Novidades no Microsoft Defender para Endpoint no Linux
Aplica-se a:
- Microsoft Defender para Endpoint Server
- Microsoft Defender para Servidores
Este artigo é atualizado frequentemente para lhe dar a conhecer as novidades nas versões mais recentes do Microsoft Defender para Endpoint no Linux.
Importante
A partir da versão 101.24082.0004, o Defender para Endpoint no Linux já não suporta o Auditd fornecedor de eventos. Estamos a transitar completamente para a tecnologia eBPF mais eficiente. Esta alteração permite um melhor desempenho, redução do consumo de recursos e estabilidade global melhorada. O suporte eBPF está disponível desde agosto de 2023 e está totalmente integrado em todas as atualizações do Defender para Endpoint no Linux (versão 101.23082.0006 e posterior). Recomendamos vivamente que adote a criação de eBPF, uma vez que proporciona melhorias significativas em termos de Auditoria. Se o eBPF não for suportado nos seus computadores ou se existirem requisitos específicos para permanecer em Auditoria, tem as seguintes opções:
Continue a utilizar o Defender para Endpoint na criação
101.24072.0000do Linux com Auditado. Esta compilação continua a ser suportada durante vários meses, pelo que tem tempo para planear e executar a migração para o eBPF.Se estiver a utilizar versões posteriores a
101.24072.0000, o Defender para Endpoint no Linux depende de um fornecedor de eventosnetlinksuplementar de cópia de segurança. Em caso de contingência, todas as operações de processo continuam a fluir de forma totalmente integrada.
Reveja a implementação atual do Defender para Endpoint no Linux e comece a planear a migração para a compilação suportada pelo eBPF. Para obter mais informações sobre o eBPF e como funciona, veja Utilizar o sensor baseado em eBPF para Microsoft Defender para Endpoint no Linux.
Se tiver alguma preocupação ou precisar de assistência durante esta transição, contacte o suporte.
Lançamentos do Defender para Endpoint no Linux
Fev-2025 Build: 101.24122.0008 | Versão de lançamento: 30.124112.0008.0
| Criar: | 101.24122.0008 |
|---|---|
| Lançada: | 20 de fevereiro de 2025 |
| Lançada: | 20 de fevereiro de 2025 |
| Publicado: | 20 de fevereiro de 2025 |
| Versão de lançamento: | 30.124122.0008.0 |
| Versão do motor: | 1.1.24090.13 |
| Versão da assinatura: | 1.421.226.0 |
Novidades
- O pacote
101.24122.0008MDATP está a ser gradualmente lançado para cada distribuição. - Outras melhorias de estabilidade e correções de erros
Fev-2025 Build: 101.24112.0003 | Versão de lançamento: 30.124112.0003.0
| Criar: | 101.24112.0003 |
|---|---|
| Lançada: | 04 de fevereiro de 2025 |
| Lançada: | 04 de fevereiro de 2025 |
| Publicado: | 04 de fevereiro de 2025 |
| Versão de lançamento: | 30.124112.0003.0 |
| Versão do motor: | 1.1.24090.13 |
| Versão da assinatura: | 1.421.1681.0 |
Novidades
- Foi corrigido um erro que reportou incorretamente o DefenderEngineVersion ao portal de segurança.
- O pacote
101.24112.0003MDATP está a ser gradualmente lançado para cada distribuição.
Jan-2025 Build: 101.24112.0001 | Versão de lançamento: 30.124112.0001.0
| Criar: | 101.24112.0001 |
|---|---|
| Lançada: | 13 de janeiro de 2025 |
| Publicado: | 13 de janeiro de 2025 |
| Versão de lançamento: | 30.124112.0001.0 |
| Versão do motor: | 1.1.24090.13 |
| Versão da assinatura: | 1.421.226.0 |
Novidades
Atualizou a versão bond para a versão 13.0.1 para resolver vulnerabilidades de segurança nas versões 12 ou inferiores.
O pacote Mdatp já não tem uma dependência em pacotes SELinux.
Os utilizadores podem agora consultar o estado do fornecedor de eventos suplementar eBPF através da consulta de investigação de ameaças no
DeviceTvmInfoGathering. Para saber mais sobre esta verificação de consulta: Utilize o sensor baseado em eBPF para Microsoft Defender para Endpoint no Linux. O resultado desta consulta pode devolver os dois valores seguintes como estado eBPF:- Ativado: quando o eBPF está ativado conforme esperado.
- Desativado: quando o eBPF está desativado devido a um dos seguintes motivos:
- Quando MDE está a utilizar auditD como sensor suplementar
- Quando o eBPF não está presente e revertemos para o Netlink como fornecedor de eventos suplementar
- Não existe nenhum sensor suplementar presente.
A partir do 2411, o lançamento do pacote MDATP para Produção em
packages.microsoft.comsegue um mecanismo de implementação gradual que se estende por mais de uma semana. As outras cadências de lançamento, insiderFast e insiderSlow, não são afetadas por esta alteração.Melhorias na estabilidade e no desempenho.
Correções de erros críticos em torno do fluxo de atualização de definições.
Jan-2025 Build: 101.24102.0000 | Versão de lançamento: 30.124102.0000.0
| Criar: | 101.24102.0000 |
|---|---|
| Lançada: | 8 de janeiro de 2025 |
| Publicado: | 8 de janeiro de 2025 |
| Versão de lançamento: | 30.124102.0000.0 |
| Versão do motor: | 1.1.24080.11 |
| Versão da assinatura: | 1.419.351.0 |
Novidades
A versão do motor predefinida foi atualizada para
1.1.24080.11e a versão de assinatura predefinida foi atualizada para1.419.351.0.Melhoramento do relatório de informações sobre ameaças da linha de comandos para processos de curta duração no portal de segurança.
Nov-2024 Build: 101.24092.0002 | Versão de lançamento: 30.124092.0002.0
| Criar: | 101.24092.0002 |
|---|---|
| Lançada: | 14 de novembro de 2024 |
| Publicado: | 14 de novembro de 2024 |
| Versão de lançamento: | 30.124092.0002.0 |
| Versão do motor: | 1.1.24080.9 |
| Versão da assinatura: | 1.417.659.0 |
Novidades
Para suportar instalações endurecidas com partições não acionáveis
/var, as definições de antivírus mdatp são agora instaladas/opt/microsoft/mdatp/definitions.noindexem vez de se esta for detetada/varcomo não aplicável. Durante as atualizações, o instalador tenta migrar definições mais antigas para o novo caminho ao detetar um não aprovisionável/var, a menos que se verifique que o caminho já foi personalizado (commdatp definitions path set).A partir desta versão, o Defender para Endpoint no Linux já não precisa de permissões executáveis para
/var/log. Se estas permissões não estiverem disponíveis, os ficheiros de registo são redirecionados automaticamente para/opt.
Versão out-2024: 101.24082.0004 | Versão de lançamento: 30.124082.0004.0
| Criar: | 101.24082.0004 |
|---|---|
| Lançada: | 15 de outubro de 2024 |
| Publicado: | 15 de outubro de 2024 |
| Versão de lançamento: | 30.124082.0004 |
| Versão do motor: | 1.1.24080.9 |
| Versão da assinatura: | 1.417.659.0 |
Novidades
A partir desta versão, o Defender para Endpoint no Linux já não é suportado como fornecedor de eventos
AuditDsuplementar. Para melhorar a estabilidade e o desempenho, transitámos para o eBPF. Se desativar o eBPF ou, no caso de o eBPF não ser suportado em nenhum kernel específico, o Defender para Endpoint no Linux muda automaticamente para o Netlink como um fornecedor de eventos suplementar de contingência. O Netlink fornece funcionalidade reduzida e controla apenas eventos relacionados com o processo. Neste caso, todas as operações de processo continuam a fluir de forma totalmente integrada, mas pode perder eventos específicos relacionados com o ficheiro e socket que o eBPF capturaria de outra forma. Para obter mais informações, veja Utilizar o sensor baseado em eBPF para Microsoft Defender para Endpoint no Linux. Se tiver alguma preocupação ou precisar de assistência durante esta transição, contacte o suporte.Melhorias na estabilidade e no desempenho
Outras correções de erros
Set-2024 Build: 101.24072.0001 | Versão de lançamento: 30.124072.0001.0
| Criar: | 101.24072.0001 |
|---|---|
| Lançada: | 23 de setembro de 2024 |
| Publicado: | 23 de setembro de 2024 |
| Versão de lançamento: | 30.124072.0001.0 |
| Versão do motor: | 1.1.24060.6 |
| Versão da assinatura: | 1.415.228.0 |
Novidades
Foi adicionado suporte para o Ubuntu 24.04
Atualização da versão predefinida do motor para e
1.1.24060.6da versão de assinaturas predefinida para1.415.228.0.
Construção julho-2024: 101.24062.0001 | Versão de lançamento: 30.124062.0001.0
| Criar: | 101.24072.0001 |
|---|---|
| Lançada: | 31 de julho de 2024 |
| Publicado: | 31 de julho de 2024 |
| Versão de lançamento: | 30.124062.0001.0 |
| Versão do motor: | 1.1.24050.7 |
| Versão da assinatura: | 1.411.410.0 |
Novidades
Existem várias correções e novas alterações nesta versão.
Corrige o erro em que as informações de ameaças da linha de comandos infetadas não eram apresentadas corretamente no portal de segurança.
Corrige um erro em que a desativação de uma funcionalidade de pré-visualização exigia um Defender de Ponto Final para o desativar.
A funcionalidade Exclusões Globais com JSON gerido está agora em Pré-visualização Pública. disponível em insiders lento a partir de 101.23092.0012. Para obter mais informações, veja linux-exclusions (exclusões do linux).
Atualizou a versão do motor predefinido do Linux para 1.1.24050.7 e a versão de assinatura predefinida para 1.411.410.0.
Melhorias na estabilidade e no desempenho.
Outras correções de erros.
Junho-2024 Build: 101.24052.0002 | Versão de lançamento: 30.124052.0002.0
| Criar: | 101.24052.0002 |
|---|---|
| Lançada: | 24 de junho de 2024 |
| Publicado: | 24 de junho de 2024 |
| Versão de lançamento: | 30.124052.0002.0 |
| Versão do motor: | 1.1.24040.2 |
| Versão da assinatura: | 1.411.153.0 |
Novidades
Existem várias correções e novas alterações nesta versão.
Esta versão corrige um erro relacionado com a utilização elevada da memória, levando eventualmente a uma cpu elevada devido à fuga de memória eBPF no espaço de kernel, o que resulta na entrada de servidores em estados inutilizáveis. Isto só afetou as versões de kernel 3.10x e <= 4.16x, principalmente nas distribuições RHEL/CentOS. Atualize para a versão de MDE mais recente para evitar qualquer impacto.
Agora, simplificámos a saída de
mdatp health --detail featuresMelhorias na estabilidade e no desempenho.
Outras correções de erros.
Versão de maio de 2024: 101.24042.0002 | Versão de lançamento: 30.124042.0002.0
| Criar: | 101.24042.0002 |
|---|---|
| Lançada: | 29 de maio de 2024 |
| Publicado: | 29 de maio de 2024 |
| Versão de lançamento: | 30.124042.0002.0 |
| Versão do motor: | 1.1.24030.4 |
| Versão da assinatura: | 1.407.521.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
Na versão 24032.0007, ocorreu um problema conhecido em que a inscrição de dispositivos para MDE Gestão de Segurança falhou ao utilizar o mecanismo "Identificação de Dispositivos" através do ficheiro mdatp_managed.json. Este problema foi resolvido na versão atual.
Melhorias na estabilidade e no desempenho.
Outras correções de erros.
Versão de maio de 2024: 101.24032.0007 | Versão de lançamento: 30.124032.0007.0
| Criar: | 101.24032.0007 |
|---|---|
| Lançada: | 15 de maio de 2024 |
| Publicado: | 15 de maio de 2024 |
| Versão de lançamento: | 30.124032.0007.0 |
| Versão do motor: | 1.1.24020.3 |
| Versão da assinatura: | 1.403.3500.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
Nos modos passivos e a pedido, o motor antivírus permanece no estado inativo e é utilizado apenas durante as análises personalizadas agendadas. Assim, como parte das melhorias de desempenho, fizemos alterações para manter o motor AV inativo no modo passivo e a pedido, exceto durante as análises personalizadas agendadas. Se a proteção em tempo real estiver ativada, o motor antivírus estará sempre operacional. Isto não afeta a proteção do servidor em nenhum modo.
Para manter os utilizadores informados sobre o estado do motor antivírus, introduzimos um novo campo chamado "engine_load_status" como parte do estado de funcionamento do MDATP. Indica se o motor antivírus está atualmente em execução ou não.
Field nameengine_load_statusValores possíveis Motor não carregado (o processo do motor AV está inativo), Carga do motor com êxito (processo do motor AV em execução) Cenários em bom estado de funcionamento:
- Se o RTP estiver ativado, engine_load_status deve ser "Carga do motor concluída com êxito"
- Se MDE estiver no modo a pedido ou passivo e a análise personalizada não estiver em execução, "engine_load_status" deve ser "Motor não carregado"
- Se MDE estiver no modo a pedido ou passivo e a análise personalizada estiver em execução, "engine_load_status" deverá ser "A carga do motor foi efetuada com êxito"
Correção de erros para melhorar as deteções comportamentais.
Melhorias na estabilidade e no desempenho.
Outras correções de erros.
Problemas Conhecidos
Existe um problema conhecido em que a inscrição de dispositivos na Gestão de Segurança do MDE através do mecanismo "Identificação de Dispositivos" com mdatp_managed.json está a falhar na versão 24032.0007. Para mitigar este problema, utilize o seguinte comando da CLI mdatp para etiquetar dispositivos:
sudo mdatp edr tag set --name GROUP --value MDE-ManagementO problema foi corrigido na Compilação: 101.24042.0002
Versão de março de 2024: 101.24022.0001 | Versão de lançamento: 30.124022.0001.0
| Criar: | 101.24022.0001 |
|---|---|
| Lançada: | 22 de março de 2024 |
| Publicado: | 22 de março de 2024 |
| Versão de lançamento: | 30.124022.0001.0 |
| Versão do motor: | 1.1.23110.4 |
| Versão da assinatura: | 1.403.87.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
A adição de um novo ficheiro de registo -
microsoft_defender_scan_skip.log. Isto regista os nomes de ficheiro que foram ignorados de várias análises antivírus por Microsoft Defender para Endpoint devido a qualquer motivo.Melhorias na estabilidade e no desempenho.
Correções de erros.
Versão de março de 2024: 101.24012.0001 | Versão de lançamento: 30.124012.0001.0
| Criar: | 101.24012.0001 |
|---|---|
| Lançada: | 12 de março de 2024 |
| Publicado: | 12 de março de 2024 |
| Versão de lançamento: | 30.124012.0001.0 |
| Versão do motor: | 1.1.23110.4 |
| Versão da assinatura: | 1.403.87.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
Atualização da versão predefinida do motor para
1.1.23110.4e da versão de assinaturas predefinida para1.403.87.0.Melhorias na estabilidade e no desempenho.
Correções de erros.
Versão de fevereiro-2024: 101.23122.0002 | Versão de lançamento: 30.123122.0002.0
| Criar: | 101.23122.0002 |
|---|---|
| Lançada: | 5 de fevereiro de 2024 |
| Publicado: | 5 de fevereiro de 2024 |
| Versão de lançamento: | 30.123122.0002.0 |
| Versão do motor: | 1.1.23100.2010 |
| Versão da assinatura: | 1.399.1389.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
Atualização da versão predefinida do motor para
1.1.23100.2010e da versão de assinaturas predefinida para1.399.1389.0.Melhorias gerais de desempenho e estabilidade.
Correções de erros.
Microsoft Defender para Endpoint no Linux suporta agora oficialmente as seguintes distribuições e versões:
Distribuição & versão Anel Pacote Mariner 2 Produção https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 e superior Insiders Slow https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 e superior Insiders Slow https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 e superior Insiders Slow https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 e superior Insiders Slow https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Se já tiver o Defender para Endpoint em execução em qualquer uma destas distribuições e tiver problemas nas versões mais antigas, atualize para a versão mais recente do Defender para Endpoint a partir da cadência correspondente mencionada acima. Veja os nossos documentos de implementação pública para obter mais detalhes.
Nota
Problemas conhecidos:
Microsoft Defender para Endpoint para Linux no Rocky e Alma tem atualmente os seguintes problemas conhecidos:
- A Resposta em Direto e a Gestão de Vulnerabilidades de Ameaças não são atualmente suportadas (trabalho em curso).
- As informações do sistema operativo para dispositivos não estão visíveis no portal do Microsoft Defender
Build de janeiro a 2024: 101.23112.0009 | Versão de lançamento: 30.123112.0009.0
| Criar: | 101.23112.0009 |
|---|---|
| Lançada: | 29 de janeiro de 2024 |
| Publicado: | 29 de janeiro de 2024 |
| Versão de lançamento: | 30.123112.0009.0 |
| Versão do motor: | 1.1.23100.2010 |
| Versão da assinatura: | 1.399.1389.0 |
Novidades
Atualização da versão predefinida do motor para
1.1.23110.4e da versão de assinaturas predefinida para1.403.1579.0.Melhorias gerais de desempenho e estabilidade.
Correção de erros para a configuração da monitorização de comportamento.
Correções de erros.
Build de novembro-2023: 101.23102.0003 | Versão de lançamento: 30.123102.0003.0
| Criar: | 101.23102.0003 |
|---|---|
| Lançada: | 28 de novembro de 2023 |
| Publicado: | 28 de novembro de 2023 |
| Versão de lançamento: | 30.123102.0003.0 |
| Versão do motor: | 1.1.23090.2008 |
| Versão da assinatura: | 1.399.690.0 |
Novidades
Atualização da versão predefinida do motor para
1.1.23090.2008e da versão de assinaturas predefinida para1.399.690.0.Atualização da biblioteca libcurl para a versão
8.4.0para corrigir vulnerabilidades recentemente divulgadas com a versão mais antiga.Atualização da biblioteca Openssl para a versão
3.1.1para corrigir vulnerabilidades recentemente divulgadas com a versão mais antiga.Melhorias gerais de desempenho e estabilidade.
Correções de erros.
Versão de novembro a 2023: 101.23092.0012 | Versão de lançamento: 30.123092.0012.0
| Criar: | 101.23092.0012 |
|---|---|
| Lançada: | 14 de novembro de 2023 |
| Publicado: | 14 de novembro de 2023 |
| Versão de lançamento: | 30.123092.0012.0 |
| Versão do motor: | 1.1.23080.2007 |
| Versão da assinatura: | 1.395.1560.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
Suporte adicionado para restaurar ameaças com base no caminho original com o seguinte comando:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]A partir desta versão, Microsoft Defender para Endpoint no Linux deixarão de enviar uma solução para o RHEL 6.
O "suporte de fim de vida prolongado" rheL 6 está prestes a terminar até 30 de junho de 2024 e os clientes são aconselhados a planear as suas atualizações rheL em conformidade, alinhadas com a orientação da Red Hat. Os clientes que precisam de executar o Defender para Endpoint em servidores RHEL 6 podem continuar a utilizar a versão 101.23082.0011 (não expira antes de 30 de junho de 2024) suportada nas versões de kernel 2.6.32-754.49.1.el6.x86_64 ou anteriores.
- Atualização do Motor para
1.1.23080.2007e Assinaturas Ver:1.395.1560.0. - A experiência de conectividade do dispositivo simplificada está agora no modo de pré-visualização pública. blogue público
- Melhorias de desempenho & correções de erros.
- Atualização do Motor para
Problemas conhecidos
- Bloqueio da CPU visto na versão 5.15.0-0.30.20 do kernel no modo ebpf. Consulte Utilizar o sensor baseado em eBPF para Microsoft Defender para Endpoint no Linux para obter detalhes e opções de Mitigação.
Versão de novembro a 2023: 101.23082.0011 | Versão de lançamento: 30.123082.0011.0
| Criar: | 101.23082.0011 |
|---|---|
| Lançada: | 1 de novembro de 2023 |
| Publicado: | 1 de novembro de 2023 |
| Versão de lançamento: | 30.123082.0011.0 |
| Versão do motor: | 1.1.23070.1002 |
| Versão da assinatura: | 1.393.1305.0 |
Novidades
Esta nova versão é compilação para a versão de outubro de 2023 (101.23082.0009), com a adição das seguintes alterações. Não existem alterações para outros clientes e a atualização é opcional.
Correção para o modo imutável de auditoria quando o subsistema suplementar é ebpf: no modo ebpf, todas as regras de auditoria mdatp devem ser limpas após mudar para ebpf e reiniciar. Após o reinício, as regras de auditoria mdatp não foram limpas devido ao qual estava a resultar num bloqueio do servidor. A correção limpa estas regras, o utilizador não deve ver nenhuma regra mdatp carregada no reinício
Correção para MDE não iniciar no RHEL 6.
Problemas conhecidos
Ao atualizar a partir da versão mdatp 101.75.43 ou 101.78.13, poderá encontrar um bloqueio no kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.98.05. Pode encontrar mais informações sobre o problema subjacente em Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão de outubro-2023: 101.23082.0009 | Versão de lançamento: 30.123082.0009.0
| Criar: | 101.23082.0009 |
|---|---|
| Lançada: | 9 de outubro de 2023 |
| Publicado: | 9 de outubro de 2023 |
| Versão de lançamento: | 30.123082.0009.0 |
| Versão do motor: | 1.1.23070.1002 |
| Versão da assinatura: | 1.393.1305.0 |
Novidades
- Esta nova versão é compilação para o lançamento de outubro de 2023 ("101.23082.0009") com a adição de novos Certificados de AC. Não existem alterações para outros clientes e a atualização é opcional.
Problemas conhecidos
Ao atualizar a partir da versão mdatp 101.75.43 ou 101.78.13, poderá encontrar um bloqueio no kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.98.05. Pode encontrar mais informações sobre o problema subjacente em Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão de outubro-2023: 101.23082.0006 | Versão de lançamento: 30.123082.0006.0
| Criar: | 101.23082.0006 |
|---|---|
| Lançada: | 9 de outubro de 2023 |
| Publicado: | 9 de outubro de 2023 |
| Versão de lançamento: | 30.123082.0006.0 |
| Versão do motor: | 1.1.23070.1002 |
| Versão da assinatura: | 1.393.1305.0 |
Novidades
Atualizações de funcionalidades e novas alterações
O sensor eBPF é agora o fornecedor de eventos suplementar predefinido para pontos finais
Microsoft Intune funcionalidade de anexação de inquilino está em pré-visualização pública (a partir de meados de julho)
- Tem de adicionar "*.dm.microsoft.com" às exclusões da firewall para que a funcionalidade funcione corretamente
O Defender para Endpoint está agora disponível para Debian 12 e Amazon Linux 2023
Suporte para ativar a Verificação de assinatura de atualizações transferidas
Tem de atualizar a manajed.json conforme mostrado abaixo
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }Pré-requisito para ativar a funcionalidade
- A versão do motor no dispositivo tem de ser "1.1.23080.007" ou superior. Verifique a versão do motor com o seguinte comando.
mdatp health --field engine_version
- A versão do motor no dispositivo tem de ser "1.1.23080.007" ou superior. Verifique a versão do motor com o seguinte comando.
Opção para suportar a monitorização de pontos de montagem NFS e FUSE. Estas são ignoradas por predefinição. O exemplo seguinte mostra como monitorizar todo o sistema de ficheiros, ignorando apenas NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }Exemplo para monitorizar todos os sistemas de ficheiros, incluindo NFS e FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }Outros melhoramentos de desempenho
Correções de Erros
Problemas conhecidos
- Ao atualizar a partir da versão mdatp 101.75.43 ou 101.78.13, poderá encontrar um bloqueio no kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.98.05. Pode encontrar mais informações sobre o problema subjacente em Bloqueio do sistema devido a tarefas bloqueadas no código fanotify. Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Build september-2023: 101.23072.0021 | Versão de lançamento: 30.123072.0021.0
| Criar: | 101.23072.0021 |
|---|---|
| Lançada: | 11 de setembro de 2023 |
| Publicado: | 11 de setembro de 2023 |
| Versão de lançamento: | 30.123072.0021.0 |
| Versão do motor: | 1.1.20100.7 |
| Versão da assinatura: | 1.385.1648.0 |
Novidades
Existem várias correções e novas alterações nesta versão:
Na
mde_installer.shv0.6.3, os utilizadores podem utilizar o--channelargumento para fornecer o canal do repositório configurado durante a limpeza. Por exemplo,sudo ./mde_installer --clean --channel prodA Extensão de Rede pode agora ser reposta pelos administradores com
mdatp network-protection reset.Outros melhoramentos de desempenho
Correções de Erros
Problemas conhecidos
- Ao atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão julho-2023: 101.23062.0010 | Versão de lançamento: 30.123062.0010.0
| Criar: | 101.23062.0010 |
|---|---|
| Lançada: | 26 de julho de 2023 |
| Publicado: | 26 de julho de 2023 |
| Versão de lançamento: | 30.123062.0010.0 |
| Versão do motor: | 1.1.20100.7 |
| Versão da assinatura: | 1.385.1648.0 |
Novidades
Existem várias correções e novas alterações nesta versão
Se um proxy estiver definido para o Defender para Ponto Final, será visível na saída do
mdatp healthcomando. Com esta versão, fornecemos duas opções em mdatp diagnostic hot-event-sources:- Ficheiros
- Executáveis
Proteção de Rede: Connections bloqueados pela Proteção de Rede e que o bloco foi substituído pelos utilizadores são agora comunicados corretamente aos Microsoft Defender XDR
Registo melhorado em eventos de auditoria e bloqueio de Proteção de Rede para depuração |
Outras correções e melhorias
- A partir desta versão, enforcementLevel está no modo passivo por predefinição, dando aos administradores mais controlo sobre onde querem "RTP ativado" no seu património
- Esta alteração aplica-se apenas a implementações de MDE recentes, por exemplo, servidores em que o Defender para Endpoint está a ser implementado pela primeira vez. Em cenários de atualização, os servidores que têm o Defender para Ponto Final implementado com RTP ON, continuam a operar com RTP ON até após atualização para a versão 101.23062.0010
Correção de erros: O problema de danos na base de dados do RPM no Gestão de vulnerabilidades do Defender linha de base foi corrigido
Outros melhoramentos de desempenho
Problemas conhecidos
Ao atualizar a partir da versão 101.75.43 mdatp ou 101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão julho-2023: 101.23052.0009 | Versão de lançamento: 30.123052.0009.0
| Criar: | 101.23052.0009 |
|---|---|
| Lançada: | 10 de julho de 2023 |
| Publicado: | 10 de julho de 2023 |
| Versão de lançamento: | 30.123052.0009.0 |
| Versão do motor: | 1.1.20100.7 |
| Versão da assinatura: | 1.385.1648.0 |
Novidades
- Existem várias correções e novas alterações nesta versão – o esquema da versão de compilação é atualizado a partir desta versão. Embora o número da versão principal permaneça igual a 101, o número da versão secundária tem agora cinco dígitos, seguido do número de patch de quatro dígitos que é,
101.xxxxx.yyy- Melhoramento do consumo de memória da Proteção de Rede sob stress- Atualizou a versão do motor para e a
1.1.20300.5versão da assinatura para1.391.2837.0. - Correções de erros.
- Atualizou a versão do motor para e a
Problemas conhecidos
Ao atualizar a partir da versão 101.75.43 mdatp ou 101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão de junho a 2023: 101.98.89 | Versão de lançamento: 30.123042.19889.0
| Criar: | 101.98.89 |
|---|---|
| Lançada: | 12 de junho de 2023 |
| Publicado: | 12 de junho de 2023 |
| Versão de lançamento: | 30.123042.19889.0 |
| Versão do motor: | 1.1.20100.7 |
| Versão da assinatura: | 1.385.1648.0 |
Novidades
Existem várias correções e novas alterações nesta versão
Processamento melhorado do Proxy de Proteção de Rede.
No modo passivo, o Defender para Ponto Final já não analisa quando ocorre a Atualização de definições.
Os dispositivos continuam a ser protegidos mesmo depois de o agente do Defender para Endpoint ter expirado. Recomendamos que atualize o agente linux do Defender para Endpoint para a versão mais recente disponível para receber correções de erros, funcionalidades e melhorias de desempenho.
Foi removida a dependência do pacote semanage.
Atualização do Motor para
1.1.20100.7e Assinaturas Ver:1.385.1648.0.Correções de erros.
Problemas conhecidos
- Ao atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão de maio de 2023: 101.98.64 | Versão de lançamento: 30.123032.19864.0
| Criar: | 101.98.64 |
|---|---|
| Lançada: | 3 de maio de 2023 |
| Publicado: | 3 de maio de 2023 |
| Versão de lançamento: | 30.123032.19864.0 |
| Versão do motor: | 1.1.20100.6 |
| Versão da assinatura: | 1.385.68.0 |
Novidades
Existem várias correções e novas alterações nesta versão
Melhorias nas mensagens de estado de funcionamento para capturar detalhes sobre falhas auditadas.
Melhorias no processamento de augenrules, o que estava a causar uma falha na instalação.
Limpeza periódica da memória no processo do motor.
Correção do problema de memória no plug-in audisp mdatp.
Processou o caminho do diretório do plug-in em falta durante a instalação.
Quando a aplicação em conflito está a utilizar o bloqueio de fanotify, o estado de funcionamento do mdatp de configuração predefinido mostra um mau estado de funcionamento. Este problema foi corrigido.
Suporte para inspeção de tráfego ICMP no BM.
Atualização do Motor para
1.1.20100.6e Assinaturas Ver:1.385.68.0.Correções de erros.
Problemas conhecidos
- Ao atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Atenção: alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Construção abril-2023: 101.98.58 | Versão de lançamento: 30.123022.19858.0
| Criar: | 101.98.58 |
|---|---|
| Lançada: | 20 de abril de 2023 |
| Publicado: | 20 de abril de 2023 |
| Versão de lançamento: | 30.123022.19858.0 |
| Versão do motor: | 1.1.20000.2 |
| Versão da assinatura: | 1.381.3067.0 |
Novidades
Existem várias correções e novas alterações nesta versão
Melhorias no registo e no relatório de erros para auditoria.
Lidar com falhas no recarregamento da configuração auditada.
Processamento de ficheiros de regras auditados vazios durante MDE instalação.
Atualização do Motor para
1.1.20000.2e Assinaturas Ver:1.381.3067.0.Foi resolvido um problema de estado de funcionamento no mdatp que ocorre devido a negações do selinux.
Correções de erros.
Problemas conhecidos
Ao atualizar o mdatp para a versão
101.94.13ou posterior, poderá reparar que o estado de funcionamento é falso, com health_issues como "nenhum fornecedor de eventos suplementar ativo". Isto pode acontecer devido a regras auditadas incorretamente configuradas/em conflito em computadores existentes. Para mitigar o problema, as regras auditadas nas máquinas existentes têm de ser corrigidas. Os seguintes comandos podem ajudá-lo a identificar essas regras auditadas (os comandos têm de ser executados como superutilizador). Faça uma cópia de segurança do seguinte ficheiro: /etc/audit/rules.d/audit.rules, uma vez que estes passos são apenas para identificar falhas.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadAo atualizar a partir da versão
101.75.43mdatp ou101.78.13, pode encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Existem duas formas de mitigar este problema de atualização:
Utilize o gestor de pacotes para desinstalar a
101.75.43versão ou101.78.13mdatp.Exemplo:
sudo apt purge mdatp sudo apt-get install mdatpComo alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Se não quiser desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes de atualizar. Atenção: alguns clientes (<1%) têm problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Versão de março de 2023: 101.98.30 | Versão de lançamento: 30.123012.19830.0
| Criar: | 101.98.30 |
|---|---|
| Lançada: | 20 de março de 2023 |
| Publicado: | 20 de março de 2023 |
| Versão de lançamento: | 30.123012.19830.0 |
| Versão do motor: | 1.1.19900.2 |
| Versão da assinatura: | 1.379.1299.0 |
Novidades
- Esta nova versão é compilado ao longo da versão de março de 2023 ('101.98.05') com uma correção para comandos de resposta em direto a falhar para um dos nossos clientes. Não existem alterações para outros clientes e a atualização é opcional.
Problemas conhecidos
- Com a versão mdatp 101.98.30, poderá ver um problema de estado de funcionamento falso em alguns dos casos, porque as regras do SELinux não estão definidas para determinados cenários. O aviso de estado de funcionamento pode ter o seguinte aspeto:
encontrou negações do SELinux no último dia. Se o MDATP estiver instalado recentemente, limpe os registos de auditoria existentes ou aguarde um dia para que este problema seja resolvido. Utilize o comando: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep " negado" para encontrar detalhes
O problema pode ser mitigado ao executar os seguintes comandos.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Aqui, o meu mdatpaudisppl_v1 representa o nome do módulo de política. Depois de executar os comandos, aguarde 24 horas ou limpe/arquive os registos de auditoria. Os registos de auditoria podem ser arquivados ao executar o seguinte comando
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Caso o problema volte a aparecer com algumas negações diferentes. Temos de executar a mitigação novamente com um nome de módulo diferente (por exemplo, my-mdatpaudisppl_v2).
Versão de março de 2023: 101.98.05 | Versão de lançamento: 30.123012.19805.0
| Criar: | 101.98.05 |
|---|---|
| Lançada: | 08 de março de 2023 |
| Publicado: | 08 de março de 2023 |
| Versão de lançamento: | 30.123012.19805.0 |
| Versão do motor: | 1.1.19900.2 |
| Versão da assinatura: | 1.379.1299.0 |
Novidades
Conclusão de Dados Melhorada para eventos de Ligação de Rede
Capacidades de Recolha de Dados melhoradas para alterações de propriedade/permissões de ficheiros
seManage em parte do pacote, para que as políticas seLinux possam ser configuradas numa distribuição diferente (fixa).
Melhoria da estabilidade do daemon empresarial
Limpeza do caminho de paragem AuditD
Melhoramento da estabilidade do fluxo de paragem mdatp.
Foi adicionado um novo campo ao wdavstate para controlar o tempo de atualização da plataforma.
Melhorias de estabilidade na análise do blob de inclusão do Defender para Ponto Final.
A análise não continua se uma licença válida não estiver presente (corrigida)
Adição da opção de rastreio de desempenho a xPlatClientAnalyzer, com o rastreio ativado, o processo mdatp captura o fluxo no ficheiro all_process.zip que pode ser utilizado para a análise de problemas de desempenho.
Foi adicionado suporte no Defender para Endpoint para as seguintes versões do kernel RHEL-6:
2.6.32-754.43.1.el6.x86_642.6.32-754.49.1.el6.x86_64
Outras correções
Problemas conhecidos
Ao atualizar o mdatp para a versão 101.94.13, poderá reparar que o estado de funcionamento é falso, com health_issues como "nenhum fornecedor de eventos suplementar ativo". Isto pode acontecer devido a regras auditadas incorretamente configuradas/em conflito em computadores existentes. Para mitigar o problema, as regras auditadas nas máquinas existentes têm de ser corrigidas. Os passos seguintes podem ajudá-lo a identificar essas regras auditadas (estes comandos têm de ser executados como superutilizador). Certifique-se de que faz uma cópia de segurança do seguinte ficheiro: "/etc/audit/rules.d/audit.rules", uma vez que estes passos são apenas para identificar falhas.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- Ao atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão101.98.05. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify
Existem duas formas de mitigar o problema na atualização.
Utilize o gestor de pacotes para desinstalar a 101.75.43 versão ou 101.78.13 mdatp.
Exemplo:
sudo apt purge mdatp
sudo apt-get install mdatp
Como alternativa, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Caso não queira desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes da atualização. Atenção: alguns clientes (<1%) estão a ter problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 Build: 101.94.13 | Versão de lançamento: 30.122112.19413.0
| Criar: | 101.94.13 |
|---|---|
| Lançada: | 10 de janeiro de 2023 |
| Publicado: | 10 de janeiro de 2023 |
| Versão de lançamento: | 30.122112.19413.0 |
| Versão do motor: | 1.1.19700.3 |
| Versão da assinatura: | 1.377.550.0 |
Novidades
- Existem várias correções e novas alterações nesta versão
- Ignorar a quarentena de ameaças no modo passivo por predefinição.
- A nova configuração, nonExecMountPolicy, pode agora ser utilizada para especificar o comportamento do RTP no ponto de montagem marcado como noexec.
- A nova configuração, unmonitoredFilesystems, pode ser utilizada para desmonitorizar determinados sistemas de ficheiros.
- Desempenho melhorado em cenários de teste de alta carga e velocidade.
- Corrige um problema com o acesso a partilhas SMB por trás das ligações VPN Cisco AnyConnect.
- Corrige um problema com a Proteção de Rede e o SMB.
- Suporte de rastreio de desempenho.
- Melhorias na TVM, eBPF, auditada, telemetria e cli mdatp.
- o estado de funcionamento do mdatp comunica agora behavior_monitoring
- Outras correções.
Problemas conhecidos
Ao atualizar o mdatp para a versão
101.94.13, poderá reparar que o estado de funcionamento é falso, com health_issues como "nenhum fornecedor de eventos suplementar ativo". Isto pode acontecer devido a regras auditadas incorretamente configuradas/em conflito em computadores existentes. Para mitigar o problema, as regras auditadas nas máquinas existentes têm de ser corrigidas. Os passos seguintes podem ajudá-lo a identificar essas regras auditadas (estes comandos têm de ser executados como superutilizador). Faça uma cópia de segurança do seguinte ficheiro: uma vez que/etc/audit/rules.d/audit.rulesestes passos são apenas para identificar falhas.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadAo atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.94.13. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify
Existem duas formas de mitigar o problema na atualização.
Utilize o gestor de pacotes para desinstalar a 101.75.43 versão ou 101.78.13 mdatp.
Exemplo:
sudo apt purge mdatp
sudo apt-get install mdatp
Como alternativa ao acima, pode seguir as instruções para desinstalar e, em seguida, instalar a versão mais recente do pacote.
Caso não queira desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes da atualização. Atenção: alguns clientes (<1%) estão a ter problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nov-2022 Build: 101.85.27 | Versão de lançamento: 30.122092.18527.0
| Criar: | 101.85.27 |
|---|---|
| Lançada: | 2 de novembro de 2022 |
| Publicado: | 2 de novembro de 2022 |
| Versão de lançamento: | 30.122092.18527.0 |
| Versão do motor: | 1.1.19500.2 |
| Versão da assinatura: | 1.371.1369.0 |
Novidades
- Existem várias correções e novas alterações nesta versão
- O motor V2 é predefinido com esta versão e os bits do motor V1 são removidos para maior segurança.
- O motor V2 suporta o caminho de configuração para definições AV. (caminho do conjunto de definições mdatp)
- As dependências de pacotes externos foram removidas do pacote MDE. As dependências removidas são libatomic1, libselinux, libseccomp, libfuse e libuuid
- Caso a recolha de falhas seja desativada pela configuração, o processo de monitorização de falhas não é iniciado.
- Correções de desempenho para utilizar de forma ideal eventos de sistema para capacidades AV.
- Melhoria da estabilidade ao reiniciar o mdatp e carregar problemas de epsext.
- Outras correções
Problemas conhecidos
- Ao atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão 101.85.21. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify
Existem duas formas de mitigar o problema na atualização.
Utilize o gestor de pacotes para desinstalar a 101.75.43 versão ou 101.78.13 mdatp.
Exemplo:
sudo apt purge mdatp
sudo apt-get install mdatp
Como abordagem alternativa, siga as instruções para desinstalar e, em seguida, instale a versão mais recente do pacote.
Caso não queira desinstalar o mdatp, pode desativar rtp e mdatp em sequência antes da atualização. Atenção: alguns clientes (<1%) estão a ter problemas com este método.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Set-2022 Build: 101.80.97 | Versão de lançamento: 30.122072.18097.0
| Criar: | 101.80.97 |
|---|---|
| Lançada: | 14 de setembro de 2022 |
| Publicado: | 14 de setembro de 2022 |
| Versão de lançamento: | 30.122072.18097.0 |
| Versão do motor: | 1.1.19300.3 |
| Versão da assinatura: | 1.369.395.0 |
Novidades
- Corrige um bloqueio de kernel observado em cargas de trabalho de clientes selecionadas com a versão
101.75.43mdatp . Após a RCA, isto foi atribuído a uma condição race enquanto libertava a propriedade de um descritor de ficheiros de sensor. A condição race foi exposta devido a uma alteração recente do produto no caminho de encerramento. Os clientes em versões mais recentes do Kernel (5.1+) não são afetados por este problema. Para obter mais informações, veja Bloqueio do sistema devido a tarefas bloqueadas no código fanotify.
Problemas conhecidos
Ao atualizar a partir da versão
101.75.43mdatp ou101.78.13, poderá encontrar um bloqueio de kernel. Execute os seguintes comandos antes de tentar atualizar para a versão101.80.97. Esta ação deve impedir que o problema ocorra.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
Depois de executar os comandos, utilize o gestor de pacotes para efetuar a atualização.
Como abordagem alternativa, siga as instruções para desinstalar e, em seguida, instale a versão mais recente do pacote.
Versão de agosto de 2022: 101.78.13 | Versão de lançamento: 30.122072.17813.0
| Criar: | 101.78.13 |
|---|---|
| Lançada: | 24 de agosto de 2022 |
| Publicado: | 24 de agosto de 2022 |
| Versão de lançamento: | 30.122072.17813.0 |
| Versão do motor: | 1.1.19300.3 |
| Versão da assinatura: | 1.369.395.0 |
Novidades
- Revertido devido a problemas de fiabilidade
Ago-2022 (Compilação: 101.75.43 | Versão de lançamento: 30.122071.17543.0)
| Criar: | 101.75.43 |
|---|---|
| Lançada: | 2 de agosto de 2022 |
| Publicado: | 2 de agosto de 2022 |
| Versão de lançamento: | 30.122071.17543.0 |
| Versão do motor: | 1.1.19300.3 |
| Versão da assinatura: | 1.369.395.0 |
Novidades
- Suporte adicionado para Red Hat Enterprise Linux versão 9.0
- Foi adicionado um novo campo na saída do
mdatp healthque pode ser utilizado para consultar o nível de imposição da funcionalidade de proteção de rede. O novo campo é chamadonetwork_protection_enforcement_levele pode utilizar um dos seguintes valores:audit,blockoudisabled. - Foi resolvido um erro de produto em que várias deteções do mesmo conteúdo poderiam levar a entradas duplicadas no histórico de ameaças
- Foi resolvido um problema em que um dos processos gerados pelo produto (
mdatp_audisp_plugin) por vezes não era terminado corretamente quando o serviço era parado - Outras correções de erros
Jul-2022 Build: 101.73.77 | Versão de lançamento: 30.122062.17377.0
| Criar: | 101.73.77 |
|---|---|
| Lançada: | 21 de julho de 2022 |
| Publicado: | 21 de julho de 2022 |
| Versão de lançamento: | 30.122062.17377.0 |
| Versão do motor: | 1.1.19200.3 |
| Versão da assinatura: | 1.367.1011.0 |
Novidades
- Foi adicionada uma opção para configurar a computação de hash de ficheiros
- A partir desta compilação, o produto tem o novo motor antimalware por predefinição
- Melhorias de desempenho para operações de cópia de ficheiros
- Correções de bugs
Jun-2022 Build: 101.71.18 | Versão de lançamento: 30.122052.17118.0
| Criar: | 101.71.18 |
|---|---|
| Lançada: | 24 de junho de 2022 |
| Publicado: | 24 de junho de 2022 |
| Versão de lançamento: | 30.122052.17118.0 |
Novidades
- Correção para suportar o armazenamento de definições em localizações não padrão (fora de /var) para atualizações de definições v2
- Foi corrigido um problema no sensor de produto utilizado no RHEL 6 que poderia levar a um bloqueio do SO
-
mdatp connectivity testfoi expandido com um URL adicional que o produto necessita para funcionar corretamente. O novo URL é https://go.microsoft.com/fwlink/?linkid=2144709. - Até agora, o nível de registo do produto não persistia entre reinícios do produto. A partir desta versão, existe um novo comutador de ferramentas da linha de comandos que mantém o nível de registo. O novo comando é
mdatp log level persist --level <level>. - Remoção da dependência
pythondo pacote de instalação do produto - Melhorias de desempenho para operações de cópia de ficheiros e processamento de eventos de rede provenientes de
auditd - Correções de bugs
Versão de maio de 2022: 101.68.80 | Versão de lançamento: 30.122042.16880.0
| Criar: | 101.68.80 |
|---|---|
| Lançada: | 23 de maio de 2022 |
| Publicado: | 23 de maio de 2022 |
| Versão de lançamento: | 30.122042.16880.0 |
Novidades
- Foi adicionado suporte para a versão
2.6.32-754.47.1.el6.x86_64do kernel ao executar no RHEL 6 - No RHEL 6, o produto pode agora ser instalado em dispositivos com o Kernel Empresarial Inquebrável (UEK)
- Foi corrigido um problema em que o nome do processo era, por vezes, apresentado incorretamente como
unknownao executarmdatp diagnostic real-time-protection-statistics - Foi corrigido um erro em que, por vezes, o produto detetava incorretamente ficheiros dentro da pasta de quarentena
- Foi corrigido um problema em que a
mdatpferramenta de linha de comandos não estava a funcionar quando/optfoi montada como uma ligação recuperável - Melhorias de desempenho & correções de erros
Versão de maio de 2022: 101.65.77 | Versão de lançamento: 30.122032.16577.0
| Criar: | 101.65.77 |
|---|---|
| Lançada: | 2 de maio de 2022 |
| Publicado: | 2 de maio de 2022 |
| Versão de lançamento: | 30.122032.16577.0 |
Novidades
- Melhorou o
conflicting_applicationscampo emmdatp healthpara mostrar apenas os 10 processos mais recentes e também para incluir os nomes dos processos. Isto facilita a identificação dos processos que estão potencialmente em conflito com Microsoft Defender para Endpoint para Linux. - Correções de bugs
Mar-2022 (Compilação: 101.62.74 | Versão de lançamento: 30.122022.16274.0)
| Criar: | 101.62.74 |
|---|---|
| Lançada: | 24 de mar de 2022 |
| Publicado: | 24 de mar de 2022 |
| Versão de lançamento: | 30.122022.16274.0 |
Novidades
- Foi resolvido um problema em que o produto bloqueava incorretamente o acesso a ficheiros com um tamanho superior a 2 GB ao ser executado em versões de kernel mais antigas
- Correções de bugs
Build Mar-2022: 101.60.93 | Versão de lançamento: 30.122012.16093.0
| Criar: | 101.60.93 |
|---|---|
| Lançada: | 9 de mar de 2022 |
| Publicado: | 9 de mar de 2022 |
| Versão de lançamento: | 30.122012.16093.0 |
Novidades
- Esta versão contém uma atualização de segurança para CVE-2022-23278
Build Mar-2022: 101.60.05 | Versão de lançamento: 30.122012.16005.0
| Criar: | 101.60.05 |
|---|---|
| Lançada: | 3 de mar de 2022 |
| Publicado: | 3 de mar de 2022 |
| Versão de lançamento: | 30.122012.16005.0 |
Novidades
- Foi adicionado suporte para a versão de kernel 2.6.32-754.43.1.el6.x86_64 para RHEL 6.10
- Correções de bugs
Fev-2022 Build: 101.58.80 | Versão de lançamento: 30.122012.15880.0
| Criar: | 101.58.80 |
|---|---|
| Lançada: | 20 de fevereiro de 2022 |
| Publicado: | 20 de fevereiro de 2022 |
| Versão de lançamento: | 30.122012.15880.0 |
Novidades
- A ferramenta de linha de comandos suporta agora o restauro de ficheiros em quarentena para uma localização diferente daquela onde o ficheiro foi originalmente detetado. Isto pode ser feito através de
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]. - A partir desta versão, a proteção de rede para Linux pode ser avaliada a pedido
- Correções de bugs
Jan-2022 Build: 101.56.62 | Versão de lançamento: 30.121122.15662.0
| Criar: | 101.56.62 |
|---|---|
| Lançada: | 26 de janeiro de 2022 |
| Publicado: | 26 de janeiro de 2022 |
| Versão de lançamento: | 30.121122.15662.0 |
Novidades
- Foi corrigida uma falha de produto introduzida na versão 101.53.02 e que afetou vários clientes
Jan-2022 Build: 101.53.02 | Versão de lançamento: 30.121112.15302.0
| Criar: | 101.53.02 |
|---|---|
| Lançada: | 8 de janeiro de 2022 |
| Publicado: | 8 de janeiro de 2022 |
| Versão de lançamento: | 30.121112.15302.0 |
Novidades
- Melhorias de desempenho & correções de erros
Versões de 2021
Build: 101.52.57 | Versão de lançamento: 30.121092.15257.0
| Criar: | 101.52.57 |
|---|---|
| Versão de lançamento: | 30.121092.15257.0 |
Novidades
- Foi adicionada uma capacidade para detetar jars log4j vulneráveis em utilização por aplicações Java. A máquina virtual é inspecionada periodicamente para executar processos Java com jars log4j carregados. As informações são comunicadas ao back-end Microsoft Defender para Endpoint e são expostas na área Gestão de Vulnerabilidades do portal.
Build: 101.47.76 | Versão de lançamento: 30.121092.14776.0
| Criar: | 101.47.76 |
|---|---|
| Versão de lançamento: | 30.121092.14776.0 |
Novidades
Foi adicionado um novo comutador à ferramenta de linha de comandos para controlar se os arquivos são analisados durante as análises a pedido. Isto pode ser configurado através de mdatp config scan-archives --value [enabled/disabled]. Por predefinição, esta definição está definida como ativada.
Correções de bugs
Build: 101.45.13 | Versão de lançamento: 30.121082.14513.0
| Criar: | 101.45.13 |
|---|---|
| Versão de lançamento: | 30.121082.14513.0 |
Novidades
A partir desta versão, estamos a disponibilizar Microsoft Defender para Endpoint suporte para as seguintes distribuições:
- Versões RHEL6.7-6.10 e CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 ou superior
Correções de bugs
Build: 101.45.00 | Versão de lançamento: 30.121072.14500.0
| Criar: | 101.45.00 |
|---|---|
| Versão de lançamento: | 30.121072.14500.0 |
Novidades
- Foram adicionados novos comutadores à ferramenta de linha de comandos:
- Controle o grau de paralelismo para análises a pedido. Isto pode ser configurado através de
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Por predefinição, é utilizado um grau de paralelismo de2. - Controle se as análises após as atualizações de informações de segurança estão ativadas ou desativadas. Isto pode ser configurado através de
mdatp config scan-after-definition-update --value [enabled/disabled]. Por predefinição, esta definição está definida comoenabled. - Alterar o nível de registo do produto requer agora elevação
- Correções de bugs
- Controle o grau de paralelismo para análises a pedido. Isto pode ser configurado através de
Build: 101.39.98 | Versão de lançamento: 30.121062.13998.0
| Criar: | 101.39.98 |
|---|---|
| Versão de lançamento: | 30.121062.13998.0 |
Novidades
- Melhorias de desempenho & correções de erros
Build: 101.34.27 | Versão de lançamento: 30.121052.13427.0
| Criar: | 101.34.27 |
|---|---|
| Versão de lançamento: | 30.121052.13427.0 |
Novidades
- Melhorias de desempenho & correções de erros
Build: 101.29.64 | Versão de lançamento: 30.121042.12964.0
| Criar: | 101.29.64 |
|---|---|
| Versão de lançamento: | 30.121042.12964.0 |
Novidades
- A partir desta versão, as ameaças detetadas durante as análises antivírus a pedido acionadas através do cliente da linha de comandos são remediadas automaticamente. As ameaças detetadas durante as análises acionadas através da interface de utilizador ainda requerem uma ação manual.
-
mdatp diagnostic real-time-protection-statisticsagora suporta mais dois comutadores: -
--sort: ordena a saída descendente pelo número total de ficheiros analisados -
--top N: apresenta os resultados N principais (só funciona se--sorttambém for especificado) - Melhorias de desempenho & correções de erros
Build: 101.25.72 | Versão de lançamento: 30.121022.12563.0
| Criar: | 101.25.72 |
|---|---|
| Versão de lançamento: | 30.121022.12563.0 |
Novidades
- Microsoft Defender para Endpoint no Linux está agora disponível em pré-visualização para clientes do Us Government. Para obter mais informações, veja Microsoft Defender para Endpoint para clientes do Us Government.
- Foi corrigido um problema em que a utilização de Microsoft Defender para Endpoint no Linux em sistemas com sistemas de ficheiros FUSE estava a levar ao bloqueio do SO
- Melhorias de desempenho & outras correções de erros
Build: 101.25.63 | Versão de lançamento: 30.121022.12563.0
| Criar: | 101.25.63 |
|---|---|
| Versão de lançamento: | 30.121022.12563.0 |
Novidades
- Melhorias de desempenho & correções de erros
Build: 101.23.64 | Versão de lançamento: 30.121021.12364.0
| Criar: | 101.23.64 |
|---|---|
| Versão de lançamento: | 30.121021.12364.0 |
Novidades
- Melhoria de desempenho para a situação em que um ponto de montagem inteiro é adicionado à lista de exclusão de antivírus. Antes desta versão, a atividade do ficheiro processado do produto teve origem no ponto de montagem. A partir desta versão, a atividade de ficheiros para pontos de montagem excluídos é suprimida, o que leva a um melhor desempenho do produto
- Foi adicionada uma nova opção à ferramenta de linha de comandos para ver informações sobre a última análise a pedido. Para ver informações sobre a última análise a pedido, execute
mdatp health --details antivirus - Outras melhorias de desempenho & correções de erros
Build: 101.18.53
Novidades
O EDR para Linux está agora disponível para o público
Foi adicionado um novo comutador de linha de comandos (
--ignore-exclusions) para ignorar exclusões AV durante análises personalizadas (mdatp scan custom)Expandido
mdatp diagnostic createcom um novo parâmetro (--path [directory]) que permite que os registos de diagnóstico sejam guardados num diretório diferenteMelhorias de desempenho & correções de erros