Новые возможности Microsoft Defender для конечной точки в Linux
Применимо к:
- Сервер Microsoft Defender для конечной точки
- Microsoft Defender для серверов
Эта статья часто обновляется, чтобы узнать о новых возможностях последних выпусков Microsoft Defender для конечной точки на Linux.
Важно!
Начиная с версии 101.24082.0004Defender для конечной точки в Linux больше не поддерживает Auditd поставщик событий. Мы полностью переходим на более эффективную технологию eBPF. Это изменение позволяет повысить производительность, сократить потребление ресурсов и повысить общую стабильность. Поддержка eBPF доступна с августа 2023 года и полностью интегрирована во все обновления Defender для конечной точки в Linux (версия 101.23082.0006 и более поздние версии). Мы настоятельно рекомендуем внедрить сборку eBPF, так как она обеспечивает значительные улучшения по сравнению с Auditd. Если eBPF не поддерживается на ваших компьютерах или существуют определенные требования, чтобы остаться в auditd, у вас есть следующие варианты:
Продолжайте использовать сборку
101.24072.0000Defender для конечной точки в Linux с auditd. Эта сборка поддерживается в течение нескольких месяцев, поэтому у вас есть время для планирования и выполнения миграции в eBPF.Если вы используете более поздние версии , Defender
101.24072.0000для конечной точки в Linux используетсяnetlinkв качестве дополнительного поставщика резервных копий событий. В случае отката все операции процесса продолжают выполняться без проблем.
Просмотрите текущее развертывание Defender для конечной точки в Linux и начните планировать миграцию на сборку, поддерживаемую eBPF. Дополнительные сведения о eBPF и его работе см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux.
Если у вас есть какие-либо проблемы или вам нужна помощь во время этого перехода, обратитесь в службу поддержки.
Выпуски для Defender для конечной точки в Linux
Сборка: 101.24122.0008 за февраль 2025 г. | Версия выпуска: 30.124112.0008.0
| Сборка: | 101.24122.0008 |
|---|---|
| Освобожденный: | 20 февраля 2025 г. |
| Освобожденный: | 20 февраля 2025 г. |
| Опубликованный: | 20 февраля 2025 г. |
| Версия выпуска: | 30.124122.0008.0 |
| Версия обработчика: | 1.1.24090.13 |
| Версия подписи: | 1.421.226.0 |
Новые возможности
- Пакет
101.24122.0008MDATP развертывается постепенно для каждого дистрибутива. - Другие улучшения стабильности и исправления ошибок
Сборка: 101.24112.0003 за февраль 2025 г. | Версия выпуска: 30.124112.0003.0
| Сборка: | 101.24112.0003 |
|---|---|
| Освобожденный: | 4 февраля 2025 г. |
| Освобожденный: | 4 февраля 2025 г. |
| Опубликованный: | 4 февраля 2025 г. |
| Версия выпуска: | 30.124112.0003.0 |
| Версия обработчика: | 1.1.24090.13 |
| Версия подписи: | 1.421.1681.0 |
Новые возможности
- Исправлена ошибка, которая неправильно сообщала порталу безопасности DefenderEngineVersion.
- Пакет
101.24112.0003MDATP развертывается постепенно для каждого дистрибутива.
Сборка: 101.24112.0001 за январь 2025 г. | Версия выпуска: 30.124112.0001.0
| Сборка: | 101.24112.0001 |
|---|---|
| Освобожденный: | 13 января 2025 г. |
| Опубликованный: | 13 января 2025 г. |
| Версия выпуска: | 30.124112.0001.0 |
| Версия обработчика: | 1.1.24090.13 |
| Версия подписи: | 1.421.226.0 |
Новые возможности
Обновлена версия Bond до 13.0.1 для устранения уязвимостей системы безопасности в версии 12 или более поздней.
Пакет Mdatp больше не зависит от пакетов SELinux.
Теперь пользователи могут запрашивать состояние дополнительного поставщика событий eBPF с помощью запроса охоты на угрозы в
DeviceTvmInfoGathering. Дополнительные сведения об этом проверка запроса см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux. Результат этого запроса может возвращать следующие два значения в качестве состояния eBPF:- Включено: если eBPF включен, как и ожидалось.
- Отключено: если eBPF отключен по одной из следующих причин:
- Когда MDE использует auditD в качестве дополнительного датчика
- Если eBPF отсутствует и мы откатимся к Netlink в качестве дополнительного поставщика событий
- Дополнительный датчик отсутствует.
Начиная с версии 2411, выпуск пакета MDATP в рабочей среде
packages.microsoft.comследует механизму постепенного развертывания, который охватывает неделю. Другие круги выпуска, insiderFast и insiderSlow, не затрагиваются этим изменением.Повышение стабильности и производительности.
Исправление критических ошибок в потоке обновления определений.
Январь 2025 г. Сборка: 101.24102.0000 | Версия выпуска: 30.124102.0000.0
| Сборка: | 101.24102.0000 |
|---|---|
| Освобожденный: | 8 января 2025 г. |
| Опубликованный: | 8 января 2025 г. |
| Версия выпуска: | 30.124102.0000.0 |
| Версия обработчика: | 1.1.24080.11 |
| Версия подписи: | 1.419.351.0 |
Новые возможности
Версия ядра по умолчанию обновлена до
1.1.24080.11, а версия сигнатуры по умолчанию — до1.419.351.0.Улучшено представление сведений об угрозах командной строки для кратковременных процессов на портале безопасности.
Ноябрь 2024 г. Сборка: 101.24092.0002 | Версия выпуска: 30.124092.0002.0
| Сборка: | 101.24092.0002 |
|---|---|
| Освобожденный: | 14 ноября 2024 г. |
| Опубликованный: | 14 ноября 2024 г. |
| Версия выпуска: | 30.124092.0002.0 |
| Версия обработчика: | 1.1.24080.9 |
| Версия подписи: | 1.417.659.0 |
Новые возможности
Для поддержки защищенных установок с неисключаемыми
/varсекциями теперь определения антивирусной программы mdatp устанавливаются в ,/opt/microsoft/mdatp/definitions.noindexа не/varв том случае, если последнее определяется как несуществующее. Во время обновлений установщик пытается перенести старые определения в новый путь при обнаружении неисключаемого/var, если путь уже настроен (с помощьюmdatp definitions path set).Начиная с этой версии Defender для конечной точки в Linux больше не требуются разрешения на исполняемые файлы для
/var/log. Если эти разрешения недоступны, файлы журнала автоматически перенаправляются в/opt.
Сборка: 101.24082.0004 за октябрь 2024 г. | Версия выпуска: 30.124082.0004.0
| Сборка: | 101.24082.0004 |
|---|---|
| Освобожденный: | 15 октября 2024 г. |
| Опубликованный: | 15 октября 2024 г. |
| Версия выпуска: | 30.124082.0004 |
| Версия обработчика: | 1.1.24080.9 |
| Версия подписи: | 1.417.659.0 |
Новые возможности
Начиная с этой версии Defender для конечной точки в Linux больше не поддерживается
AuditDв качестве дополнительного поставщика событий. Для повышения стабильности и производительности мы перешли на eBPF. Если вы отключите eBPF или в случае, если eBPF не поддерживается ни в одном конкретном ядре, Defender для конечной точки в Linux автоматически переключится на Netlink в качестве резервного дополнительного поставщика событий. Netlink предоставляет ограниченную функциональность и отслеживает только события, связанные с процессом. В этом случае все операции процесса продолжают выполняться без проблем, но вы можете пропустить определенные события, связанные с файлами и сокетами, которые в противном случае будет записывать eBPF. Дополнительные сведения см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux. Если у вас есть какие-либо проблемы или вам нужна помощь во время этого перехода, обратитесь в службу поддержки.Повышение стабильности и производительности
Другие исправления ошибок
Сентябрь 2024 г. Сборка: 101.24072.0001 | Версия выпуска: 30.124072.0001.0
| Сборка: | 101.24072.0001 |
|---|---|
| Освобожденный: | 23 сентября 2024 г. |
| Опубликованный: | 23 сентября 2024 г. |
| Версия выпуска: | 30.124072.0001.0 |
| Версия обработчика: | 1.1.24060.6 |
| Версия подписи: | 1.415.228.0 |
Новые возможности
Добавлена поддержка Ubuntu 24.04
Обновлена версия обработчика по умолчанию до
1.1.24060.6версии, а версия подписей по умолчанию — до1.415.228.0.
Сборка: 101.24062.0001 за июль 2024 г. | Версия выпуска: 30.124062.0001.0
| Сборка: | 101.24072.0001 |
|---|---|
| Освобожденный: | 31 июля 2024 г. |
| Опубликованный: | 31 июля 2024 г. |
| Версия выпуска: | 30.124062.0001.0 |
| Версия обработчика: | 1.1.24050.7 |
| Версия подписи: | 1.411.410.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
Исправлена ошибка, из-за которой зараженные сведения об угрозах командной строки отображались неправильно на портале безопасности.
Исправлена ошибка, из-за которой для отключения функции предварительной версии требовался Защитник конечной точки, чтобы отключить ее.
Функция глобальных исключений с использованием управляемого JSON теперь доступна в общедоступной предварительной версии. доступно для участников программы предварительной оценки с 101.23092.0012. Дополнительные сведения см. в разделе Исключения linux.
Обновлена версия ядра Linux по умолчанию до версии 1.1.24050.7, а версия сигнатуры по умолчанию — до версии 1.411.410.0.
Повышение стабильности и производительности.
Другие исправления ошибок.
Сборка: 101.24052.0002 | Версия выпуска: 30.124052.0002.0
| Сборка: | 101.24052.0002 |
|---|---|
| Освобожденный: | 24 июня 2024 г. |
| Опубликованный: | 24 июня 2024 г. |
| Версия выпуска: | 30.124052.0002.0 |
| Версия обработчика: | 1.1.24040.2 |
| Версия подписи: | 1.411.153.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
В этом выпуске исправлена ошибка, связанная с высоким потреблением памяти, что в конечном итоге привело к высокой загрузке ЦП из-за утечки памяти eBPF в пространстве ядра, в результате чего серверы переходить в непригодные для использования состояния. Это повлияло только на версии ядра 3.10x и <= 4.16x, в основном на дистрибутивах RHEL/CentOS. Обновите до последней версии MDE, чтобы избежать каких-либо последствий.
Теперь мы упростили выходные данные
mdatp health --detail featuresПовышение стабильности и производительности.
Другие исправления ошибок.
Сборка за май 2024 г.: 101.24042.0002 | Версия выпуска: 30.124042.0002.0
| Сборка: | 101.24042.0002 |
|---|---|
| Освобожденный: | 29 мая 2024 г. |
| Опубликованный: | 29 мая 2024 г. |
| Версия выпуска: | 30.124042.0002.0 |
| Версия обработчика: | 1.1.24030.4 |
| Версия подписи: | 1.407.521.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
В версии 24032.0007 существовала известная проблема, из-за которой регистрация устройств для MDE управления безопасностью не удалась при использовании механизма "Маркировка устройств" через файл mdatp_managed.json. Эта проблема устранена в текущем выпуске.
Повышение стабильности и производительности.
Другие исправления ошибок.
Сборка: 101.24032.0007 за май 2024 г. | Версия выпуска: 30.124032.0007.0
| Сборка: | 101.24032.0007 |
|---|---|
| Освобожденный: | 15 мая 2024 г. |
| Опубликованный: | 15 мая 2024 г. |
| Версия выпуска: | 30.124032.0007.0 |
| Версия обработчика: | 1.1.24020.3 |
| Версия подписи: | 1.403.3500.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
В пассивном режиме и режиме по запросу антивирусная подсистема остается в состоянии простоя и используется только во время запланированных пользовательских проверок. Таким образом, в рамках повышения производительности мы внесли изменения, чтобы не работать подсистема AV в пассивном режиме и режиме по запросу, за исключением запланированных пользовательских проверок. Если включена защита в режиме реального времени, антивирусная подсистема всегда будет работать. Это не влияет на защиту сервера в любом режиме.
Чтобы информировать пользователей о состоянии антивирусной подсистемы, мы ввели новое поле под названием "engine_load_status" в рамках работоспособности MDATP. Он указывает, работает ли антивирусная подсистема в настоящее время.
Field nameengine_load_statusВозможные значения Подсистема не загружена (процесс обработчика av engine не работает), загрузка подсистемы выполнена успешно (процесс обработчика AV запущен) Работоспособные сценарии:
- Если RTP включен, engine_load_status должно быть "Загрузка подсистемы выполнена успешно"
- Если MDE находится в режиме по запросу или в пассивном режиме, а настраиваемое сканирование не выполняется, то "engine_load_status" должно быть "Engine not loaded" (Подсистема не загружена)
- Если MDE находится в режиме по запросу или в пассивном режиме и выполняется настраиваемая проверка, "engine_load_status" должно быть "Загрузка ядра выполнена успешно".
Исправление ошибок для улучшения обнаружения поведения.
Повышение стабильности и производительности.
Другие исправления ошибок.
Известные проблемы
Существует известная проблема, из-за которой в 24032.0007 происходит сбой регистрации устройств для MDE управления безопасностью с помощью механизма маркировки устройств с помощью mdatp_managed.json. Чтобы устранить эту проблему, используйте следующую команду mdatp CLI для добавления тегов к устройствам:
sudo mdatp edr tag set --name GROUP --value MDE-ManagementПроблема устранена в сборке: 101.24042.0002
Сборка за март 2024 г.: 101.24022.0001 | Версия выпуска: 30.124022.0001.0
| Сборка: | 101.24022.0001 |
|---|---|
| Освобожденный: | 22 марта 2024 г. |
| Опубликованный: | 22 марта 2024 г. |
| Версия выпуска: | 30.124022.0001.0 |
| Версия обработчика: | 1.1.23110.4 |
| Версия подписи: | 1.403.87.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
Добавление нового файла журнала —
microsoft_defender_scan_skip.log. При этом регистрируются имена файлов, которые были пропущены при различных проверках антивирусной программы Microsoft Defender для конечной точки по любой причине.Повышение стабильности и производительности.
Исправления ошибок.
Сборка: 101.24012.0001 за март 2024 г. | Версия выпуска: 30.124012.0001.0
| Сборка: | 101.24012.0001 |
|---|---|
| Освобожденный: | 12 марта 2024 г. |
| Опубликованный: | 12 марта 2024 г. |
| Версия выпуска: | 30.124012.0001.0 |
| Версия обработчика: | 1.1.23110.4 |
| Версия подписи: | 1.403.87.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
Обновлена версия обработчика по умолчанию до
1.1.23110.4, а версия подписей по умолчанию — до1.403.87.0.Повышение стабильности и производительности.
Исправления ошибок.
Сборка: 101.23122.0002 за февраль 2024 г. | Версия выпуска: 30.123122.0002.0
| Сборка: | 101.23122.0002 |
|---|---|
| Освобожденный: | 5 февраля 2024 г. |
| Опубликованный: | 5 февраля 2024 г. |
| Версия выпуска: | 30.123122.0002.0 |
| Версия обработчика: | 1.1.23100.2010 |
| Версия подписи: | 1.399.1389.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
Обновлена версия обработчика по умолчанию до
1.1.23100.2010, а версия подписей по умолчанию — до1.399.1389.0.Повышение общей стабильности и производительности.
Исправления ошибок.
Microsoft Defender для конечной точки в Linux теперь официально поддерживает следующие дистрибутивы и версии:
Версия дистрибутива & Кольцо Пакет Маринер 2 Производство https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 и более поздних версий Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 и более поздних версий Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Альма 8.4 и выше Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/alma/8/insiders-slow.repo Альма 9.2 и выше Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Если у вас уже есть Defender для конечной точки, работающий в любом из этих дистрибутивов, и у вас возникли проблемы в более ранних версиях, обновите до последней версии Defender для конечной точки с соответствующего круга, упомянутого выше. Дополнительные сведения см. в нашей общедоступной документации по развертыванию .
Примечание.
Известные проблемы
Microsoft Defender для конечной точки для Linux в Rocky и Alma в настоящее время имеются следующие известные проблемы:
- Динамическое реагирование и управление уязвимостями угроз в настоящее время не поддерживаются (работа выполняется).
- Сведения об операционной системе для устройств не отображаются на портале Microsoft Defender
Сборка: 101.23112.0009 за январь 2024 г. | Версия выпуска: 30.123112.0009.0
| Сборка: | 101.23112.0009 |
|---|---|
| Освобожденный: | 29 января 2024 г. |
| Опубликованный: | 29 января 2024 г. |
| Версия выпуска: | 30.123112.0009.0 |
| Версия обработчика: | 1.1.23100.2010 |
| Версия подписи: | 1.399.1389.0 |
Новые возможности
Обновлена версия обработчика по умолчанию до
1.1.23110.4, а версия подписей по умолчанию — до1.403.1579.0.Повышение общей стабильности и производительности.
Исправление ошибок для конфигурации мониторинга поведения.
Исправления ошибок.
Сборка: 101.23102.0003 за ноябрь 2023 г. | Версия выпуска: 30.123102.0003.0
| Сборка: | 101.23102.0003 |
|---|---|
| Освобожденный: | 28 ноября 2023 г. |
| Опубликованный: | 28 ноября 2023 г. |
| Версия выпуска: | 30.123102.0003.0 |
| Версия обработчика: | 1.1.23090.2008 |
| Версия подписи: | 1.399.690.0 |
Новые возможности
Обновлена версия обработчика по умолчанию до
1.1.23090.2008, а версия подписей по умолчанию — до1.399.690.0.Обновлена библиотека libcurl до версии
8.4.0, чтобы устранить недавно обнаруженные уязвимости в более старой версии.Обновлена библиотека Openssl до версии
3.1.1, чтобы устранить недавно обнаруженные уязвимости в более старой версии.Повышение общей стабильности и производительности.
Исправления ошибок.
Сборка за ноябрь 2023 г.: 101.23092.0012 | Версия выпуска: 30.123092.0012.0
| Сборка: | 101.23092.0012 |
|---|---|
| Освобожденный: | 14 ноября 2023 г. |
| Опубликованный: | 14 ноября 2023 г. |
| Версия выпуска: | 30.123092.0012.0 |
| Версия обработчика: | 1.1.23080.2007 |
| Версия подписи: | 1.395.1560.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
Добавлена поддержка восстановления угрозы на основе исходного пути с помощью следующей команды:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]Начиная с этого выпуска Microsoft Defender для конечной точки на Linux больше не будут поставлять решение для RHEL 6.
RHEL 6 "Продление срока жизненного обеспечения" будет завершено к 30 июня 2024 г., и клиентам рекомендуется планировать обновления RHEL соответствующим образом в соответствии с рекомендациями Red Hat. Клиенты, которым нужно запустить Defender для конечной точки на серверах RHEL 6, могут продолжать использовать версию 101.23082.0011 (срок действия не истекает до 30 июня 2024 г.), поддерживаемую в ядрах версии 2.6.32-754.49.1.el6.x86_64 или более ранних.
- Обновление ядра до
1.1.23080.2007и подписи Ver:1.395.1560.0. - Упрощенный интерфейс подключения устройства теперь находится в режиме общедоступной предварительной версии. общедоступный блог
- Улучшения производительности & исправления ошибок.
- Обновление ядра до
Известные проблемы
- Блокировка ЦП наблюдается в ядре версии 5.15.0-0.30.20 в режиме ebpf. Дополнительные сведения см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux и варианты устранения рисков.
Сборка: 101.23082.0011 за ноябрь 2023 г. | Версия выпуска: 30.123082.0011.0
| Сборка: | 101.23082.0011 |
|---|---|
| Освобожденный: | 1 ноября 2023 г. |
| Опубликованный: | 1 ноября 2023 г. |
| Версия выпуска: | 30.123082.0011.0 |
| Версия обработчика: | 1.1.23070.1002 |
| Версия подписи: | 1.393.1305.0 |
Новые возможности
Этот новый выпуск создан по сравнению с выпуском за октябрь 2023 г. (101.23082.0009) с добавлением следующих изменений. Для других клиентов нет изменений, и обновление является необязательным.
Исправление для неизменяемого режима аудита, когда дополнительная подсистема имеет значение ebpf. В режиме ebpf все правила аудита mdatp должны быть очищены после переключения на ebpf и перезагрузки. После перезагрузки правила аудита mdatp не были очищены, из-за чего сервер завис. Исправление очищает эти правила. Пользователь не должен видеть правила mdatp, загруженные при перезагрузке.
Исправление для MDE не запускается в RHEL 6.
Известные проблемы
При обновлении с mdatp версии 101.75.43 или 101.78.13 может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения о базовой проблеме можно найти в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.23082.0009 за октябрь 2023 г. | Версия выпуска: 30.123082.0009.0
| Сборка: | 101.23082.0009 |
|---|---|
| Освобожденный: | 9 октября 2023 г. |
| Опубликованный: | 9 октября 2023 г. |
| Версия выпуска: | 30.123082.0009.0 |
| Версия обработчика: | 1.1.23070.1002 |
| Версия подписи: | 1.393.1305.0 |
Новые возможности
- Этот новый выпуск создан по сравнению с выпуском за октябрь 2023 г. ('101.23082.0009'') с добавлением новых сертификатов ЦС. Для других клиентов нет изменений, и обновление является необязательным.
Известные проблемы
При обновлении с mdatp версии 101.75.43 или 101.78.13 может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения о базовой проблеме можно найти в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.23082.0006 за октябрь 2023 г. | Версия выпуска: 30.123082.0006.0
| Сборка: | 101.23082.0006 |
|---|---|
| Освобожденный: | 9 октября 2023 г. |
| Опубликованный: | 9 октября 2023 г. |
| Версия выпуска: | 30.123082.0006.0 |
| Версия обработчика: | 1.1.23070.1002 |
| Версия подписи: | 1.393.1305.0 |
Новые возможности
Обновления компонентов и новые изменения
Датчик eBPF теперь является дополнительным поставщиком событий по умолчанию для конечных точек
Microsoft Intune функция подключения клиента доступна в общедоступной предварительной версии (с середины июля)
- Чтобы функция работала правильно, необходимо добавить "*.dm.microsoft.com" в исключения брандмауэра.
Defender для конечной точки теперь доступен для Debian 12 и Amazon Linux 2023
Поддержка включения проверки подписи скачанных обновлений
Необходимо обновить manajed.json, как показано ниже.
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }Необходимые условия для включения функции
- Версия обработчика на устройстве должна быть "1.1.23080.007" или выше. Проверьте версию обработчика с помощью следующей команды.
mdatp health --field engine_version
- Версия обработчика на устройстве должна быть "1.1.23080.007" или выше. Проверьте версию обработчика с помощью следующей команды.
Параметр для поддержки мониторинга точек подключения NFS и FUSE. По умолчанию они игнорируются. В следующем примере показано, как отслеживать всю файловую систему, игнорируя только NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }Пример мониторинга всех файловых систем, включая NFS и FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }Другие улучшения производительности
Исправления ошибок
Известные проблемы
- При обновлении с mdatp версии 101.75.43 или 101.78.13 может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения о базовой проблеме можно найти в статье Зависание системы из-за заблокированных задач в коде fanotify. Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.23072.0021 за сентябрь 2023 г. | Версия выпуска: 30.123072.0021.0
| Сборка: | 101.23072.0021 |
|---|---|
| Освобожденный: | 11 сентября 2023 г. |
| Опубликованный: | 11 сентября 2023 г. |
| Версия выпуска: | 30.123072.0021.0 |
| Версия обработчика: | 1.1.20100.7 |
| Версия подписи: | 1.385.1648.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
В
mde_installer.shверсии 0.6.3 пользователи--channelмогут использовать аргумент для предоставления канала настроенного репозитория во время очистки. Пример:sudo ./mde_installer --clean --channel prodТеперь администраторы могут сбросить сетевое расширение с помощью
mdatp network-protection reset.Другие улучшения производительности
Исправления ошибок
Известные проблемы
- При обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.23062.0010 | Версия выпуска: 30.123062.0010.0
| Сборка: | 101.23062.0010 |
|---|---|
| Освобожденный: | 26 июля 2023 г. |
| Опубликованный: | 26 июля 2023 г. |
| Версия выпуска: | 30.123062.0010.0 |
| Версия обработчика: | 1.1.20100.7 |
| Версия подписи: | 1.385.1648.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
Если прокси-сервер установлен для Defender для конечной точки, он отображается в выходных
mdatp healthданных команды. В этом выпуске мы предоставили два варианта в mdatp diagnostic hot-event-sources:- Файлы
- Исполняемые файлы
Защита сети: Connections, заблокированные защитой сети и переопределенные пользователями, теперь правильно сообщаются Microsoft Defender XDR
Улучшено ведение журнала в блоке защиты сети и событиях аудита для отладки |
Другие исправления и улучшения
- В этой версии enforcementLevel по умолчанию находится в пассивном режиме, предоставляя администраторам больший контроль над тем, где они хотят включить RTP в своем свойстве.
- Это изменение применяется только к новым MDE развертываниям, например к серверам, на которых Defender для конечной точки развертывается впервые. В сценариях обновления серверы, на которых развернут Defender для конечной точки с RTP ON, продолжают работать с RTP ON даже после обновления до версии 101.23062.0010.
Исправлена ошибка: исправлена проблема повреждения базы данных RPM в Управление уязвимостями Defender базовых показателей
Другие улучшения производительности
Известные проблемы
При обновлении с версии 101.75.43 mdatp или 101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.23052.0009 за июль 2023 г. | Версия выпуска: 30.123052.0009.0
| Сборка: | 101.23052.0009 |
|---|---|
| Освобожденный: | 10 июля 2023 г. |
| Опубликованный: | 10 июля 2023 г. |
| Версия выпуска: | 30.123052.0009.0 |
| Версия обработчика: | 1.1.20100.7 |
| Версия подписи: | 1.385.1648.0 |
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений . Схема версии сборки обновляется с этого выпуска. В то время как основной номер версии остается таким же, как 101, дополнительный номер версии теперь содержит пять цифр, за которым следует четыре цифры исправлений,
101.xxxxx.yyyт. е. улучшенное использование памяти защиты сети при стрессе- Обновлена версия обработчика до
1.1.20300.5, а версия сигнатуры — до1.391.2837.0. - Исправления ошибок.
- Обновлена версия обработчика до
Известные проблемы
При обновлении с версии 101.75.43 mdatp или 101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.98.89 за июнь 2023 г. | Версия выпуска: 30.123042.19889.0
| Сборка: | 101.98.89 |
|---|---|
| Освобожденный: | 12 июня 2023 г. |
| Опубликованный: | 12 июня 2023 г. |
| Версия выпуска: | 30.123042.19889.0 |
| Версия обработчика: | 1.1.20100.7 |
| Версия подписи: | 1.385.1648.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
Улучшена обработка прокси-сервера защиты сети.
В пассивном режиме Defender для конечной точки больше не выполняет проверку при обновлении определения.
Устройства продолжают защищаться даже после истечения срока действия агента Defender для конечной точки. Мы рекомендуем обновить агент Linux Defender для конечной точки до последней доступной версии, чтобы получать исправления ошибок, функции и улучшения производительности.
Удалена зависимость пакета semanage.
Обновление ядра до
1.1.20100.7и подписи Ver:1.385.1648.0.Исправления ошибок.
Известные проблемы
- При обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.98.64 за май 2023 г. | Версия выпуска: 30.123032.19864.0
| Сборка: | 101.98.64 |
|---|---|
| Освобожденный: | 3 мая 2023 г. |
| Опубликованный: | 3 мая 2023 г. |
| Версия выпуска: | 30.123032.19864.0 |
| Версия обработчика: | 1.1.20100.6 |
| Версия подписи: | 1.385.68.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
Улучшения сообщений о работоспособности для сбора сведений о сбоях аудита.
Улучшения в обработке augenrules, которые приводили к сбою установки.
Периодическая очистка памяти в процессе обработчика.
Исправлена проблема с памятью в подключаемом модуле mdatp audisp.
Обработан отсутствующий путь к каталогу подключаемого модуля во время установки.
Если конфликтующее приложение использует блокирующие fanotify, при настройке по умолчанию mdatp работоспособность отображается неработоспособно. Эта ошибка исправлена.
Поддержка проверки трафика ICMP в BM.
Обновление ядра до
1.1.20100.6и подписи Ver:1.385.68.0.Исправления ошибок.
Известные проблемы
- При обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Внимание! Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.98.58 за апрель 2023 г. | Версия выпуска: 30.123022.19858.0
| Сборка: | 101.98.58 |
|---|---|
| Освобожденный: | 20 апреля 2023 г. |
| Опубликованный: | 20 апреля 2023 г. |
| Версия выпуска: | 30.123022.19858.0 |
| Версия обработчика: | 1.1.20000.2 |
| Версия подписи: | 1.381.3067.0 |
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
Улучшения ведения журнала и отчетов об ошибках для аудита.
Обработка сбоя при перезагрузке проверенной конфигурации.
Обработка пустых проверенных файлов правил во время MDE установки.
Обновление ядра до
1.1.20000.2и подписи Ver:1.381.3067.0.Устранена проблема работоспособности в mdatp, возникающая из-за отказов selinux.
Исправления ошибок.
Известные проблемы
При обновлении mdatp до версии
101.94.13или более поздней вы можете заметить, что работоспособность имеет значение false, при этом health_issues как "нет активного поставщика дополнительных событий". Это может произойти из-за неправильно настроенных или конфликтующих правил аудита на существующих компьютерах. Чтобы устранить эту проблему, необходимо исправить правила аудита на существующих компьютерах. Следующие команды помогут определить такие правила аудита (команды должны выполняться от имени суперпользовала). Создайте резервную копию следующего файла: /etc/audit/rules.d/audit.rules, так как эти действия предназначены только для выявления сбоев.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadПри обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
Используйте диспетчер пакетов, чтобы удалить версию
101.75.43или101.78.13mdatp.Пример:
sudo apt purge mdatp sudo apt-get install mdatpВ качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Внимание! Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.98.30 за март 2023 г. | Версия выпуска: 30.123012.19830.0
| Сборка: | 101.98.30 |
|---|---|
| Освобожденный: | 20 марта 2023 г. |
| Опубликованный: | 20 марта 2023 г. |
| Версия выпуска: | 30.123012.19830.0 |
| Версия обработчика: | 1.1.19900.2 |
| Версия подписи: | 1.379.1299.0 |
Новые возможности
- Этот новый выпуск создан по сравнению с мартом 2023 г. ('101.98.05'') с ошибкой для команд динамического ответа для одного из наших клиентов. Для других клиентов нет изменений, и обновление является необязательным.
Известные проблемы
- В mdatp версии 101.98.30 в некоторых случаях может возникнуть ошибка работоспособности, так как правила SELinux не определены для определенных сценариев. Предупреждение о работоспособности может выглядеть примерно так:
обнаружены отказы SELinux в течение последнего дня. Если MDATP недавно установлен, очистите существующие журналы аудита или подождите день, пока эта проблема не будет автоматически устранена. Используйте команду " sudo ausearch -i -c "mdatp_audisp_pl" | grep "type=AVC" | grep "запрещено" для поиска сведений
Эту проблему можно устранить, выполнив следующие команды.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Здесь my-mdatpaudisppl_v1 представляет имя модуля политики. После выполнения команд подождите 24 часа или очистите или заархивируйте журналы аудита. Журналы аудита можно заархивировать, выполнив следующую команду.
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
В случае, если проблема снова появится с различными отказами. Необходимо снова запустить устранение рисков с другим именем модуля (например, my-mdatpaudisppl_v2).
Сборка: 101.98.05 за март 2023 г. | Версия выпуска: 30.123012.19805.0
| Сборка: | 101.98.05 |
|---|---|
| Освобожденный: | 8 марта 2023 г. |
| Опубликованный: | 8 марта 2023 г. |
| Версия выпуска: | 30.123012.19805.0 |
| Версия обработчика: | 1.1.19900.2 |
| Версия подписи: | 1.379.1299.0 |
Новые возможности
Улучшенная полнота данных для событий сетевого подключения
Улучшенные возможности сбора данных для изменения прав владения файлом и разрешений
SeManage в части пакета, чтобы политики seLinux можно настроить в разных дистрибутивах (фиксированных).
Улучшенная стабильность корпоративной управляющей программы
Очистка пути остановки AuditD
Улучшена стабильность потока остановки mdatp.
Добавлено новое поле в wdavstate для отслеживания времени обновления платформы.
Улучшена стабильность при синтаксическом анализе большого двоичного объекта Defender для конечной точки.
Проверка не выполняется, если действительной лицензии нет (исправлено)
Добавлен параметр трассировки производительности в xPlatClientAnalyzer, с включенной трассировкой процесс mdatp создает дампы потока в all_process.zip файле, который можно использовать для анализа проблем с производительностью.
Добавлена поддержка в Defender для конечной точки для следующих версий ядра RHEL-6:
2.6.32-754.43.1.el6.x86_642.6.32-754.49.1.el6.x86_64
Другие исправления
Известные проблемы
При обновлении mdatp до версии 101.94.13 вы можете заметить, что работоспособность имеет значение false, при этом health_issues как "нет активного дополнительного поставщика событий". Это может произойти из-за неправильно настроенных или конфликтующих правил аудита на существующих компьютерах. Чтобы устранить эту проблему, необходимо исправить правила аудита на существующих компьютерах. Следующие действия помогут вам определить такие правила аудита (эти команды должны выполняться от имени суперпользовала). Обязательно создайте резервную копию следующего файла: "/etc/audit/rules.d/audit.rules", так как эти действия предназначены только для выявления сбоев.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- При обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения проблемы при обновлении.
Используйте диспетчер пакетов, чтобы удалить версию 101.75.43 или 101.78.13 mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, вы можете отключить rtp и mdatp последовательно перед обновлением. Внимание! У некоторых клиентов (<1 %) возникают проблемы с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сборка: 101.94.13 за январь 2023 г. | Версия выпуска: 30.122112.19413.0
| Сборка: | 101.94.13 |
|---|---|
| Освобожденный: | 10 января 2023 г. |
| Опубликованный: | 10 января 2023 г. |
| Версия выпуска: | 30.122112.19413.0 |
| Версия обработчика: | 1.1.19700.3 |
| Версия подписи: | 1.377.550.0 |
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- По умолчанию пропускайте карантин угроз в пассивном режиме.
- Новую конфигурацию, nonExecMountPolicy, теперь можно использовать для указания поведения RTP в точке подключения, помеченной как noexec.
- Новую конфигурацию, unmonitoredFilesystems, можно использовать для немониторов определенных файловых систем.
- Улучшена производительность при высокой нагрузке и в сценариях тестирования скорости.
- Устранена проблема с доступом к общим папкам SMB за VPN-подключениями Cisco AnyConnect.
- Устранена проблема с защитой сети и SMB.
- Поддержка трассировки производительности lttng.
- Улучшения TVM, eBPF, auditd, телеметрии и mdatp CLI.
- mdatp health теперь сообщает о behavior_monitoring
- Другие исправления.
Известные проблемы
При обновлении mdatp до версии
101.94.13вы можете заметить, что работоспособность имеет значение false, при этом health_issues как "нет активного дополнительного поставщика событий". Это может произойти из-за неправильно настроенных или конфликтующих правил аудита на существующих компьютерах. Чтобы устранить эту проблему, необходимо исправить правила аудита на существующих компьютерах. Следующие действия помогут вам определить такие правила аудита (эти команды должны выполняться от имени суперпользовала). Создайте резервную копию следующего файла:/etc/audit/rules.d/audit.rulesэти действия предназначены только для выявления сбоев.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadПри обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.94.13. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения проблемы при обновлении.
Используйте диспетчер пакетов, чтобы удалить версию 101.75.43 или 101.78.13 mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
В качестве альтернативы приведенному выше можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, вы можете отключить rtp и mdatp последовательно перед обновлением. Внимание! У некоторых клиентов (<1 %) возникают проблемы с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Ноябрь 2022 г. Сборка: 101.85.27 | Версия выпуска: 30.122092.18527.0
| Сборка: | 101.85.27 |
|---|---|
| Освобожденный: | 2 ноября 2022 г. |
| Опубликованный: | 2 ноября 2022 г. |
| Версия выпуска: | 30.122092.18527.0 |
| Версия обработчика: | 1.1.19500.2 |
| Версия подписи: | 1.371.1369.0 |
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- Подсистема версии 2 используется по умолчанию в этом выпуске, и биты подсистемы версии 1 удаляются для повышения безопасности.
- Подсистема версии 2 поддерживает путь конфигурации для определений av. (путь к набору определений mdatp)
- Удалены зависимости внешних пакетов из пакета MDE. Удаленные зависимости: libatomic1, libselinux, libseccomp, libfuse и libuuid
- Если сбор сбоев отключен конфигурацией, процесс мониторинга сбоев не запускается.
- Исправления производительности для оптимального использования системных событий для возможностей av.
- Повышение стабильности при перезапуске mdatp и проблем с загрузкой epsext.
- Другие исправления
Известные проблемы
- При обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.85.21. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения проблемы при обновлении.
Используйте диспетчер пакетов, чтобы удалить версию 101.75.43 или 101.78.13 mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
В качестве альтернативы следуйте инструкциям по удалению, а затем установите последнюю версию пакета.
Если вы не хотите удалять mdatp, вы можете отключить rtp и mdatp последовательно перед обновлением. Внимание! У некоторых клиентов (<1 %) возникают проблемы с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сентябрь 2022 г. Сборка: 101.80.97 | Версия выпуска: 30.122072.18097.0
| Сборка: | 101.80.97 |
|---|---|
| Освобожденный: | 14 сентября 2022 г. |
| Опубликованный: | 14 сентября 2022 г. |
| Версия выпуска: | 30.122072.18097.0 |
| Версия обработчика: | 1.1.19300.3 |
| Версия подписи: | 1.369.395.0 |
Новые возможности
- Исправлена зависание ядра, наблюдаемое при выборе рабочих нагрузок клиента с версией
101.75.43mdatp . После RCA это было связано с состоянием гонки при освобождении владения дескриптором файла датчика. Состояние гонки было открыто из-за недавнего изменения продукта в пути завершения работы. Эта проблема не затрагивает пользователей более новых версий ядра (5.1 и более поздних версий). Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Известные проблемы
При обновлении с версии
101.75.43mdatp или101.78.13может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.80.97. Это действие должно предотвратить возникновение проблемы.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
После выполнения команд выполните обновление с помощью диспетчера пакетов.
В качестве альтернативы следуйте инструкциям по удалению, а затем установите последнюю версию пакета.
Август 2022 г. Сборка: 101.78.13 | Версия выпуска: 30.122072.17813.0
| Сборка: | 101.78.13 |
|---|---|
| Освобожденный: | 24 августа 2022 г. |
| Опубликованный: | 24 августа 2022 г. |
| Версия выпуска: | 30.122072.17813.0 |
| Версия обработчика: | 1.1.19300.3 |
| Версия подписи: | 1.369.395.0 |
Новые возможности
- Откат из-за проблем с надежностью
Август 2022 г. (сборка: 101.75.43 | Версия выпуска: 30.122071.17543.0)
| Сборка: | 101.75.43 |
|---|---|
| Освобожденный: | 2 августа 2022 г. |
| Опубликованный: | 2 августа 2022 г. |
| Версия выпуска: | 30.122071.17543.0 |
| Версия обработчика: | 1.1.19300.3 |
| Версия подписи: | 1.369.395.0 |
Новые возможности
- Добавлена поддержка Red Hat Enterprise Linux версии 9.0.
- В выходные данные
mdatp healthдобавлено новое поле, которое можно использовать для запроса уровня принудительного применения функции защиты сети. Новое поле вызываетсяnetwork_protection_enforcement_levelи может принимать одно из следующих значений:audit,blockилиdisabled. - Устранена ошибка продукта, из-за которой несколько обнаружений одного и того же содержимого могло привести к дублированию записей в журнале угроз.
- Устранена проблема, из-за которой один из процессов, порожденных продуктом (
mdatp_audisp_plugin), иногда не прерывался должным образом при остановке службы. - Другие исправления ошибок
Июль 2022 г. Сборка: 101.73.77 | Версия выпуска: 30.122062.17377.0
| Сборка: | 101.73.77 |
|---|---|
| Освобожденный: | 21 июля 2022 г. |
| Опубликованный: | 21 июля 2022 г. |
| Версия выпуска: | 30.122062.17377.0 |
| Версия обработчика: | 1.1.19200.3 |
| Версия подписи: | 1.367.1011.0 |
Новые возможности
- Добавлен параметр для настройки вычисления хэша файлов.
- Начиная с этой сборки, продукт по умолчанию имеет новый модуль защиты от вредоносных программ
- Повышение производительности операций копирования файлов
- Исправления ошибок
Сборка: 101.71.18 за июнь 2022 г. | Версия выпуска: 30.122052.17118.0
| Сборка: | 101.71.18 |
|---|---|
| Освобожденный: | 24 июня 2022 г. |
| Опубликованный: | 24 июня 2022 г. |
| Версия выпуска: | 30.122052.17118.0 |
Новые возможности
- Исправлена поддержка хранилища определений в нестандартных расположениях (за пределами /var) для обновлений определений версии 2
- Исправлена проблема в датчике продукта, используемом в RHEL 6, которая могла привести к зависаю ОС
-
mdatp connectivity testбыл расширен дополнительный URL-адрес, необходимый продукту для правильной работы. Новый URL-адрес — https://go.microsoft.com/fwlink/?linkid=2144709. - До сих пор уровень журнала продукта не сохранялся между перезапусками продукта. Начиная с этой версии, существует новый параметр программы командной строки, который сохраняет уровень журнала. Новая команда —
mdatp log level persist --level <level>. - Удалена зависимость
pythonот из пакета установки продукта. - Повышение производительности операций копирования файлов и обработки сетевых событий, исходящих из
auditd - Исправления ошибок
Сборка: 101.68.80 за май 2022 г. | Версия выпуска: 30.122042.16880.0
| Сборка: | 101.68.80 |
|---|---|
| Освобожденный: | 23 мая 2022 г. |
| Опубликованный: | 23 мая 2022 г. |
| Версия выпуска: | 30.122042.16880.0 |
Новые возможности
- Добавлена поддержка версии
2.6.32-754.47.1.el6.x86_64ядра при запуске в RHEL 6 - В RHEL 6 продукт теперь можно установить на устройствах с неразрывным корпоративным ядром (UEK)
- Исправлена проблема, из-за которой имя процесса иногда отображалось неправильно при
unknownвыполненииmdatp diagnostic real-time-protection-statistics - Исправлена ошибка, из-за которой продукт иногда неправильно обнаруживал файлы в папке карантина.
- Исправлена проблема, из-за которой
mdatpсредство командной строки не работало при/optподключении в качестве программного канала - Улучшения производительности & исправления ошибок
Сборка: 101.65.77 за май 2022 г. | Версия выпуска: 30.122032.16577.0
| Сборка: | 101.65.77 |
|---|---|
| Освобожденный: | 2 мая 2022 г. |
| Опубликованный: | 2 мая 2022 г. |
| Версия выпуска: | 30.122032.16577.0 |
Новые возможности
- Улучшено
conflicting_applicationsполе в ,mdatp healthчтобы отобразить только последние 10 процессов, а также включить имена процессов. Это упрощает определение потенциально конфликтующих процессов с Microsoft Defender для конечной точки для Linux. - Исправления ошибок
Март 2022 г. (сборка: 101.62.74 | Версия выпуска: 30.122022.16274.0)
| Сборка: | 101.62.74 |
|---|---|
| Освобожденный: | 24 марта 2022 г. |
| Опубликованный: | 24 марта 2022 г. |
| Версия выпуска: | 30.122022.16274.0 |
Новые возможности
- Устранена проблема, из-за которой продукт неправильно блокал доступ к файлам размером более 2 ГБ при запуске в более ранних версиях ядра.
- Исправления ошибок
Сборка: 101.60.93 за март 2022 г. | Версия выпуска: 30.122012.16093.0
| Сборка: | 101.60.93 |
|---|---|
| Освобожденный: | 9 марта 2022 г. |
| Опубликованный: | 9 марта 2022 г. |
| Версия выпуска: | 30.122012.16093.0 |
Новые возможности
- Эта версия содержит обновление для системы безопасности CVE-2022-23278.
Сборка: 101.60.05 за март 2022 г. | Версия выпуска: 30.122012.16005.0
| Сборка: | 101.60.05 |
|---|---|
| Освобожденный: | 3 марта 2022 г. |
| Опубликованный: | 3 марта 2022 г. |
| Версия выпуска: | 30.122012.16005.0 |
Новые возможности
- Добавлена поддержка ядра версии 2.6.32-754.43.1.el6.x86_64 для RHEL 6.10
- Исправления ошибок
Сборка: 101.58.80 за февраль 2022 г. | Версия выпуска: 30.122012.15880.0
| Сборка: | 101.58.80 |
|---|---|
| Освобожденный: | 20 февраля 2022 г. |
| Опубликованный: | 20 февраля 2022 г. |
| Версия выпуска: | 30.122012.15880.0 |
Новые возможности
- Программа командной строки теперь поддерживает восстановление файлов, помещенных в карантин, в расположение, отличное от того, где файл был первоначально обнаружен. Это можно сделать с помощью
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]. - Начиная с этой версии защита сети для Linux может оцениваться по запросу.
- Исправления ошибок
Сборка: 101.56.62 за январь 2022 г. | Версия выпуска: 30.121122.15662.0
| Сборка: | 101.56.62 |
|---|---|
| Освобожденный: | 26 января 2022 г. |
| Опубликованный: | 26 января 2022 г. |
| Версия выпуска: | 30.121122.15662.0 |
Новые возможности
- Исправлен сбой продукта, появившийся в версии 101.53.02, который повлиял на нескольких клиентов
Сборка: 101.53.02 за январь 2022 г. | Версия выпуска: 30.121112.15302.0
| Сборка: | 101.53.02 |
|---|---|
| Освобожденный: | 8 января 2022 г. |
| Опубликованный: | 8 января 2022 г. |
| Версия выпуска: | 30.121112.15302.0 |
Новые возможности
- Улучшения производительности & исправления ошибок
Выпуски 2021 г.
Сборка: 101.52.57 | Версия выпуска: 30.121092.15257.0
| Сборка: | 101.52.57 |
|---|---|
| Версия выпуска: | 30.121092.15257.0 |
Новые возможности
- Добавлена возможность обнаруживать уязвимые jar-файлы log4j, используемые приложениями Java. Компьютер периодически проверяется на выполнение процессов Java с загруженными jar-файлами log4j. Эта информация передается Microsoft Defender для конечной точки серверной части и предоставляется в области Управление уязвимостями на портале.
Сборка: 101.47.76 | Версия выпуска: 30.121092.14776.0
| Сборка: | 101.47.76 |
|---|---|
| Версия выпуска: | 30.121092.14776.0 |
Новые возможности
Добавлен новый переключатель в программу командной строки для управления проверкой архивов во время проверки по запросу. Это можно настроить с помощью mdatp config scan-archives --value [enabled/disabled]. По умолчанию для этого параметра задано значение Включено.
Исправления ошибок
Сборка: 101.45.13 | Версия выпуска: 30.121082.14513.0
| Сборка: | 101.45.13 |
|---|---|
| Версия выпуска: | 30.121082.14513.0 |
Новые возможности
Начиная с этой версии мы предлагаем поддержку Microsoft Defender для конечной точки для следующих дистрибутивов:
- Версии RHEL6.7-6.10 и CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 или выше
Исправления ошибок
Сборка: 101.45.00 | Версия выпуска: 30.121072.14500.0
| Сборка: | 101.45.00 |
|---|---|
| Версия выпуска: | 30.121072.14500.0 |
Новые возможности
- Добавлены новые параметры в программу командной строки:
- Контроль степени параллелизма для проверок по запросу. Это можно настроить с помощью
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. По умолчанию используется степень параллелизма2. - Управление включением или отключением проверок после обновлений аналитики безопасности. Это можно настроить с помощью
mdatp config scan-after-definition-update --value [enabled/disabled]. По умолчанию для этого параметра задано значениеenabled. - Теперь для изменения уровня журнала продуктов требуется повышение прав
- Исправления ошибок
- Контроль степени параллелизма для проверок по запросу. Это можно настроить с помощью
Сборка: 101.39.98 | Версия выпуска: 30.121062.13998.0
| Сборка: | 101.39.98 |
|---|---|
| Версия выпуска: | 30.121062.13998.0 |
Новые возможности
- Улучшения производительности & исправления ошибок
Сборка: 101.34.27 | Версия выпуска: 30.121052.13427.0
| Сборка: | 101.34.27 |
|---|---|
| Версия выпуска: | 30.121052.13427.0 |
Новые возможности
- Улучшения производительности & исправления ошибок
Сборка: 101.29.64 | Версия выпуска: 30.121042.12964.0
| Сборка: | 101.29.64 |
|---|---|
| Версия выпуска: | 30.121042.12964.0 |
Новые возможности
- Начиная с этой версии угрозы, обнаруженные во время проверки антивирусной программы по запросу, запущенной через клиент командной строки, автоматически устраняются. Угрозы, обнаруженные во время проверок, запускаемых через пользовательский интерфейс, по-прежнему требуют действий вручную.
-
mdatp diagnostic real-time-protection-statisticsтеперь поддерживает еще два параметра: -
--sort: сортирует выходные данные по убыванию по общему количеству сканируемых файлов. -
--top N: отображает первые N результатов (работает только в том случае, если--sortтакже указано). - Улучшения производительности & исправления ошибок
Сборка: 101.25.72 | Версия выпуска: 30.121022.12563.0
| Сборка: | 101.25.72 |
|---|---|
| Версия выпуска: | 30.121022.12563.0 |
Новые возможности
- Microsoft Defender для конечной точки на Linux теперь доступна в предварительной версии для государственных организаций США. Дополнительные сведения см. в разделе Microsoft Defender для конечной точки для клиентов из государственных организаций США.
- Исправлена проблема, из-за которой использование Microsoft Defender для конечной точки в Linux в системах с файловыми системами FUSE вело зависание ОС
- Улучшения производительности & других исправлений ошибок
Сборка: 101.25.63 | Версия выпуска: 30.121022.12563.0
| Сборка: | 101.25.63 |
|---|---|
| Версия выпуска: | 30.121022.12563.0 |
Новые возможности
- Улучшения производительности & исправления ошибок
Сборка: 101.23.64 | Версия выпуска: 30.121021.12364.0
| Сборка: | 101.23.64 |
|---|---|
| Версия выпуска: | 30.121021.12364.0 |
Новые возможности
- Повышение производительности в ситуации, когда в список исключений антивирусной программы добавляется вся точка подключения. До этой версии действие файла, обработанного продуктом, происходит из точки подключения. Начиная с этой версии действие файлов для исключенных точек подключения подавляется, что приводит к повышению производительности продукта.
- Добавлен новый параметр в программу командной строки для просмотра сведений о последней проверке по запросу. Чтобы просмотреть сведения о последней проверке по запросу, выполните команду
mdatp health --details antivirus - Другие улучшения производительности & исправлений ошибок
Сборка: 101.18.53
Новые возможности
EDR для Linux теперь общедоступен
Добавлен новый параметр командной строки (
--ignore-exclusions) для игнорирования исключений av во время пользовательских проверок (mdatp scan custom)Расширен
mdatp diagnostic createновый параметр (--path [directory]), который позволяет сохранять журналы диагностики в другом каталоге.Улучшения производительности & исправления ошибок