | Releaseversion: 30.122042.16880.0)
Veröffentlicht: 23. Mai 2022
Veröffentlicht: 23. Mai 2022
Build: 101.68.80
Releaseversion: 30.122042.16880.0
Neuerungen
- Unterstützung für Kernelversion
2.6.32-754.47.1.el6.x86_64
hinzugefügt, wenn unter RHEL 6 ausgeführt wird - Unter RHEL 6 kann das Produkt jetzt auf Geräten installiert werden, auf denen Unbreakable Enterprise Kernel (UEK) ausgeführt wird.
- Es wurde ein Problem behoben, bei dem der Prozessname bei der Ausführung manchmal fälschlicherweise als
unknown
angezeigt wurde.mdatp diagnostic real-time-protection-statistics
- Ein Fehler wurde behoben, bei dem das Produkt manchmal Dateien im Quarantäneordner fälschlicherweise erkannt hat.
- Es wurde ein Problem behoben, bei dem das
mdatp
Befehlszeilentool nicht funktionierte, wenn/opt
als Softlink eingebunden wurde. - Leistungsverbesserungen & Fehlerbehebungen
Mai-2022 (Build: 101.65.77 | Releaseversion: 30.122032.16577.0)
Mai-2022 (Build: 101.65.77 | Releaseversion: 30.122032.16577.0)
Veröffentlicht: 2. Mai 2022
Veröffentlicht: 2. Mai 2022
Build: 101.65.77
Releaseversion: 30.122032.16577.0
Neuerungen
-
conflicting_applications
Das Feld inmdatp health
wurde verbessert, um nur die letzten 10 Prozesse anzuzeigen und auch die Prozessnamen einzuschließen. Dadurch lässt sich leichter erkennen, welche Prozesse potenziell mit Microsoft Defender for Endpoint für Linux in Konflikt stehen. - Fehlerbehebungen
Mar-2022 (Build: 101.62.74 | Releaseversion: 30.122022.16274.0)
Veröffentlicht: 24. März 2022
Veröffentlicht: 24. März 2022
Build: 101.62.74
Releaseversion: 30.122022.16274.0
Neuerungen
- Es wurde ein Problem behoben, bei dem das Produkt den Zugriff auf Dateien mit einer Größe von mehr als 2 GB fälschlicherweise blockierte, wenn es unter älteren Kernelversionen ausgeführt wurde.
- Fehlerbehebungen
Mar-2022 (Build: 101.60.93 | Releaseversion: 30.122012.16093.0)
Mar-2022 (Build: 101.60.93 | Releaseversion: 30.122012.16093.0)
Veröffentlicht: 9. März 2022
Veröffentlicht: 9. März 2022
Build: 101.60.93
Releaseversion: 30.122012.16093.0
Neuerungen
- Diese Version enthält ein Sicherheitsupdate für CVE-2022-23278.
Mar-2022 (Build: 101.60.05 | Releaseversion: 30.122012.16005.0)
Veröffentlicht: 3. März 2022
Veröffentlicht: 3. März 2022
Build: 101.60.05
Releaseversion: 30.122012.16005.0
Neuerungen
- Unterstützung für Kernelversion 2.6.32-754.43.1.el6.x86_64 für RHEL 6.10 hinzugefügt
- Fehlerbehebungen
Februar-2022 (Build: 101.58.80 | Releaseversion: 30.122012.15880.0)
Februar-2022 (Build: 101.58.80 | Releaseversion: 30.122012.15880.0)
Veröffentlicht: 20. Februar 2022
Veröffentlicht: 20. Februar 2022
Build: 101.58.80
Releaseversion: 30.122012.15880.0
Neuerungen
- Das Befehlszeilentool unterstützt jetzt die Wiederherstellung von unter Quarantäne stehenden Dateien an einem anderen Speicherort als dem Speicherort, an dem die Datei ursprünglich erkannt wurde. Dies kann über
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
erfolgen. - Ab dieser Version kann der Netzwerkschutz für Linux bedarfsgesteuert ausgewertet werden.
- Fehlerbehebungen
Jan-2022 (Build: 101.56.62 | Releaseversion: 30.121122.15662.0)
Jan-2022 (Build: 101.56.62 | Releaseversion: 30.121122.15662.0)
Veröffentlicht: 26. Januar 2022
Veröffentlicht: 26. Januar 2022
Build: 101.56.62
Releaseversion: 30.121122.15662.0
Neuerungen
- Es wurde ein Produktabsturz behoben, der in Version 101.53.02 eingeführt wurde und sich auf mehrere Kunden auswirkte.
Jan-2022 (Build: 101.53.02 | Releaseversion: (30.121112.15302.0)
Veröffentlicht: 8. Januar 2022
Veröffentlicht: 8. Januar 2022
Build: 101.53.02
Releaseversion: 30.121112.15302.0
Neuerungen
- Leistungsverbesserungen & Fehlerbehebungen
2021
(Build: 101.52.57 | Releaseversion: 30.121092.15257.0)
Build: 101.52.57
Releaseversion: 30.121092.15257.0
Neuerungen
Es wurde eine Funktion zum Erkennen anfälliger log4j-JAR-Dateien hinzugefügt, die von Java-Anwendungen verwendet werden. Der Computer wird regelmäßig auf die Ausführung von Java-Prozessen mit geladenen log4j-JAR-Dateien überprüft. Die Informationen werden dem Microsoft Defender for Endpoint-Back-End gemeldet und im Bereich Sicherheitsrisikoverwaltung des Portals verfügbar gemacht.
(Build: 101.47.76 | Releaseversion: 30.121092.14776.0)
Build: 101.47.76
Releaseversion: 30.121092.14776.0
Neuerungen
Dem Befehlszeilentool wurde ein neuer Schalter hinzugefügt, um zu steuern, ob Archive bei bedarfsgesteuerten Überprüfungen überprüft werden. Dies kann über mdatp config scan-archives --value [enabled/disabled] konfiguriert werden. Standardmäßig ist diese Einstellung auf aktiviert festgelegt.
- Fehlerbehebungen
(Build: 101.45.13 | Releaseversion: 30.121082.14513.0)
Build: 101.45.13
Releaseversion: 30.121082.14513.0
Neuerungen
Ab dieser Version wird Microsoft Defender for Endpoint Unterstützung für die folgenden Distributionen bereitgestellt:
- Versionen RHEL6.7-6.10 und CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 oder höher
Fehlerbehebungen
(Build: 101.45.00 | Releaseversion: 30.121072.14500.0)
Build: 101.45.00
Releaseversion: 30.121072.14500.0
Neuerungen
- Dem Befehlszeilentool wurden neue Schalter hinzugefügt:
- Steuern des Parallelitätsgrads für bedarfsgesteuerte Scans. Dies kann über
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
konfiguriert werden. Standardmäßig wird ein Grad an Parallelität von2
verwendet. - Steuern Sie, ob Überprüfungen nach Security Intelligence-Updates aktiviert oder deaktiviert sind. Dies kann über
mdatp config scan-after-definition-update --value [enabled/disabled]
konfiguriert werden. Standardmäßig ist diese Einstellung aufenabled
festgelegt.
- Steuern des Parallelitätsgrads für bedarfsgesteuerte Scans. Dies kann über
- Das Ändern des Produktprotokolliergrads erfordert jetzt erhöhte Rechte.
- Fehlerbehebungen
(Build: 101.39.98 | Releaseversion: 30.121062.13998.0)
Build: 101.39.98
Releaseversion: 30.121062.13998.0
Neuerungen
Leistungsverbesserungen & Fehlerbehebungen
(Build: 101.34.27 | Releaseversion: 30.121052.13427.0)
Build: 101.34.27
Releaseversion: 30.121052.13427.0
Neuerungen
Leistungsverbesserungen & Fehlerbehebungen
(Build: 101.29.64 | Releaseversion: 30.121042.12964.0)
Build: 101.29.64
Releaseversion: 30.121042.12964.0
Neuerungen
- Ab dieser Version werden Bedrohungen, die bei bedarfsgesteuerten Antivirenscans erkannt werden, die über den Befehlszeilenclient ausgelöst werden, automatisch behoben. Bedrohungen, die bei Überprüfungen erkannt werden, die über die Benutzeroberfläche ausgelöst werden, erfordern weiterhin manuelle Maßnahmen.
-
mdatp diagnostic real-time-protection-statistics
unterstützt jetzt zwei weitere Switches:-
--sort
: sortiert die Ausgabe absteigend nach der Gesamtzahl der gescannten Dateien. -
--top N
: zeigt die obersten N Ergebnisse an (funktioniert nur, wenn--sort
ebenfalls angegeben ist)
-
- Leistungsverbesserungen & Fehlerbehebungen
(Build: 101.25.72 | Releaseversion: 30.121022.12563.0)
Build: 101.25.72
Releaseversion: 30.121022.12563.0
Neuerungen
Microsoft Defender for Endpoint unter Linux ist jetzt als Vorschauversion für US-Behörden verfügbar. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint für US Government-Kunden.
- Es wurde ein Problem behoben, bei dem die Verwendung von Microsoft Defender for Endpoint unter Linux auf Systemen mit FUSE-Dateisystemen dazu führte, dass das Betriebssystem nicht mehr reagierte.
- Leistungsverbesserungen & anderen Fehlerbehebungen
(Build: 101.25.63 | Releaseversion: 30.121022.12563.0)
Build: 101.25.63
Releaseversion: 30.121022.12563.0
Neuerungen
Leistungsverbesserungen & Fehlerbehebungen
(Build: 101.23.64 | Releaseversion: 30.121021.12364.0)
Build: 101.23.64
Releaseversion: 30.121021.12364.0
Neuerungen
Leistungsverbesserung für die Situation, in der der Antivirenausschlussliste ein vollständiger Bereitstellungspunkt hinzugefügt wird. Vor dieser Version stammt die Produktprozessdateiaktivität vom Bereitstellungspunkt. Ab dieser Version wird die Dateiaktivität für ausgeschlossene Bereitstellungspunkte unterdrückt, was zu einer besseren Produktleistung führt.
- Dem Befehlszeilentool wurde eine neue Option hinzugefügt, um Informationen zum letzten bedarfsgesteuerten Scan anzuzeigen. Führen Sie aus, um Informationen zur letzten bedarfsgesteuerten Überprüfung anzuzeigen.
mdatp health --details antivirus
- Weitere Leistungsverbesserungen & Fehlerbehebungen
(Build: 101.18.53)
Build: 101.18.53
Neuerungen
EDR für Linux ist jetzt allgemein verfügbar
- Neuer Befehlszeilenschalter (
--ignore-exclusions
) hinzugefügt, um AV-Ausschlüsse während benutzerdefinierter Überprüfungen zu ignorieren (mdatp scan custom
) - Erweitert
mdatp diagnostic create
um einen neuen Parameter (--path [directory]
), mit dem die Diagnoseprotokolle in einem anderen Verzeichnis gespeichert werden können - Leistungsverbesserungen & Fehlerbehebungen