将基于 eBPF 的传感器用于 Linux 上的Microsoft Defender for Endpoint

项目
09/09/2024

适用于：

注意

从 Linux 上的 Defender for Endpoint 版本 101.2408.0000开始，不再支持 AuditD 作为补充事件提供程序。有关详细信息，请参阅本文末尾的常见问题解答。

适用于 Linux 上Microsoft Defender for Endpoint的扩展 Berkeley 数据包筛选器 (eBPF) 为 Linux 操作系统提供补充事件数据。 eBPF 有助于解决 AuditD 事件提供程序中出现的多类问题，在性能和系统稳定性方面非常有用。

主要的优点包括：

降低系统范围的 AuditD 相关日志干扰
优化了系统范围的事件规则，否则会导致应用程序之间的冲突
降低了文件事件 (文件读取/打开) 监视的开销
提高了事件速率吞吐量，减少了内存占用量
优化了特定配置的性能

eBPF 的工作原理

使用 eBPF 时，以前从 AuditD 事件提供程序获取的事件现在从 eBPF 传感器流出。这有助于提高系统稳定性，提高 CPU 和内存利用率，并减少磁盘使用率。 eBPF 有助于降低应用程序之间发生冲突的可能性，因为不需要自定义规则。与 eBPF 相关的数据将记录到 /var/log/microsoft/mdatp/microsoft_defender_core.log 文件中。

此外，eBPF 传感器使用 Linux 内核的功能，而无需使用有助于提高系统稳定性的内核模块。

系统先决条件

Linux 上用于 Microsoft Defender for Endpoint 的 eBPF 传感器在以下最低分发版本和内核版本上受支持：

Linux 分发版	分发版本	内核版本
Ubuntu	16.04	4.15.0
Fedora	33	5.8.15
CentOS	7.6	3.10.0-957.10
SLES	15	5.3.18-18.47
RHEL	7.6	3.10.0-957.10
Debian	9.0	4.19.0
Oracle Linux RHCK	7.9	3.10.0-1160
Oracle Linux UEK	7.9	5.4
Amazon Linux 2	2	5.4.261-174.360
Rocky Linux 8	8.7	4.18.0-425
Rocky Linux 9	9.2	5.14.0-284
Alma Linux 8	8.4	4.18.0-305
Alma Linux 9	9.2	5.14.0-284

注意

内核版本为 5.15.0-0.30.20.el8uek.x86_64、5.15.0-0.30.20.1.el8uek.x86_64 的 Oracle Linux 8.8 将在 eBPF 作为补充子系统提供程序启用时导致内核挂起。此内核版本不应用于 eBPF 模式。有关缓解步骤，请参阅故障排除和诊断部分。

使用 eBPF

默认情况下，系统会自动为所有客户启用代理版本及更高版本的 101.23082.0006 eBPF 传感器。客户需要更新到受支持的版本才能体验该功能。在终结点上启用 eBPF 传感器时，Linux 上的 Defender for Endpoint 会将supplementary_events_subsystem更新为 ebpf。

如果要手动禁用 eBPF，可以运行以下命令：

sudo mdatp config ebpf-supplementary-event-provider --value [enabled/disabled]

还可以更新 mdatp_managed.json 文件：

{
    "features": {
        "ebpfSupplementaryEventProvider": "disabled"
    }
}

有关详细示例 json 文件 - 在 Linux 上设置Microsoft Defender for Endpoint首选项，请参阅链接。

重要

如果禁用 eBPF 或在任何特定内核上不支持 eBPF 的情况下，补充事件提供程序将切换到 Netlink。所有进程操作将继续无缝流动，但你可能会错过 eBPF 在其他情况下捕获的特定文件和套接字相关事件。

还可以使用 Microsoft Defender 门户中的高级搜寻检查 linux 终结点上 eBPF (已启用/禁用) 的状态。步骤如下：

转到Microsoft Defender门户并登录。
在导航窗格中，转到 “搜寻>高级搜寻”。
在“高级搜寻”下，转到“Defender 漏洞管理”。
运行以下查询： DeviceTvmInfoGathering。
在输出的“ 其他字段 ”列中，选择“ 显示更多”，然后查找 “EBPF STATUS： true”。

AuditD 的不可变模式

对于在不可变模式下使用 AuditD 的客户，启用 eBPF 后需要重新启动，以便清除 Microsoft Defender for Endpoint 添加的审核规则。此要求是 AuditD 的不可变模式的限制，这会冻结规则文件并禁止编辑/覆盖。此问题通过重新启动得到解决。

重新启动后，运行以下命令以检查是否清除了审核规则：

% sudo auditctl -l

上一命令的输出不应显示任何规则或任何用户添加的规则。如果未删除规则，请执行以下步骤以清除审核规则文件：

切换到 ebpf 模式。
删除文件 /etc/audit/rules.d/mdatp.rules。
重新启动计算机。

故障排除和诊断

可以通过运行mdatp运行状况命令检查代理运行状况状态。使用以下命令行检查当前内核版本，确保支持适用于 Linux 上的 Defender for Endpoint 的 eBPF 传感器：

uname -a

已知问题

使用 SAP 在 RHEL 8.1 版本上启用 eBPF 可能会导致内核崩溃。若要缓解此问题，可以执行以下步骤之一：
- 使用高于 RHEL 8.1 的发行版版本。
- 如果需要使用 RHEL 8.1 版本，请切换到 AuditD 模式。
将 Oracle Linux 8.8 与内核版本 5.15.0-0.30.20.el8uek.x86_64、5.15.0-0.30.20.1.el8uek.x86_64 配合使用可能会导致内核崩溃。若要缓解此问题，可以执行以下步骤之一：
- 如果要使用 eBPF 作为补充子系统提供程序，请在 Oracle Linux 8.8 上使用高于或低于 5.15.0-0.30.20.el8uek.x86_64、5.15.0-0.30.20.1.el8uek.x86_64 的内核版本。 Oracle Linux 的最低内核版本为 RHCK 3.10.0，Oracle Linux UEK 为 5.4。
- 如果需要使用相同的内核版本，请切换到 AuditD 模式

sudo mdatp config  ebpf-supplementary-event-provider  --value disabled

以下两组数据有助于分析潜在问题并确定最有效的解决方法选项。

使用以下说明从客户端分析器工具收集诊断包：排查 Linux 上Microsoft Defender for Endpoint的性能问题。
在 Defender for Endpoint 使用大量资源时，使用以下说明收集调试诊断包：在 Linux 资源上Microsoft Defender for Endpoint。

排查性能问题

如果终结点上Microsoft Defender资源消耗增加，请务必确定导致大部分 CPU/内存使用率的进程/装入点/文件。然后，可以应用必要的排除项。应用可能的防病毒排除项后，如果 wdavdaemon (父进程) 仍在消耗资源，请使用 ebpf-statistics 命令获取排名靠前的系统调用计数：

sudo mdatp diagnostic  ebpf-statistics

Output
Monitor 20 seconds
Top file paths:
/var/log/microsoft/mdatp/microsoft_defender.log : 10
/var/log/microsoft/mdatp/rotated/microsoft_defender.log00001 : 2
/var/log/microsoft/mdatp/rotated/microsoft_defender.log : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374993 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374991 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374989 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374987 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374985 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374983 : 1
/home/gargank/tmp-stress-ng-rename-13550-31/stress-ng-rename-13550-31-374981 : 1

Top initiator paths:
/usr/bin/stress-ng : 50000
/opt/microsoft/mdatp/sbin/wdavdaemon : 13

Top syscall ids:
82 : 1699333
90 : 10
87 : 3

在前面的输出中，可以看到 stress-ng 是生成大量事件的主要进程，并可能导致性能问题。最有可能的 stress-ng 正在生成 ID 为 82 的系统调用。可以使用 Microsoft 创建票证，以排除此过程。将来，作为即将推出的增强功能的一部分，你可以对最终应用此类排除项有更多的控制权。

应用于 AuditD 的排除项无法迁移或复制到 eBPF。 eBPF 内部已处理干扰性日志、内核崩溃、干扰性 syscalls 等常见问题。如果想要添加任何进一步的排除项，请联系 Microsoft 以应用必要的排除项。

常见问题解答 - 过渡到 eBPF

1. 为什么要考虑迁移到 eBPF？

Linux 上适用于 Microsoft Defender for Endpoint 的扩展 Berkeley 数据包筛选器 (eBPF) 是 AuditD 的有效替代方案，解决了与 AuditD 事件提供程序相关的各种挑战，同时在性能和系统稳定性方面提供显著优势。一些关键优势包括 -

性能：与 AuditD 相比，eBPF 通过减少系统资源的开销显著提高了性能。
资源效率：eBPF 使用的资源更少，即使在负载较重的情况下，也有助于保持系统稳定性。
可伸缩性：eBPF 的体系结构更具可伸缩性，因此对于工作负载不断增加或复杂环境而言，它是更好的选择。
现代技术：eBPF 是一种与未来 Linux 内核开发保持一致的现代前瞻性技术，可确保更好的长期支持。

2. 如何继续使用 AuditD？

如果想要继续使用 AuditD：

支持的版本：可以保留在 Linux 版本 101.24072.0000 上的 Defender for Endpoint 上，这将在生成有效期（大约 9 个月）期间支持 AuditD。这提供了足够的过渡期来计划迁移到 eBPF。通过在 Linux 服务器上运行命令 mdatp health ，可以检查到期日期。
Long-Term 计划：在继续 101.24072.0000 执行生成是一个选项时，我们建议你计划在此时间范围内过渡到 eBPF，以确保你从最新的安全和性能改进中受益，并获得持续支持。

也就是说，我们的建议是计划将 eBPF 用作主要事件提供程序。

3. 如果在某些情况下不支持 eBPF，会发生什么情况？

在不支持 eBPF 的情况下：

Netlink 回退：系统回退到使用 Netlink 事件提供程序。虽然 Netlink 继续捕获 (进程事件（exec例如、、exit、 forkgid或 tid) ），但它不支持文件系统相关事件 (例如 rename、 unlink) 或套接字事件。
影响：工作负载不会中断，但可能会错过 eBPF 在其他情况下捕获的特定文件和套接字相关事件。

4. 如何使用更新版本管理排除项？

以下是放置 AuditD 排除项的一些常见原因：

性能，因为某些 syscall 或进程正在产生大量干扰
内核崩溃，有时大量 syscalls 特别是网络/文件系统调用会导致内核崩溃。
干扰性日志，其中审核日志占用磁盘空间。客户放置了干扰进程的排除项，以减小日志大小。

使用 eBPF 时，前两个用例是迁移的候选项。日志不再是 eBPF 的问题。对于前两个用例，可以从以下选项中进行选择：

联系支持人员：联系Microsoft以从后端应用排除项。
全局排除：在 Linux 上的 Defender for Endpoint 更新版本中，可以使用全局排除项来管理排除项。全局排除项同时适用于防病毒和 EDR，目前可以通过托管 json 进行配置。有关详细信息，请参阅并验证 Microsoft Defender for Endpoint 在Linux上的排除。

5. 如果出现问题，我该怎么办？

联系支持人员：如果在过渡到 eBPF 期间或之后遇到任何问题，请联系技术支持寻求帮助。我们致力于确保平稳过渡，并可帮助解决你可能面临的任何挑战。
支持渠道：可以通过Microsoft Defender门户联系支持人员。此外，我们的知识库和社区论坛是排查常见问题的宝贵资源。

通过