Nyheter i Microsoft Defender för Endpoint i Linux
Gäller för:
- Microsoft Defender för Endpoint Server
- Microsoft Defender för servrar
Den här artikeln uppdateras ofta för att informera dig om vad som är nytt i de senaste versionerna av Microsoft Defender för Endpoint på Linux.
Viktigt
Från och med version 101.24082.0004stöder Auditd Defender för Endpoint på Linux inte längre händelseprovidern. Vi övergår helt till den effektivare eBPF-tekniken. Den här ändringen ger bättre prestanda, minskad resursförbrukning och övergripande förbättrad stabilitet. eBPF-stöd har varit tillgängligt sedan augusti 2023 och är helt integrerat i alla uppdateringar av Defender för Endpoint i Linux (version 101.23082.0006 och senare). Vi rekommenderar starkt att du antar eBPF-versionen eftersom den ger betydande förbättringar jämfört med Auditd. Om eBPF inte stöds på dina datorer, eller om det finns specifika krav för att vara kvar på Auditd, har du följande alternativ:
Fortsätt att använda Defender för Endpoint i Linux-versionen
101.24072.0000med Auditd. Den här versionen fortsätter att stödjas i flera månader, så du har tid att planera och köra migreringen till eBPF.Om du har senare versioner än
101.24072.0000förlitar sig Defender för Endpoint på Linux pånetlinksom en kompletterande reservhändelseprovider. I händelse av en återställning fortsätter alla processåtgärder att flöda sömlöst.
Granska din aktuella Defender för Endpoint i Linux-distributionen och börja planera migreringen till den eBPF-stödda versionen. Mer information om eBPF och hur det fungerar finns i Använda eBPF-baserad sensor för Microsoft Defender för Endpoint på Linux.
Kontakta supporten om du har problem eller behöver hjälp under övergången.
Versioner för Defender för Endpoint i Linux
Mar-2025 Build: 101.25012.0000 | Versionsversion: 30.125012.0000.0
| Bygga: | 101.25012.0000 |
|---|---|
| Släppt: | 11 mars 2025 |
| Släppt: | 11 mars 2025 |
| Släppt: | 11 mars 2025 |
| Publicerad: | 11 mars 2025 |
| Versionsversion: | 30.125012.0000.0 |
| Motorversion: | 1.1.24090.13 |
| Signaturversion: | 1.421.226.0 |
Nyheter
Distributionen av MDATP-paketet till produktion sker gradvis. Från det att viktig information publiceras kan det ta upp till en vecka innan paketet skickas till alla produktionsdatorer.
Säkerhetsrisken i curl, CVE-2024-7264, har åtgärdats.
Andra stabilitetsförbättringar och felkorrigeringar.
Feb-2025 Build: 101.24122.0008 | Versionsversion: 30.124112.0008.0
| Bygga: | 101.24122.0008 |
|---|---|
| Släppt: | den 20 februari 2025 |
| Släppt: | den 20 februari 2025 |
| Publicerad: | den 20 februari 2025 |
| Versionsversion: | 30.124122.0008.0 |
| Motorversion: | 1.1.24090.13 |
| Signaturversion: | 1.421.226.0 |
Nyheter
- MDATP-paketet
101.24122.0008distribueras gradvis för varje distribution. - Andra stabilitetsförbättringar och felkorrigeringar
Feb-2025 Build: 101.24112.0003 | Versionsversion: 30.124112.0003.0
| Bygga: | 101.24112.0003 |
|---|---|
| Släppt: | den 4 februari 2025 |
| Släppt: | den 4 februari 2025 |
| Publicerad: | den 4 februari 2025 |
| Versionsversion: | 30.124112.0003.0 |
| Motorversion: | 1.1.24090.13 |
| Signaturversion: | 1.421.1681.0 |
Nyheter
- Åtgärdade en bugg som felaktigt rapporterade DefenderEngineVersion till säkerhetsportalen.
- MDATP-paketet
101.24112.0003distribueras gradvis för varje distribution.
Jan-2025 Build: 101.24112.0001 | Versionsversion: 30.124112.0001.0
| Bygga: | 101.24112.0001 |
|---|---|
| Släppt: | Den 13 januari 2025 |
| Publicerad: | Den 13 januari 2025 |
| Versionsversion: | 30.124112.0001.0 |
| Motorversion: | 1.1.24090.13 |
| Signaturversion: | 1.421.226.0 |
Nyheter
Uppgraderade Bond-versionen till 13.0.1 för att åtgärda säkerhetsproblem i version 12 eller senare.
Mdatp-paketet har inte längre något beroende av SELinux-paket.
Användare kan nu fråga efter status för den kompletterande händelseleverantören eBPF med hjälp av hotjaktfrågan i
DeviceTvmInfoGathering. Mer information om den här frågekontrollen: Använd eBPF-baserad sensor för Microsoft Defender för Endpoint på Linux. Resultatet av den här frågan kan returnera följande två värden som eBPF-status:- Aktiverad: När eBPF är aktiverat som förväntat.
- Inaktiverad: När eBPF är inaktiverat på grund av någon av följande orsaker:
- När MDE använder auditD som en kompletterande sensor
- När eBPF inte finns och vi återställer till Netlink som kompletterande händelseleverantör
- Det finns ingen kompletterande sensor.
Från och med 2411 följer MDATP-paketversionen till Production på
packages.microsoft.comen gradvis distributionsmekanism som sträcker sig över en vecka. De andra versionsringarna, insiderFast och insiderSlow, påverkas inte av den här ändringen.Stabilitets- och prestandaförbättringar.
Viktiga buggar åtgärdar definitionsuppdateringsflödet.
Jan-2025 Build: 101.24102.0000 | Versionsversion: 30.124102.0000.0
| Bygga: | 101.24102.0000 |
|---|---|
| Släppt: | Den 8 januari 2025 |
| Publicerad: | Den 8 januari 2025 |
| Versionsversion: | 30.124102.0000.0 |
| Motorversion: | 1.1.24080.11 |
| Signaturversion: | 1.419.351.0 |
Nyheter
Standardmotorversionen har uppdaterats till
1.1.24080.11och standardsignaturversionen har uppdaterats till1.419.351.0.Förbättrad rapportering av hotinformation på kommandoraden för kortvariga processer i säkerhetsportalen.
Nov-2024 Build: 101.24092.0002 | Versionsversion: 30.124092.0002.0
| Bygga: | 101.24092.0002 |
|---|---|
| Släppt: | den 14 november 2024 |
| Publicerad: | den 14 november 2024 |
| Versionsversion: | 30.124092.0002.0 |
| Motorversion: | 1.1.24080.9 |
| Signaturversion: | 1.417.659.0 |
Nyheter
För att stödja härdade installationer med icke-skalbara
/varpartitioner installeras mdatp antivirusdefinitioner nu till/opt/microsoft/mdatp/definitions.noindexi stället för/varom den senare identifieras som icke-skalbar. Under uppgraderingar försöker installationsprogrammet migrera äldre definitioner till den nya sökvägen vid identifiering av en icke-körbar/var, såvida den inte upptäcker att sökvägen redan har anpassats (med ).mdatp definitions path setFrån och med den här versionen behöver Defender för Endpoint på Linux inte längre körbara behörigheter för
/var/log. Om dessa behörigheter inte är tillgängliga omdirigeras loggfiler automatiskt till/opt.
Oct-2024 Build: 101.24082.0004 | Versionsversion: 30.124082.0004.0
| Bygga: | 101.24082.0004 |
|---|---|
| Släppt: | den 15 oktober 2024 |
| Publicerad: | den 15 oktober 2024 |
| Versionsversion: | 30.124082.0004 |
| Motorversion: | 1.1.24080.9 |
| Signaturversion: | 1.417.659.0 |
Nyheter
Från och med den här versionen stöder
AuditDDefender för Endpoint på Linux inte längre som en kompletterande händelseprovider. För förbättrad stabilitet och prestanda har vi övergått till eBPF. Om du inaktiverar eBPF, eller om eBPF inte stöds på någon specifik kernel, växlar Defender för Endpoint på Linux automatiskt tillbaka till Netlink som reservprovider för kompletterande händelser. Netlink ger begränsad funktionalitet och spårar endast processrelaterade händelser. I det här fallet fortsätter alla processåtgärder att flöda sömlöst, men du kan missa specifika fil- och socketrelaterade händelser som eBPF annars skulle samla in. Mer information finns i Använda eBPF-baserad sensor för Microsoft Defender för Endpoint på Linux. Kontakta supporten om du har problem eller behöver hjälp under övergången.Stabilitets- och prestandaförbättringar
Andra felkorrigeringar
Sept-2024 Build: 101.24072.0001 | Versionsversion: 30.124072.0001.0
| Bygga: | 101.24072.0001 |
|---|---|
| Släppt: | den 23 september 2024 |
| Publicerad: | den 23 september 2024 |
| Versionsversion: | 30.124072.0001.0 |
| Motorversion: | 1.1.24060.6 |
| Signaturversion: | 1.415.228.0 |
Nyheter
Stöd har lagts till för Ubuntu 24.04
Standardmotorversionen har uppdaterats till
1.1.24060.6och standardsignaturversionen har uppdaterats till1.415.228.0.
Juli-2024 Build: 101.24062.0001 | Versionsversion: 30.124062.0001.0
| Bygga: | 101.24072.0001 |
|---|---|
| Släppt: | 31 juli 2024 |
| Publicerad: | 31 juli 2024 |
| Versionsversion: | 30.124062.0001.0 |
| Motorversion: | 1.1.24050.7 |
| Signaturversion: | 1.411.410.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen.
Åtgärdar bugg där infekterad hotinformation på kommandoraden inte visades korrekt i säkerhetsportalen.
Åtgärdar ett fel där inaktivering av en förhandsgranskningsfunktion krävde en Defender of Endpoint för att inaktivera den.
Funktionen Globala undantag med hanterad JSON finns nu i offentlig förhandsversion. tillgänglig i insiders långsam från 101.23092.0012. Mer information finns i linux-exclusions.
Uppdaterade Linux-standardmotorversionen till 1.1.24050.7 och standardsignaturversionen till 1.411.410.0.
Stabilitets- och prestandaförbättringar.
Andra felkorrigeringar.
Juni-2024 Build: 101.24052.0002 | Versionsversion: 30.124052.0002.0
| Bygga: | 101.24052.0002 |
|---|---|
| Släppt: | Den 24 juni 2024 |
| Publicerad: | Den 24 juni 2024 |
| Versionsversion: | 30.124052.0002.0 |
| Motorversion: | 1.1.24040.2 |
| Signaturversion: | 1.411.153.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen.
Den här versionen åtgärdar ett fel som rör hög minnesanvändning, vilket så småningom leder till hög CPU-användning på grund av eBPF-minnesläcka i kernelutrymmet, vilket resulterar i att servrar hamnar i oanvändbara tillstånd. Detta påverkade endast kernelversionerna 3.10x och <= 4.16x, främst på RHEL/CentOS-distributioner. Uppdatera till den senaste MDE versionen för att undvika påverkan.
Vi har nu förenklat resultatet av
mdatp health --detail featuresStabilitets- och prestandaförbättringar.
Andra felkorrigeringar.
Maj-2024 Build: 101.24042.0002 | Versionsversion: 30.124042.0002.0
| Bygga: | 101.24042.0002 |
|---|---|
| Släppt: | 29 maj 2024 |
| Publicerad: | 29 maj 2024 |
| Versionsversion: | 30.124042.0002.0 |
| Motorversion: | 1.1.24030.4 |
| Signaturversion: | 1.407.521.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
I version 24032.0007 fanns det ett känt problem där registreringen av enheter till MDE Security Management misslyckades när du använde mekanismen "Enhetstaggning" via mdatp_managed.json-filen. Det här problemet har lösts i den aktuella versionen.
Stabilitets- och prestandaförbättringar.
Andra felkorrigeringar.
Maj-2024 Build: 101.24032.0007 | Versionsversion: 30.124032.0007.0
| Bygga: | 101.24032.0007 |
|---|---|
| Släppt: | 15 maj 2024 |
| Publicerad: | 15 maj 2024 |
| Versionsversion: | 30.124032.0007.0 |
| Motorversion: | 1.1.24020.3 |
| Signaturversion: | 1.403.3500.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
I passiva lägen och på begäran-lägen förblir antivirusmotorn i inaktivt tillstånd och används endast under schemalagda anpassade genomsökningar. Som en del av prestandaförbättringar har vi därför gjort ändringar för att hålla AV-motorn nere i passivt läge och på begäran förutom under schemalagda anpassade genomsökningar. Om realtidsskyddet är aktiverat är antivirusmotorn alltid igång. Detta påverkar inte serverskyddet i något läge.
För att hålla användarna informerade om antivirusmotorns tillstånd har vi introducerat ett nytt fält med namnet "engine_load_status" som en del av MDATP-hälsan. Den anger om antivirusmotorn körs eller inte.
Field nameengine_load_statusMöjliga värden Motorn är inte inläst (AV-motorprocessen är nere), Motorbelastningen lyckades (AV-motorprocessen är igång) Felfria scenarier:
- Om RTP är aktiverat ska engine_load_status vara "Motorbelastningen har slutförts"
- Om MDE är i läget på begäran eller passivt och den anpassade genomsökningen inte körs ska "engine_load_status" vara "Motorn har inte lästs in"
- Om MDE är i läget på begäran eller passivt och den anpassade genomsökningen körs ska "engine_load_status" vara "Motorbelastningen har slutförts"
Felkorrigering för att förbättra beteendeidentifieringar.
Stabilitets- och prestandaförbättringar.
Andra felkorrigeringar.
Kända problem
Det finns ett känt problem med att registrera enheter för att MDE säkerhetshantering via mekanismen "Enhetstaggning" med hjälp av mdatp_managed.json misslyckas i 24032.0007. Du kan åtgärda det här problemet genom att använda följande mdatp CLI-kommando för att tagga enheter:
sudo mdatp edr tag set --name GROUP --value MDE-ManagementProblemet har åtgärdats i Build: 101.24042.0002
Version mars-2024: 101.24022.0001 | Versionsversion: 30.124022.0001.0
| Bygga: | 101.24022.0001 |
|---|---|
| Släppt: | 22 mars 2024 |
| Publicerad: | 22 mars 2024 |
| Versionsversion: | 30.124022.0001.0 |
| Motorversion: | 1.1.23110.4 |
| Signaturversion: | 1.403.87.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
Tillägget av en ny loggfil –
microsoft_defender_scan_skip.log. Detta loggar de filnamn som hoppades över från olika antivirusgenomsökningar av Microsoft Defender för Endpoint på grund av någon anledning.Stabilitets- och prestandaförbättringar.
Felkorrigeringar.
Mars-2024 Build: 101.24012.0001 | Versionsversion: 30.124012.0001.0
| Bygga: | 101.24012.0001 |
|---|---|
| Släppt: | 12 mars 2024 |
| Publicerad: | 12 mars 2024 |
| Versionsversion: | 30.124012.0001.0 |
| Motorversion: | 1.1.23110.4 |
| Signaturversion: | 1.403.87.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
Standardmotorversionen har uppdaterats till
1.1.23110.4och standardsignaturversionen har uppdaterats till1.403.87.0.Stabilitets- och prestandaförbättringar.
Felkorrigeringar.
Februari-2024 Build: 101.23122.0002 | Versionsversion: 30.123122.0002.0
| Bygga: | 101.23122.0002 |
|---|---|
| Släppt: | Den 5 februari 2024 |
| Publicerad: | Den 5 februari 2024 |
| Versionsversion: | 30.123122.0002.0 |
| Motorversion: | 1.1.23100.2010 |
| Signaturversion: | 1.399.1389.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
Standardmotorversionen har uppdaterats till
1.1.23100.2010och standardsignaturversionen har uppdaterats till1.399.1389.0.Allmänna stabilitets- och prestandaförbättringar.
Felkorrigeringar.
Microsoft Defender för Endpoint på Linux stöder nu officiellt följande distributioner och versioner:
Distribution & version Ring Paket Mariner 2 Produktion https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8,7 och högre Insiders långsam https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9,2 och högre Insiders långsam https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Alma 8.4 och senare Insiders långsam https://packages.microsoft.com/config/alma/8/insiders-slow.repo Alma 9.2 och senare Insiders långsam https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Om du redan har Defender för Endpoint som körs på någon av dessa distributioner och har problem i de äldre versionerna uppgraderar du till den senaste Versionen av Defender för Endpoint från motsvarande ring som nämns ovan. Mer information finns i våra offentliga distributionsdokument .
Obs!
Kända problem:
Microsoft Defender för Endpoint för Linux på Rocky och Alma har för närvarande följande kända problem:
- Hantering av livesvar och hotsårbarhet stöds för närvarande inte (pågående arbete).
- Operativsysteminformation för enheter visas inte i Microsoft Defender-portalen
Bygge januari-2024: 101.23112.0009 | Versionsversion: 30.123112.0009.0
| Bygga: | 101.23112.0009 |
|---|---|
| Släppt: | Den 29 januari 2024 |
| Publicerad: | Den 29 januari 2024 |
| Versionsversion: | 30.123112.0009.0 |
| Motorversion: | 1.1.23100.2010 |
| Signaturversion: | 1.399.1389.0 |
Nyheter
Standardmotorversionen har uppdaterats till
1.1.23110.4och standardsignaturversionen har uppdaterats till1.403.1579.0.Allmänna stabilitets- och prestandaförbättringar.
Felkorrigering för konfiguration av beteendeövervakning.
Felkorrigeringar.
November-2023 Build: 101.23102.0003 | Versionsversion: 30.123102.0003.0
| Bygga: | 101.23102.0003 |
|---|---|
| Släppt: | Den 28 november 2023 |
| Publicerad: | Den 28 november 2023 |
| Versionsversion: | 30.123102.0003.0 |
| Motorversion: | 1.1.23090.2008 |
| Signaturversion: | 1.399.690.0 |
Nyheter
Standardmotorversionen har uppdaterats till
1.1.23090.2008och standardsignaturversionen har uppdaterats till1.399.690.0.Libcurl-biblioteket har uppdaterats till version
8.4.0för att åtgärda nyligen avslöjade säkerhetsrisker med den äldre versionen.Uppdaterade Openssl-biblioteket till version
3.1.1för att åtgärda nyligen avslöjade säkerhetsrisker med den äldre versionen.Allmänna stabilitets- och prestandaförbättringar.
Felkorrigeringar.
November-2023 Build: 101.23092.0012 | Versionsversion: 30.123092.0012.0
| Bygga: | 101.23092.0012 |
|---|---|
| Släppt: | Den 14 november 2023 |
| Publicerad: | Den 14 november 2023 |
| Versionsversion: | 30.123092.0012.0 |
| Motorversion: | 1.1.23080.2007 |
| Signaturversion: | 1.395.1560.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
Stöd har lagts till för att återställa hot baserat på den ursprungliga sökvägen med följande kommando:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]Från och med den här versionen kommer Microsoft Defender för Endpoint på Linux inte längre att leverera en lösning för RHEL 6.
RHEL 6 "Extended end of life support" är redo att avslutas senast den 30 juni 2024 och kunder rekommenderas att planera sina RHEL-uppgraderingar i enlighet med vägledning från Red Hat. Kunder som behöver köra Defender för Endpoint på RHEL 6-servrar kan fortsätta att använda version 101.23082.0011 (upphör inte att gälla före den 30 juni 2024) som stöds i kernelversionerna 2.6.32-754.49.1.el6.x86_64 eller tidigare.
- Motoruppdatering till
1.1.23080.2007och Signaturer Ver:1.395.1560.0. - Den strömlinjeformade enhetsanslutningsupplevelsen är nu i allmänt förhandsgranskningsläge. offentlig blogg
- Prestandaförbättringar & felkorrigeringar.
- Motoruppdatering till
Kända problem
- Cpu-låsning som visas i kernelversion 5.15.0-0.30.20 i ebpf-läge finns i Använda eBPF-baserad sensor för Microsoft Defender för Endpoint på Linux för mer information och åtgärdsalternativ.
November-2023 Build: 101.23082.0011 | Versionsversion: 30.123082.0011.0
| Bygga: | 101.23082.0011 |
|---|---|
| Släppt: | 1 november 2023 |
| Publicerad: | 1 november 2023 |
| Versionsversion: | 30.123082.0011.0 |
| Motorversion: | 1.1.23070.1002 |
| Signaturversion: | 1.393.1305.0 |
Nyheter
Den här nya versionen är skapad i oktober 2023 (101.23082.0009) med tillägg av följande ändringar. Det finns ingen ändring för andra kunder och uppgradering är valfritt.
Korrigering för oföränderligt läge för granskning när kompletterande undersystem är ebpf: I ebpf-läge bör alla mdatp-granskningsregler rensas efter växling till ebpf och omstart. Efter omstarten rensades inte mdatp-granskningsreglerna på grund av att servern låser sig. Korrigeringen rensar dessa regler. Användaren bör inte se några mdatp-regler som läses in vid omstart
Korrigering för MDE startar inte på RHEL 6.
Kända problem
När du uppgraderar från mdatp version 101.75.43 eller 101.78.13 kan det uppstå en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information om det underliggande problemet finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 Build: 101.23082.0009 | Versionsversion: 30.123082.0009.0
| Bygga: | 101.23082.0009 |
|---|---|
| Släppt: | 9 oktober 2023 |
| Publicerad: | 9 oktober 2023 |
| Versionsversion: | 30.123082.0009.0 |
| Motorversion: | 1.1.23070.1002 |
| Signaturversion: | 1.393.1305.0 |
Nyheter
- Den här nya versionen är skapad i oktober 2023 ("101.23082.0009") med tillägg av nya CA-certifikat. Det finns ingen ändring för andra kunder och uppgradering är valfritt.
Kända problem
När du uppgraderar från mdatp version 101.75.43 eller 101.78.13 kan det uppstå en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information om det underliggande problemet finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 Build: 101.23082.0006 | Versionsversion: 30.123082.0006.0
| Bygga: | 101.23082.0006 |
|---|---|
| Släppt: | 9 oktober 2023 |
| Publicerad: | 9 oktober 2023 |
| Versionsversion: | 30.123082.0006.0 |
| Motorversion: | 1.1.23070.1002 |
| Signaturversion: | 1.393.1305.0 |
Nyheter
Funktionsuppdateringar och nya ändringar
eBPF-sensorn är nu standardprovidern för kompletterande händelser för slutpunkter
Microsoft Intune funktionen för klientkoppling är i offentlig förhandsversion (från och med mitten av juli)
- Du måste lägga till "*.dm.microsoft.com" i brandväggsundantag för att funktionen ska fungera korrekt
Defender för Endpoint är nu tillgängligt för Debian 12 och Amazon Linux 2023
Stöd för att aktivera signaturverifiering av hämtade uppdateringar
Du måste uppdatera manajed.json enligt nedan
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }Förutsättning för att aktivera funktionen
- Motorversionen på enheten måste vara "1.1.23080.007" eller högre. Kontrollera motorversionen med hjälp av följande kommando.
mdatp health --field engine_version
- Motorversionen på enheten måste vara "1.1.23080.007" eller högre. Kontrollera motorversionen med hjälp av följande kommando.
Alternativ för övervakning av NFS- och FUSE-monteringspunkter. Dessa ignoreras som standard. I följande exempel visas hur du övervakar alla filsystem samtidigt som endast NFS ignoreras:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }Exempel för att övervaka alla filsystem, inklusive NFS och FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }Andra prestandaförbättringar
Felkorrigeringar
Kända problem
- När du uppgraderar från mdatp version 101.75.43 eller 101.78.13 kan det uppstå en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information om det underliggande problemet finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod. Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Version september-2023: 101.23072.0021 | Versionsversion: 30.123072.0021.0
| Bygga: | 101.23072.0021 |
|---|---|
| Släppt: | 11 september 2023 |
| Publicerad: | 11 september 2023 |
| Versionsversion: | 30.123072.0021.0 |
| Motorversion: | 1.1.20100.7 |
| Signaturversion: | 1.385.1648.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen:
I
mde_installer.shv0.6.3 kan användarna använda--channelargumentet för att ange kanalen för den konfigurerade lagringsplatsen under rensningen. Till exempelsudo ./mde_installer --clean --channel prodNätverkstillägget kan nu återställas av administratörer med hjälp av
mdatp network-protection reset.Andra prestandaförbättringar
Felkorrigeringar
Kända problem
- När du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 Build: 101.23062.0010 | Versionsversion: 30.123062.0010.0
| Bygga: | 101.23062.0010 |
|---|---|
| Släppt: | 26 juli 2023 |
| Publicerad: | 26 juli 2023 |
| Versionsversion: | 30.123062.0010.0 |
| Motorversion: | 1.1.20100.7 |
| Signaturversion: | 1.385.1648.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen
Om en proxy har angetts för Defender för Endpoint visas den
mdatp healthi kommandots utdata. Med den här versionen har vi angett två alternativ i mdatp diagnostic hot-event-sources:- Filer
- Körbara filer
Nätverksskydd: Connections som blockeras av Nätverksskydd och har blockerats av användare rapporteras nu korrekt till Microsoft Defender XDR
Förbättrad loggning i nätverksskyddsblock och granskningshändelser för felsökning |
Andra korrigeringar och förbättringar
- Från den här versionen är enforcementLevel i passivt läge som standard vilket ger administratörer mer kontroll över var de vill ha "RTP på" i sin egendom
- Den här ändringen gäller endast för nya MDE distributioner, till exempel servrar där Defender för Endpoint distribueras för första gången. I uppdateringsscenarier fortsätter servrar som har Defender för Endpoint distribuerat med RTP ON att fungera med RTP ON även efter uppdateringen till version 101.23062.0010
Felkorrigering: RPM-databasfel i Defender – hantering av säkerhetsrisker baslinjen har åtgärdats
Andra prestandaförbättringar
Kända problem
När du uppgraderar från mdatp-versionen 101.75.43 eller 101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 Build: 101.23052.0009 | Versionsversion: 30.123052.0009.0
| Bygga: | 101.23052.0009 |
|---|---|
| Släppt: | 10 juli 2023 |
| Publicerad: | 10 juli 2023 |
| Versionsversion: | 30.123052.0009.0 |
| Motorversion: | 1.1.20100.7 |
| Signaturversion: | 1.385.1648.0 |
Nyheter
- Det finns flera korrigeringar och nya ändringar i den här versionen – versionsschemat uppdateras från den här versionen. Även om huvudversionsnumret fortfarande är samma som 101, har delversionsnumret nu fem siffror följt av ett fyrsiffrigt korrigeringsnummer som är ,
101.xxxxx.yyy- Förbättrad minnesförbrukning för nätverksskydd under stress- Uppdaterade motorversionen till
1.1.20300.5och signaturversionen till1.391.2837.0. - Felkorrigeringar.
- Uppdaterade motorversionen till
Kända problem
När du uppgraderar från mdatp-versionen 101.75.43 eller 101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juni-2023 Build: 101.98.89 | Versionsversion: 30.123042.19889.0
| Bygga: | 101.98.89 |
|---|---|
| Släppt: | 12 juni 2023 |
| Publicerad: | 12 juni 2023 |
| Versionsversion: | 30.123042.19889.0 |
| Motorversion: | 1.1.20100.7 |
| Signaturversion: | 1.385.1648.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen
Förbättrad hantering av nätverksskyddsproxy.
I passivt läge söker Defender för Endpoint inte längre igenom när definitionsuppdateringen sker.
Enheter fortsätter att skyddas även när Defender för Endpoint-agenten har upphört att gälla. Vi rekommenderar att du uppgraderar Defender för Endpoint Linux-agenten till den senaste tillgängliga versionen för att få felkorrigeringar, funktioner och prestandaförbättringar.
Tog bort semanage-paketberoende.
Motoruppdatering till
1.1.20100.7och Signaturer Ver:1.385.1648.0.Felkorrigeringar.
Kända problem
- När du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Maj-2023 Build: 101.98.64 | Versionsversion: 30.123032.19864.0
| Bygga: | 101.98.64 |
|---|---|
| Släppt: | 3 maj 2023 |
| Publicerad: | 3 maj 2023 |
| Versionsversion: | 30.123032.19864.0 |
| Motorversion: | 1.1.20100.6 |
| Signaturversion: | 1.385.68.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen
Förbättringar av hälsomeddelanden för att samla in information om granskade fel.
Förbättringar för att hantera augenrules, vilket orsakade installationsfel.
Periodisk minnesrensning i motorprocessen.
Korrigering av minnesproblem i plugin-programmet mdatp audisp.
Hanterade sökvägen till plugin-programmet som saknades under installationen.
När ett program i konflikt använder blockerande fanotify visas mdatp-statusen för standardkonfigurationen inte felfri. Detta är nu åtgärdat.
Stöd för ICMP-trafikgranskning i BM.
Motoruppdatering till
1.1.20100.6och Signaturer Ver:1.385.68.0.Felkorrigeringar.
Kända problem
- När du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Varning! Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
April-2023 Build: 101.98.58 | Versionsversion: 30.123022.19858.0
| Bygga: | 101.98.58 |
|---|---|
| Släppt: | Den 20 april 2023 |
| Publicerad: | Den 20 april 2023 |
| Versionsversion: | 30.123022.19858.0 |
| Motorversion: | 1.1.20000.2 |
| Signaturversion: | 1.381.3067.0 |
Nyheter
Det finns flera korrigeringar och nya ändringar i den här versionen
Förbättringar av loggning och felrapportering för granskning.
Hantera fel vid omläsning av den granskade konfigurationen.
Hantering av tomma granskade regelfiler under installationen av MDE.
Motoruppdatering till
1.1.20000.2och Signaturer Ver:1.381.3067.0.Åtgärdat ett hälsoproblem i mdatp som inträffar på grund av selinux-nekanden.
Felkorrigeringar.
Kända problem
När du uppgraderar mdatp till version
101.94.13eller senare kanske du märker att hälsotillståndet är falskt, med health_issues som "ingen aktiv kompletterande händelseprovider". Detta kan inträffa på grund av felkonfigurerade/motstridiga granskningsregler på befintliga datorer. För att åtgärda problemet måste de granskade reglerna på de befintliga datorerna åtgärdas. Följande kommandon kan hjälpa dig att identifiera sådana granskade regler (kommandon måste köras som superanvändare). Gör en säkerhetskopia av följande fil: /etc/audit/rules.d/audit.rules eftersom de här stegen bara är att identifiera fel.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadNär du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan du stöta på en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Det finns två sätt att åtgärda det här uppgraderingsproblemet:
Använd pakethanteraren för att avinstallera
101.75.43eller101.78.13mdatp-versionen.Exempel:
sudo apt purge mdatp sudo apt-get install mdatpAlternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Varning! Vissa kunder (<1 %) upplever problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Mars-2023 Build: 101.98.30 | Versionsversion: 30.123012.19830.0
| Bygga: | 101.98.30 |
|---|---|
| Släppt: | Den 20 mars 2023 |
| Publicerad: | Den 20 mars 2023 |
| Versionsversion: | 30.123012.19830.0 |
| Motorversion: | 1.1.19900.2 |
| Signaturversion: | 1.379.1299.0 |
Nyheter
- Den här nya versionen är skapad i mars 2023 ('101.98.05'') med en korrigering för Live-svarskommandon som misslyckas för en av våra kunder. Det finns ingen ändring för andra kunder och uppgradering är valfritt.
Kända problem
- Med mdatp version 101.98.30 kan du se ett falskt hälsoproblem i vissa fall, eftersom SELinux-regler inte har definierats för vissa scenarier. Hälsovarningen kan se ut ungefär så här:
hittade SELinux-förnekanden under den senaste dagen. Om MDATP nyligen har installerats rensar du de befintliga granskningsloggarna eller väntar en dag på att problemet ska åtgärdas automatiskt. Använd kommandot: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "denied" för att hitta information
Problemet kan åtgärdas genom att köra följande kommandon.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Här representerar my-mdatpaudisppl_v1 principmodulens namn. När du har kört kommandona väntar du antingen i 24 timmar eller rensar/arkiverar granskningsloggarna. Granskningsloggarna kan arkiveras genom att köra följande kommando
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
Om problemet återkommer med några olika nekanden. Vi måste köra åtgärden igen med ett annat modulnamn (till exempel my-mdatpaudisppl_v2).
Mars-2023 Build: 101.98.05 | Versionsversion: 30.123012.19805.0
| Bygga: | 101.98.05 |
|---|---|
| Släppt: | Den 8 mars 2023 |
| Publicerad: | Den 8 mars 2023 |
| Versionsversion: | 30.123012.19805.0 |
| Motorversion: | 1.1.19900.2 |
| Signaturversion: | 1.379.1299.0 |
Nyheter
Förbättrad data completeness för nätverksanslutningshändelser
Förbättrade funktioner för datainsamling för filägarskap/behörighetsändringar
seManage i en del av paketet, till att seLinux-principer kan konfigureras i olika distributioner (fast).
Förbättrad stabilitet i företagsdaemon
Rensning av granskningsstoppsökväg
Förbättrad stabilitet för mdatp-stoppflödet.
Ett nytt fält har lagts till i wdavstate för att hålla reda på plattformsuppdateringstiden.
Stabilitetsförbättringar för att parsa Registreringsbloben för Defender för Endpoint.
Genomsökningen fortsätter inte om det inte finns någon giltig licens (fast)
Alternativet för prestandaspårning har lagts till i xPlatClientAnalyzer, där spårningsaktiverad mdatp-process dumpar flödet i all_process.zip fil som kan användas för analys av prestandaproblem.
Stöd har lagts till i Defender för Endpoint för följande RHEL-6-kernelversioner:
2.6.32-754.43.1.el6.x86_642.6.32-754.49.1.el6.x86_64
Andra korrigeringar
Kända problem
När du uppgraderar mdatp till version 101.94.13 kanske du märker att hälsotillståndet är falskt, med health_issues som "ingen aktiv kompletterande händelseleverantör". Detta kan inträffa på grund av felkonfigurerade/motstridiga granskningsregler på befintliga datorer. För att åtgärda problemet måste de granskade reglerna på de befintliga datorerna åtgärdas. Följande steg kan hjälpa dig att identifiera sådana granskade regler (dessa kommandon måste köras som superanvändare). Se till att säkerhetskopiera följande fil: '/etc/audit/rules.d/audit.rules'' eftersom de här stegen bara är för att identifiera fel.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- När du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version101.98.05. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod
Det finns två sätt att åtgärda problemet vid uppgradering.
Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.
Exempel:
sudo apt purge mdatp
sudo apt-get install mdatp
Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd före uppgraderingen. Varning! Vissa kunder (<1 %) har problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 Build: 101.94.13 | Versionsversion: 30.122112.19413.0
| Bygga: | 101.94.13 |
|---|---|
| Släppt: | 10 januari 2023 |
| Publicerad: | 10 januari 2023 |
| Versionsversion: | 30.122112.19413.0 |
| Motorversion: | 1.1.19700.3 |
| Signaturversion: | 1.377.550.0 |
Nyheter
- Det finns flera korrigeringar och nya ändringar i den här versionen
- Hoppa över karantän för hot i passivt läge som standard.
- Ny konfiguration, nonExecMountPolicy, kan nu användas för att ange beteendet för RTP på monteringspunkten markerad som noexec.
- Ny konfiguration, unmonitoredFilesystems, kan användas för att avövervaka vissa filsystem.
- Bättre prestanda under hög belastning och i scenarier med hastighetstest.
- Åtgärdar ett problem med åtkomst till SMB-resurser bakom Cisco AnyConnect VPN-anslutningar.
- Åtgärdar ett problem med nätverksskydd och SMB.
- stöd för spårning av prestanda.
- Förbättringar av TVM, eBPF, auditd, telemetry och mdatp cli.
- mdatp health rapporterar nu behavior_monitoring
- Andra korrigeringar.
Kända problem
När du uppgraderar mdatp till version
101.94.13kanske du märker att hälsotillståndet är falskt, med health_issues som "ingen aktiv kompletterande händelseprovider. Detta kan inträffa på grund av felkonfigurerade/motstridiga granskningsregler på befintliga datorer. För att åtgärda problemet måste de granskade reglerna på de befintliga datorerna åtgärdas. Följande steg kan hjälpa dig att identifiera sådana granskade regler (dessa kommandon måste köras som superanvändare). Gör en säkerhetskopia av följande fil:/etc/audit/rules.d/audit.ruleseftersom de här stegen bara är att identifiera fel.echo -c >> /etc/audit/rules.d/audit.rules augenrules --loadNär du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version 101.94.13. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod
Det finns två sätt att åtgärda problemet vid uppgradering.
Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.
Exempel:
sudo apt purge mdatp
sudo apt-get install mdatp
Som ett alternativ till ovanstående kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd före uppgraderingen. Varning! Vissa kunder (<1 %) har problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nov-2022 Build: 101.85.27 | Versionsversion: 30.122092.18527.0
| Bygga: | 101.85.27 |
|---|---|
| Släppt: | Den 2 november 2022 |
| Publicerad: | Den 2 november 2022 |
| Versionsversion: | 30.122092.18527.0 |
| Motorversion: | 1.1.19500.2 |
| Signaturversion: | 1.371.1369.0 |
Nyheter
- Det finns flera korrigeringar och nya ändringar i den här versionen
- V2-motorn är standard med den här versionen och V1-motorbitarna tas bort för förbättrad säkerhet.
- V2-motorn stöder konfigurationssökväg för AV-definitioner. (mdatp definitionsuppsättningssökväg)
- Externa paketberoenden har tagits bort från MDE paket. Borttagna beroenden är libatomic1, libselinux, libseccomp, libfuse och libuuid
- Om kraschinsamling inaktiveras av konfigurationen startas inte kraschövervakningsprocessen.
- Prestandakorrigeringar för optimal användning av systemhändelser för AV-funktioner.
- Stabilitetsförbättring vid omstart av problem med mdatp och inläsning av epsext.
- Andra korrigeringar
Kända problem
- När du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan det uppstå ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version 101.85.21. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod
Det finns två sätt att åtgärda problemet vid uppgradering.
Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.
Exempel:
sudo apt purge mdatp
sudo apt-get install mdatp
Som en alternativ metod följer du anvisningarna för att avinstallera och installerar sedan den senaste versionen av paketet.
Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd före uppgraderingen. Varning! Vissa kunder (<1 %) har problem med den här metoden.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Sep-2022 Build: 101.80.97 | Versionsversion: 30.122072.18097.0
| Bygga: | 101.80.97 |
|---|---|
| Släppt: | den 14 september 2022 |
| Publicerad: | den 14 september 2022 |
| Versionsversion: | 30.122072.18097.0 |
| Motorversion: | 1.1.19300.3 |
| Signaturversion: | 1.369.395.0 |
Nyheter
- Åtgärdar ett kernel-lås som observeras för utvalda kundarbetsbelastningar som kör mdatp-versionen
101.75.43. Efter RCA tillskrevs detta ett konkurrenstillstånd när ägarskapet för en sensorfilbeskrivning släpptes. Konkurrenstillståndet exponerades på grund av en ny produktändring i avstängningsvägen. Kunder med nyare kernelversioner (5.1+) påverkas inte av det här problemet. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.
Kända problem
När du uppgraderar från mdatp-versionen
101.75.43eller101.78.13kan du stöta på ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version101.80.97. Den här åtgärden bör förhindra att problemet uppstår.sudo mdatp config real-time-protection --value=disabled sudo systemctl disable mdatp
När du har kört kommandona använder du pakethanteraren för att utföra uppgraderingen.
Som en alternativ metod följer du anvisningarna för att avinstallera och installerar sedan den senaste versionen av paketet.
Aug-2022 Build: 101.78.13 | Versionsversion: 30.122072.17813.0
| Bygga: | 101.78.13 |
|---|---|
| Släppt: | 24 augusti 2022 |
| Publicerad: | 24 augusti 2022 |
| Versionsversion: | 30.122072.17813.0 |
| Motorversion: | 1.1.19300.3 |
| Signaturversion: | 1.369.395.0 |
Nyheter
- Återställd på grund av tillförlitlighetsproblem
Aug-2022 (Build: 101.75.43 | Versionsversion: 30.122071.17543.0)
| Bygga: | 101.75.43 |
|---|---|
| Släppt: | 2 augusti 2022 |
| Publicerad: | 2 augusti 2022 |
| Versionsversion: | 30.122071.17543.0 |
| Motorversion: | 1.1.19300.3 |
| Signaturversion: | 1.369.395.0 |
Nyheter
- Stöd har lagts till för Red Hat Enterprise Linux version 9.0
- Ett nytt fält har lagts till i utdata
mdatp healthför som kan användas för att fråga tvingande nivå för nätverksskyddsfunktionen. Det nya fältet anropasnetwork_protection_enforcement_leveloch kan ta något av följande värden:audit,blockellerdisabled. - Åtgärdat en produktbugg där flera identifieringar av samma innehåll kan leda till dubbla poster i hothistoriken
- Åtgärdat ett problem där en av processerna som skapades av produkten (
mdatp_audisp_plugin) ibland inte avslutades korrekt när tjänsten stoppades - Andra felkorrigeringar
Jul-2022 Build: 101.73.77 | Versionsversion: 30.122062.17377.0
| Bygga: | 101.73.77 |
|---|---|
| Släppt: | 21 juli 2022 |
| Publicerad: | 21 juli 2022 |
| Versionsversion: | 30.122062.17377.0 |
| Motorversion: | 1.1.19200.3 |
| Signaturversion: | 1.367.1011.0 |
Nyheter
- Ett alternativ har lagts till för att konfigurera beräkningen av filhash
- Från och med den här versionen har produkten den nya motorn mot skadlig kod som standard
- Prestandaförbättringar för filkopieringsåtgärder
- Buggfixar
Jun-2022 Build: 101.71.18 | Versionsversion: 30.122052.17118.0
| Bygga: | 101.71.18 |
|---|---|
| Släppt: | Den 24 juni 2022 |
| Publicerad: | Den 24 juni 2022 |
| Versionsversion: | 30.122052.17118.0 |
Nyheter
- Korrigering för att stödja definitionslagring på icke-standardplatser (utanför /var) för v2-definitionsuppdateringar
- Åtgärdade ett problem i produktsensorn som används på RHEL 6 som kan leda till att operativsystemet låser sig
-
mdatp connectivity testutökades med en extra URL som produkten kräver för att fungera korrekt. Den nya URL:en är https://go.microsoft.com/fwlink/?linkid=2144709. - Hittills har produktloggnivån inte bevarats mellan produktomstarter. Från och med den här versionen finns det en ny kommandoradsverktygsväxel som bevarar loggnivån. Det nya kommandot är
mdatp log level persist --level <level>. - Tog bort beroendet
pythonfrån produktinstallationspaketet - Prestandaförbättringar för filkopieringsåtgärder och bearbetning av nätverkshändelser som kommer från
auditd - Buggfixar
Maj-2022 Build: 101.68.80 | Versionsversion: 30.122042.16880.0
| Bygga: | 101.68.80 |
|---|---|
| Släppt: | 23 maj 2022 |
| Publicerad: | 23 maj 2022 |
| Versionsversion: | 30.122042.16880.0 |
Nyheter
- Stöd för kernelversion har lagts till
2.6.32-754.47.1.el6.x86_64vid körning på RHEL 6 - På RHEL 6 kan produkten nu installeras på enheter som kör UEK (Unbreakable Enterprise Kernel)
- Åtgärdade ett problem där processnamnet ibland visades felaktigt som
unknownnär det kördesmdatp diagnostic real-time-protection-statistics - Åtgärdade en bugg där produkten ibland felaktigt identifierade filer i karantänmappen
- Åtgärdade ett problem där
mdatpkommandoradsverktyget inte fungerade när/optdet monterades som en mjuk länk - Prestandaförbättringar & felkorrigeringar
Maj-2022 Build: 101.65.77 | Versionsversion: 30.122032.16577.0
| Bygga: | 101.65.77 |
|---|---|
| Släppt: | 2 maj 2022 |
| Publicerad: | 2 maj 2022 |
| Versionsversion: | 30.122032.16577.0 |
Nyheter
- Förbättrade fältet
conflicting_applicationsimdatp healthför att endast visa de senaste 10 processerna och även för att inkludera processnamnen. Det gör det enklare att identifiera vilka processer som kan vara i konflikt med Microsoft Defender för Endpoint för Linux. - Buggfixar
Mar-2022 (Version: 101.62.74 | Versionsversion: 30.122022.16274.0)
| Bygga: | 101.62.74 |
|---|---|
| Släppt: | 24 mar 2022 |
| Publicerad: | 24 mar 2022 |
| Versionsversion: | 30.122022.16274.0 |
Nyheter
- Åtgärdat ett problem där produkten felaktigt skulle blockera åtkomst till filer som är större än 2 GB när den körs på äldre kernelversioner
- Buggfixar
Mar-2022 Build: 101.60.93 | Versionsversion: 30.122012.16093.0
| Bygga: | 101.60.93 |
|---|---|
| Släppt: | 9 mar 2022 |
| Publicerad: | 9 mar 2022 |
| Versionsversion: | 30.122012.16093.0 |
Nyheter
- Den här versionen innehåller en säkerhetsuppdatering för CVE-2022-23278
Mar-2022 Build: 101.60.05 | Versionsversion: 30.122012.16005.0
| Bygga: | 101.60.05 |
|---|---|
| Släppt: | 3 mar 2022 |
| Publicerad: | 3 mar 2022 |
| Versionsversion: | 30.122012.16005.0 |
Nyheter
- Stöd har lagts till för kernelversion 2.6.32-754.43.1.el6.x86_64 för RHEL 6.10
- Buggfixar
Feb-2022 Build: 101.58.80 | Versionsversion: 30.122012.15880.0
| Bygga: | 101.58.80 |
|---|---|
| Släppt: | 20 februari 2022 |
| Publicerad: | 20 februari 2022 |
| Versionsversion: | 30.122012.15880.0 |
Nyheter
- Kommandoradsverktyget stöder nu återställning av filer i karantän till en annan plats än den där filen ursprungligen identifierades. Detta kan göras via
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]. - Från och med den här versionen kan nätverksskyddet för Linux utvärderas på begäran
- Buggfixar
Jan-2022 Build: 101.56.62 | Versionsversion: 30.121122.15662.0
| Bygga: | 101.56.62 |
|---|---|
| Släppt: | Den 26 januari 2022 |
| Publicerad: | Den 26 januari 2022 |
| Versionsversion: | 30.121122.15662.0 |
Nyheter
- Åtgärdade en produktkrasch som introducerades i 101.53.02 och som har påverkat flera kunder
Jan-2022 Build: 101.53.02 | Versionsversion: 30.121112.15302.0
| Bygga: | 101.53.02 |
|---|---|
| Släppt: | Den 8 januari 2022 |
| Publicerad: | Den 8 januari 2022 |
| Versionsversion: | 30.121112.15302.0 |
Nyheter
- Prestandaförbättringar & felkorrigeringar
2021-versioner
Build: 101.52.57 | Versionsversion: 30.121092.15257.0
| Bygga: | 101.52.57 |
|---|---|
| Versionsversion: | 30.121092.15257.0 |
Nyheter
- En funktion har lagts till för att identifiera sårbara Log4j-jars som används av Java-program. Datorn inspekteras regelbundet för att köra Java-processer med inlästa Log4j-jars. Informationen rapporteras till Microsoft Defender för Endpoint serverdel och exponeras i området Sårbarhetshantering i portalen.
Build: 101.47.76 | Versionsversion: 30.121092.14776.0
| Bygga: | 101.47.76 |
|---|---|
| Versionsversion: | 30.121092.14776.0 |
Nyheter
En ny växel har lagts till i kommandoradsverktyget för att styra om arkiv genomsöks under genomsökningar på begäran. Detta kan konfigureras via mdatp config scan-archives--value [enabled/disabled]. Som standard är den här inställningen inställd på aktiverad.
Buggfixar
Build: 101.45.13 | Versionsversion: 30.121082.14513.0
| Bygga: | 101.45.13 |
|---|---|
| Versionsversion: | 30.121082.14513.0 |
Nyheter
Från och med den här versionen ger vi Microsoft Defender för Endpoint stöd till följande distributioner:
- VERSIONERNA RHEL6.7-6.10 och CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 eller senare
Buggfixar
Build: 101.45.00 | Versionsversion: 30.121072.14500.0
| Bygga: | 101.45.00 |
|---|---|
| Versionsversion: | 30.121072.14500.0 |
Nyheter
- Nya växlar har lagts till i kommandoradsverktyget:
- Kontrollera graden av parallellitet för genomsökningar på begäran. Detta kan konfigureras via
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Som standard används en grad av parallellitet2. - Kontrollera om genomsökningar efter uppdateringar av säkerhetsinformation har aktiverats eller inaktiverats. Detta kan konfigureras via
mdatp config scan-after-definition-update --value [enabled/disabled]. Som standard är den här inställningen inställd påenabled. - Ändring av produktloggnivån kräver nu utökade privilegier
- Buggfixar
- Kontrollera graden av parallellitet för genomsökningar på begäran. Detta kan konfigureras via
Build: 101.39.98 | Versionsversion: 30.121062.13998.0
| Bygga: | 101.39.98 |
|---|---|
| Versionsversion: | 30.121062.13998.0 |
Nyheter
- Prestandaförbättringar & felkorrigeringar
Build: 101.34.27 | Versionsversion: 30.121052.13427.0
| Bygga: | 101.34.27 |
|---|---|
| Versionsversion: | 30.121052.13427.0 |
Nyheter
- Prestandaförbättringar & felkorrigeringar
Build: 101.29.64 | Versionsversion: 30.121042.12964.0
| Bygga: | 101.29.64 |
|---|---|
| Versionsversion: | 30.121042.12964.0 |
Nyheter
- Från och med den här versionen åtgärdas automatiskt hot som identifieras under antivirusgenomsökningar på begäran som utlöses via kommandoradsklienten. Hot som identifieras under genomsökningar som utlöses via användargränssnittet kräver fortfarande manuell åtgärd.
-
mdatp diagnostic real-time-protection-statisticsstöder nu ytterligare två växlar: -
--sort: sorterar utdata fallande efter totalt antal filer som genomsökts -
--top N: visar de N främsta resultaten (fungerar endast om--sortdet också anges) - Prestandaförbättringar & felkorrigeringar
Build: 101.25.72 | Versionsversion: 30.121022.12563.0
| Bygga: | 101.25.72 |
|---|---|
| Versionsversion: | 30.121022.12563.0 |
Nyheter
- Microsoft Defender för Endpoint på Linux är nu tillgänglig som förhandsversion för amerikanska myndighetskunder. Mer information finns i Microsoft Defender för Endpoint för amerikanska myndighetskunder.
- Åtgärdade ett problem där användningen av Microsoft Defender för Endpoint på Linux på system med FUSE-filsystem ledde till låsning i operativsystemet
- Prestandaförbättringar & andra felkorrigeringar
Build: 101.25.63 | Versionsversion: 30.121022.12563.0
| Bygga: | 101.25.63 |
|---|---|
| Versionsversion: | 30.121022.12563.0 |
Nyheter
- Prestandaförbättringar & felkorrigeringar
Build: 101.23.64 | Versionsversion: 30.121021.12364.0
| Bygga: | 101.23.64 |
|---|---|
| Versionsversion: | 30.121021.12364.0 |
Nyheter
- Prestandaförbättring för situationen där en hel monteringspunkt läggs till i listan över undantag för antivirusprogram. Före den här versionen bearbetas filaktiviteten för produkten från monteringspunkten. Från och med den här versionen ignoreras filaktiviteten för undantagna monteringspunkter, vilket leder till bättre produktprestanda
- Ett nytt alternativ har lagts till i kommandoradsverktyget för att visa information om den senaste genomsökningen på begäran. Om du vill visa information om den senaste genomsökningen på begäran kör du
mdatp health --details antivirus - Andra prestandaförbättringar & felkorrigeringar
Build: 101.18.53
Nyheter
EDR för Linux är nu allmänt tillgängligt
Lade till en ny kommandoradsväxel (
--ignore-exclusions) för att ignorera AV-undantag under anpassade genomsökningar (mdatp scan custom)Utökad
mdatp diagnostic createmed en ny parameter (--path [directory]) som gör att diagnostikloggarna kan sparas i en annan katalogPrestandaförbättringar & felkorrigeringar