Nouveautés de Microsoft Defender pour point de terminaison sur Linux
S’applique à :
- Microsoft Defender pour point de terminaison Server.
- Microsoft Defender pour les serveurs
Cet article est fréquemment mis à jour pour vous informer des nouveautés des dernières versions de Microsoft Defender pour point de terminaison sur Linux.
Importante
À compter de la version 101.24082.0004, Defender pour point de terminaison sur Linux ne prend plus en charge le fournisseur d’événements Auditd . Nous passons complètement à la technologie eBPF plus efficace. Cette modification permet d’améliorer les performances, de réduire la consommation des ressources et d’améliorer la stabilité globale. La prise en charge d’eBPF est disponible depuis août 2023 et est entièrement intégrée à toutes les mises à jour de Defender pour point de terminaison sur Linux (version 101.23082.0006 et versions ultérieures). Nous vous encourageons vivement à adopter la build eBPF, car elle apporte des améliorations significatives par rapport à Auditd. Si eBPF n’est pas pris en charge sur vos machines, ou s’il existe des exigences spécifiques pour rester sur Auditd, vous disposez des options suivantes :
Continuez à utiliser la build
101.24072.0000Defender pour point de terminaison sur Linux avec Auditd. Cette build continue d’être prise en charge pendant plusieurs mois. Vous avez donc le temps de planifier et d’exécuter votre migration vers eBPF.Si vous utilisez des versions ultérieures
101.24072.0000à , Defender pour point de terminaison sur Linux s’appuie surnetlinkcomme fournisseur d’événements supplémentaire de sauvegarde. En cas de secours, toutes les opérations de processus continuent de se passer en toute transparence.
Passez en revue votre déploiement actuel de Defender pour point de terminaison sur Linux et commencez à planifier votre migration vers la build prise en charge par eBPF. Pour plus d’informations sur eBPF et son fonctionnement, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux.
Si vous avez des préoccupations ou avez besoin d’aide pendant cette transition, contactez le support technique.
Versions de Defender pour point de terminaison sur Linux
Build de janvier 2025 : 101.24112.0001 | Version de publication : 30.124112.0001.0
| Build : | 101.24112.0001 |
|---|---|
| Libéré: | 13 janvier 2025 |
| Publié: | 13 janvier 2025 |
| Version de mise en production : | 30.124112.0001.0 |
| Version du moteur : | 1.1.24090.13 |
| Version de la signature : | 1.421.226.0 |
Nouveautés
Mise à niveau de la version Bond vers 13.0.1 pour résoudre les vulnérabilités de sécurité dans les versions 12 ou antérieures.
Le package Mdatp n’a plus de dépendance sur les packages SELinux.
L’utilisateur peut désormais interroger le status du fournisseur d’événements supplémentaire eBPF à l’aide de la requête de repérage des menaces dans DeviceTvmInfoGathering. Pour en savoir plus sur cette requête case activée : Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux. Le résultat de cette requête peut retourner les deux valeurs suivantes en tant que status eBPF :
- Activé : quand eBPF est activé comme prévu.
- Désactivé : quand eBPF est désactivé pour l’une des raisons suivantes :
- Quand MDE utilise auditD comme capteur supplémentaire
- Quand eBPF n’est pas présent et que nous avons recours à Netlink en tant que fournisseur d’événements supplémentaire
- Aucun capteur supplémentaire n’est présent.
À partir de la version 2411, la mise en production du package MDATP sur packages.microsoft.com suivra un mécanisme de déploiement progressif qui s’étend sur une semaine. Les autres anneaux de publication, insiderFast et insiderSlow, ne sont pas affectés par ce changement.
Améliorations de la stabilité et des performances.
Correctifs de bogues critiques concernant le flux de mise à jour de définition.
Build de janvier 2025 : 101.24102.0000 | Version de publication : 30.124102.0000.0
| Build : | 101.24102.0000 |
|---|---|
| Libéré: | 8 janvier 2025 |
| Publié: | 8 janvier 2025 |
| Version de mise en production : | 30.124102.0000.0 |
| Version du moteur : | 1.1.24080.11 |
| Version de la signature : | 1.419.351.0 |
Nouveautés
La version du moteur par défaut a été mise à jour vers
1.1.24080.11, et la version de signature par défaut a été mise à jour vers1.419.351.0.Amélioration de la création de rapports sur les informations sur les menaces en ligne de commande pour les processus de courte durée sur le portail de sécurité.
Build de novembre 2024 : 101.24092.0002 | Version de publication : 30.124092.0002.0
| Build : | 101.24092.0002 |
|---|---|
| Libéré: | 14 novembre 2024 |
| Publié: | 14 novembre 2024 |
| Version de mise en production : | 30.124092.0002.0 |
| Version du moteur : | 1.1.24080.9 |
| Version de la signature : | 1.417.659.0 |
Nouveautés
Pour prendre en charge les installations renforcées avec des partitions non exécutables
/var, les définitions antivirus mdatp s’installent/opt/microsoft/mdatp/definitions.noindexdésormais sur au lieu de/varsi ce dernier est détecté comme non exécutable. Pendant les mises à niveau, le programme d’installation tente de migrer les anciennes définitions vers le nouveau chemin d’accès lors de la détection d’un non exécutable/var, sauf s’il constate que le chemin d’accès a déjà été personnalisé (à l’aidemdatp definitions path setde ).À compter de cette version, Defender pour point de terminaison sur Linux n’a plus besoin d’autorisations exécutables pour
/var/log. Si ces autorisations ne sont pas disponibles, les fichiers journaux sont automatiquement redirigés vers/opt.
Build d’octobre 2024 : 101.24082.0004 | Version de publication : 30.124082.0004.0
| Build : | 101.24082.0004 |
|---|---|
| Libéré: | 15 octobre 2024 |
| Publié: | 15 octobre 2024 |
| Version de mise en production : | 30.124082.0004 |
| Version du moteur : | 1.1.24080.9 |
| Version de la signature : | 1.417.659.0 |
Nouveautés
- À compter de cette version, Defender pour point de terminaison sur Linux ne prend plus en charge
AuditDen tant que fournisseur d’événements supplémentaire. Pour améliorer la stabilité et les performances, nous sommes passés à l’eBPF. Si vous désactivez eBPF, ou si eBPF n’est pas pris en charge sur un noyau spécifique, Defender pour point de terminaison sur Linux bascule automatiquement vers Netlink en tant que fournisseur d’événements supplémentaire de secours. Netlink fournit des fonctionnalités réduites et suit uniquement les événements liés au processus. Dans ce cas, toutes les opérations de processus continuent de circuler en toute transparence, mais vous risquez de manquer des événements spécifiques liés aux fichiers et aux sockets qu’eBPF capturerait autrement. Pour plus d’informations, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux. Si vous avez des préoccupations ou avez besoin d’aide pendant cette transition, contactez le support technique. - Améliorations de la stabilité et des performances
- Autres correctifs de bogues
Build de septembre 2024 : 101.24072.0001 | Version de publication : 30.124072.0001.0
| Build : | 101.24072.0001 |
|---|---|
| Libéré: | 23 septembre 2024 |
| Publié: | 23 septembre 2024 |
| Version de mise en production : | 30.124072.0001.0 |
| Version du moteur : | 1.1.24060.6 |
| Version de la signature : | 1.415.228.0 |
Nouveautés
- Ajout de la prise en charge d’Ubuntu 24.04
- Mise à jour de la version du moteur par défaut vers
1.1.24060.6et de la version des signatures par défaut sur1.415.228.0.
Build de juillet-2024 : 101.24062.0001 | Version de publication : 30.124062.0001.0
| Build : | 101.24072.0001 |
|---|---|
| Libéré: | 31 juillet 2024 |
| Publié: | 31 juillet 2024 |
| Version de mise en production : | 30.124062.0001.0 |
| Version du moteur : | 1.1.24050.7 |
| Version de la signature : | 1.411.410.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version.
- Corrige le bogue dans lequel les informations sur les menaces de ligne de commande infectées ne s’affichait pas correctement dans le portail de sécurité.
- Corrige un bogue dans lequel la désactivation d’une fonctionnalité en préversion nécessitait un Defender de point de terminaison pour la désactiver.
- La fonctionnalité Exclusions globales utilisant json managé est désormais en préversion publique. disponible dans les insiders lent à partir de 101.23092.0012. Pour plus d’informations, consultez exclusions linux.
- Mise à jour de la version du moteur Linux par défaut vers 1.1.24050.7 et de la version de signature par défaut vers 1.411.410.0.
- Améliorations de la stabilité et des performances.
- Autres correctifs de bogues.
Build de juin 2024 : 101.24052.0002 | Version de publication : 30.124052.0002.0
| Build : | 101.24052.0002 |
|---|---|
| Libéré: | 24 juin 2024 |
| Publié: | 24 juin 2024 |
| Version de mise en production : | 30.124052.0002.0 |
| Version du moteur : | 1.1.24040.2 |
| Version de la signature : | 1.411.153.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version.
- Cette version corrige un bogue lié à une utilisation élevée de la mémoire, ce qui entraîne finalement une utilisation élevée du processeur en raison d’une fuite de mémoire eBPF dans l’espace du noyau, entraînant des serveurs dans des états inutilisables. Cela n’a affecté que les versions du noyau 3.10x et <= 4.16x, principalement sur les distributions RHEL/CentOS. Mettez à jour vers la dernière version MDE pour éviter tout impact.
- Nous avons maintenant simplifié la sortie de
mdatp health --detail features - Améliorations de la stabilité et des performances.
- Autres correctifs de bogues.
Build de mai-2024 : 101.24042.0002 | Version de publication : 30.124042.0002.0
| Build : | 101.24042.0002 |
|---|---|
| Libéré: | 29 mai 2024 |
| Publié: | 29 mai 2024 |
| Version de mise en production : | 30.124042.0002.0 |
| Version du moteur : | 1.1.24030.4 |
| Version de la signature : | 1.407.521.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version :
- Dans la version 24032.0007, il y a eu un problème connu où l’inscription des appareils à MDE Security Management a échoué lors de l’utilisation du mécanisme « Device Tagging » via le fichier mdatp_managed.json. Ce problème a été résolu dans la version actuelle.
- Améliorations de la stabilité et des performances.
- Autres correctifs de bogues.
Build de mai-2024 : 101.24032.0007 | Version de publication : 30.124032.0007.0
| Build : | 101.24032.0007 |
|---|---|
| Libéré: | 15 mai 2024 |
| Publié: | 15 mai 2024 |
| Version de mise en production : | 30.124032.0007.0 |
| Version du moteur : | 1.1.24020.3 |
| Version de la signature : | 1.403.3500.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version :
En mode passif et à la demande, le moteur antivirus reste à l’état inactif et est utilisé uniquement pendant les analyses personnalisées planifiées. Ainsi, dans le cadre de l’amélioration des performances, nous avons apporté des modifications pour maintenir le moteur AV hors service en mode passif et à la demande, sauf pendant les analyses personnalisées planifiées. Si la protection en temps réel est activée, le moteur antivirus est toujours opérationnel. Cela n’a aucun impact sur la protection de votre serveur dans n’importe quel mode.
Pour informer les utilisateurs de l’état du moteur antivirus, nous avons introduit un nouveau champ appelé « engine_load_status » dans le cadre de l’intégrité MDATP. Il indique si le moteur antivirus est en cours d’exécution ou non.
Field nameengine_load_statusValeurs possibles Le moteur n’est pas chargé (le processus du moteur AV est arrêté), le chargement du moteur a réussi (processus du moteur AV opérationnel) Scénarios sains :
- Si RTP est activé, engine_load_status doit être « Chargement du moteur réussi »
- Si MDE est en mode passif ou à la demande et que l’analyse personnalisée n’est pas en cours d’exécution, « engine_load_status » doit être « Moteur non chargé »
- Si MDE est en mode à la demande ou passif et que l’analyse personnalisée est en cours d’exécution, « engine_load_status » doit être « Chargement du moteur réussi »
Correctif de bogue pour améliorer les détections comportementales.
Améliorations de la stabilité et des performances.
Autres correctifs de bogues.
Problèmes connus
Il existe un problème connu où l’inscription d’appareils à MDE gestion de la sécurité via le mécanisme « Étiquetage des appareils » à l’aide de mdatp_managed.json échoue dans la version 24032.0007. Pour atténuer ce problème, utilisez la commande CLI mdatp suivante pour étiqueter les appareils :
sudo mdatp edr tag set --name GROUP --value MDE-ManagementLe problème a été résolu dans build : 101.24042.0002
Build de mars-2024 : 101.24022.0001 | Version de publication : 30.124022.0001.0
| Build : | 101.24022.0001 |
|---|---|
| Libéré: | 22 mars 2024 |
| Publié: | 22 mars 2024 |
| Version de mise en production : | 30.124022.0001.0 |
| Version du moteur : | 1.1.23110.4 |
| Version de la signature : | 1.403.87.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version :
- Ajout d’un nouveau fichier journal :
microsoft_defender_scan_skip.log. Cela journalise les noms de fichiers qui ont été ignorés de diverses analyses antivirus par Microsoft Defender pour point de terminaison pour une raison quelconque. - Améliorations de la stabilité et des performances.
- Corrections de bogues.
Build de mars-2024 : 101.24012.0001 | Version de publication : 30.124012.0001.0
| Build : | 101.24012.0001 |
|---|---|
| Libéré: | 12 mars 2024 |
| Publié: | 12 mars 2024 |
| Version de mise en production : | 30.124012.0001.0 |
| Version du moteur : | 1.1.23110.4 |
| Version de la signature : | 1.403.87.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version :
- Mise à jour de la version du moteur par défaut vers
1.1.23110.4, et de la version des signatures par défaut sur1.403.87.0. - Améliorations de la stabilité et des performances.
- Corrections de bogues.
Build de février-2024 : 101.23122.0002 | Version de publication : 30.123122.0002.0
| Build : | 101.23122.0002 |
|---|---|
| Libéré: | 5 février 2024 |
| Publié: | 5 février 2024 |
| Version de mise en production : | 30.123122.0002.0 |
| Version du moteur : | 1.1.23100.2010 |
| Version de la signature : | 1.399.1389.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version :
Mise à jour de la version du moteur par défaut vers
1.1.23100.2010, et de la version des signatures par défaut sur1.399.1389.0.Améliorations générales de la stabilité et des performances.
Corrections de bogues.
Microsoft Defender pour point de terminaison sur Linux prend désormais officiellement en charge les distributions et versions suivantes :
Distribution & version Bague Colis Mariner 2 Production https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 et versions ultérieures Insiders Lents https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 et versions ultérieures Insiders Lents https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 et versions ultérieures Insiders Lents https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 et versions ultérieures Insiders Lents https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Si vous avez déjà Defender pour point de terminaison en cours d’exécution sur l’une de ces distributions et que vous rencontrez des problèmes dans les versions antérieures, effectuez une mise à niveau vers la dernière version de Defender pour point de terminaison à partir de l’anneau correspondant mentionné ci-dessus. Pour plus d’informations, consultez notre documentation sur le déploiement public .
Remarque
Problèmes connus :
Microsoft Defender pour point de terminaison pour Linux sur Rocky et Alma présente actuellement les problèmes connus suivants :
- La gestion des réponses en direct et des vulnérabilités aux menaces ne sont actuellement pas prises en charge (travail en cours).
- Les informations sur le système d’exploitation des appareils ne sont pas visibles dans le portail Microsoft Defender
Build de janvier-2024 : 101.23112.0009 | Version de publication : 30.123112.0009.0
| Build : | 101.23112.0009 |
|---|---|
| Libéré: | 29 janvier 2024 |
| Publié: | 29 janvier 2024 |
| Version de mise en production : | 30.123112.0009.0 |
| Version du moteur : | 1.1.23100.2010 |
| Version de la signature : | 1.399.1389.0 |
Nouveautés
- Mise à jour de la version du moteur par défaut vers
1.1.23110.4, et de la version des signatures par défaut sur1.403.1579.0. - Améliorations générales de la stabilité et des performances.
- Correctif de bogue pour la configuration de la surveillance du comportement.
- Corrections de bogues.
Build de novembre-2023 : 101.23102.0003 | Version de publication : 30.123102.0003.0
| Build : | 101.23102.0003 |
|---|---|
| Libéré: | 28 novembre 2023 |
| Publié: | 28 novembre 2023 |
| Version de mise en production : | 30.123102.0003.0 |
| Version du moteur : | 1.1.23090.2008 |
| Version de la signature : | 1.399.690.0 |
Nouveautés
- Mise à jour de la version du moteur par défaut vers
1.1.23090.2008, et de la version des signatures par défaut sur1.399.690.0. - Mise à jour de la bibliothèque libcurl vers la version
8.4.0pour corriger les vulnérabilités récemment divulguées avec l’ancienne version. - Mise à jour de la bibliothèque Openssl vers la version
3.1.1pour corriger les vulnérabilités récemment divulguées avec l’ancienne version. - Améliorations générales de la stabilité et des performances.
- Corrections de bogues.
Build de novembre 2023 : 101.23092.0012 | Version de publication : 30.123092.0012.0
| Build : | 101.23092.0012 |
|---|---|
| Libéré: | 14 novembre 2023 |
| Publié: | 14 novembre 2023 |
| Version de mise en production : | 30.123092.0012.0 |
| Version du moteur : | 1.1.23080.2007 |
| Version de la signature : | 1.395.1560.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version :
Ajout de la prise en charge de la restauration des menaces en fonction du chemin d’origine à l’aide de la commande suivante :
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]À compter de cette version, Microsoft Defender pour point de terminaison sur Linux n’expédiera plus de solution pour RHEL 6.
RHEL 6 « Prise en charge étendue de la fin de vie » est sur le point de prendre fin le 30 juin 2024 et les clients sont invités à planifier leurs mises à niveau RHEL en conséquence, conformément aux recommandations de Red Hat. Les clients qui doivent exécuter Defender pour point de terminaison sur des serveurs RHEL 6 peuvent continuer à utiliser la version 101.23082.0011 (n’expire pas avant le 30 juin 2024) prise en charge sur les versions du noyau 2.6.32-754.49.1.el6.x86_64 ou antérieures.
- Mise à jour du moteur vers
1.1.23080.2007et signatures Ver :1.395.1560.0. - L’expérience de connectivité d’appareil simplifiée est désormais en mode préversion publique. blog public
- Améliorations des performances & correctifs de bogues.
- Mise à jour du moteur vers
Problèmes connus
- Verrouillage du processeur observé sur la version 5.15.0-0.30.20 du noyau en mode ebpf. Consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux pour plus d’informations et les options d’atténuation.
Build de novembre 2023 : 101.23082.0011 | Version de publication : 30.123082.0011.0
| Build : | 101.23082.0011 |
|---|---|
| Libéré: | 1er novembre 2023 |
| Publié: | 1er novembre 2023 |
| Version de mise en production : | 30.123082.0011.0 |
| Version du moteur : | 1.1.23070.1002 |
| Version de la signature : | 1.393.1305.0 |
Nouveautés
Cette nouvelle version est la version d’octobre 2023 (101.23082.0009) avec l’ajout des modifications suivantes. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.
Correctif pour le mode immuable de audité lorsque le sous-système supplémentaire est ebpf : En mode ebpf, toutes les règles d’audit mdatp doivent être nettoyées après le basculement vers ebpf et le redémarrage. Après le redémarrage, les règles d’audit mdatp n’ont pas été nettoyées, ce qui a entraîné un blocage du serveur. Le correctif nettoie ces règles. L’utilisateur ne doit pas voir de règles mdatp chargées au redémarrage
Correctif pour MDE ne démarre pas sur RHEL 6.
Problèmes connus
Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build d’octobre 2023 : 101.23082.0009 | Version de publication : 30.123082.0009.0
| Build : | 101.23082.0009 |
|---|---|
| Libéré: | 9 octobre 2023 |
| Publié: | 9 octobre 2023 |
| Version de mise en production : | 30.123082.0009.0 |
| Version du moteur : | 1.1.23070.1002 |
| Version de la signature : | 1.393.1305.0 |
Nouveautés
- Cette nouvelle version est générée sur la version d’octobre 2023 (« 101.23082.0009 ») avec l’ajout de nouveaux certificats d’autorité de certification. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.
Problèmes connus
Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build d’octobre 2023 : 101.23082.0006 | Version de publication : 30.123082.0006.0
| Build : | 101.23082.0006 |
|---|---|
| Libéré: | 9 octobre 2023 |
| Publié: | 9 octobre 2023 |
| Version de mise en production : | 30.123082.0006.0 |
| Version du moteur : | 1.1.23070.1002 |
| Version de la signature : | 1.393.1305.0 |
Nouveautés
Mises à jour des fonctionnalités et nouvelles modifications
- Le capteur eBPF est désormais le fournisseur d’événements supplémentaire par défaut pour les points de terminaison
- Microsoft Intune fonctionnalité d’attachement de locataire est en préversion publique (à la mi-juillet)
- Vous devez ajouter « *.dm.microsoft.com » aux exclusions de pare-feu pour que la fonctionnalité fonctionne correctement
- Defender pour point de terminaison est désormais disponible pour Debian 12 et Amazon Linux 2023
- Prise en charge de l’activation de la vérification des signatures des mises à jour téléchargées
Vous devez mettre à jour le manajed.json comme indiqué ci-dessous
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }Prérequis pour activer la fonctionnalité
- La version du moteur sur l’appareil doit être « 1.1.23080.007 » ou supérieure. Vérifiez la version de votre moteur à l’aide de la commande suivante.
mdatp health --field engine_version
- La version du moteur sur l’appareil doit être « 1.1.23080.007 » ou supérieure. Vérifiez la version de votre moteur à l’aide de la commande suivante.
- Option permettant de prendre en charge la surveillance des points de montage NFS et FUSE. Ceux-ci sont ignorés par défaut. L’exemple suivant montre comment surveiller tous les systèmes de fichiers tout en ignorant uniquement NFS :
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }Exemple de surveillance de tous les systèmes de fichiers, y compris NFS et FUSE :
"antivirusEngine": { "unmonitoredFilesystems": [] }- Autres améliorations des performances
- Bogue
Problèmes connus
- Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify. Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de septembre-2023 : 101.23072.0021 | Version de publication : 30.123072.0021.0
| Build : | 101.23072.0021 |
|---|---|
| Libéré: | 11 septembre 2023 |
| Publié: | 11 septembre 2023 |
| Version de mise en production : | 30.123072.0021.0 |
| Version du moteur : | 1.1.20100.7 |
| Version de la signature : | 1.385.1648.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Dans mde_installer.sh v0.6.3, les utilisateurs peuvent utiliser l’argument
--channelpour fournir le canal du référentiel configuré lors du nettoyage. Par exemple,sudo ./mde_installer --clean --channel prod - L’extension réseau peut désormais être réinitialisée par les administrateurs à l’aide de
mdatp network-protection reset. - Autres améliorations des performances
- Bogue
- Dans mde_installer.sh v0.6.3, les utilisateurs peuvent utiliser l’argument
Problèmes connus
- Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de juillet-2023 : 101.23062.0010 | Version de publication : 30.123062.0010.0
| Build : | 101.23062.0010 |
|---|---|
| Libéré: | 26 juillet 2023 |
| Publié: | 26 juillet 2023 |
| Version de mise en production : | 30.123062.0010.0 |
| Version du moteur : | 1.1.20100.7 |
| Version de la signature : | 1.385.1648.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Si un proxy est défini pour Defender pour point de terminaison, il est visible dans la sortie de la
mdatp healthcommande - Avec cette version, nous avons fourni deux options dans les sources d’événements chauds de diagnostic mdatp :
- Fichiers
- Exécutables
- Protection réseau : les Connections qui sont bloquées par la protection réseau et dont le bloc est remplacé par les utilisateurs sont maintenant correctement signalées à Microsoft Defender XDR
- Amélioration de la journalisation dans les événements de bloc et d’audit de protection réseau pour le débogage
- Si un proxy est défini pour Defender pour point de terminaison, il est visible dans la sortie de la
Autres correctifs et améliorations
- À partir de cette version, enforcementLevel est en mode passif par défaut, ce qui donne aux administrateurs plus de contrôle sur l’endroit où ils veulent « RTP sur » dans leur patrimoine
- Cette modification s’applique uniquement aux nouveaux déploiements MDE, par exemple les serveurs sur lesquels Defender pour point de terminaison est déployé pour la première fois. Dans les scénarios de mise à jour, les serveurs sur lesquels Defender pour point de terminaison est déployé avec RTP ON continuent à fonctionner avec RTP ON, même après la mise à jour vers la version 101.23062.0010
Bogue
- Problème d’altération de la base de données RPM dans Defender Vulnerability Management base de référence a été résolu
Autres améliorations des performances
Problèmes connus
- Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de juillet-2023 : 101.23052.0009 | Version de publication : 30.123052.0009.0
| Build : | 101.23052.0009 |
|---|---|
| Libéré: | 10 juillet 2023 |
| Publié: | 10 juillet 2023 |
| Version de mise en production : | 30.123052.0009.0 |
| Version du moteur : | 1.1.20100.7 |
| Version de la signature : | 1.385.1648.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version : le schéma de version de build est mis à jour à partir de cette version. Bien que le numéro de version principale reste identique à celui de 101, le numéro de version mineure comporte désormais cinq chiffres suivis du numéro de correctif à quatre chiffres, c’est-à-dire :
101.xxxxx.yyyAmélioration de la consommation de mémoire de la protection réseau sous contrainte- Mise à jour de la version du moteur vers
1.1.20300.5et de la version de signature vers1.391.2837.0. - Corrections de bogues.
- Mise à jour de la version du moteur vers
Problèmes connus
- Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de juin 2023 : 101.98.89 | Version de publication : 30.123042.19889.0
| Build : | 101.98.89 |
|---|---|
| Libéré: | 12 juin 2023 |
| Publié: | 12 juin 2023 |
| Version de mise en production : | 30.123042.19889.0 |
| Version du moteur : | 1.1.20100.7 |
| Version de la signature : | 1.385.1648.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Amélioration de la gestion du proxy de protection réseau.
- En mode passif, Defender pour point de terminaison n’effectue plus d’analyse lorsque la mise à jour de la définition a lieu.
- Les appareils continuent d’être protégés même après l’expiration de l’agent Defender pour point de terminaison. Nous vous recommandons de mettre à niveau l’agent Linux Defender pour point de terminaison vers la dernière version disponible pour recevoir des correctifs de bogues, des fonctionnalités et des améliorations des performances.
- Suppression de la dépendance du package semanage.
- Mise à jour du moteur vers
1.1.20100.7et signatures Ver :1.385.1648.0. - Corrections de bogues.
Problèmes connus
- Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de mai-2023 : 101.98.64 | Version de publication : 30.123032.19864.0
| Build : | 101.98.64 |
|---|---|
| Libéré: | 3 mai 2023 |
| Publié: | 3 mai 2023 |
| Version de mise en production : | 30.123032.19864.0 |
| Version du moteur : | 1.1.20100.6 |
| Version de la signature : | 1.385.68.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Améliorations des messages d’intégrité pour capturer des détails sur les échecs audités.
- Améliorations apportées à la gestion des augenrules, ce qui a provoqué l’échec de l’installation.
- Nettoyage périodique de la mémoire dans le processus du moteur.
- Correction du problème de mémoire dans le plug-in audisp mdatp.
- Chemin du répertoire du plug-in manquant géré pendant l’installation.
- Lorsque l’application en conflit utilise le blocage fanotify, avec la configuration par défaut, l’intégrité mdatp s’affiche non saine. Ce problème est désormais résolu.
- Prise en charge de l’inspection du trafic ICMP dans BM.
- Mise à jour du moteur vers
1.1.20100.6et signatures Ver :1.385.68.0. - Corrections de bogues.
Problèmes connus
- Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build d’avril 2023 : 101.98.58 | Version de publication : 30.123022.19858.0
| Build : | 101.98.58 |
|---|---|
| Libéré: | 20 avril 2023 |
| Publié: | 20 avril 2023 |
| Version de mise en production : | 30.123022.19858.0 |
| Version du moteur : | 1.1.20000.2 |
| Version de la signature : | 1.381.3067.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Améliorations de la journalisation et du rapport d’erreurs pour audité.
- Gérer les échecs lors du rechargement de la configuration auditée.
- Gestion des fichiers de règles audités vides pendant MDE’installation.
- Mise à jour du moteur vers
1.1.20000.2et signatures Ver :1.381.3067.0. - Résolution d’un problème d’intégrité dans mdatp qui se produit en raison de refus de selinux.
- Corrections de bogues.
Problèmes connus
Lors de la mise à niveau de mdatp vers la version ou une version
101.94.13ultérieure, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les commandes suivantes peuvent vous aider à identifier ces règles auditées (les commandes doivent être exécutées en tant que super utilisateur). Effectuez une sauvegarde du fichier suivant : /etc/audit/rules.d/audit.rules, car ces étapes sont uniquement pour identifier les défaillances.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadLors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Il existe deux façons d’atténuer ce problème de mise à niveau :
Utilisez votre gestionnaire de package pour désinstaller la
101.75.43version ou101.78.13mdatp.Exemple :
sudo apt purge mdatp sudo apt-get install mdatpVous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de mars-2023 : 101.98.30 | Version de publication : 30.123012.19830.0
| Build : | 101.98.30 |
|---|---|
| Libéré: | 20 mars 2023 |
| Publié: | 20 mars 2023 |
| Version de mise en production : | 30.123012.19830.0 |
| Version du moteur : | 1.1.19900.2 |
| Version de la signature : | 1.379.1299.0 |
Nouveautés
- Cette nouvelle version est la version de mars 2023 (« 101.98.05 ») avec un correctif pour l’échec des commandes de réponse en direct pour l’un de nos clients. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.
Problèmes connus
- Avec mdatp version 101.98.30, vous pouvez rencontrer un problème de faux intégrité dans certains cas, car les règles SELinux ne sont pas définies pour certains scénarios. L’avertissement d’intégrité peut ressembler à ceci :
a trouvé des dénis SELinux au cours de la dernière journée. Si MDATP est installé récemment, effacez les journaux d’audit existants ou attendez un jour pour que ce problème soit résolu automatiquement. Use command : "sudo ausearch -i -c 'mdatp_audisp_pl' | grep « type=AVC » | grep " refusé » pour trouver des détails
Le problème peut être atténué en exécutant les commandes suivantes.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Ici, my-mdatpaudisppl_v1 représente le nom du module de stratégie. Après avoir exécuté les commandes, attendez 24 heures ou effacez/archivez les journaux d’audit. Les journaux d’audit peuvent être archivés en exécutant la commande suivante
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Si le problème réapparaît avec des dénis différents. Nous devons réexécuter l’atténuation avec un autre nom de module (par exemple, my-mdatpaudisppl_v2).
Build de mars-2023 : 101.98.05 | Version de publication : 30.123012.19805.0
| Build : | 101.98.05 |
|---|---|
| Libéré: | 8 mars 2023 |
| Publié: | 8 mars 2023 |
| Version de mise en production : | 30.123012.19805.0 |
| Version du moteur : | 1.1.19900.2 |
| Version de la signature : | 1.379.1299.0 |
Nouveautés
Il existe plusieurs correctifs et de nouvelles modifications dans cette version.
- Amélioration de l’exhaustivité des données pour les événements de connexion réseau
- Amélioration des fonctionnalités de collecte de données pour les modifications de propriété/autorisations de fichier
- seManage dans une partie du package, pour que les stratégies seLinux peuvent être configurées dans une distribution différente (fixe).
- Amélioration de la stabilité du démon d’entreprise
- Chemin d’arrêt audité propre-up
- Amélioration de la stabilité du flux d’arrêt mdatp.
- Ajout d’un nouveau champ à wdavstate pour effectuer le suivi de l’heure de mise à jour de la plateforme.
- Améliorations de la stabilité de l’analyse de l’objet blob d’intégration defender pour point de terminaison.
- L’analyse ne se poursuit pas si aucune licence valide n’est présente (fixe)
- Ajout de l’option de suivi des performances à xPlatClientAnalyzer, avec le processus mdatp activé, vide le flux dans all_process.zip fichier qui peut être utilisé pour l’analyse des problèmes de performances.
- Ajout de la prise en charge dans Defender pour point de terminaison pour les versions de noyau RHEL-6 suivantes :
2.6.32-754.43.1.el6.x86_642.6.32-754.49.1.el6.x86_64
- Autres correctifs
Problèmes connus
Lors de la mise à niveau de mdatp vers la version 101.94.13, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les étapes suivantes peuvent vous aider à identifier ces règles auditées (ces commandes doivent être exécutées en tant que super utilisateur). Veillez à sauvegarder le fichier suivant : « /etc/audit/rules.d/audit.rules », car ces étapes sont uniquement pour identifier les défaillances.
echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadLors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify
Il existe deux façons d’atténuer le problème lors de la mise à niveau.
Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.
Exemple :
sudo apt purge mdatp
sudo apt-get install mdatp
Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de janvier 2023 : 101.94.13 | Version de publication : 30.122112.19413.0
| Build : | 101.94.13 |
|---|---|
| Libéré: | 10 janvier 2023 |
| Publié: | 10 janvier 2023 |
| Version de mise en production : | 30.122112.19413.0 |
| Version du moteur : | 1.1.19700.3 |
| Version de la signature : | 1.377.550.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Ignorer la mise en quarantaine des menaces en mode passif par défaut.
- La nouvelle configuration, nonExecMountPolicy, peut désormais être utilisée pour spécifier le comportement de RTP sur le point de montage marqué comme noexec.
- Une nouvelle configuration, unmonitoredFilesystems, peut être utilisée pour annuler la surveillance de certains systèmes de fichiers.
- Amélioration des performances en cas de charge élevée et dans les scénarios de test de vitesse.
- Correction d’un problème d’accès aux partages SMB derrière les connexions VPN Cisco AnyConnect.
- Correction d’un problème avec la protection réseau et SMB.
- prise en charge du suivi des performances lttng.
- Améliorations de TVM, eBPF, auditd, télémétrie et mdatp cli.
- l’intégrité mdatp signale désormais behavior_monitoring
- Autres correctifs.
Problèmes connus
Lors de la mise à niveau de mdatp vers la version
101.94.13, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les étapes suivantes peuvent vous aider à identifier ces règles auditées (ces commandes doivent être exécutées en tant que super utilisateur). Effectuez une sauvegarde du fichier suivant :/etc/audit/rules.d/audit.rulescar ces étapes sont uniquement pour identifier les échecs.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadLors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.94.13. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify
Il existe deux façons d’atténuer le problème lors de la mise à niveau.
Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.
Exemple :
sudo apt purge mdatp
sudo apt-get install mdatp
En guise d’alternative à ce qui précède, vous pouvez suivre les instructions pour désinstaller, puis installer la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build de novembre 2022 : 101.85.27 | Version de publication : 30.122092.18527.0
| Build : | 101.85.27 |
|---|---|
| Libéré: | 2 novembre 2022 |
| Publié: | 2 novembre 2022 |
| Version de mise en production : | 30.122092.18527.0 |
| Version du moteur : | 1.1.19500.2 |
| Version de la signature : | 1.371.1369.0 |
Nouveautés
- Il existe plusieurs correctifs et de nouvelles modifications dans cette version
- Le moteur V2 est par défaut avec cette version et les bits du moteur V1 sont supprimés pour renforcer la sécurité.
- Le moteur V2 prend en charge le chemin de configuration pour les définitions AV. (chemin d’accès du jeu de définitions mdatp)
- Suppression des dépendances de packages externes de MDE package. Les dépendances supprimées sont libatomic1, libselinux, libseccomp, libfuse et libuuid
- Si la collecte des incidents est désactivée par la configuration, le processus de surveillance des incidents n’est pas lancé.
- Correctifs de performances pour utiliser de manière optimale les événements système pour les fonctionnalités AV.
- Amélioration de la stabilité lors du redémarrage de mdatp et des problèmes epsext de charge.
- Autres correctifs
Problèmes connus
- Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.85.21. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify
Il existe deux façons d’atténuer le problème lors de la mise à niveau.
Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.
Exemple :
sudo apt purge mdatp
sudo apt-get install mdatp
En guise d’approche alternative, suivez les instructions pour désinstaller, puis installez la dernière version du package.
Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build sep-2022 : 101.80.97 | Version de publication : 30.122072.18097.0
| Build : | 101.80.97 |
|---|---|
| Libéré: | 14 septembre 2022 |
| Publié: | 14 septembre 2022 |
| Version de mise en production : | 30.122072.18097.0 |
| Version du moteur : | 1.1.19300.3 |
| Version de la signature : | 1.369.395.0 |
Nouveautés
- Corrige un blocage du noyau observé sur certaines charges de travail client exécutant la version
101.75.43mdatp. Après rca, cela a été attribué à une condition de concurrence lors de la libération de la propriété d’un descripteur de fichier de capteur. La condition de concurrence a été exposée en raison d’une modification récente du produit dans le chemin d’arrêt. Les clients des versions plus récentes du noyau (5.1+) ne sont pas affectés par ce problème. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.
Problèmes connus
Lors de la mise à niveau à partir de la version
101.75.43mdatp ou101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version101.80.97. Cette action doit empêcher le problème de se produire.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
Après avoir exécuté les commandes, utilisez votre gestionnaire de package pour effectuer la mise à niveau.
En guise d’approche alternative, suivez les instructions pour désinstaller, puis installez la dernière version du package.
Build d’août 2022 : 101.78.13 | Version de publication : 30.122072.17813.0
| Build : | 101.78.13 |
|---|---|
| Libéré: | 24 août 2022 |
| Publié: | 24 août 2022 |
| Version de mise en production : | 30.122072.17813.0 |
| Version du moteur : | 1.1.19300.3 |
| Version de la signature : | 1.369.395.0 |
Nouveautés
- Restauration en raison de problèmes de fiabilité
Août 2022 (Build : 101.75.43 | Version de publication : 30.122071.17543.0)
| Build : | 101.75.43 |
|---|---|
| Libéré: | 2 août 2022 |
| Publié: | 2 août 2022 |
| Version de mise en production : | 30.122071.17543.0 |
| Version du moteur : | 1.1.19300.3 |
| Version de la signature : | 1.369.395.0 |
Nouveautés
- Ajout de la prise en charge de Red Hat Enterprise Linux version 9.0
- Ajout d’un nouveau champ dans la sortie de
mdatp healthqui peut être utilisé pour interroger le niveau d’application de la fonctionnalité de protection réseau. Le nouveau champ est appelénetwork_protection_enforcement_levelet peut prendre l’une des valeurs suivantes :audit,blockoudisabled. - Résolution d’un bogue de produit où plusieurs détections du même contenu pouvaient entraîner des entrées en double dans l’historique des menaces
- Résolution d’un problème où l’un des processus générés par le produit (
mdatp_audisp_plugin) n’était parfois pas correctement arrêté lorsque le service était arrêté - Autres correctifs de bogues
Build de juillet 2022 : 101.73.77 | Version de publication : 30.122062.17377.0
| Build : | 101.73.77 |
|---|---|
| Libéré: | jeudi 21 juillet 2022 |
| Publié: | jeudi 21 juillet 2022 |
| Version de mise en production : | 30.122062.17377.0 |
| Version du moteur : | 1.1.19200.3 |
| Version de la signature : | 1.367.1011.0 |
Nouveautés
- Ajout d’une option pour configurer le calcul de hachage de fichier
- À partir de cette build, le produit a le nouveau moteur anti-programme malveillant par défaut
- Améliorations des performances pour les opérations de copie de fichiers
- Correctifs de bogue
Build de juin 2022 : 101.71.18 | Version de publication : 30.122052.17118.0
| Build : | 101.71.18 |
|---|---|
| Libéré: | 24 juin 2022 |
| Publié: | 24 juin 2022 |
| Version de mise en production : | 30.122052.17118.0 |
Nouveautés
- Correctif pour prendre en charge le stockage des définitions dans des emplacements non standard (en dehors de /var) pour les mises à jour de définition v2
- Correction d’un problème dans le capteur de produit utilisé sur RHEL 6 qui pouvait entraîner un blocage du système d’exploitation
-
mdatp connectivity testa été étendu avec une URL supplémentaire dont le produit a besoin pour fonctionner correctement. La nouvelle URL est https://go.microsoft.com/fwlink/?linkid=2144709. - Jusqu’à présent, le niveau de journalisation du produit n’était pas conservé entre les redémarrages du produit. À compter de cette version, il existe un nouveau commutateur d’outil en ligne de commande qui conserve le niveau de journalisation. La nouvelle commande est
mdatp log level persist --level <level>. - Suppression de la dépendance sur
pythondu package d’installation du produit - Améliorations des performances pour les opérations de copie de fichiers et le traitement des événements réseau provenant de
auditd - Correctifs de bogue
Build de mai-2022 : 101.68.80 | Version de publication : 30.122042.16880.0
| Build : | 101.68.80 |
|---|---|
| Libéré: | 23 mai 2022 |
| Publié: | 23 mai 2022 |
| Version de mise en production : | 30.122042.16880.0 |
Nouveautés
- Ajout de la prise en charge de la version
2.6.32-754.47.1.el6.x86_64du noyau lors de l’exécution sur RHEL 6 - Sur RHEL 6, le produit peut désormais être installé sur les appareils exécutant un noyau d’entreprise incassable (UEK)
- Correction d’un problème où le nom du processus s’affichait parfois de manière incorrecte comme
unknownlors de l’exécutionmdatp diagnostic real-time-protection-statistics - Correction d’un bogue dans lequel le produit détectait parfois incorrectement des fichiers dans le dossier de quarantaine
- Correction d’un problème où l’outil
mdatpen ligne de commande ne fonctionnait pas quand/optil était monté en tant que liaison logicielle - Améliorations des performances & correctifs de bogues
Build de mai-2022 : 101.65.77 | Version de publication : 30.122032.16577.0
| Build : | 101.65.77 |
|---|---|
| Libéré: | 2 mai 2022 |
| Publié: | 2 mai 2022 |
| Version de mise en production : | 30.122032.16577.0 |
Nouveautés
- Amélioration du
conflicting_applicationschamp dansmdatp healthpour afficher uniquement les 10 processus les plus récents et inclure les noms de processus. Cela facilite l’identification des processus potentiellement en conflit avec Microsoft Defender pour point de terminaison pour Linux. - Correctifs de bogue
Mars 2022 (Build : 101.62.74 | Version de publication : 30.122022.16274.0)
| Build : | 101.62.74 |
|---|---|
| Libéré: | 24 mars 2022 |
| Publié: | 24 mars 2022 |
| Version de mise en production : | 30.122022.16274.0 |
Nouveautés
- Résolution d’un problème dans lequel le produit bloquait incorrectement l’accès aux fichiers d’une taille supérieure à 2 Go lors de l’exécution sur des versions antérieures du noyau
- Correctifs de bogue
Build de mars 2022 : 101.60.93 | Version de publication : 30.122012.16093.0
| Build : | 101.60.93 |
|---|---|
| Libéré: | 9 mars 2022 |
| Publié: | 9 mars 2022 |
| Version de mise en production : | 30.122012.16093.0 |
Nouveautés
- Cette version contient une mise à jour de sécurité pour CVE-2022-23278
Build de mars 2022 : 101.60.05 | Version de publication : 30.122012.16005.0
| Build : | 101.60.05 |
|---|---|
| Libéré: | 3 mars 2022 |
| Publié: | 3 mars 2022 |
| Version de mise en production : | 30.122012.16005.0 |
Nouveautés
- Ajout de la prise en charge du noyau version 2.6.32-754.43.1.el6.x86_64 pour RHEL 6.10
- Correctifs de bogue
Build de février-2022 : 101.58.80 | Version de publication : 30.122012.15880.0
| Build : | 101.58.80 |
|---|---|
| Libéré: | 20 février 2022 |
| Publié: | 20 février 2022 |
| Version de mise en production : | 30.122012.15880.0 |
Nouveautés
- L’outil en ligne de commande prend désormais en charge la restauration des fichiers mis en quarantaine à un emplacement autre que celui où le fichier a été détecté à l’origine. Cette opération peut être effectuée via
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]. - À partir de cette version, la protection réseau pour Linux peut être évaluée à la demande
- Correctifs de bogue
Build de janvier 2022 : 101.56.62 | Version de publication : 30.121122.15662.0
| Build : | 101.56.62 |
|---|---|
| Libéré: | 26 janvier 2022 |
| Publié: | 26 janvier 2022 |
| Version de mise en production : | 30.121122.15662.0 |
Nouveautés
- Correction d’un incident de produit introduit dans la version 101.53.02 et qui a eu un impact sur plusieurs clients
Build de janvier 2022 : 101.53.02 | Version de publication : 30.121112.15302.0
| Build : | 101.53.02 |
|---|---|
| Libéré: | 8 janvier 2022 |
| Publié: | 8 janvier 2022 |
| Version de mise en production : | 30.121112.15302.0 |
Nouveautés
- Améliorations des performances & correctifs de bogues
Versions 2021
Build : 101.52.57 | Version de publication : 30.121092.15257.0
| Build : | 101.52.57 |
|---|---|
| Version de mise en production : | 30.121092.15257.0 |
Nouveautés
- Ajout d’une fonctionnalité permettant de détecter les fichiers jar log4j vulnérables utilisés par les applications Java. La machine est régulièrement inspectée pour l’exécution de processus Java avec des fichiers jar log4j chargés. Les informations sont communiquées au back-end Microsoft Defender pour point de terminaison et sont exposées dans la zone Gestion des vulnérabilités du portail.
Build : 101.47.76 | Version de publication : 30.121092.14776.0
| Build : | 101.47.76 |
|---|---|
| Version de mise en production : | 30.121092.14776.0 |
Nouveautés
Ajout d’un nouveau commutateur à l’outil en ligne de commande pour contrôler si les archives sont analysées pendant les analyses à la demande. Cela peut être configuré via mdatp config scan-archives --value [enabled/disabled]. Par défaut, ce paramètre est défini sur activé.
Correctifs de bogue
Build : 101.45.13 | Version de publication : 30.121082.14513.0
| Build : | 101.45.13 |
|---|---|
| Version de mise en production : | 30.121082.14513.0 |
Nouveautés
À compter de cette version, nous apportons Microsoft Defender pour point de terminaison prise en charge aux distributions suivantes :
- Versions RHEL6.7-6.10 et CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 ou version ultérieure
Correctifs de bogue
Build : 101.45.00 | Version de publication : 30.121072.14500.0
| Build : | 101.45.00 |
|---|---|
| Version de mise en production : | 30.121072.14500.0 |
Nouveautés
- Ajout de nouveaux commutateurs à l’outil en ligne de commande :
- Contrôler le degré de parallélisme pour les analyses à la demande. Cela peut être configuré via
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Par défaut, un degré de parallélisme de2est utilisé. - Contrôler si les analyses après les mises à jour du renseignement de sécurité sont activées ou désactivées. Cela peut être configuré via
mdatp config scan-after-definition-update --value [enabled/disabled]. Par défaut, ce paramètre est défini surenabled. - La modification du niveau de journal du produit nécessite désormais une élévation
- Correctifs de bogue
Build : 101.39.98 | Version de publication : 30.121062.13998.0
| Build : | 101.39.98 |
|---|---|
| Version de mise en production : | 30.121062.13998.0 |
Nouveautés
- Améliorations des performances & correctifs de bogues
Build : 101.34.27 | Version de publication : 30.121052.13427.0
| Build : | 101.34.27 |
|---|---|
| Version de mise en production : | 30.121052.13427.0 |
Nouveautés
- Améliorations des performances & correctifs de bogues
Build : 101.29.64 | Version de publication : 30.121042.12964.0
| Build : | 101.29.64 |
|---|---|
| Version de mise en production : | 30.121042.12964.0 |
Nouveautés
- À compter de cette version, les menaces détectées lors des analyses antivirus à la demande déclenchées via le client de ligne de commande sont automatiquement corrigées. Les menaces détectées lors des analyses déclenchées via l’interface utilisateur nécessitent toujours une action manuelle.
-
mdatp diagnostic real-time-protection-statisticsprend désormais en charge deux autres commutateurs : -
--sort: trie la sortie en décroissant par nombre total de fichiers analysés -
--top N: affiche les N premiers résultats (fonctionne uniquement si--sortest également spécifié) - Améliorations des performances & correctifs de bogues
Build : 101.25.72 | Version de publication : 30.121022.12563.0
| Build : | 101.25.72 |
|---|---|
| Version de mise en production : | 30.121022.12563.0 |
Nouveautés
- Microsoft Defender pour point de terminaison sur Linux est désormais disponible en préversion pour les clients du gouvernement des États-Unis. Pour plus d’informations, consultez Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
- Correction d’un problème où l’utilisation de Microsoft Defender pour point de terminaison sur Linux sur des systèmes avec des systèmes de fichiers FUSE menait au blocage du système d’exploitation
- Améliorations des performances & d’autres correctifs de bogues
Build : 101.25.63 | Version de publication : 30.121022.12563.0
| Build : | 101.25.63 |
|---|---|
| Version de mise en production : | 30.121022.12563.0 |
Nouveautés
- Améliorations des performances & correctifs de bogues
Build : 101.23.64 | Version de publication : 30.121021.12364.0
| Build : | 101.23.64 |
|---|---|
| Version de mise en production : | 30.121021.12364.0 |
Nouveautés
- Amélioration des performances pour la situation où un point de montage entier est ajouté à la liste d’exclusions antivirus. Avant cette version, le produit traitait l’activité de fichier provenant du point de montage. À compter de cette version, l’activité des fichiers pour les points de montage exclus est supprimée, ce qui améliore les performances du produit
- Ajout d’une nouvelle option à l’outil en ligne de commande pour afficher des informations sur la dernière analyse à la demande. Pour afficher des informations sur la dernière analyse à la demande, exécutez
mdatp health --details antivirus - Autres améliorations des performances & correctifs de bogues
Build : 101.18.53
Nouveautés
EDR pour Linux est désormais en disponibilité générale
Ajout d’un nouveau commutateur de ligne de commande (
--ignore-exclusions) pour ignorer les exclusions AV pendant les analyses personnalisées (mdatp scan custom)Étendu
mdatp diagnostic createavec un nouveau paramètre (--path [directory]) qui permet d’enregistrer les journaux de diagnostic dans un autre répertoireAméliorations des performances & correctifs de bogues