Nyheter i Microsoft Defender för Endpoint i Linux

  • Artikel

Gäller för:

Den här artikeln uppdateras ofta för att informera dig om vad som är nytt i de senaste versionerna av Microsoft Defender för Endpoint på Linux.

Mars-2024 (Build: 101.24022.0001 | Versionsversion: 30.124022.0001.0)

Version mars-2024: 101.24022.0001 | Versionsversion: 30.124022.0001.0

 Publicerad: 22 mars 2024
 Publicerad: 22 mars 2024
 Build: 101.24022.0001
 Versionsversion: 30.124022.0001.0
 Motorversion: 1.1.23110.4
 Signaturversion: 1.403.87.0

Nyheter

Det finns flera korrigeringar och nya ändringar i den här versionen:

  • Tillägget av en ny loggfil – microsoft_defender_scan_skip.log. Då loggas filnamnen som hoppades över från olika antivirusgenomsökningar av Microsoft Defender för Endpoint på grund av någon anledning.
  • Stabilitets- och prestandaförbättringar.
  • Felkorrigeringar.
Mars-2024 (build: 101.24012.0001 | Versionsversion: 30.124012.0001.0)

Mars-2024 Build: 101.24012.0001 | Versionsversion: 30.124012.0001.0

 Publicerad: 12 mars 2024
 Publicerad: 12 mars 2024
 Build: 101.24012.0001
 Versionsversion: 30.124012.0001.0
 Motorversion: 1.1.23110.4
 Signaturversion: 1.403.87.0

Vad är det senaste Det finns flera korrigeringar och nya ändringar i den här versionen:

  • Standardmotorversionen har uppdaterats till 1.1.23110.4och standardsignaturversionen har uppdaterats till 1.403.87.0.
  • Stabilitets- och prestandaförbättringar.
  • Felkorrigeringar.
Februari-2024 (Build: 101.23122.0002 | Versionsversion: 30.123122.0002.0)

Februari-2024 Build: 101.23122.0002 | Versionsversion: 30.123122.0002.0

 Publicerad: 5 februari 2024
 Publicerad: 5 februari 2024
 Build: 101.23122.0002
 Versionsversion: 30.123122.0002.0
 Motorversion: 1.1.23100.2010
 Signaturversion: 1.399.1389.0

Vad är det senaste Det finns flera korrigeringar och nya ändringar i den här versionen:

Om du redan har Defender för Endpoint som körs på någon av dessa distributioner och har problem i de äldre versionerna uppgraderar du till den senaste Versionen av Defender för Endpoint från motsvarande ring som nämns ovan. Mer information finns i våra offentliga distributionsdokument .

Obs!

Kända problem:

Microsoft Defender för Endpoint för Linux på Rocky och Alma har för närvarande följande kända problem:

  • Hantering av livesvar och hotsårbarhet stöds för närvarande inte (pågående arbete).
  • Information om operativsystem för enheter visas inte i Microsoft Defender-portalen
Januari-2024 (Build: 101.23112.0009 | Versionsversion: 30.123112.0009.0)

Bygge januari-2024: 101.23112.0009 | Versionsversion: 30.123112.0009.0

 Publicerad: 29 januari 2024
 Publicerad: 29 januari 2024
 Build: 101.23112.0009
 Versionsversion: 30.123112.0009.0
 Motorversion: 1.1.23100.2010
 Signaturversion: 1.399.1389.0

Nyheter

  • Standardmotorversionen har uppdaterats till 1.1.23110.4och standardsignaturversionen har uppdaterats till 1.403.1579.0.
  • Allmänna stabilitets- och prestandaförbättringar.
  • Felkorrigering för konfiguration av beteendeövervakning.
  • Felkorrigeringar.
November-2023 (Build: 101.23102.0003 | Versionsversion: 30.123102.0003.0)

November-2023 Build: 101.23102.0003 | Versionsversion: 30.123102.0003.0

 Publicerad: 28 november 2023
 Publicerad: 28 november 2023
 Build: 101.23102.0003
 Versionsversion: 30.123102.0003.0
 Motorversion: 1.1.23090.2008
 Signaturversion: 1.399.690.0

Nyheter

  • Standardmotorversionen har uppdaterats till 1.1.23090.2008och standardsignaturversionen har uppdaterats till 1.399.690.0.
  • Libcurl-biblioteket har uppdaterats till version 8.4.0 för att åtgärda nyligen avslöjade säkerhetsrisker med den äldre versionen.
  • Uppdaterade Openssl-biblioteket till version 3.1.1 för att åtgärda nyligen avslöjade säkerhetsrisker med den äldre versionen.
  • Allmänna stabilitets- och prestandaförbättringar.
  • Felkorrigeringar.
November-2023 (build: 101.23092.0012 | Versionsversion: 30.123092.0012.0)

November-2023 Build: 101.23092.0012 | Versionsversion: 30.123092.0012.0

 Publicerad: 14 november 2023
 Publicerad: 14 november 2023
 Build: 101.23092.0012
 Versionsversion: 30.123092.0012.0
 Motorversion: 1.1.23080.2007
 Signaturversion: 1.395.1560.0

Nyheter

Det finns flera korrigeringar och nya ändringar i den här versionen:

  • Stöd har lagts till för att återställa hot baserat på den ursprungliga sökvägen med följande kommando:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]

  • Från och med den här versionen kommer Microsoft Defender för Endpoint på Linux inte längre att leverera en lösning för RHEL 6.

    RHEL 6 "Extended end of life support" är redo att avslutas senast den 30 juni 2024 och kunder rekommenderas att planera sina RHEL-uppgraderingar i enlighet med vägledning från Red Hat. Kunder som behöver köra Defender för Endpoint på RHEL 6-servrar kan fortsätta att utnyttja version 101.23082.0011 (upphör inte att gälla före den 30 juni 2024) som stöds i kernelversionerna 2.6.32-754.49.1.el6.x86_64 eller tidigare.

    • Motoruppdatering till 1.1.23080.2007 och Signaturer Ver: 1.395.1560.0.
    • Den strömlinjeformade enhetsanslutningsupplevelsen är nu i allmänt förhandsgranskningsläge. offentlig blogg
    • Prestandaförbättringar & felkorrigeringar.

Kända problem

November-2023 (build: 101.23082.0011 | Versionsversion: 30.123082.0011.0)

November-2023 Build: 101.23082.0011 | Versionsversion: 30.123082.0011.0

 Publicerad: 1 november 2023
 Publicerad: 1 november 2023
 Build: 101.23082.0011
 Versionsversion: 30.123082.0011.0
 Motorversion: 1.1.23070.1002
 Signaturversion: 1.393.1305.0

Vad är det senaste Den här nya versionen är skapad i oktober 2023 ("101.23082.0009") med tillägg av följande ändringar. Det finns ingen ändring för andra kunder och uppgradering är valfritt.

Korrigering för oföränderligt läge för granskning när kompletterande undersystem är ebpf: I ebpf-läge bör alla mdatp-granskningsregler rensas efter växling till ebpf och omstart. Efter omstarten rensades inte mdatp-granskningsreglerna på grund av att servern låser sig. Korrigeringen rensar dessa regler. Användaren bör inte se några mdatp-regler som läses in vid omstart

Korrigering för MDE startar inte på RHEL 6.

Kända problem

När du uppgraderar från mdatp version 101.75.43 eller 101.78.13 kan det uppstå en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information om det underliggande problemet finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod.

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 (version: 101.23082.0009 | Versionsversion: 30.123082.0009.0)

Oktober-2023 Build: 101.23082.0009 | Versionsversion: 30.123082.0009.0

 Publicerad: 9 oktober 2023
 Publicerad: 9 oktober 2023
 Build: 101.23082.0009
 Versionsversion: 30.123082.0009.0
 Motorversion: 1.1.23070.1002
 Signaturversion: 1.393.1305.0

Nyheter

  • Den här nya versionen är skapad i oktober 2023 ("101.23082.0009") med tillägg av nya CA-certifikat. Det finns ingen ändring för andra kunder och uppgradering är valfritt.

Kända problem

När du uppgraderar från mdatp version 101.75.43 eller 101.78.13 kan det uppstå en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information om det underliggande problemet finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod.

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Oktober-2023 (build: 101.23082.0006 | Versionsversion: 30.123082.0006.0)

Oktober-2023 Build: 101.23082.0006 | Versionsversion: 30.123082.0006.0

 Publicerad: 9 oktober 2023
 Publicerad: 9 oktober 2023
 Build: 101.23082.0006
 Versionsversion: 30.123082.0006.0
 Motorversion: 1.1.23070.1002
 Signaturversion: 1.393.1305.0

Nyheter

  • Funktionsuppdateringar och nya ändringar

    • eBPF-sensorn är nu standardprovidern för kompletterande händelser för slutpunkter
    • Microsoft Intune funktionen för klientkoppling är i offentlig förhandsversion (från och med mitten av juli)
      • Du måste lägga till "*.dm.microsoft.com" i brandväggsundantag för att funktionen ska fungera korrekt
    • Defender för Endpoint är nu tillgängligt för Debian 12 och Amazon Linux 2023
    • Stöd för att aktivera signaturverifiering av hämtade uppdateringar

      • Observera att du måste uppdatera manajed.json enligt nedan

          "features":{
    "OfflineDefinitionUpdateVerifySig":"enabled"
  }

      • Förutsättning för att aktivera funktionen

        • Motorversionen på enheten måste vara "1.1.23080.007" eller högre. Kontrollera motorversionen med hjälp av följande kommando. mdatp health --field engine_version
    • Alternativ för övervakning av NFS- och FUSE-monteringspunkter. Dessa ignoreras som standard. I följande exempel visas hur du övervakar alla filsystem samtidigt som endast NFS ignoreras:
      "antivirusEngine": {
      "unmonitoredFilesystems": ["nfs"]
  }

    Exempel för att övervaka alla filsystem, inklusive NFS och FUSE:

    "antivirusEngine": {
    "unmonitoredFilesystems": []
}
    • Andra prestandaförbättringar
    • Felkorrigeringar

Kända problem

  • När du uppgraderar från mdatp version 101.75.43 eller 101.78.13 kan det uppstå en kernellåsning. Kör följande kommandon innan du försöker uppgradera till version 101.98.05. Mer information om det underliggande problemet finns i Systemlåsning på grund av blockerade uppgifter i fanotify-kod. Det finns två sätt att åtgärda det här uppgraderingsproblemet:
  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
September-2023 (version: 101.23072.0021 | Versionsversion: 30.123072.0021.0)

Version september-2023: 101.23072.0021 | Versionsversion: 30.123072.0021.0

 Publicerad: 11 september 2023
 Publicerad: 11 september 2023
 Build: 101.23072.0021
 Versionsversion: 30.123072.0021.0
 Motorversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen
    • I mde_installer.sh v0.6.3 kan användarna använda --channel argumentet för att ange kanalen för den konfigurerade lagringsplatsen under rensningen. Till exempel sudo ./mde_installer --clean --channel prod
    • Nätverkstillägget kan nu återställas av administratörer med hjälp av mdatp network-protection reset.
    • Andra prestandaförbättringar
    • Felkorrigeringar

Kända problem

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 (Build: 101.23062.0010 | Versionsversion: 30.123062.0010.0)

Juli-2023 Build: 101.23062.0010 | Versionsversion: 30.123062.0010.0

 Publicerad: 26 juli 2023
 Publicerad: 26 juli 2023
 Build: 101.23062.0010
 Versionsversion: 30.123062.0010.0
 Motorversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen

    • Om en proxy har angetts för Defender för Endpoint visas den mdatp health i kommandots utdata
    • Med den här versionen har vi angett två alternativ i mdatp diagnostic hot-event-sources:
      1. Filer
      2. Körbara filer
    • Nätverksskydd: Connections som blockeras av Nätverksskydd och har blockerats av användare rapporteras nu korrekt till Microsoft Defender XDR
    • Förbättrad loggning i nätverksskyddsblockering och granskningshändelser för felsökning

  • Andra korrigeringar och förbättringar

    • Från den här versionen är enforcementLevel i passivt läge som standard vilket ger administratörer mer kontroll över var de vill ha "RTP på" i sin egendom
    • Den här ändringen gäller endast för nya MDE distributioner, till exempel servrar där Defender för Endpoint distribueras för första gången. I uppdateringsscenarier fortsätter servrar som har Defender för Endpoint distribuerat med RTP ON att fungera med RTP ON även efter uppdateringen till version 101.23062.0010

  • Felkorrigeringar

    • RPM-databasfel i defender-baslinjen för sårbarhetshantering har åtgärdats

  • Andra prestandaförbättringar

Kända problem

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juli-2023 (version: 101.23052.0009 | Versionsversion: 30.123052.0009.0)

Juli-2023 Build: 101.23052.0009 | Versionsversion: 30.123052.0009.0

 Publicerad: 10 juli 2023
 Publicerad: 10 juli 2023
 Build: 101.23052.0009
 Versionsversion: 30.123052.0009.0
 Motorversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen – versionsschemat uppdateras från den här versionen. Även om huvudversionsnumret fortfarande är samma som 101, har delversionsnumret nu fem siffror följt av ett fyrsiffrigt korrigeringsnummer som är , 101.xxxxx.yyy - Förbättrad minnesförbrukning för nätverksskydd under stress
    • Uppdaterade motorversionen till 1.1.20300.5 och signaturversionen till 1.391.2837.0.
    • Felkorrigeringar.

Kända problem

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Juni-2023 (Build: 101.98.89 | Versionsversion: 30.123042.19889.0)

Juni-2023 Build: 101.98.89 | Versionsversion: 30.123042.19889.0

 Publicerad: 12 juni 2023
 Publicerad: 12 juni 2023
 Build: 101.98.89
 Versionsversion: 30.123042.19889.0
 Motorversion: 1.1.20100.7
 Signaturversion: 1.385.1648.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen
    • Förbättrad hantering av nätverksskyddsproxy.
    • I passivt läge söker Defender för Endpoint inte längre igenom när definitionsuppdateringen sker.
    • Enheter fortsätter att skyddas även när Defender för Endpoint-agenten har upphört att gälla. Vi rekommenderar att du uppgraderar Defender för Endpoint Linux-agenten till den senaste tillgängliga versionen för att få felkorrigeringar, funktioner och prestandaförbättringar.
    • Tog bort semanage-paketberoende.
    • Motoruppdatering till 1.1.20100.7 och Signaturer Ver: 1.385.1648.0.
    • Felkorrigeringar.

Kända problem

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Maj-2023 (Build: 101.98.64 | Versionsversion: 30.123032.19864.0)

Maj-2023 Build: 101.98.64 | Versionsversion: 30.123032.19864.0

 Publicerad: 3 maj 2023
 Publicerad: 3 maj 2023
 Build: 101.98.64
 Versionsversion: 30.123032.19864.0
 Motorversion: 1.1.20100.6
 Signaturversion: 1.385.68.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen
    • Förbättringar av hälsomeddelanden för att samla in information om granskade fel.
    • Förbättringar för att hantera augenrules, vilket orsakade installationsfel.
    • Periodisk minnesrensning i motorprocessen.
    • Korrigering av minnesproblem i plugin-programmet mdatp audisp.
    • Hanterade sökvägen till plugin-programmet som saknades under installationen.
    • När ett program i konflikt använder blockerande fanotify visas mdatp-statusen för standardkonfigurationen inte felfri. Detta är nu åtgärdat.
    • Stöd för ICMP-trafikgranskning i BM.
    • Motoruppdatering till 1.1.20100.6 och Signaturer Ver: 1.385.68.0.
    • Felkorrigeringar.

Kända problem

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Varning! Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
April-2023 (version: 101.98.58 | Versionsversion: 30.123022.19858.0)

April-2023 Build: 101.98.58 | Versionsversion: 30.123022.19858.0

 Publicerad: 20 april 2023
 Publicerad: 20 april 2023
 Build: 101.98.58
 Versionsversion: 30.123022.19858.0
 Motorversion: 1.1.20000.2
 Signaturversion: 1.381.3067.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen
    • Förbättringar av loggning och felrapportering för granskning.
    • Hantera fel vid omläsning av den granskade konfigurationen.
    • Hantering av tomma granskade regelfiler under installationen av MDE.
    • Motoruppdatering till 1.1.20000.2 och Signaturer Ver: 1.381.3067.0.
    • Åtgärdat ett hälsoproblem i mdatp som inträffar på grund av selinux-nekanden.
    • Felkorrigeringar.

Kända problem

  • När du uppgraderar mdatp till version 101.94.13 eller senare kanske du märker att hälsotillståndet är falskt, med health_issues som "ingen aktiv kompletterande händelseprovider". Detta kan inträffa på grund av felkonfigurerade/motstridiga granskningsregler på befintliga datorer. För att åtgärda problemet måste de granskade reglerna på de befintliga datorerna åtgärdas. Följande kommandon kan hjälpa dig att identifiera sådana granskade regler (kommandon måste köras som superanvändare). Gör en säkerhetskopia av följande fil: /etc/audit/rules.d/audit.rules eftersom de här stegen bara är att identifiera fel.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

Det finns två sätt att åtgärda det här uppgraderingsproblemet:

  1. Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp
  1. Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd innan du uppgraderar. Varning! Vissa kunder (<1 %) upplever problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Mars-2023 (build: 101.98.30 | Versionsversion: 30.123012.19830.0)

Mars-2023 Build: 101.98.30 | Versionsversion: 30.123012.19830.0

 Publicerad: mars , 20,2023
 Publicerad: 20 mars 2023
 Build: 101.98.30
 Versionsversion: 30.123012.19830.0
 Motorversion: 1.1.19900.2
 Signaturversion: 1.379.1299.0
Nyheter

  • Den här nya versionen är skapad i mars 2023 ('101.98.05'') med en korrigering för Live-svarskommandon som misslyckas för en av våra kunder. Det finns ingen ändring för andra kunder och uppgradering är valfritt.

Kända problem

  • Med mdatp version 101.98.30 kan du se ett falskt hälsoproblem i vissa fall, eftersom SELinux-regler inte har definierats för vissa scenarier. Hälsovarningen kan se ut ungefär så här:

hittade SELinux-förnekanden under den senaste dagen. Om MDATP nyligen har installerats rensar du de befintliga granskningsloggarna eller väntar en dag på att problemet ska åtgärdas automatiskt. Använd kommandot: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "denied" för att hitta information

Problemet kan åtgärdas genom att köra följande kommandon.

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

Här representerar my-mdatpaudisppl_v1 principmodulens namn. När du har kört kommandona väntar du antingen i 24 timmar eller rensar/arkiverar granskningsloggarna. Granskningsloggarna kan arkiveras genom att köra följande kommando

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

Om problemet återkommer med några olika nekanden. Vi måste köra åtgärden igen med ett annat modulnamn (till exempel my-mdatpaudisppl_v2).

Mars-2023 (Build: 101.98.05 | Versionsversion: 30.123012.19805.0)

Mars-2023 (Build: 101.98.05 | Versionsversion: 30.123012.19805.0)

 Publicerad: mars , 08,2023
 Publicerad: 8 mars 2023
 Build: 101.98.05
 Versionsversion: 30.123012.19805.0
 Motorversion: 1.1.19900.2
 Signaturversion: 1.379.1299.0

Nyheter

Det finns flera korrigeringar och nya ändringar i den här versionen.

  • Förbättrad data completeness för nätverksanslutningshändelser
  • Förbättrade funktioner för datainsamling för filägarskap/behörighetsändringar
  • seManage i en del av paketet, till att seLinux-principer kan konfigureras i olika distributioner (fast).
  • Förbättrad stabilitet i företagsdaemon
  • Rensning av granskningsstoppsökväg
  • Förbättrad stabilitet för mdatp-stoppflödet.
  • Ett nytt fält har lagts till i wdavstate för att hålla reda på plattformsuppdateringstiden.
  • Stabilitetsförbättringar för att parsa Registreringsbloben för Defender för Endpoint.
  • Genomsökningen fortsätter inte om det inte finns någon giltig licens (fast)
  • Alternativet för prestandaspårning har lagts till i xPlatClientAnalyzer, där spårningsaktiverad mdatp-process dumpar flödet i all_process.zip fil som kan användas för analys av prestandaproblem.
  • Stöd har lagts till i Defender för Endpoint för följande RHEL-6-kernelversioner:
    • 2.6.32-754.43.1.el6.x86_64
    • 2.6.32-754.49.1.el6.x86_64
  • Andra korrigeringar

Kända problem

  • När du uppgraderar mdatp till version 101.94.13 kanske du märker att hälsotillståndet är falskt, med health_issues som "ingen aktiv kompletterande händelseleverantör". Detta kan inträffa på grund av felkonfigurerade/motstridiga granskningsregler på befintliga datorer. För att åtgärda problemet måste de granskade reglerna på de befintliga datorerna åtgärdas. Följande steg kan hjälpa dig att identifiera sådana granskade regler (dessa kommandon måste köras som superanvändare). Se till att säkerhetskopiera följande fil: '/etc/audit/rules.d/audit.rules'' eftersom de här stegen bara är för att identifiera fel.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

Det finns två sätt att åtgärda problemet vid uppgradering.

Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen. Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp

Alternativt kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd före uppgraderingen. Varning! Vissa kunder (<1 %) har problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Jan-2023 (Build: 101.94.13 | Versionsversion: 30.122112.19413.0)

Jan-2023 (Build: 101.94.13 | Versionsversion: 30.122112.19413.0)

 Publicerad: 10 januari 2023
 Publicerad: 10 januari 2023
 Build: 101.94.13
 Versionsversion: 30.122112.19413.0
 Motorversion: 1.1.19700.3
 Signaturversion: 1.377.550.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen
    • Hoppa över karantän för hot i passivt läge som standard.
    • Ny konfiguration, nonExecMountPolicy, kan nu användas för att ange beteendet för RTP på monteringspunkten markerad som noexec.
    • Ny konfiguration, unmonitoredFilesystems, kan användas för att avövervaka vissa filsystem.
    • Bättre prestanda under hög belastning och i scenarier med hastighetstest.
    • Åtgärdar ett problem med åtkomst till SMB-resurser bakom Cisco AnyConnect VPN-anslutningar.
    • Åtgärdar ett problem med nätverksskydd och SMB.
    • stöd för spårning av prestanda.
    • Förbättringar av TVM, eBPF, auditd, telemetri och mdatp cli.
    • mdatp health rapporterar nu behavior_monitoring
    • Andra korrigeringar.

Kända problem

  • När du uppgraderar mdatp till version 101.94.13kanske du märker att hälsotillståndet är falskt, med health_issues som "ingen aktiv kompletterande händelseprovider". Detta kan inträffa på grund av felkonfigurerade/motstridiga granskningsregler på befintliga datorer. För att åtgärda problemet måste de granskade reglerna på de befintliga datorerna åtgärdas. Följande steg kan hjälpa dig att identifiera sådana granskade regler (dessa kommandon måste köras som superanvändare). Gör en säkerhetskopia av följande fil: /etc/audit/rules.d/audit.rules eftersom de här stegen bara är att identifiera fel.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

Det finns två sätt att åtgärda problemet vid uppgradering.

Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp

Som ett alternativ till ovanstående kan du följa anvisningarna för att avinstallera och sedan installera den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd före uppgraderingen. Varning! Vissa kunder (<1 %) har problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Nov-2022 (Build: 101.85.27 | Versionsversion: 30.122092.18527.0)

Nov-2022 (Build: 101.85.27 | Versionsversion: 30.122092.18527.0)

 Publicerad: 2 november 2022
 Publicerad: 02 november 2022
 Build: 101.85.27
 Versionsversion: 30.122092.18527.0
 Motorversion: 1.1.19500.2
 Signaturversion: 1.371.1369.0

Nyheter

  • Det finns flera korrigeringar och nya ändringar i den här versionen
    • V2-motorn är standard med den här versionen och V1-motorbitarna tas bort för förbättrad säkerhet.
    • V2-motorn stöder konfigurationssökväg för AV-definitioner. (mdatp definitionsuppsättningssökväg)
    • Externa paketberoenden har tagits bort från MDE paket. Borttagna beroenden är libatomic1, libselinux, libseccomp, libfuse och libuuid
    • Om kraschinsamling inaktiveras av konfigurationen startas inte kraschövervakningsprocessen.
    • Prestandakorrigeringar för optimal användning av systemhändelser för AV-funktioner.
    • Stabilitetsförbättring vid omstart av problem med mdatp och inläsning av epsext.
    • Andra korrigeringar

Kända problem

Det finns två sätt att åtgärda problemet vid uppgradering.

Använd pakethanteraren för att avinstallera 101.75.43 eller 101.78.13 mdatp-versionen.

Exempel:

sudo apt purge mdatp
sudo apt-get install mdatp

Som en alternativ metod följer du anvisningarna för att avinstallera och installerar sedan den senaste versionen av paketet.

Om du inte vill avinstallera mdatp kan du inaktivera rtp och mdatp i följd före uppgraderingen. Varning! Vissa kunder (<1 %) har problem med den här metoden.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Sep-2022 (Build: 101.80.97 | Versionsversion: 30.122072.18097.0)

Sep-2022 (Build: 101.80.97 | Versionsversion: 30.122072.18097.0)

 Publicerad: 14 september 2022
 Publicerad: 14 september 2022
 Build: 101.80.97
 Versionsversion: 30.122072.18097.0
 Motorversion: 1.1.19300.3
 Signaturversion: 1.369.395.0

Nyheter

  • Åtgärdar ett kernel-lås som observeras för utvalda kundarbetsbelastningar som kör mdatp-versionen 101.75.43. Efter RCA tillskrevs detta ett konkurrenstillstånd när ägarskapet för en sensorfilbeskrivning släpptes. Konkurrenstillståndet exponerades på grund av en ny produktändring i avstängningsvägen. Kunder med nyare kernelversioner (5.1+) påverkas inte av det här problemet. Mer information finns i Systemlåsning på grund av blockerade uppgifter i fanotifiera kod.

Kända problem

  • När du uppgraderar från mdatp-versionen 101.75.43 eller 101.78.13kan du stöta på ett kernel-lås. Kör följande kommandon innan du försöker uppgradera till version 101.80.97. Den här åtgärden bör förhindra att problemet uppstår.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

När du har kört kommandona använder du pakethanteraren för att utföra uppgraderingen.

Som en alternativ metod följer du anvisningarna för att avinstallera och installerar sedan den senaste versionen av paketet.













Aug-2022 (Version: 101.78.13 | Versionsversion: 30.122072.17813.0)

Aug-2022 (Version: 101.78.13 | Versionsversion: 30.122072.17813.0)

 Publicerad: 24 augusti 2022
 Publicerad: 24 augusti 2022
 Build: 101.78.13
 Versionsversion: 30.122072.17813.0
 Motorversion: 1.1.19300.3
 Signaturversion: 1.369.395.0

Nyheter

  • Återställd på grund av tillförlitlighetsproblem













Aug-2022 (Build: 101.75.43 | Versionsversion: 30.122071.17543.0)

Aug-2022 (Build: 101.75.43 | Versionsversion: 30.122071.17543.0)

 Publicerad: 2 augusti 2022
 Publicerad: 2 augusti 2022
 Build: 101.75.43
 Versionsversion: 30.122071.17543.0
 Motorversion: 1.1.19300.3
 Signaturversion: 1.369.395.0

Nyheter

  • Stöd har lagts till för Red Hat Enterprise Linux version 9.0
  • Ett nytt fält har lagts till i utdata mdatp health för som kan användas för att fråga tvingande nivå för nätverksskyddsfunktionen. Det nya fältet anropas network_protection_enforcement_level och kan ta något av följande värden: audit, blockeller disabled.
  • Åtgärdat en produktbugg där flera identifieringar av samma innehåll kan leda till dubbla poster i hothistoriken
  • Åtgärdat ett problem där en av processerna som skapades av produkten (mdatp_audisp_plugin) ibland inte avslutades korrekt när tjänsten stoppades
  • Andra felkorrigeringar













Jul-2022 (Build: 101.73.77 | Versionsversion: 30.122062.17377.0)

Jul-2022 (Build: 101.73.77 | Versionsversion: 30.122062.17377.0)

 Publicerad: 21 juli 2022
 Publicerad: 21 juli 2022
 Build: 101.73.77
 Versionsversion: 30.122062.17377.0
 Motorversion: 1.1.19200.3
 Signaturversion: 1.367.1011.0

Nyheter

  • Ett alternativ har lagts till för att konfigurera beräkningen av filhash
  • Från och med den här versionen har produkten den nya motorn för program mot skadlig kod som standard
  • Prestandaförbättringar för filkopieringsåtgärder
  • Felkorrigeringar













Jun-2022 (Build: 101.71.18 | Versionsversion: 30.122052.17118.0)

 Publicerad: 24 juni 2022
 Publicerad: 24 juni 2022
 Build: 101.71.18
 Versionsversion: 30.122052.17118.0

Nyheter

  • Korrigering för att stödja definitionslagring på icke-standardplatser (utanför /var) för v2-definitionsuppdateringar
  • Åtgärdade ett problem i produktsensorn som används på RHEL 6 som kan leda till att operativsystemet låser sig
  • mdatp connectivity test utökades med en extra URL som produkten kräver för att fungera korrekt. Den nya URL:en är https://go.microsoft.com/fwlink/?linkid=2144709.
  • Hittills har produktloggnivån inte bevarats mellan produktomstarter. Från och med den här versionen finns det en ny kommandoradsverktygsväxel som bevarar loggnivån. Det nya kommandot är mdatp log level persist --level <level>.
  • Tog bort beroendet python från produktinstallationspaketet
  • Prestandaförbättringar för filkopieringsåtgärder och bearbetning av nätverkshändelser som kommer från auditd
  • Felkorrigeringar













Maj-2022 (Build: 101.68.80 | Versionsversion: 30.122042.16880.0)

Maj-2022 (Build: 101.68.80 | Versionsversion: 30.122042.16880.0)

 Publicerad: 23 maj 2022
 Publicerad: 23 maj 2022
 Build: 101.68.80
 Versionsversion: 30.122042.16880.0

Nyheter

  • Stöd för kernelversion har lagts till 2.6.32-754.47.1.el6.x86_64 vid körning på RHEL 6
  • På RHEL 6 kan produkten nu installeras på enheter som kör UEK (Unbreakable Enterprise Kernel)
  • Åtgärdade ett problem där processnamnet ibland visades felaktigt som unknown när det kördes mdatp diagnostic real-time-protection-statistics
  • Åtgärdade en bugg där produkten ibland felaktigt identifierade filer i karantänmappen
  • Åtgärdade ett problem där mdatp kommandoradsverktyget inte fungerade när /opt det monterades som en mjuk länk
  • Prestandaförbättringar & felkorrigeringar













Maj-2022 (build: 101.65.77 | Versionsversion: 30.122032.16577.0)

Maj-2022 (build: 101.65.77 | Versionsversion: 30.122032.16577.0)

 Publicerad: 2 maj 2022
 Publicerad: 2 maj 2022
 Build: 101.65.77
 Versionsversion: 30.122032.16577.0

Nyheter

  • Förbättrade fältet conflicting_applications i mdatp health för att endast visa de senaste 10 processerna och även för att inkludera processnamnen. Det gör det enklare att identifiera vilka processer som kan vara i konflikt med Microsoft Defender för Endpoint för Linux.
  • Buggfixar



Mar-2022 (Version: 101.62.74 | Versionsversion: 30.122022.16274.0)

 Publicerad: 24 mar 2022
 Publicerad: 24 mar 2022
 Build: 101.62.74
 Versionsversion: 30.122022.16274.0

Nyheter

  • Åtgärdat ett problem där produkten felaktigt skulle blockera åtkomst till filer som är större än 2 GB när den körs på äldre kernelversioner
  • Buggfixar



Mar-2022 (Version: 101.60.93 | Versionsversion: 30.122012.16093.0)

Mar-2022 (Version: 101.60.93 | Versionsversion: 30.122012.16093.0)

 Publicerad: 9 mar 2022
 Publicerad: 9 mar 2022
 Build: 101.60.93
 Versionsversion: 30.122012.16093.0

Nyheter

  • Den här versionen innehåller en säkerhetsuppdatering för CVE-2022-23278



Mar-2022 (Build: 101.60.05 | Versionsversion: 30.122012.16005.0)

 Publicerad: 3 mar 2022
 Publicerad: 3 mar 2022
 Build: 101.60.05
 Versionsversion: 30.122012.16005.0

Nyheter

  • Stöd har lagts till för kernelversion 2.6.32-754.43.1.el6.x86_64 för RHEL 6.10
  • Buggfixar



Feb-2022 (Build: 101.58.80 | Versionsversion: 30.122012.15880.0)

Feb-2022 (Build: 101.58.80 | Versionsversion: 30.122012.15880.0)

 Publicerad: 20 feb 2022
 Publicerad: 20 feb 2022
 Build: 101.58.80
 Versionsversion: 30.122012.15880.0

Nyheter

  • Kommandoradsverktyget stöder nu återställning av filer i karantän till en annan plats än den där filen ursprungligen identifierades. Detta kan göras via mdatp threat quarantine restore --id [threat-id] --path [destination-folder].
  • Från och med den här versionen kan nätverksskyddet för Linux utvärderas på begäran
  • Buggfixar



Jan-2022 (Build: 101.56.62 | Versionsversion: 30.121122.15662.0)

Jan-2022 (Build: 101.56.62 | Versionsversion: 30.121122.15662.0)

 Publicerad: 26 januari 2022
 Publicerad: 26 januari 2022
 Build: 101.56.62
 Versionsversion: 30.121122.15662.0

Nyheter

  • Åtgärdade en produktkrasch som introducerades i 101.53.02 och som har påverkat flera kunder



Jan-2022 (Build: 101.53.02 | Versionsversion: (30.121112.15302.0)

 Publicerad: 8 januari 2022
 Publicerad: 8 januari 2022
 Build: 101.53.02
 Versionsversion: 30.121112.15302.0

Nyheter

  • Prestandaförbättringar & felkorrigeringar
2021-versioner
(Build: 101.52.57 | Versionsversion: 30.121092.15257.0)

Build: 101.52.57
Versionsversion: 30.121092.15257.0

Vad är det senaste

  • En funktion har lagts till för att identifiera sårbara log4j-jar-filer som används av Java-program. Datorn inspekteras regelbundet för att köra Java-processer med inlästa log4j jars. Informationen rapporteras till Microsoft Defender för Endpoint serverdel och exponeras i området Sårbarhetshantering i portalen.

(Build: 101.47.76 | Versionsversion: 30.121092.14776.0)

Build: 101.47.76
Versionsversion: 30.121092.14776.0

Nyheter

  • En ny växel har lagts till i kommandoradsverktyget för att styra om arkiv genomsöks under genomsökningar på begäran. Detta kan konfigureras via mdatp config scan-archives --value [enabled/disabled]. Som standard är den här inställningen inställd på aktiverad.

    • Buggfixar
    • (Build: 101.45.13 | Versionsversion: 30.121082.14513.0)

    Build: 101.45.13
    Versionsversion: 30.121082.14513.0

    Nyheter

    • Från och med den här versionen ger vi Microsoft Defender för Endpoint stöd till följande distributioner:

      • VERSIONERNA RHEL6.7-6.10 och CentOS6.7-6.10.
      • Amazon Linux 2
      • Fedora 33 eller senare

    • Buggfixar

    (Build: 101.45.00 | Versionsversion: 30.121072.14500.0)

    Build: 101.45.00
    Versionsversion: 30.121072.14500.0

    Nyheter

    • Nya växlar har lagts till i kommandoradsverktyget:
      • Kontrollera graden av parallellitet för genomsökningar på begäran. Detta kan konfigureras via mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Som standard används en grad av parallellitet 2 .
      • Kontrollera om genomsökningar efter uppdateringar av säkerhetsinformation har aktiverats eller inaktiverats. Detta kan konfigureras via mdatp config scan-after-definition-update --value [enabled/disabled]. Som standard är den här inställningen inställd på enabled.
    • Ändring av produktloggnivån kräver nu utökade privilegier
    • Buggfixar
    (Build: 101.39.98 | Versionsversion: 30.121062.13998.0)

    Build: 101.39.98
    Versionsversion: 30.121062.13998.0

    Nyheter

  • Prestandaförbättringar & felkorrigeringar

    • (Build: 101.34.27 | Versionsversion: 30.121052.13427.0)

    Build: 101.34.27
    Versionsversion: 30.121052.13427.0

    Nyheter

  • Prestandaförbättringar & felkorrigeringar

    • (Build: 101.29.64 | Versionsversion: 30.121042.12964.0)

    Build: 101.29.64
    Versionsversion: 30.121042.12964.0

    Nyheter

    • Från och med den här versionen åtgärdas automatiskt hot som identifieras under antivirusgenomsökningar på begäran som utlöses via kommandoradsklienten. Hot som identifieras under genomsökningar som utlöses via användargränssnittet kräver fortfarande manuell åtgärd.
    • mdatp diagnostic real-time-protection-statistics stöder nu ytterligare två växlar:
      • --sort: sorterar utdata fallande efter totalt antal filer som genomsökts
      • --top N: visar de N främsta resultaten (fungerar endast om --sort det också anges)
    • Prestandaförbättringar & felkorrigeringar
    (Build: 101.25.72 | Versionsversion: 30.121022.12563.0)

    Build: 101.25.72
    Versionsversion: 30.121022.12563.0

    Nyheter

  • Microsoft Defender för Endpoint på Linux är nu tillgänglig som förhandsversion för amerikanska myndighetskunder. Mer information finns i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

    • Åtgärdade ett problem där användningen av Microsoft Defender för Endpoint på Linux på system med FUSE-filsystem ledde till låsning i operativsystemet
    • Prestandaförbättringar & andra felkorrigeringar
    • (Build: 101.25.63 | Versionsversion: 30.121022.12563.0)

    Build: 101.25.63
    Versionsversion: 30.121022.12563.0

    Nyheter

  • Prestandaförbättringar & felkorrigeringar

    • (Build: 101.23.64 | Versionsversion: 30.121021.12364.0)

    Build: 101.23.64
    Versionsversion: 30.121021.12364.0

    Nyheter

  • Prestandaförbättring för situationen där en hel monteringspunkt läggs till i listan över undantag för antivirusprogram. Före den här versionen bearbetas filaktiviteten för produkten från monteringspunkten. Från och med den här versionen ignoreras filaktiviteten för undantagna monteringspunkter, vilket leder till bättre produktprestanda

    • Ett nytt alternativ har lagts till i kommandoradsverktyget för att visa information om den senaste genomsökningen på begäran. Om du vill visa information om den senaste genomsökningen på begäran kör du mdatp health --details antivirus
    • Andra prestandaförbättringar & felkorrigeringar
    • (Build: 101.18.53)

    Build: 101.18.53

    Nyheter

  • EDR för Linux är nu allmänt tillgängligt

    • Lade till en ny kommandoradsväxel (--ignore-exclusions) för att ignorera AV-undantag under anpassade genomsökningar (mdatp scan custom)
    • Utökad mdatp diagnostic create med en ny parameter (--path [directory]) som gör att diagnostikloggarna kan sparas i en annan katalog
    • Prestandaförbättringar & felkorrigeringar