Microsoft Defender for Endpoint Linuxin uudet ominaisuudet
Tätä artikkelia päivitetään usein, jotta saat tietää, mitä uutta on Microsoft Defender for Endpoint Linuxin uusimmissa versioissa.
Tärkeää
Versiosta 101.2408.0004
alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd
. Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan. Tämä muutos parantaa suorituskykyä, vähentää resurssien kulutusta ja parantaa vakautta yleisesti. eBPF-tuki on ollut saatavilla elokuusta 2023 lähtien, ja se on täysin integroitu kaikkiin Defender for Endpointin päivityksiin Linuxissa (versio ja uudemmat 101.23082.0006
). Suosittelemme ottamaan eBPF-koontiversion käyttöön, sillä se tarjoaa merkittäviä parannuksia auditointiin nähden. Jos eBPF:tä ei tueta koneissasi tai jos auditoinnissa on tiettyjä vaatimuksia, sinulla on seuraavat vaihtoehdot:
Jatka Defender for Endpointin käyttöä Linux-koontiversiossa
101.24072.0000
Auditd-kohteella. Tätä koontiversiota tuetaan edelleen useita kuukausia, joten sinulla on aikaa suunnitella ja suorittaa siirtyminen eBPF:ään.Jos käytössäsi on versioita, jotka ovat uudempia kuin
101.24072.0000
, Defender for Endpoint on Linux käyttää sitänetlink
täydentävänä varmuuskopiointitapahtumapalveluna. Varatoiminnon ilmetessä kaikki prosessitoiminnot jatkavat työnkulkua saumattomasti.
Tarkista nykyinen Defender for Endpoint Linux-käyttöönotosta ja aloita siirron suunnittelu eBPF:n tukemaan koontiversioon. Lisätietoja eBPF:stä ja sen toiminnasta on kohdassa eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa.
Jos sinulla on ongelmia tai tarvitset apua tämän siirtymän aikana, ota yhteyttä tukeen.
Marraskuu 2024 (koontiversio: 101.24092.0002 | Julkaisuversio: 30.124092.0002.0)
Marraskuun 2024 koontiversio: 101.24092.0002 | Julkaisuversio: 30.124092.0002.0
Julkaistu: 14. marraskuuta 2024 Julkaistu: 14.11.2024 Koontiversio: 101.24092.0002 Julkaisuversio: 30.124092.0002 Moduulin versio: 1.1.24080.9 Allekirjoitusversio: 1.417.659.0
Uudet ominaisuudet
Tuki lisätty jännittyneille asennuksille muissa kuin suoritettavissa
/var
osioissa. Tästä versiosta alkaen virustentorjuntaohjelman allekirjoitukset asennetaan/opt/microsoft/mdatp/definitions.noindex
oletusarvoisesti -version sijaan/var/opt/microsoft/mdatp/definitions.noindex
. Päivitysten aikana asennusohjelma yrittää siirtää vanhemmat määritykset uuteen polkuun, ellei se havaitse, että polku on jo mukautettu (käyttämällämdatp definitions path set
).Tästä versiosta alkaen Defender for Endpoint on Linux ei enää tarvitse suoritusoikeuksia kohteelle
/var/log
. Jos nämä oikeudet eivät ole käytettävissä, lokitiedostot ohjataan automaattisesti kohteeseen/opt
.
Lokakuu-2024 (koontiversio: 101.24082.0004 | Julkaisuversio: 30.124082.0004.0)
Syyskuun 2024 koontiversio: 101.24082.0004 | Julkaisuversio: 30.124082.0004.0
Julkaistu: 15. lokakuuta 2024
Julkaistu: 15. lokakuuta 2024
Koontiversio: 101.24082.0004
Julkaisuversio: 30.124082.0004
Moduulin versio: 1.1.24080.9
Allekirjoituksen versio: 1.417.659.0
Uudet ominaisuudet
- Kun tämä versio käynnistetään, Defender for Endpoint on Linux ei enää tue
AuditD
täydentävänä tapahtumapalveluna. Olemme siirtyneet eBPF:ään koko ajan vakauden ja suorituskyvyn parantamiseksi. Jos poistat eBPF:n käytöstä tai jos eBPF:ää ei tueta missään tietyssä ytimessä, Linuxin Defender for Endpoint siirtyy automaattisesti takaisin Netlinkiin varatapahtumapalveluna. Netlink tarjoaa rajoitettuja toimintoja ja seuraa vain prosessiin liittyviä tapahtumia. Tässä tapauksessa kaikki prosessitoiminnot toimivat saumattomasti, mutta saatat menettää tiettyjä tiedostoihin ja vastakkeisiin liittyviä tapahtumia, jotka eBPF muuten tallentaisi. Lisätietoja on kohdassa eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa. Jos sinulla on ongelmia tai tarvitset apua tämän siirtymän aikana, ota yhteyttä tukeen. - Vakauden ja suorituskyvyn parannukset
- Muita virheenkorjauksia
Syyskuu 2024 (koontiversio: 101.24072.0001 | Julkaisuversio: 30.124072.0001.0)
Syyskuun 2024 koontiversio: 101.24072.0001 | Julkaisuversio: 30.124072.0001.0
Julkaistu: 23. syyskuuta 2024
Julkaistu: 23. syyskuuta 2024
Koontiversio: 101.24072.0001
Julkaisuversio: 30.124072.0001.0
Moduulin versio: 1.1.24060.6
Allekirjoituksen versio: 1.415.228.0
Uudet ominaisuudet
- Lisätty tuki Ubuntu 24.04:lle
- Päivitetty oletusmoduulin versioksi
1.1.24060.6
ja oletusarvon mukaiseksi allekirjoitusversioksi1.415.228.0
.
Heinäkuu-2024 (koontiversio: 101.24062.0001 | Julkaisuversio: 30.124062.0001.0)
Heinäkuun 2024 koontiversio: 101.24062.0001 | Julkaisuversio: 30.124062.0001.0
Julkaistu: 31. heinäkuuta 2024
Julkaistu: 31. heinäkuuta 2024
Koontiversio: 101.24062.0001
Julkaisuversio: 30.124062.0001.0
Moduulin versio: 1.1.24050.7
Allekirjoituksen versio: 1.411.410.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia.
- Korjaa virheen, jossa tartunnan saaneet komentorivin uhkatiedot eivät näkyneet oikein tietoturvaportaalissa.
- Korjaa virheen, jossa esikatselutoiminnon poistaminen käytöstä vaati Defender of Endpointin poistamaan sen käytöstä.
- Yleiset poikkeukset -ominaisuus, joka käyttää hallittua JSON:ia, on nyt julkisessa esikatselussa. saatavilla insider-yksissä hitaasti 101.23092.0012. Lisätietoja on kohdassa Linux-poissulkemiset.
- Linux-oletusmoduulin versio päivitettiin versioksi 1.1.24050.7 ja sigs-oletusversioksi 1.411.410.0.
- Vakauden ja suorituskyvyn parannuksia.
- Muita virheenkorjauksia.
Kesäkuu-2024 (koontiversio: 101.24052.0002 | Julkaisuversio: 30.124052.0002.0)
Kesäkuun 2024 koontiversio: 101.24052.0002 | Julkaisuversio: 30.124052.0002.0
Julkaistu: 24. kesäkuuta 2024
Julkaistu: 24. kesäkuuta 2024
Koontiversio: 101.24052.0002
Julkaisuversio: 30.124052.0002.0
Moduulin versio: 1.1.24040.2
Allekirjoituksen versio: 1.411.153.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia.
- Tämä versio korjaa virheen, joka liittyy korkeaan muistin käyttöön, mikä johtaa lopulta korkeaan suoritintasoon eBPF-muistivuodon vuoksi ydintilassa, minkä vuoksi palvelimet siirtyvät käyttökelvmättömiin tilaan. Tämä vaikutti vain ytimen versioihin 3.10x ja <= 4.16x, pääasiassa RHEL/CentOS-distroihin. Päivitä uusimpaan MDE versioon, jotta ne eivät vaikuta niihin.
- Olemme nyt yksinkertaistaneet
mdatp health --detail features
- Vakauden ja suorituskyvyn parannuksia.
- Muita virheenkorjauksia.
Touko-2024 (koontiversio: 101.24042.0002 | Julkaisuversio: 30.124042.0002.0)
Touko-2024 koontiversio: 101.24042.0002 | Julkaisuversio: 30.124042.0002.0
Julkaistu: 29. toukokuuta 2024
Julkaistu: 29. toukokuuta 2024
Koontiversio: 101.24042.0002
Julkaisuversio: 30.124042.0002.0
Moduulin versio: 1.1.24030.4
Allekirjoituksen versio: 1.407.521.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia:
- Versiossa 24032.0007 oli tunnettu ongelma, jossa laitteiden rekisteröinti suojauksen hallintaan MDE epäonnistui käytettäessä "Device Tagging" -mekanismia mdatp_managed.json-tiedoston kautta. Tämä ongelma on ratkaistu nykyisessä versiossa.
- Vakauden ja suorituskyvyn parannuksia.
- Muita virheenkorjauksia.
Toukokuu –2024 (koontiversio: 101.24032.0007 | Julkaisuversio: 30.124032.0007.0)
Touko-2024 koontiversio: 101.24032.0007 | Julkaisuversio: 30.124032.0007.0
Julkaistu: 15.5.2024
Julkaistu: 15. toukokuuta 2024
Koontiversio: 101.24032.0007
Julkaisuversio: 30.124032.0007.0
Moduulin versio: 1.1.24020.3
Allekirjoituksen versio: 1.403.3500.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia:
Passiivisissa ja pyydettäessä suoritettavassa tilassa virustentorjuntaohjelma pysyy käyttämättömänä, ja sitä käytetään vain ajoitettujen mukautettujen tarkistusten aikana. Osana suorituskyvyn parannuksia olemme siis tehneet muutoksia pitääksemme AV-moduulin passiivisessa ja pyydettäessä-tilassa lukuun ottamatta ajoitettuja mukautettuja skannauksia. Jos reaaliaikainen suojaus on käytössä, virustentorjuntaohjelma on aina toiminnassa. Tämä ei vaikuta palvelimen suojaukseen missään tilassa.
Jotta käyttäjät pysyvät ajan tasalla virustentorjuntaohjelman tilasta, olemme ottaneet käyttöön uuden kentän nimeltä "engine_load_status" osana MDATP-kuntoa. Se ilmaisee, onko virustentorjuntaohjelma käynnissä vai ei.
Field name
engine_load_status
Mahdolliset arvot Moduulia ei ole ladattu (AV-moduuliprosessi on alhaalla), moduulin lataus onnistui (AV-moduuliprosessi käynnissä) Terveet skenaariot:
- Jos RTP on käytössä, engine_load_status pitäisi olla "Moduulin lataus onnistui"
- Jos MDE on pyydettäessä tai passiivisessa tilassa eikä mukautettua tarkistusta suoriteta, engine_load_status on oltava "Moduuli ei ole ladattu"
- Jos MDE on pyydettäessä tai passiivisessa tilassa ja mukautettu tarkistus on käynnissä, engine_load_status on oltava "Moduulin lataus onnistui"
Virheenkorjaus käyttäytymistunnistusten parantamiseksi.
Vakauden ja suorituskyvyn parannuksia.
Muita virheenkorjauksia.
Tunnetut ongelmat
On tunnettu ongelma, jossa laitteiden rekisteröinti suojauksen hallinnan MDE "Device Tagging" -mekanismin avulla mdatp_managed.json avulla epäonnistuu 24032.0007: ssä. Voit ratkaista tämän ongelman merkitsemalla laitteet seuraavalla mdatp CLI -komennolla:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Ongelma on korjattu koontiversiossa 101.24042.0002
Maaliskuu 2024 (koontiversio: 101.24022.0001 | Julkaisuversio: 30.124022.0001.0)
Maaliskuun 2024 koontiversio: 101.24022.0001 | Julkaisuversio: 30.124022.0001.0
Julkaistu: 22.3.2024
Julkaistu: 22.3.2024
Koontiversio: 101.24022.0001
Julkaisuversio: 30.124022.0001.0
Moduulin versio: 1.1.23110.4
Allekirjoituksen versio: 1.403.87.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia:
- Uuden lokitiedoston lisääminen -
microsoft_defender_scan_skip.log
. Tämä kirjaa tiedostonimet, jotka Microsoft Defender for Endpoint ohitti eri virustentorjuntatarkisuksista mistä tahansa syystä. - Vakauden ja suorituskyvyn parannuksia.
- Korjauksia.
Maaliskuu-2024 (koontiversio: 101.24012.0001 | Julkaisuversio: 30.124012.0001.0)
Maaliskuun 2024 koontiversio: 101.24012.0001 | Julkaisuversio: 30.124012.0001.0
Julkaistu: 12.3.2024
Julkaistu: 12.3.2024
Koontiversio: 101.24012.0001
Julkaisuversio: 30.124012.0001.0
Moduulin versio: 1.1.23110.4
Allekirjoituksen versio: 1.403.87.0
Mitä uutta Tässä versiossa on useita korjauksia ja uusia muutoksia:
- Moduulin oletusversioksi
1.1.23110.4
on päivitetty ja allekirjoitusten oletusversioksi1.403.87.0
. - Vakauden ja suorituskyvyn parannuksia.
- Korjauksia.
Helmikuu-2024 (koontiversio: 101.23122.0002 | Julkaisuversio: 30.123122.0002.0)
Helmikuun 2024 koontiversio: 101.23122.0002 | Julkaisuversio: 30.123122.0002.0
Julkaistu: 5.2.2024
Julkaistu: 5.2.2024
Koontiversio: 101.23122.0002
Julkaisuversio: 30.123122.0002.0
Moduulin versio: 1.1.23100.2010
Allekirjoitusversio: 1.399.1389.0
Mitä uutta Tässä versiossa on useita korjauksia ja uusia muutoksia:
Moduulin oletusversioksi
1.1.23100.2010
on päivitetty ja allekirjoitusten oletusversioksi1.399.1389.0
.Yleiset vakauden ja suorituskyvyn parannukset.
Korjauksia.
Microsoft Defender for Endpoint Linuxissa tukee nyt virallisesti seuraavia esittelyjä ja versioita:
Distro & versio Sormus Paketti Mariner 2 Tuotanto https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 ja uudempi Insider-sisäpiirin hitaita https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 ja uudempi Insider-sisäpiirin hitaita https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 ja uudemmat Insider-sisäpiirin hitaita https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 ja uudemmat Insider-sisäpiirin hitaita https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Jos sinulla on jo Defender for Endpoint käynnissä jossakin näistä distroista ja kohtaat ongelmia vanhemmissa versioissa, päivitä uusimpaan Defender for Endpoint -versioon yllä mainitusta vastaavasta kehästä. Lisätietoja on julkisissa käyttöönottodokumenteissa .
Huomautus
Tunnetut ongelmat:
Microsoft Defender for Endpoint Linuxille Rockyssa ja Almassa on tällä hetkellä seuraavat tunnetut ongelmat:
- Reaaliaikaista vastausten ja uhkien haavoittuvuuden hallintaa ei tällä hetkellä tueta (työ on käynnissä).
- Laitteiden käyttöjärjestelmätiedot eivät näy Microsoft Defender portaalissa
Tammikuu–2024 (koontiversio: 101.23112.0009 | Julkaisuversio: 30.123112.0009.0)
Tammikuun 2024 koontiversio: 101.23112.0009 | Julkaisuversio: 30.123112.0009.0
Julkaistu: 29.1.2024
Julkaistu: 29. tammikuuta 2024
Koontiversio: 101.23112.0009
Julkaisuversio: 30.123112.0009.0
Moduulin versio: 1.1.23100.2010
Allekirjoitusversio: 1.399.1389.0
Uudet ominaisuudet
- Moduulin oletusversioksi
1.1.23110.4
on päivitetty ja allekirjoitusten oletusversioksi1.403.1579.0
. - Yleiset vakauden ja suorituskyvyn parannukset.
- Virheenkorjaus toiminnan valvonnan määrityksiä varten.
- Korjauksia.
Marraskuu–2023 (koontiversio: 101.23102.0003 | Julkaisuversio: 30.123102.0003.0)
Marraskuun 2023 koontiversio: 101.23102.0003 | Julkaisuversio: 30.123102.0003.0
Julkaistu: 28.11.2023
Julkaistu: 28.11.2023
Koontiversio: 101.23102.0003
Julkaisuversio: 30.123102.0003.0
Moduulin versio: 1.1.23090.2008
Allekirjoituksen versio: 1.399.690.0
Uudet ominaisuudet
- Moduulin oletusversioksi
1.1.23090.2008
on päivitetty ja allekirjoitusten oletusversioksi1.399.690.0
. - Libcurl-kirjasto päivitettiin versioksi
8.4.0
, jotta äskettäin paljastetut haavoittuvuudet korjattiin vanhemmalla versiolla. - Updated Openssl-kirjasto versioon
3.1.1
, joka korjaa viimeksi paljastuneet haavoittuvuudet vanhemmalla versiolla. - Yleiset vakauden ja suorituskyvyn parannukset.
- Korjauksia.
Marraskuu–2023 (koontiversio: 101.23092.0012 | Julkaisuversio: 30.123092.0012.0)
Marraskuun 2023 koontiversio: 101.23092.0012 | Julkaisuversio: 30.123092.0012.0
Julkaistu: 14.11.2023
Julkaistu: 14.11.2023
Koontiversio: 101.23092.0012
Julkaisuversio: 30.123092.0012.0
Moduulin versio: 1.1.23080.2007
Allekirjoituksen versio: 1.395.1560.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia:
- Tuki lisättiin uhan palauttamiseksi alkuperäisen polun perusteella seuraavan komennon avulla:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Tästä versiosta alkaen Microsoft Defender for Endpoint Linuxissa ei enää toimita ratkaisua RHEL 6:lle.
RHEL 6 "Elinkaaren laajennetun tuen" on valmis päättymään 30.6.2024 mennessä, ja asiakkaita kehotetaan suunnittelemaan RHEL-päivityksensä red hatin ohjeiden mukaisesti. Asiakkaat, joiden on suoritettava Defender for Endpoint RHEL 6 -palvelimilla, voivat edelleen hyödyntää versiota 101.23082.0011 (ei vanhene ennen 30.6.2024), jota tuetaan ytimen versioissa 2.6.32-754.49.1.el6.x86_64 tai sitä aiemmissa versioissa.
- Engine Update to and
1.1.23080.2007
Signatures Ver:1.395.1560.0
. - Virtaviivaistettu laiteyhteyskokemus on nyt julkisessa esikatselutilassa. julkinen blogi
- Suorituskyvyn parannuksia & virheenkorjauksia.
- Engine Update to and
Tunnetut ongelmat
- Suorittimen lukitus ytimen versiossa 5.15.0-0.30.20 ebpf-tilassa, katso lisätietoja ja lievennysvaihtoehtoja artikkelista eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa.
Marraskuu–2023 (koontiversio: 101.23082.0011 | Julkaisuversio: 30.123082.0011.0)
Marraskuun 2023 koontiversio: 101.23082.0011 | Julkaisuversio: 30.123082.0011.0
Julkaistu: 1.11.2023
Julkaistu: 1.11.2023
Koontiversio: 101.23082.0011
Julkaisuversio: 30.123082.0011.0
Moduulin versio: 1.1.23070.1002
Allekirjoituksen versio: 1.393.1305.0
Mitä uutta Tämä uusi julkaisu on koontiversio lokakuun 2023 julkaisusta ('101.23082.0009'), joka sisältää myös seuraavat muutokset. Muut asiakkaat eivät muutu, ja päivittäminen on valinnaista.
Korjattu muuttumaton valvontatapa, kun täydentävä alijärjestelmä on ebpf: Ebpf-tilassa kaikki mdatp-valvontasäännöt olisi puhdistettava, kun siirrytään ebpf-tilaan ja käynnistetään uudelleen. Uudelleenkäynnistyksen jälkeen mdatp-valvontasääntöjä ei puhdistettu, minkä vuoksi se aiheutti palvelimen jumiutumisen. Korjaus puhdistaa nämä säännöt. Käyttäjän ei pitäisi nähdä uudelleenkäynnistykseen ladattuja mdatp-sääntöjä
Korjattu ongelma MDE ettei käynnisty RHEL 6:ssa.
Tunnetut ongelmat
Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja taustalla olevasta ongelmasta on kohdassa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Lokakuu-2023 (koontiversio: 101.23082.0009 | Julkaisuversio: 30.123082.0009.0)
Lokakuun 2023 koontiversio: 101.23082.0009 | Julkaisuversio: 30.123082.0009.0
Julkaistu: 9.10.2023
Julkaistu: 9.10.2023
Koontiversio: 101.23082.0009
Julkaisuversio: 30.123082.0009.0
Moduulin versio: 1.1.23070.1002
Allekirjoituksen versio: 1.393.1305.0
Uudet ominaisuudet
- Tämä uusi julkaisu on koontiversio lokakuun 2023 julkaisusta ('101.23082.0009') sekä uusia varmenteiden myöntäjän varmenteita. Muut asiakkaat eivät muutu, ja päivittäminen on valinnaista.
Tunnetut ongelmat
Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja taustalla olevasta ongelmasta on kohdassa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Lokakuu-2023 (koontiversio: 101.23082.0006 | Julkaisuversio: 30.123082.0006.0)
Lokakuun 2023 koontiversio: 101.23082.0006 | Julkaisuversio: 30.123082.0006.0
Julkaistu: 9.10.2023
Julkaistu: 9.10.2023
Koontiversio: 101.23082.0006
Julkaisuversio: 30.123082.0006.0
Moduulin versio: 1.1.23070.1002
Allekirjoituksen versio: 1.393.1305.0
Uudet ominaisuudet
Ominaisuuspäivitykset ja uudet muutokset
- eBPF-tunnistin on nyt päätepisteiden oletusarvoinen täydentävä tapahtumatoimittaja
- Microsoft Intune vuokraajan liittämisominaisuus on julkisessa esikatselussa (heinäkuun puolivälistä lähtien)
- Sinun on lisättävä "*.dm.microsoft.com" palomuurin poissulkemisiin, jotta ominaisuus toimisi oikein
- Defender for Endpoint on nyt saatavilla Debian 12:lle ja Amazon Linux 2023:lle
- Tuki ladatuille päivityksille allekirjoituksen tarkistuksen mahdollistamiseksi
Huomaa, että sinun on päivitettävä manajed.json alla kuvatulla tavalla
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Ominaisuuden käyttöönoton edellytys
- Laitteen moduuliversion on oltava 1.1.23080.007 tai uudempi. Tarkista moduulin versio käyttämällä seuraavaa komentoa.
mdatp health --field engine_version
- Laitteen moduuliversion on oltava 1.1.23080.007 tai uudempi. Tarkista moduulin versio käyttämällä seuraavaa komentoa.
- Mahdollisuus tukea NFS- ja FUSE-käyttöönottopisteiden seurantaa. Nämä ohitetaan oletusarvoisesti. Seuraavassa esimerkissä näytetään, miten voit valvoa kaikkia tiedostojärjestelmiä ohittamatta vain NFS:ää:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Esimerkki, joka valvoo kaikkia tiedostojärjestelmiä, mukaan lukien NFS ja FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- Muita suorituskyvyn parannuksia
- Korjauksia
Tunnetut ongelmat
- Kun päivität mdatp-versiosta 101.75.43 tai 101.78.13, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.98.05. Lisätietoja taustalla olevasta ongelmasta on kohdassa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi. Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Syyskuu-2023 (koontiversio: 101.23072.0021 | Julkaisuversio: 30.123072.0021.0)
Syyskuun 2023 koontiversio: 101.23072.0021 | Julkaisuversio: 30.123072.0021.0
Julkaistu: 11.9.2023
Julkaistu: 11.9.2023
Koontiversio: 101.23072.0021
Julkaisuversio: 30.123072.0021.0
Moduulin versio: 1.1.20100.7
Allekirjoitusversio: 1.385.1648.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia
- mde_installer.sh v0.6.3:ssa käyttäjät voivat argumentin avulla
--channel
tarjota määritetyn säilön kanavan puhdistamisen aikana. Esimerkiksisudo ./mde_installer --clean --channel prod
- Järjestelmänvalvojat voivat nyt palauttaa verkkolaajennuksen -toiminnolla.
mdatp network-protection reset
- Muita suorituskyvyn parannuksia
- Korjauksia
- mde_installer.sh v0.6.3:ssa käyttäjät voivat argumentin avulla
Tunnetut ongelmat
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Heinäkuu-2023 (koontiversio: 101.23062.0010 | Julkaisuversio: 30.123062.0010.0)
Heinäkuun 2023 koontiversio: 101.23062.0010 | Julkaisuversio: 30.123062.0010.0
Julkaistu: 26.7.2023
Julkaistu: 26.7.2023
Koontiversio: 101.23062.0010
Julkaisuversio: 30.123062.0010.0
Moduulin versio: 1.1.20100.7
Allekirjoitusversio: 1.385.1648.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia
- Jos Defender for Endpointille on määritetty välityspalvelin, se näkyy komennossa
mdatp health
- Tämän version avulla tarjosimme kaksi vaihtoehtoa mdatp-diagnostiikan hot-event-sources-lähteissä:
- Tiedostot
- Suoritettavat tiedostot
- Verkon suojaus: Connections, jotka verkon suojaus on estänyt ja joiden estäminen on käyttäjien ohittama, raportoidaan nyt oikein Microsoft Defender XDR
- Parannetut kirjautumiset verkon suojauksen estossa ja virheenkorjauksen valvontatapahtumat
- Jos Defender for Endpointille on määritetty välityspalvelin, se näkyy komennossa
Muut korjaukset ja parannukset
- Tästä versiosta enforcementLevel on oletusarvoisesti passiivisessa tilassa, mikä antaa järjestelmänvalvojille enemmän valtaa siihen, missä he haluavat RTP:n kiinteistössään
- Tämä muutos koskee vain uusia MDE käyttöönottoja, esimerkiksi palvelimia, joissa Defender for Endpoint otetaan käyttöön ensimmäistä kertaa. Päivitystilanteissa palvelimet, joissa Defender for Endpoint on otettu käyttöön RTP ON:n kanssa, jatkavat RTP ON:n käyttöä myös version 101.23062.0010 päivityksen jälkeen
Korjauksia
- RPM-tietokannan vioittumiseen liittyvä ongelma Defenderin haavoittuvuuksien hallinta perusaikataulussa on korjattu
Muita suorituskyvyn parannuksia
Tunnetut ongelmat
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Heinäkuu-2023 (koontiversio: 101.23052.0009 | Julkaisuversio: 30.123052.0009.0)
Heinäkuun 2023 koontiversio: 101.23052.0009 | Julkaisuversio: 30.123052.0009.0
Julkaistu: 10.7.2023
Julkaistu: 10.7.2023
Koontiversio: 101.23052.0009
Julkaisuversio: 30.123052.0009.0
Moduulin versio: 1.1.20100.7
Allekirjoitusversio: 1.385.1648.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia – Koontiversiorakenne päivitetään tästä julkaisusta. Vaikka pääversion numero pysyy samana kuin 101, aliversionumerossa on nyt viisi numeroa ja sen jälkeen nelinumeroinen korjaustiedoston numero,
101.xxxxx.yyy
eli - parannettu verkon suojauksen muistin kulutus stressin alla- Moduulin versioksi
1.1.20300.5
on päivitetty ja allekirjoitusversioksi1.391.2837.0
. - Korjauksia.
- Moduulin versioksi
Tunnetut ongelmat
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Kesäkuu-2023 (koontiversio: 101.98.89 | Julkaisuversio: 30.123042.19889.0)
Kesäkuun 2023 koontiversio: 101.98.89 | Julkaisuversio: 30.123042.19889.0
Julkaistu: 12.6.2023
Julkaistu: 12. kesäkuuta 2023
Koontiversio: 101.98.89
Julkaisuversio: 30.123042.19889.0
Moduulin versio: 1.1.20100.7
Allekirjoitusversio: 1.385.1648.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia
- Parannettu verkon suojauksen välityspalvelimen käsittely.
- Passiivitilassa Defender for Endpoint ei enää tarkista, kun määritelmän päivitys tapahtuu.
- Laitteet ovat edelleen suojattuja myös Defender for Endpoint -agentin vanhentumisen jälkeen. Suosittelemme, että päivität Defender for Endpoint Linux -agentin uusimpaan saatavilla olevaan versioon, jotta saat ohjelmavirhekorjauksia, ominaisuuksia ja suorituskyvyn parannuksia.
- Poistettu semanage-paketin riippuvuus.
- Engine Update to and
1.1.20100.7
Signatures Ver:1.385.1648.0
. - Korjauksia.
Tunnetut ongelmat
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Touko-2023 (koontiversio: 101.98.64 | Julkaisuversio: 30.123032.19864.0)
Touko-2023 koontiversio: 101.98.64 | Julkaisuversio: 30.123032.19864.0
Julkaistu: 3.5.2023
Julkaistu: 3. toukokuuta 2023
Koontiversio: 101.98.64
Julkaisuversio: 30.123032.19864.0
Moduulin versio: 1.1.20100.6
Allekirjoitusversio: 1.385.68.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia
- Kuntoviestin parannukset, joiden avulla voit tallentaa tietoja valvotuista virheistä.
- Parannuksia augenrules-käsittelyn käsittelyyn, mikä aiheutti asennusvirheen.
- Jaksottainen muistin puhdistus moduuliprosessissa.
- Korjattu muistiongelma mdatp audisp -laajennuksessa.
- Laajennuksen hakemistopolku käsiteltiin asennuksen aikana.
- Kun ristiriitainen sovellus käyttää estävää fanotify-toimintoa, määritysten mdatp-oletuskunto näyttää virheellisen. Tämä on nyt korjattu.
- Tuki BM:n ICMP-liikennetarkastuksille.
- Engine Update to and
1.1.20100.6
Signatures Ver:1.385.68.0
. - Korjauksia.
Tunnetut ongelmat
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Huhtikuu-2023 (koontiversio: 101.98.58 | Julkaisuversio: 30.123022.19858.0)
Huhtikuun 2023 koontiversio: 101.98.58 | Julkaisuversio: 30.123022.19858.0
Julkaistu: 20.4.2023
Julkaistu: 20. huhtikuuta 2023
Koontiversio: 101.98.58
Julkaisuversio: 30.123022.19858.0
Moduulin versio: 1.1.20000.2
Allekirjoituksen versio: 1.381.3067.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia
- Valvotun kirjaamisen ja virheraportoinnin parannukset.
- Käsittele virhe valvotun määrityksen uudelleenlataamisessa.
- Tyhjien valvottujen sääntötiedostojen käsittely MDE asennuksen aikana.
- Engine Update to and
1.1.20000.2
Signatures Ver:1.381.3067.0
. - Korjattu mdatp:n terveysongelma, joka johtuu selinux-kieltämisestä.
- Korjauksia.
Tunnetut ongelmat
- Kun päivität mdatp:n versioon tai uudempaan
101.94.13
, saatat huomata, että kunto on epätosi ja health_issues "ei aktiivista lisätapahtumien tarjoajaa". Tämä voi johtua aiemmin luotujen koneiden virheellisesti määritetyistä tai ristiriitaisia valvontasäännöistä. Ongelman lieventämiseksi on korjattava olemassa olevien koneiden valvotut säännöt. Seuraavat komennot voivat auttaa sinua tunnistamaan tällaiset valvotut säännöt (komennot on suoritettava superkäyttäjänä). Varmuuskopioi seuraava tiedosto: /etc/audit/rules.d/audit.rules, koska näillä vaiheilla tunnistetaan vain virheitä.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Mdatp-versiosta
101.75.43
tai101.78.13
-versiosta päivitettäessä saattaa ilmetä ydin jumiutumista. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Voit ratkaista tämän päivitysongelman kahdella tavalla:
- Paketinhallinnan avulla voit poistaa tai mdatp-version
101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
- Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp:n asennusta, voit poistaa rtp- ja mdatp-asennuksen käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Maaliskuu 2023 (koontiversio: 101.98.30 | Julkaisuversio: 30.123012.19830.0)
Maaliskuun 2023 koontiversio: 101.98.30 | Julkaisuversio: 30.123012.19830.0
Julkaistu: maaliskuu , 20,2023
Julkaistu: 20. maaliskuuta 2023
Koontiversio: 101.98.30
Julkaisuversio: 30.123012.19830.0
Moduulin versio: 1.1.19900.2
Allekirjoitusversio: 1.379.1299.0
Uudet ominaisuudet
- Tämä uusi julkaisu on koontiversio maaliskuun 2023 julkaisusta ('101.98.05''), jossa on korjaus live-vastauskomentoihin, jotka epäonnistuvat yhdelle asiakkaistamme. Muut asiakkaat eivät muutu, ja päivitys on valinnainen.
Tunnetut ongelmat
- Mdatp-versiossa 101.98.30 saattaa joissakin tapauksissa näkyä epätosi kunnon ongelma, koska SELinux-sääntöjä ei ole määritetty tietyissä skenaarioissa. Terveysvaroitus voi näyttää suunnilleen tältä:
löysi SELinux-hylkäykset viimeisen päivän aikana. Jos MDATP on asennettu äskettäin, tyhjennä olemassa olevat valvontalokit tai odota päivän ajan, jotta tämä ongelma voidaan palauttaa automaattisesti. Käytä komentoa: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep " denied" löytää tietoja
Ongelma voidaan ratkaista suorittamalla seuraavat komennot.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Tässä mdatpaudisppl_v1 edustaa käytäntömoduulin nimeä. Odota komentojen suorittamisen jälkeen joko 24 tuntia tai tyhjennä/arkistoi valvontalokit. Valvontalokit voidaan arkistoida suorittamalla seuraava komento
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Jos ongelma tulee uudelleen näkyviin, siinä on joitakin erilaisia kieltoja. Meidän on suoritettava lievennys uudelleen eri moduulin nimellä (esimerkiksi my-mdatpaudisppl_v2).
Maaliskuu 2023 (koontiversio: 101.98.05 | Julkaisuversio: 30.123012.19805.0)
Maaliskuu 2023 (koontiversio: 101.98.05 | Julkaisuversio: 30.123012.19805.0)
Julkaistu: maaliskuu , 08,2023
Julkaistu: 08. maaliskuuta 2023
Koontiversio: 101.98.05
Julkaisuversio: 30.123012.19805.0
Moduulin versio: 1.1.19900.2
Allekirjoitusversio: 1.379.1299.0
Uudet ominaisuudet
Tässä versiossa on useita korjauksia ja uusia muutoksia.
- Parannettu tietojen täydellisyys verkkoyhteyden tapahtumissa
- Parannetut tiedonkeruuominaisuudet tiedostojen omistajuus- ja käyttöoikeusmuutoksia varten
- seManage osassa pakettia, että seLinux käytännöt voidaan määrittää eri distro (kiinteä).
- Parannettu yritysohjelman vakautta
- AuditD-pysäytyspolun puhdistus
- Mdatp-pysäytystyönkulun vakautta on parannettu.
- Lisätty uusi kenttä wdavstate-kohteeseen, jotta voit seurata käyttöympäristön päivitysaikaa.
- Vakauden parannuksia Defender for Endpointin käyttöönoton blob-objektiin jäsennykseen.
- Tarkistus ei etene, jos kelvollista käyttöoikeutta ei ole (kiinteä)
- Lisätty suorituskyvyn jäljitysvaihtoehto xPlatClientAnalyzeriin, ja jäljitys käytössä oleva mdatp-prosessi vetäisi työnkulun all_process.zip tiedostoon, jota voidaan käyttää suorituskykyongelmien analysointiin.
- Lisätty tuki Defenderin päätepisteelle seuraaville RHEL-6-ydinversioille:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- Muut korjaukset
Tunnetut ongelmat
- Päivitettäessä mdatp versioon 101.94.13 saatat huomata, että kunto on epätosi, kun health_issues "ei aktiivista täydentävää tapahtuman tarjoajaa". Tämä voi johtua aiemmin luotujen koneiden virheellisesti määritetyistä tai ristiriitaisia valvontasäännöistä. Ongelman lieventämiseksi on korjattava olemassa olevien koneiden valvotut säännöt. Seuraavien vaiheiden avulla voit tunnistaa tällaiset valvotut säännöt (nämä komennot on suoritettava superkäyttäjänä). Muista varmuuskopioida seuraava tiedosto: '/etc/audit/rules.d/audit.rules', koska näiden vaiheiden avulla tunnistetaan vain virheet.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.98.05
. Lisätietoja on artikkelissa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi
Päivityksen aikana on kaksi tapaa ratkaista ongelma.
Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
Vaihtoehtoisesti voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp-asennusta, voit poistaa rtp: n ja mdatp: n käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Tammi-2023 (koontiversio: 101.94.13 | Julkaisuversio: 30.122112.19413.0)
Tammi-2023 (koontiversio: 101.94.13 | Julkaisuversio: 30.122112.19413.0)
Julkaistu: 10. tammikuuta 2023
Julkaistu: 10. tammikuuta 2023
Koontiversio: 101.94.13
Julkaisuversio: 30.122112.19413.0
Moduulin versio: 1.1.19700.3
Allekirjoitusversio: 1.377.550.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia
- Ohita oletusarvoisesti uhkakaranteeni passiivitilassa.
- Uuden määrityksen, nonExecMountPolicy, avulla voidaan nyt määrittää RTP:n toiminta käyttöönottopisteessä, joka on merkitty noexec-merkinnällä.
- Uuden määrityksen, unmonitoredFilesystems, avulla voidaan poistaa tiettyjen tiedostojärjestelmien valvonta.
- Parannettu suorituskyky suuren kuormituksen aikana ja nopeustestitilanteissa.
- Korjaa cisco AnyConnect VPN -yhteyksien taustalla olevan SMB-jako-jako-ongelman.
- Korjaa ongelman verkon suojauksessa ja Mt:ssä.
- suorituskyvyn seurannan tuen suodatus.
- TVM:n, eBPF:n, auditoinnin, telemetrian ja mdatp-komentorivikäyttöliittymän parannukset.
- mdatp health now reports behavior_monitoring
- Muita korjauksia.
Tunnetut ongelmat
- Kun päivität mdatp:n versioon
101.94.13
, saatat huomata, että kunto on epätosi, kun health_issues "ei aktiivista lisätapahtumien tarjoajaa". Tämä voi johtua aiemmin luotujen koneiden virheellisesti määritetyistä tai ristiriitaisia valvontasäännöistä. Ongelman lieventämiseksi on korjattava olemassa olevien koneiden valvotut säännöt. Seuraavien vaiheiden avulla voit tunnistaa tällaiset valvotut säännöt (nämä komennot on suoritettava superkäyttäjänä). Tee varmuuskopio seuraavasta tiedostosta:/etc/audit/rules.d/audit.rules
nämä vaiheet on vain virheiden tunnistamiseksi.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.94.13. Lisätietoja on artikkelissa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi
Päivityksen aikana on kaksi tapaa ratkaista ongelma.
Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
Vaihtoehtona yllä olevalle paketille voit poistaa asennuksen noudattamalla ohjeita ja asentaa sitten paketin uusimman version.
Jos et halua poistaa mdatp-asennusta, voit poistaa rtp: n ja mdatp: n käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Marraskuu 2022 (koontiversio: 101.85.27 | Julkaisuversio: 30.122092.18527.0)
Marraskuu 2022 (koontiversio: 101.85.27 | Julkaisuversio: 30.122092.18527.0)
Julkaistu: 02. marraskuuta 2022
Julkaistu: 02. marraskuuta 2022
Koontiversio: 101.85.27
Julkaisuversio: 30.122092.18527.0
Moduulin versio: 1.1.19500.2
Allekirjoituksen versio: 1.371.1369.0
Uudet ominaisuudet
- Tässä versiossa on useita korjauksia ja uusia muutoksia
- V2-moduuli on oletusarvoinen tässä versiossa, ja V1-moduulin bitit poistetaan suojauksen tehostamiseksi.
- V2-moduulin tukimäärityspolku AV-määrityksille. (mdatp-määritysjoukon polku)
- MDE paketista on poistettu ulkoisten pakettien riippuvuudet. Poistettuja riippuvuuksia ovat libatomic1, libselinux, libseccomp, libfuse ja libuuid
- Jos kaatumiskokoelma poistetaan käytöstä määrityksen avulla, kaatumisen valvontaprosessia ei käynnistetä.
- Suorituskyvyn korjaukset AV-ominaisuuksien järjestelmätapahtumien optimaaliseen käyttöön.
- Vakauden parannus, kun mdatp käynnistetään uudelleen ja epsext-ongelmat ladataan.
- Muut korjaukset
Tunnetut ongelmat
- Päivitettäessä mdatp-versiosta
101.75.43
tai101.78.13
-versiosta saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon 101.85.21. Lisätietoja on artikkelissa Järjestelmän jumittuminen fanotify-koodin estettyjen tehtävien vuoksi
Päivityksen aikana on kaksi tapaa ratkaista ongelma.
Paketinhallinnan avulla voit poistaa tai mdatp-version 101.75.43
101.78.13
asennuksen.
Esimerkki:
sudo apt purge mdatp
sudo apt-get install mdatp
Vaihtoehtoisena menetelmänä voit poistaa asennuksen noudattamalla ohjeita ja asentamalla sitten paketin uusimman version.
Jos et halua poistaa mdatp-asennusta, voit poistaa rtp: n ja mdatp: n käytöstä järjestyksessä ennen päivitystä. Varoitus: Joillakin asiakkailla (<1 %) on ongelmia tämän menetelmän kanssa.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
2022.9.2022 (koontiversio: 101.80.97 | Julkaisuversio: 30.122072.18097.0)
2022.9.2022 (koontiversio: 101.80.97 | Julkaisuversio: 30.122072.18097.0)
Julkaistu: 14. syyskuuta 2022
Julkaistu: 14. syyskuuta 2022
Koontiversio: 101.80.97
Julkaisuversio: 30.122072.18097.0
Moduulin versio: 1.1.19300.3
Allekirjoituksen versio: 1.369.395.0
Uudet ominaisuudet
- Korjaa ydin jumiutumisen, joka havaitaan tietyissä asiakaskuormissa, jotka toimivat mdatp-versiossa
101.75.43
. RCA:n jälkeen tämä määriteltiin kilpailutilan vuoksi vapauttaen anturitiedostokuvaajan omistajuuden. Kilpailutilanne paljastui äskettäisen tuotemuutoksen vuoksi sammutuspolulla. Tämä ongelma ei vaikuta uudempien ydinversioiden (5.1+) asiakkaisiin. Lisätietoja on ohjeaiheessa Järjestelmän jumittuminen koodissa estettyjen tehtävien vuoksi.
Tunnetut ongelmat
- Kun päivität mdatp-versiosta
101.75.43
tai101.78.13
-versiosta, saatat kohdata ytimen jumiutumisen. Suorita seuraavat komennot, ennen kuin yrität päivittää versioon101.80.97
. Tämän toiminnon pitäisi estää ongelman ilmeneminen.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Kun olet suorittanut komennot, suorita päivitys paketinhallinnan avulla.
Vaihtoehtoisena menetelmänä voit poistaa asennuksen noudattamalla ohjeita ja asentamalla sitten paketin uusimman version.
Elo-2022 (koontiversio: 101.78.13 | Julkaisuversio: 30.122072.17813.0)
Elo-2022 (koontiversio: 101.78.13 | Julkaisuversio: 30.122072.17813.0)
Julkaistu: 24. elokuuta 2022
Julkaistu: 24. elokuuta 2022
Koontiversio: 101.78.13
Julkaisuversio: 30.122072.17813.0
Moduulin versio: 1.1.19300.3
Allekirjoituksen versio: 1.369.395.0
Uudet ominaisuudet
- Peruutettiin luotettavuusongelmien vuoksi
Elo-2022 (koontiversio: 101.75.43 | Julkaisuversio: 30.122071.17543.0)
Elo-2022 (koontiversio: 101.75.43 | Julkaisuversio: 30.122071.17543.0)
Julkaistu: 2. elokuuta 2022
Julkaistu: 2. elokuuta 2022
Koontiversio: 101.75.43
Julkaisuversio: 30.122071.17543.0
Moduulin versio: 1.1.19300.3
Allekirjoituksen versio: 1.369.395.0
Uudet ominaisuudet
- Lisätty tuki Red Hat Enterprise Linux -versiolle 9.0
- Lisätty tulosteeseen uusi kenttä
mdatp health
, jonka avulla voidaan kysellä verkon suojausominaisuuden täytäntöönpanotasoa. Uutta kenttää kutsutaannetwork_protection_enforcement_level
, ja se voi ottaa jonkin seuraavista arvoista:audit
,block
taidisabled
. - Korjattu tuotevirhe, jossa saman sisällön useat tunnistamiset voivat johtaa merkintöjen kaksoiskappaleisiin uhkahistoriassa
- Korjattu ongelma, jossa jotakin tuotteen synnyttämää prosessia (
mdatp_audisp_plugin
) ei joskus lopetettu oikein, kun palvelu pysäytettiin - Muita virheenkorjauksia
Heinä-2022 (koontiversio: 101.73.77 | Julkaisuversio: 30.122062.17377.0)
Heinä-2022 (koontiversio: 101.73.77 | Julkaisuversio: 30.122062.17377.0)
Julkaistu: 21. heinäkuuta 2022
Julkaistu: 21. heinäkuuta 2022
Koontiversio: 101.73.77
Julkaisuversio: 30.122062.17377.0
Moduulin versio: 1.1.19200.3
Allekirjoituksen versio: 1.367.1011.0
Uudet ominaisuudet
- Lisätty asetus tiedoston hajautusarvon laskemisen määrittämiseksi
- Tästä koontiversiosta lähtien tuotteella on oletusarvoisesti uusi haittaohjelmien torjuntamoduuli
- Tiedostojen kopiointitoimintojen suorituskyvyn parannukset
- Korjauksia
Kesä-2022 (koontiversio: 101.71.18 | Julkaisuversio: 30.122052.17118.0)
Julkaistu: 24. kesäkuuta 2022
Julkaistu: 24. kesäkuuta 2022
Koontiversio: 101.71.18
Julkaisuversio: 30.122052.17118.0
Uudet ominaisuudet
- Korjaus tukemaan määritysten tallennusta epänormaattoissa sijainneissa (/var:n ulkopuolella) v2-määrityspäivityksille
- Korjattu RHEL 6:ssa käytetty tuotetunnistinongelma, joka voi johtaa käyttöjärjestelmän jumittumiseen
-
mdatp connectivity test
on laajennettu ylimääräisellä URL-osoitteella, jota tuote edellyttää toimiakseen oikein. Uusi URL-osoite on https://go.microsoft.com/fwlink/?linkid=2144709. - Tähän asti tuotelokin taso ei ollut pysyvä tuotteiden uudelleenkäynnistysten välillä. Tästä versiosta alkaen on olemassa uusi komentorivityökalun valitsin, joka jatkaa lokitasoa. Uusi komento on
mdatp log level persist --level <level>
. - Riippuvuus
python
kohteesta poistettiin tuotteen asennuspaketista - Suorituskyvyn parannuksia tiedostojen kopiointitoimintoihin ja verkkotapahtumien käsittelyyn, jotka ovat peräisin
auditd
- Korjauksia
Toukokuu –2022 (koontiversio: 101.68.80 | Julkaisuversio: 30.122042.16880.0)
Toukokuu –2022 (koontiversio: 101.68.80 | Julkaisuversio: 30.122042.16880.0)
Julkaistu: 23. toukokuuta 2022
Julkaistu: 23. toukokuuta 2022
Koontiversio: 101.68.80
Julkaisuversio: 30.122042.16880.0
Uudet ominaisuudet
- Lisätty tuki ydinversiolle
2.6.32-754.47.1.el6.x86_64
, kun se suoritetaan RHEL 6:ssa - RHEL 6:ssa tuote voidaan nyt asentaa laitteisiin, joissa on särkymätön enterprise-ydin (UEK)
- Korjattu ongelma, jossa prosessin nimi näytettiin
unknown
joskus virheellisesti kuten suoritettaessamdatp diagnostic real-time-protection-statistics
- Korjattu virhe, jossa tuote joskus tunnisti virheellisesti karanteenikansion tiedostoja
- Korjattu ongelma,
mdatp
jossa komentorivityökalu ei toimi, kun/opt
se otettiin käyttöön pehmeänä linkkinä - Suorituskyvyn parannuksia & virheenkorjauksia
Toukokuu –2022 (koontiversio: 101.65.77 | Julkaisuversio: 30.122032.16577.0)
Toukokuu –2022 (koontiversio: 101.65.77 | Julkaisuversio: 30.122032.16577.0)
Julkaistu: 2. toukokuuta 2022
Julkaistu: 2. toukokuuta 2022
Koontiversio: 101.65.77
Julkaisuversio: 30.122032.16577.0
Uudet ominaisuudet
- Parannettiin -
conflicting_applications
kenttäämdatp health
näyttämään vain viimeisimmät 10 prosessia ja sisältämään myös prosessien nimet. Tämän ansiosta on helpompi tunnistaa, mitkä prosessit saattavat olla ristiriidassa Linuxin Microsoft Defender for Endpoint kanssa. - Virheiden korjaukset
Maalis-2022 (koontiversio: 101.62.74 | Julkaisuversio: 30.122022.16274.0)
Julkaistu: 24. maaliskuuta 2022
Julkaistu: 24. maaliskuuta 2022
Koontiversio: 101.62.74
Julkaisuversio: 30.122022.16274.0
Uudet ominaisuudet
- Korjattu ongelma, jossa tuote esti virheellisesti yli 2 Gigatavun kokoisia tiedostoja käytettäessä vanhempia ydinversioita
- Virheiden korjaukset
Maalis-2022 (koontiversio: 101.60.93 | Julkaisuversio: 30.122012.16093.0)
Maalis-2022 (koontiversio: 101.60.93 | Julkaisuversio: 30.122012.16093.0)
Julkaistu: 9.3.2022
Julkaistu: 9.3.2022
Koontiversio: 101.60.93
Julkaisuversio: 30.122012.16093.0
Uudet ominaisuudet
- Tämä versio sisältää tietoturvapäivityksen päivityksille CVE-2022-23278
Maalis-2022 (koontiversio: 101.60.05 | Julkaisuversio: 30.122012.16005.0)
Julkaistu: 3. maaliskuuta 2022
Julkaistu: 3. maaliskuuta 2022
Koontiversio: 101.60.05
Julkaisuversio: 30.122012.16005.0
Uudet ominaisuudet
- Lisätty tuki ytimen versiolle 2.6.32-754.43.1.el6.x86_64 RHEL 6.10:lle
- Virheiden korjaukset
Helmi-2022 (koontiversio: 101.58.80 | Julkaisuversio: 30.122012.15880.0)
Helmi-2022 (koontiversio: 101.58.80 | Julkaisuversio: 30.122012.15880.0)
Julkaistu: 20. helmikuuta 2022
Julkaistu: 20. helmikuuta 2022
Koontiversio: 101.58.80
Julkaisuversio: 30.122012.15880.0
Uudet ominaisuudet
- Komentorivityökalu tukee nyt karanteeniin asetettujen tiedostojen palauttamista muuhun sijaintiin kuin sijaintiin, jossa tiedosto alun perin havaittiin. Tämä voidaan tehdä seuraavasti:
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
. - Tästä versiosta alkaen Linuxin verkkosuojausta voidaan arvioida tarpeen mukaan
- Virheiden korjaukset
Tammi-2022 (koontiversio: 101.56.62 | Julkaisuversio: 30.121122.15662.0)
Tammi-2022 (koontiversio: 101.56.62 | Julkaisuversio: 30.121122.15662.0)
Julkaistu: 26.1.2022
Julkaistu: 26.1.2022
Koontiversio: 101.56.62
Julkaisuversio: 30.121122.15662.0
Uudet ominaisuudet
- Korjattu 101.53.02:ssa käyttöön otettu tuoteturma, joka on vaikuttanut useisiin asiakkaisiin
Tammi-2022 (koontiversio: 101.53.02 | Julkaisuversio: (30.121112.15302.0)
Julkaistu: 8.1.2022
Julkaistu: 8.1.2022
Koontiversio: 101.53.02
Julkaisuversio: 30.121112.15302.0
Uudet ominaisuudet
- Suorituskyvyn parannuksia & virheenkorjauksia
Vuoden 2021 julkaisut
(Koontiversio: 101.52.57 | Julkaisuversio: 30.121092.15257.0)
Koontiversio: 101.52.57
Julkaisuversio: 30.121092.15257.0
Mitä uutta
Lisätty ominaisuus, jonka avulla voidaan tunnistaa Java-sovellusten käytössä olevat haavoittuvat log4j-purkit. Tietokone tarkistetaan säännöllisesti java-prosessien suorittamiseksi ladatuilla log4j-purkeilla. Tiedot raportoidaan Microsoft Defender for Endpoint taustalle, ja ne näytetään portaalin Haavoittuvuuden hallinta -alueella.
(Koontiversio: 101.47.76 | Julkaisuversio: 30.121092.14776.0)
Koontiversio: 101.47.76
Julkaisuversio: 30.121092.14776.0
Uudet ominaisuudet
Komentorivityökaluun lisättiin uusi kytkin sen hallitsemiseksi, skannataanko arkistot pyydettäessä tarkistettaessa. Tämä voidaan määrittää mdatp config scan-archives --value [enabled/disabled] --määrityksellä. Tämä asetus on oletusarvoisesti käytössä.
- Virheiden korjaukset
(Koontiversio: 101.45.13 | Julkaisuversio: 30.121082.14513.0)
Koontiversio: 101.45.13
Julkaisuversio: 30.121082.14513.0
Uudet ominaisuudet
Tästä versiosta alkaen tuomme Microsoft Defender for Endpoint tuen seuraaviin esittelyihin:
- RHEL6.7-6.10- ja CentOS6.7-6.10-versiot.
- Amazon Linux 2
- Fedora 33 tai uudempi
Virheiden korjaukset
(Koontiversio: 101.45.00 | Julkaisuversio: 30.121072.14500.0)
Koontiversio: 101.45.00
Julkaisuversio: 30.121072.14500.0
Uudet ominaisuudet
- Lisätty uudet valitsimet komentorivityökaluun:
- Ohjaa rinnakkaisuuden astetta pyydettäessä luotaessa. Tämä voidaan määrittää -toiminnolla
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
. Oletusarvoisesti käytetään rinnakkaisuuden2
astetta. - Määritä, onko tarkistukset suojaustietojen päivitysten käyttöönoton tai käytöstä poistamisen jälkeen. Tämä voidaan määrittää -toiminnolla
mdatp config scan-after-definition-update --value [enabled/disabled]
. Tämän asetuksen oletusarvonaenabled
on .
- Ohjaa rinnakkaisuuden astetta pyydettäessä luotaessa. Tämä voidaan määrittää -toiminnolla
- Tuotelokitason muuttaminen nyt edellyttää korotusta
- Virheiden korjaukset
(Koontiversio: 101.39.98 | Julkaisuversio: 30.121062.13998.0)
Koontiversio: 101.39.98
Julkaisuversio: 30.121062.13998.0
Uudet ominaisuudet
Suorituskyvyn parannuksia & virheenkorjauksia
(Koontiversio: 101.34.27 | Julkaisuversio: 30.121052.13427.0)
Koontiversio: 101.34.27
Julkaisuversio: 30.121052.13427.0
Uudet ominaisuudet
Suorituskyvyn parannuksia & virheenkorjauksia
(Koontiversio: 101.29.64 | Julkaisuversio: 30.121042.12964.0)
Koontiversio: 101.29.64
Julkaisuversio: 30.121042.12964.0
Uudet ominaisuudet
- Tästä versiosta alkaen komentoriviasiakkaan kautta käynnistettyjen pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana havaitut uhat korjataan automaattisesti. Käyttöliittymän avulla käynnistettyjen tarkistusten aikana havaitut uhat edellyttävät edelleen manuaalisia toimia.
-
mdatp diagnostic real-time-protection-statistics
tukee nyt kahta muuta kytkintä:-
--sort
: lajittelee tuloksen laskevasti skannattujen tiedostojen kokonaismäärän mukaan -
--top N
: näyttää ylimmät N tulosta (toimii vain, jos--sort
on määritetty)
-
- Suorituskyvyn parannuksia & virheenkorjauksia
(Koontiversio: 101.25.72 | Julkaisuversio: 30.121022.12563.0)
Koontiversio: 101.25.72
Julkaisuversio: 30.121022.12563.0
Uudet ominaisuudet
Microsoft Defender for Endpoint Linuxissa on nyt saatavilla esikatselussa Yhdysvaltain valtionhallinnon asiakkaille. Lisätietoja on artikkelissa Microsoft Defender for Endpoint Yhdysvaltain valtionhallinnon asiakkaille.
- Korjattu ongelma, jossa Microsoft Defender for Endpoint käyttö Linuxissa FUSE-tiedostojärjestelmiä sisältävissä järjestelmissä johti käyttöjärjestelmän jumiutumisen
- Suorituskyvyn parannuksia & muita virheenkorjauksia
(Koontiversio: 101.25.63 | Julkaisuversio: 30.121022.12563.0)
Koontiversio: 101.25.63
Julkaisuversio: 30.121022.12563.0
Uudet ominaisuudet
Suorituskyvyn parannuksia & virheenkorjauksia
(Koontiversio: 101.23.64 | Julkaisuversio: 30.121021.12364.0)
Koontiversio: 101.23.64
Julkaisuversio: 30.121021.12364.0
Uudet ominaisuudet
Suorituskyvyn parannus tilanteessa, jossa koko käyttöönottopiste lisätään virustentorjunnan poissulkemisluetteloon. Ennen tätä versiota tuotekäsitellyn tiedoston toiminta, joka on peräisin käyttöönottopisteestä. Tästä versiosta alkaen pois jätettyjen käyttöönottopisteiden tiedostotoiminta on estetty, mikä parantaa tuotteen suorituskykyä
- Komentorivityökaluun on lisätty uusi vaihtoehto, jonka avulla voit tarkastella viimeisimmän pyydettäessä suoritettavan tarkistuksen tietoja. Jos haluat tarkastella viimeisimmän pyydettäessä suoritettavan tarkistuksen tietoja, suorita
mdatp health --details antivirus
- Muita suorituskyvyn parannuksia & virheenkorjauksia
(Koontiversio: 101.18.53)
Koontiversio: 101.18.53
Uudet ominaisuudet ja toiminnot
EDR for Linux on nyt yleisesti saatavilla
- Lisätty uusi komentorivivalitsin (
--ignore-exclusions
), joka ohittaa AV-poikkeukset mukautettujen tarkistusten aikana (mdatp scan custom
) - Laajennettu
mdatp diagnostic create
uudella parametrilla (--path [directory]
), joka sallii diagnostiikkalokien tallentamisen eri hakemistoon - Suorituskyvyn parannuksia & virheenkorjauksia