Linux 上 適用於端點的 Microsoft Defender 的新功能

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

本文會經常更新，讓您知道 Linux 上最新版 適用於端點的 Microsoft Defender 的新功能。

• macOS 上適用於端點的 Microsoft Defender 的新功能
• iOS 上適用於端點的 Microsoft Defender 的新功能

2024 年 3 月 (組建：101.24022.0001 |版本：30.124022.0001.0)

2024 年 3 月組建：101.24022.0001 |版本：30.124022.0001.0

 發行日期： 2024 年 3 月 22 日
 發佈日期： 2024年3月22日
 組建： 101.24022.0001
 版本： 30.124022.0001.0
 引擎版本： 1.1.23110.4
 簽章版本： 1.403.87.0

新功能

此版本中有多個修正和新的變更：

• 新增記錄檔 - microsoft_defender_scan_skip.log。 這會記錄由於任何原因，適用於端點的 Microsoft Defender 從各種防病毒軟體掃描中略過的檔名。
• 穩定性和效能改善。
• 錯誤修正。

2024 年 3 月 (組建：101.24012.0001 |版本：30.124012.0001.0)

2024 年 3 月組建：101.24012.0001 |版本：30.124012.0001.0

 發行日期： 2024 年 3 月 12 日
 發佈日期： 2024年3月12日
 組建： 101.24012.0001
 版本： 30.124012.0001.0
 引擎版本： 1.1.23110.4
 簽章版本： 1.403.87.0

新功能 此版本中有多個修正和新的變更：

• 已將預設引擎版本更新為 1.1.23110.4，並將預設簽章版本更新為 1.403.87.0。
• 穩定性和效能改善。
• 錯誤修正。

2024 年 2 月 (組建：101.23122.0002 |版本：30.123122.0002.0)

2024 年 2 月組建：101.23122.0002 |版本：30.123122.0002.0

 發行日期： 2024 年 2 月 5 日
 發佈日期： 2024年2月5日
 組建： 101.23122.0002
 版本： 30.123122.0002.0
 引擎版本： 1.1.23100.2010
 簽章版本： 1.399.1389.0

新功能 此版本中有多個修正和新的變更：

• 已將預設引擎版本更新為 1.1.23100.2010，並將預設簽章版本更新為 1.399.1389.0。

• 一般穩定性和效能改善。

• 錯誤修正。

• Linux 上的 適用於端點的 Microsoft Defender 現在正式支援下列發行版和版本：

  散發 & 版本	環	套件
  水靈 2	生產環境	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  斯洛奇 8.7 和更新版本	測試人員速度緩慢	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  卡羅 9.2 和更新版本	測試人員速度緩慢	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  Alma 8.4 和更新版本	測試人員速度緩慢	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  Alma 9.2 和更新版本	測試人員速度緩慢	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

如果您已經在上述任何發行版上執行適用於端點的 Defender，且在舊版中遇到任何問題，請從上述對應的更新步調升級至最新的適用於端點的 Defender 版本。 如需詳細資訊，請參閱 我們的公用部署檔 。

注意事項

已知問題：

適用於端點的 Microsoft Defender 與 Alma 上的 Linux 版目前有下列已知問題：

• 目前不支援即時回應和威脅弱點管理， (進行中) 。
• Microsoft Defender 入口網站中看不到裝置的操作系統資訊

2024 年 1 月 (組建：101.23112.0009 |版本：30.123112.0009.0)

2024 年 1 月組建：101.23112.0009 |版本：30.123112.0009.0

 發行日期： 2024 年 1 月 29 日
 發佈日期： 2024年1月29日
 組建： 101.23112.0009
 版本： 30.123112.0009.0
 引擎版本： 1.1.23100.2010
 簽章版本： 1.399.1389.0

新功能

• 已將預設引擎版本更新為 1.1.23110.4，並將預設簽章版本更新為 1.403.1579.0。
• 一般穩定性和效能改善。
• 行為監視組態的錯誤修正。
• 錯誤修正。

2023 年 11 月 (組建：101.23102.0003 |版本：30.123102.0003.0)

2023 年 11 月組建：101.23102.0003 |版本：30.123102.0003.0

 發行 日期：2023 年 11 月 28 日
 發佈日期： 2023年11月28日
 組建： 101.23102.0003
 版本： 30.123102.0003.0
 引擎版本： 1.1.23090.2008
 簽章版本： 1.399.690.0

新功能

• 已將預設引擎版本更新為 1.1.23090.2008，並將預設簽章版本更新為 1.399.690.0。
• 已將 libcurl 連結庫更新為 版本 8.4.0 ，以修正較舊版本最近揭露的弱點。
• 已將Openssl連結庫更新為版本 3.1.1 ，以修正較舊版本最近揭露的弱點。
• 一般穩定性和效能改善。
• 錯誤修正。

2023 年 11 月 (組建：101.23092.0012 |版本：30.123092.0012.0)

2023 年 11 月組建：101.23092.0012 |版本：30.123092.0012.0

 發行日期： 2023年11月14日
 發佈日期： 2023年11月14日
 組建： 101.23092.0012
 版本： 30.123092.0012.0
 引擎版本： 1.1.23080.2007
 簽章版本： 1.395.1560.0

新功能

此版本中有多個修正和新的變更：

• 已使用下列命令新增支援，以根據原始路徑還原威脅：

sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]

• 從此版本開始，Linux 上的 適用於端點的 Microsoft Defender 將不再提供 RHEL 6 的解決方案。

  RHEL 6「延長生命週期結束支援」即將在 2024 年 6 月 30 日結束，建議客戶據以規劃其 RHEL 升級，以符合 Red Hat 的指引。 需要在 RHEL 6 伺服器上執行適用於端點的 Defender 的客戶可以繼續利用 101.23082.0011 版 (不會在 2024 年 6 月 30 日之前過期，) 核心版本 2.6.32-754.49.1.el6.x86_64 或更早版本支援。

  • 引擎更新為 1.1.23080.2007 和 Signatures Ver： 1.395.1560.0。
  • 簡化的裝置連線體驗現在處於公開預覽模式。 公用部落格
  • 效能改善 & 錯誤修正。

已知問題

• 在 ebpf 模式中核心 5.15.0-0.30.20 版上看到的 CPU 鎖定，如需詳細數據和風險降低選項，請參閱在 Linux 上使用 eBPF 型感測器 適用於端點的 Microsoft Defender。

2023 年 11 月 (組建：101.23082.0011 |版本：30.123082.0011.0)

2023 年 11 月組建：101.23082.0011 |版本：30.123082.0011.0

 發行日期： 2023 年 11 月 1 日
 發佈日期： 2023年11月1日
 組建： 101.23082.0011
 版本： 30.123082.0011.0
 引擎版本： 1.1.23070.1002
 簽章版本： 1.393.1305.0

新功能 這個新版本建置於 2023 年 10 月版本 ('101.23082.0009'') 並新增下列變更。 其他客戶沒有變更，升級是選擇性的。

修正增補子系統為 ebpf 時的不可變稽核模式：在 ebpf 模式中，在切換至 ebpf 並重新啟動之後，應清除所有 mdatp 稽核規則。 重新啟動之後，mdatp 稽核規則不會因為導致伺服器停止回應而清除。 修正程式會清除這些規則，用戶不應該看到在重新啟動時載入任何 mdatp 規則

修正未在 RHEL 6 上啟動 MDE。

已知問題

從 mdatp 101.75.43 版或 101.78.13 版升級時，您可能會遇到核心停止回應。 嘗試升級至 101.98.05 版之前，請執行下列命令。 如需基礎問題的詳細資訊，請參閱 系統停止響應，因為已封鎖的程式代碼中的工作。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 10 月 (組建：101.23082.0009 |版本：30.123082.0009.0)

2023 年 10 月組建：101.23082.0009 |版本：30.123082.0009.0

 發行日期： 2023年10月9日
 發佈日期： 2023年10月9日
 組建： 101.23082.0009
 版本： 30.123082.0009.0
 引擎版本： 1.1.23070.1002
 簽章版本： 1.393.1305.0

新功能

• 這個新版本建置於 2023 年 10 月版本， ('101.23082.0009'') 並新增 CA 憑證。 其他客戶沒有變更，升級是選擇性的。

已知問題

從 mdatp 101.75.43 版或 101.78.13 版升級時，您可能會遇到核心停止回應。 嘗試升級至 101.98.05 版之前，請執行下列命令。 如需基礎問題的詳細資訊，請參閱 系統停止響應，因為已封鎖的程式代碼中的工作。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 10 月 (組建：101.23082.0006 |版本：30.123082.0006.0)

2023 年 10 月組建：101.23082.0006 |版本：30.123082.0006.0

 發行日期： 2023年10月9日
 發佈日期： 2023年10月9日
 組建： 101.23082.0006
 版本： 30.123082.0006.0
 引擎版本： 1.1.23070.1002
 簽章版本： 1.393.1305.0

新功能

• 功能更新和新變更

  • eBPF 感測器現在是端點的預設增補事件提供者
  • 自 7 月中起，租使用者附加功能 Microsoft Intune 處於公開預覽 (狀態)
    • 您必須將 「*.dm.microsoft.com」 新增至防火牆排除專案，功能才能正確運作
  • 適用於端點的 Defender 現在適用於 Debian 12 和 Amazon Linux 2023
  • 支援啟用已下載更新的簽章驗證

    • 請注意，您必須更新manajed.json，如下所示

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • 啟用功能的必要條件

      • 裝置上的引擎版本必須是 「1.1.23080.007」 或更新版本。 使用下列命令檢查引擎版本。 mdatp health --field engine_version
  • 支援 NFS 和 FUSE 裝入點監視的選項。 預設會忽略這些專案。 下列範例示範如何監視所有文件系統，同時只略過 NFS：

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  監視所有檔案系統的範例，包括 NFS 和 FUSE：

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • 其他效能改善
  • 錯誤修正

已知問題

• 從 mdatp 101.75.43 版或 101.78.13 版升級時，您可能會遇到核心停止回應。 嘗試升級至 101.98.05 版之前，請執行下列命令。 如需基礎問題的詳細資訊，請參閱 系統停止響應，因為已封鎖的程式代碼中的工作。 有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 9 月 (組建：101.23072.0021 |版本：30.123072.0021.0)

2023 年 9 月組建：101.23072.0021 |版本：30.123072.0021.0

 發行日期： 2023年9月11日
 發佈日期： 2023年9月11日
 組建： 101.23072.0021
 版本： 30.123072.0021.0
 引擎版本： 1.1.20100.7
 簽章版本： 1.385.1648.0

新功能

• 此版本中有多個修正和新的變更
  • 在 mde_installer.sh v0.6.3 中，用戶可以在清除期間使用 --channel 自變數來提供已設定存放庫的通道。 例如，sudo ./mde_installer --clean --channel prod
  • 系統管理員現在可以使用 mdatp network-protection reset來重設網路擴充功能。
  • 其他效能改善
  • 錯誤修正

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 7 月 (組建：101.23062.0010 |版本：30.123062.0010.0)

2023 年 7 月組建：101.23062.0010 |版本：30.123062.0010.0

 發行日期： 2023年7月26日
 發佈日期： 2023年7月26日
 組建： 101.23062.0010
 版本： 30.123062.0010.0
 引擎版本： 1.1.20100.7
 簽章版本： 1.385.1648.0

新功能

• 此版本中有多個修正和新的變更

  • 如果為適用於端點的 Defender 設定 Proxy，則會顯示在命令輸出中mdatp health
  • 在此版本中，我們在 mdatp 診斷 Hot-event-sources 中提供了兩個選項：
    1. 檔案
    2. 可執行檔
  • 網路保護：網路保護封鎖並讓使用者覆寫區塊的 Connections 現在會正確回報給 Microsoft Defender 全面偵測回應
  • 改善網路保護區塊和稽核事件中的記錄以進行偵錯

• 其他修正和改善

  • 從這個版本開始，enforcementLevel 預設會處於被動模式，讓系統管理員更充分掌控其資產中想要「開啟 RTP」的位置
  • 這項變更僅適用於全新 MDE 部署，例如，第一次部署適用於端點的 Defender 的伺服器。 在更新案例中，已使用 RTP ON 部署適用於端點的 Defender 的伺服器會繼續使用 RTP ON 運作，甚至是更新至 101.23062.0010 版

• 錯誤修正

  • 已修正 Defender 弱點管理基準中的 RPM 資料庫損毀問題

• 其他效能改善

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 7 月 (組建：101.23052.0009 |版本：30.123052.0009.0)

2023 年 7 月組建：101.23052.0009 |版本：30.123052.0009.0

 發行日期： 2023年7月10日
 發佈日期： 2023年7月10日
 組建： 101.23052.0009
 版本： 30.123052.0009.0
 引擎版本： 1.1.20100.7
 簽章版本： 1.385.1648.0

新功能

• 此版本中有多個修正和新的變更 - 組建版本架構已從此版本更新。 雖然主要版本號碼維持與 101 相同，但次要版本號碼現在有五位數，後面接著四位數的修補編號， 101.xxxxx.yyy 也就是 - 已改善在壓力下的網路保護記憶體耗用量
  • 將引擎版本更新為 1.1.20300.5 ，並將簽章版本更新為 1.391.2837.0。
  • 錯誤修正。

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 6 月 (組建：101.98.89 |版本：30.123042.19889.0)

2023 年 6 月組建：101.98.89 |版本：30.123042.19889.0

 發行日期： 2023年6月12日
 發佈日期： 2023年6月12日
 組建： 101.98.89
 版本： 30.123042.19889.0
 引擎版本： 1.1.20100.7
 簽章版本： 1.385.1648.0

新功能

• 此版本中有多個修正和新的變更
  • 改善網路保護 Proxy 處理。
  • 在被動模式中，適用於端點的 Defender 不會再在定義更新發生時掃描。
  • 即使在適用於端點的 Defender 代理程式過期之後，裝置仍會繼續受到保護。 建議您將適用於端點的 Defender Linux 代理程式升級至最新可用版本，以接收錯誤修正、功能和效能改善。
  • 已移除語意套件相依性。
  • 引擎更新為 1.1.20100.7 和 Signatures Ver： 1.385.1648.0。
  • 錯誤修正。

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 5 月 (組建：101.98.64 |版本：30.123032.19864.0)

2023 年 5 月組建：101.98.64 |版本：30.123032.19864.0

 發行日期： 2023年5月3日
 發佈日期： 2023年5月3日
 組建： 101.98.64
 版本： 30.123032.19864.0
 引擎版本： 1.1.20100.6
 簽章版本： 1.385.68.0

新功能

• 此版本中有多個修正和新的變更
  • 健康情況訊息改善，可擷取稽核失敗的詳細數據。
  • 處理擴增功能的改善，導致安裝失敗。
  • 引擎進程中的定期記憶體清除。
  • 修正 mdatp 裝置外掛程式中的記憶體問題。
  • 在安裝期間處理遺漏的外掛程式目錄路徑。
  • 當衝突的應用程式使用封鎖傳送時，預設組態 mdatp 健康情況會顯示狀況不良。 這個問題現在已經修正。
  • 支援 BM中的ICMP流量檢查。
  • 引擎更新為 1.1.20100.6 和 Signatures Ver： 1.385.68.0。
  • 錯誤修正。

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 注意：有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 4 月 (組建：101.98.58 |版本：30.123022.19858.0)

2023 年 4 月組建：101.98.58 |版本：30.123022.19858.0

 發行日期： 2023年 4 月 20 日
 發佈日期： 2023年4月20日
 組建： 101.98.58
 版本： 30.123022.19858.0
 引擎版本： 1.1.20000.2
 簽章版本： 1.381.3067.0

新功能

• 此版本中有多個修正和新的變更
  • 稽核的記錄和錯誤報告改善。
  • 處理重載稽核組態時的失敗。
  • 在安裝期間處理空的稽核規則檔案 MDE。
  • 引擎更新為 1.1.20000.2 和 Signatures Ver： 1.381.3067.0。
  • 已解決 mdatp 中因 selinux 阻斷而發生的健康情況問題。
  • 錯誤修正。

已知問題

• 將 mdatp 升級至版本或更新版本 101.94.13 時，您可能會注意到健康情況為 false，health_issues為「沒有作用中的增補事件提供者」。 這可能是因為現有機器上的稽核規則設定錯誤/衝突所造成。 若要減輕此問題，必須修正現有計算機上的稽核規則。 下列命令可協助您識別這類稽核規則 (命令必須以進階使用者) 執行。 備份下列檔案：/etc/audit/rules.d/audit.rules，因為這些步驟只是為了識別失敗。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

有兩種方式可以減輕此升級問題：

1. 使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 注意：有些客戶 (<1%) 發生此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 3 月 (組建：101.98.30 |版本：30.123012.19830.0)

2023 年 3 月組建：101.98.30 |版本：30.123012.19830.0

 發行日期： 2023年3月20日
 發佈日期： 2023年3月20日
 組建： 101.98.30
 版本： 30.123012.19830.0
 引擎版本： 1.1.19900.2
 簽章版本： 1.379.1299.0
新功能

• 這個新版本建置於 2023 年 3 月版本 ('101.98.05'') ，其中修正了我們其中一個客戶的實時回應命令失敗。 其他客戶沒有變更，升級是選擇性的。

已知問題

• 使用 mdatp 101.98.30 版時，您可能會在某些情況下看到健康情況錯誤問題，因為特定案例未定義 SELinux 規則。 健康情況警告可能如下所示：

找到過去一天內的 SELinux 阻斷。 如果最近已安裝 MDATP，請清除現有的稽核記錄，或等候一天讓此問題自動解決。 使用命令：“sudo ausearch -i -c 'mdatp_audisp_pl' |grep “type=AVC” |grep 「拒絕」以尋找詳細數據

您可以執行下列命令來減輕此問題。

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

在這裡，my-mdatpaudisppl_v1代表原則模組名稱。 執行命令之後，請等候 24 小時，或清除/封存稽核記錄。 您可以執行下列命令來封存稽核記錄

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

萬一問題再次出現，並出現一些不同的拒絕。 我們需要使用不同的模組名稱再次執行風險降低 (例如 my-mdatpaudisppl_v2) 。

2023 年 3 月 (組建：101.98.05 |版本：30.123012.19805.0)

2023 年 3 月 (組建：101.98.05 |版本：30.123012.19805.0)

 發行日期： 2023年3月8日
 發佈日期： 2023年3月8日
 組建： 101.98.05
 版本： 30.123012.19805.0
 引擎版本： 1.1.19900.2
 簽章版本： 1.379.1299.0

新功能

此版本中有多個修正程式和新的變更。

• 改善網路連線事件的數據完整性
• 改善檔案擁有權/許可權變更的數據收集功能
• 在套件的一部分中，您可以在不同的發行版中設定 seLinux 原則， (固定) 。
• 改善企業精靈穩定性
• AuditD 停止路徑清除
• 改善 mdatp 停止流程的穩定性。
• 已將新欄位新增至 wdavstate，以追蹤平臺更新時間。
• 剖析適用於端點的 Defender 上線 Blob 的穩定性改善。
• 如果有效的授權不存在，則掃描不會繼續， (修正)
• 已將效能追蹤選項新增至 xPlatClientAnalyzer，且已啟用追蹤的 mdatp 進程會將流程傾印 all_process.zip 檔案中，以用於分析效能問題。
• 已在適用於端點的 Defender 中新增下列 RHEL-6 核心版本的支援：
  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64
• 其他修正

已知問題

• 將 mdatp 升級至 101.94.13 版時，您可能會注意到健康情況為 false，health_issues為「沒有作用中的增補事件提供者」。 這可能是因為現有機器上的稽核規則設定錯誤/衝突所造成。 若要減輕此問題，必須修正現有計算機上的稽核規則。 下列步驟可協助您識別這類稽核規則 (這些命令必須以進階使用者) 執行。 請務必備份下列檔案：『/etc/audit/rules.d/audit.rules』，因為這些步驟只是為了識別失敗。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.98.05之前，請先執行下列命令。 如需詳細資訊，請參閱在 傳送程式代碼中因封鎖工作而導致系統停止回應

有兩種方式可以減輕升級時的問題。

使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。 例如:

sudo apt purge mdatp
sudo apt-get install mdatp

或者，您可以依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 注意：某些 (<1%) 的客戶遇到此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 1 月 (組建：101.94.13 |版本：30.122112.19413.0)

2023 年 1 月 (組建：101.94.13 |版本：30.122112.19413.0)

 發行日期： 2023年1月10日
 發佈日期： 2023年1月10日
 組建： 101.94.13
 版本： 30.122112.19413.0
 引擎版本： 1.1.19700.3
 簽章版本： 1.377.550.0

新功能

• 此版本中有多個修正和新的變更
  • 預設會略過被動模式的威脅隔離。
  • 新的設定 nonExecMountPolicy 現在可用來指定標示為 noexec 之裝入點上的 RTP 行為。
  • 新的 config unmonitoredFilesystems 可用來解除監視特定文件系統。
  • 在高負載和速度測試案例下改善效能。
  • 修正存取 Cisco AnyConnect VPN 連線後方 SMB 共用的問題。
  • 修正網路保護和SMB的問題。
  • lttng 效能追蹤支援。
  • TVM、eBPF、稽核、遙測和 mdatp cli 改善。
  • mdatp 健康情況現在會報告behavior_monitoring
  • 其他修正。

已知問題

• 將 mdatp 升級至 版本 101.94.13時，您可能會注意到健康情況為 false，health_issues為「沒有作用中的增補事件提供者」。 這可能是因為現有機器上的稽核規則設定錯誤/衝突所造成。 若要減輕此問題，必須修正現有計算機上的稽核規則。 下列步驟可協助您識別這類稽核規則 (這些命令必須以進階使用者) 執行。 備份下列檔案： /etc/audit/rules.d/audit.rules 因為這些步驟只是為了識別失敗。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至 101.94.13 版之前，請執行下列命令。 如需詳細資訊，請參閱在 傳送程式代碼中因封鎖工作而導致系統停止回應

有兩種方式可以減輕升級時的問題。

使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

做為上述的替代方案，您可以依照指示卸 載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 注意：某些 (<1%) 的客戶遇到此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022 年 11 月 (組建：101.85.27 |版本：30.122092.18527.0)

2022 年 11 月 (組建：101.85.27 |版本：30.122092.18527.0)

 發行日期： 2022 年 11 月 2 日
 發佈日期： 2022 年 11 月 2 日
 組建： 101.85.27
 版本： 30.122092.18527.0
 引擎版本： 1.1.19500.2
 簽章版本： 1.371.1369.0

新功能

• 此版本中有多個修正和新的變更
  • V2 引擎是此版本的預設值，並移除 V1 引擎位以增強安全性。
  • V2 引擎支援AV定義的組態路徑。 (mdatp 定義集路徑)
  • 已從 MDE 套件移除外部套件相依性。 已移除的相依性為 libatomic1、libselinux、libseccomp、libfuse 和 libuuid
  • 如果組態已停用損毀收集，就不會啟動損毀監視程式。
  • 效能修正以最佳方式使用 AV 功能的系統事件。
  • 重新啟動 mdatp 和載入 epsext 問題時的穩定性改善。
  • 其他修正

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至 101.85.21 版之前，請執行下列命令。 如需詳細資訊，請參閱在 傳送程式代碼中因封鎖工作而導致系統停止回應

有兩種方式可以減輕升級時的問題。

使用您的套件管理員來卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

或者，請依照指示 卸載，然後 安裝 最新版的套件。

如果您不想卸載 mdatp，您可以在升級之前依序停用 rtp 和 mdatp。 注意：某些 (<1%) 的客戶遇到此方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022 年 9 月 (組建：101.80.97 |版本：30.122072.18097.0)

2022 年 9 月 (組建：101.80.97 |版本：30.122072.18097.0)

 發行日期： 2022 年 9 月 14 日
 發佈 日期：2022 年 9 月 14 日
 組建： 101.80.97
 版本： 30.122072.18097.0
 引擎版本： 1.1.19300.3
 簽章版本： 1.369.395.0

新功能

• 修正在執行 mdatp 版本 101.75.43的選取客戶工作負載上觀察到的核心停止回應。 在 RCA 之後，這會在釋放感測器檔案描述項的擁有權時歸屬於競爭條件。 競爭狀況是因為關機路徑中最近的產品變更而公開。 較新核心版本 (5.1+) 的客戶不會受到此問題的影響。 如需詳細資訊，請參閱程式 代碼中因封鎖工作而導致系統停止回應。

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13升級時，您可能會遇到核心停止回應。 嘗試升級至版本 101.80.97之前，請先執行下列命令。 此動作應該會防止發生問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

執行命令之後，請使用您的套件管理員來執行升級。

或者，請依照指示 卸載，然後 安裝 最新版的套件。

2022 年 8 月 (組建：101.78.13 |版本：30.122072.17813.0)

2022 年 8 月 (組建：101.78.13 |版本：30.122072.17813.0)

 發行日期： 2022 年 8 月 24 日
 發佈日期： 2022 年 8 月 24 日
 組建： 101.78.13
 版本： 30.122072.17813.0
 引擎版本： 1.1.19300.3
 簽章版本： 1.369.395.0

新功能

• 因可靠性問題而回復

2022 年 8 月 (組建：101.75.43 |版本：30.122071.17543.0)

2022 年 8 月 (組建：101.75.43 |版本：30.122071.17543.0)

 發行日期： 2022 年 8 月 2 日
 發佈日期： 2022 年 8 月 2 日
 組建： 101.75.43
 版本： 30.122071.17543.0
 引擎版本： 1.1.19300.3
 簽章版本： 1.369.395.0

新功能

• 已新增 Red Hat Enterprise Linux 9.0 版的支援
• 在的輸出 mdatp health 中新增了可用來查詢網路保護功能強制層級的新欄位。 新的欄位稱為 network_protection_enforcement_level ，可以採用下列其中一個值： audit、 block或 disabled。
• 解決相同內容的多個偵測可能會導致威脅歷程記錄中專案重複的產品錯誤
• 已解決當服務停止時，產品 () mdatp_audisp_plugin 所繁衍的其中一個進程有時未正確終止的問題
• 其他 Bug 修正
  

2022 年 7 月 (組建：101.73.77 |版本：30.122062.17377.0)

2022 年 7 月 (組建：101.73.77 |版本：30.122062.17377.0)

 發行日期： 2022 年 7 月 21 日
 發佈日期： 2022 年 7 月 21 日
 組建： 101.73.77
 版本： 30.122062.17377.0
 引擎版本： 1.1.19200.3
 簽章版本： 1.367.1011.0

新功能

• 已新增設定檔案哈希計算的選項
• 從此組建開始，產品預設會有新的反惡意代碼引擎
• 檔案複製作業的效能改善
• 錯誤修正
  

2022 年 6 月 (組建：101.71.18 |版本：30.122052.17118.0)

 發行日期： 2022 年 6 月 24 日
 發佈日期： 2022 年 6 月 24 日
 組建： 101.71.18
 版本： 30.122052.17118.0

新功能

• 修正以支援 v2 定義更新之 /var) 外部非標準位置 (的定義記憶體
• 已修正 RHEL 6 上所使用產品感測器中可能導致 OS 停止響應的問題
• mdatp connectivity test 已使用產品正常運作所需的額外 URL 來擴充。 新的網址是 https://go.microsoft.com/fwlink/?linkid=2144709。
• 到目前為止，產品記錄層級不會在產品重新啟動之間保存。 從這個版本開始，有一個新的命令行工具參數會保存記錄層級。 新的指令為 mdatp log level persist --level <level>。
• 已從產品安裝套件中移除 相 python 依性
• 檔案複製作業和源自網路事件處理的效能改進 auditd
• 錯誤修正
  

2022 年 5 月 (組建：101.68.80 |版本：30.122042.16880.0)

2022 年 5 月 (組建：101.68.80 |版本：30.122042.16880.0)

 發行日期： 2022 年 5 月 23 日
 發佈日期： 2022 年 5 月 23 日
 組建： 101.68.80
 版本： 30.122042.16880.0

新功能

• 已新增在 RHEL 6 上執行時的核心版本 2.6.32-754.47.1.el6.x86_64 支援
• 在 RHEL 6 上，產品現在可以安裝在執行 Unbreakable Enterprise Kernel (UEK)
• 已修正處理程式名稱有時在執行時不正確地顯示為 unknown 的問題 mdatp diagnostic real-time-protection-statistics
• 已修正產品有時偵測到隔離資料夾內檔案錯誤的錯誤
• 已修正將命令行工具掛接為軟連結時/opt，命令行工具無法運作的問題mdatp
• 效能改善 & 錯誤修正
  

2022 年 5 月 (組建：101.65.77 |版本：30.122032.16577.0)

2022 年 5 月 (組建：101.65.77 |版本：30.122032.16577.0)

 發行日期： 2022 年 5 月 2 日
 發佈日期： 2022 年 5 月 2 日
 組建： 101.65.77
 版本： 30.122032.16577.0

新功能

• 改善中的 conflicting_applications 欄位 mdatp health ，只顯示最近的10個進程，以及包含進程名稱。 這可讓您更輕鬆地識別哪些進程可能與Linux的 適用於端點的 Microsoft Defender衝突。
• Bug 修正

2022 年 3 月 (組建：101.62.74 |版本：30.122022.16274.0)

 發行日期： 2022 年 3 月 24 日
 發佈日期： 2022 年 3 月 24 日
 組建： 101.62.74
 版本： 30.122022.16274.0

新功能

• 解決在舊版核心版本上執行時，產品會不正確地封鎖對大小大於 2 GB 之檔案的存取的問題
• Bug 修正

2022 年 3 月 (組建：101.60.93 |版本：30.122012.16093.0)

2022 年 3 月 (組建：101.60.93 |版本：30.122012.16093.0)

 發行日期： 2022 年 3 月 9 日
 發佈日期： 2022 年 3 月 9 日
 組建： 101.60.93
 版本： 30.122012.16093.0

新功能

• 此版本包含 CVE-2022-23278 的安全性更新

2022 年 3 月 (組建：101.60.05 |版本：30.122012.16005.0)

 發行日期： 2022 年 3 月 3 日
 發佈日期： 2022 年 3 月 3 日
 組建： 101.60.05
 版本： 30.122012.16005.0

新功能

• 已新增 RHEL 6.10 核心版本 2.6.32-754.43.1.el6.x86_64的支援
• Bug 修正

2022 年 2 月 (組建：101.58.80 |版本：30.122012.15880.0)

2022 年 2 月 (組建：101.58.80 |版本：30.122012.15880.0)

 發行日期： 2022 年 2 月 20 日
 發佈 日期：2022 年 2 月 20 日
 組建： 101.58.80
 版本： 30.122012.15880.0

新功能

• 命令行工具現在支援將隔離的檔案還原至原先偵測到檔案的位置。 這可以透過 mdatp threat quarantine restore --id [threat-id] --path [destination-folder]來完成。
• 從此版本開始，可以視需要評估Linux的網路保護
• Bug 修正

2022 年 1 月 (組建：101.56.62 |版本：30.121122.15662.0)

2022 年 1 月 (組建：101.56.62 |版本：30.121122.15662.0)

 發行日期： 2022 年 1 月 26 日
 發佈日期： 2022 年 1 月 26 日
 組建： 101.56.62
 版本： 30.121122.15662.0

新功能

• 已修正 101.53.02 中導入的產品損毀，且已影響多個客戶

2022 年 1 月 (組建：101.53.02 |版本： (30.121112.15302.0)

 發行日期： 2022 年 1 月 8 日
 發佈 日期：2022 年 1 月 8 日
 組建： 101.53.02
 版本： 30.121112.15302.0

新功能

• 效能改善 & 錯誤修正

2021 版

(組建：101.52.57 |版本：30.121092.15257.0)

組建：101.52.57
版本：30.121092.15257.0

新功能

• 已新增可偵測 Java 應用程式所使用之易受攻擊 log4j jar 的功能。 系統會定期檢查計算機是否使用載入的log4j jar 執行Java進程。 資訊會回報給 適用於端點的 Microsoft Defender 後端，並在入口網站的 [弱點管理] 區域中公開。

(組建：101.47.76 |版本：30.121092.14776.0)

組建：101.47.76
版本：30.121092.14776.0

新功能

已將新的參數新增至命令行工具，以控制是否在隨選掃描期間掃描封存。 這可以透過 mdatp config scan-archives --value [enabled/disabled] 來設定。 根據預設，此設定會設定為已啟用。

• Bug 修正

(組建：101.45.13 |版本：30.121082.14513.0)

組建： 101.45.13
版本： 30.121082.14513.0

新功能

• 從此版本開始，我們將 適用於端點的 Microsoft Defender 支援下列發行版：

  • RHEL6.7-6.10 和 CentOS6.7-6.10 版本。
  • Amazon Linux 2
  • Fedora 33 或更新版本

• Bug 修正

(組建：101.45.00 |版本：30.121072.14500.0)

組建： 101.45.00
版本： 30.121072.14500.0

新功能

• 已將新的參數新增至命令列工具：
  • 視需要掃描的平行處理原則控制程度。 這可以透過 mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]來設定。 根據預設，會使用的平行 2 處理原則程度。
  • 控制啟用或停用安全性情報更新之後的掃描。 這可以透過 mdatp config scan-after-definition-update --value [enabled/disabled]來設定。 根據預設，這個設定會設定為 enabled。
• 變更產品記錄層級現在需要提高許可權
• Bug 修正

(組建：101.39.98 |版本：30.121062.13998.0)

組建： 101.39.98
版本： 30.121062.13998.0

新功能

效能改善 & 錯誤修正

(組建：101.34.27 |版本：30.121052.13427.0)

組建： 101.34.27
版本： 30.121052.13427.0

新功能

效能改善 & 錯誤修正

(組建：101.29.64 |版本：30.121042.12964.0)

組建： 101.29.64
版本： 30.121042.12964.0

新功能

• 從這個版本開始，透過命令行用戶端觸發的隨選防病毒軟體掃描期間偵測到的威脅會自動補救。 在透過使用者介面觸發的掃描期間偵測到的威脅仍然需要手動動作。
• mdatp diagnostic real-time-protection-statistics 現在支援另外兩個參數：
  • --sort：依掃描的檔案總數來排序輸出遞減
  • --top N：顯示前 N 個結果 (只有在 --sort 也指定了)
• 效能改善 & 錯誤修正

(組建：101.25.72 |版本：30.121022.12563.0)

組建： 101.25.72
版本： 30.121022.12563.0

新功能

Linux 上的 適用於端點的 Microsoft Defender 現在可供美國政府客戶預覽。 如需詳細資訊，請參閱美國政府客戶的 適用於端點的 Microsoft Defender。

• 已修正在具有 FUSE 檔系統的系統上使用 Linux 上 適用於端點的 Microsoft Defender 會導致 OS 停止回應的問題
• 其他錯誤修正 & 效能改善

(組建：101.25.63 |版本：30.121022.12563.0)

組建： 101.25.63
版本： 30.121022.12563.0

新功能

效能改善 & 錯誤修正

(組建：101.23.64 |版本：30.121021.12364.0)

組建： 101.23.64
版本：30.121021.12364.0

新功能

將整個裝入點新增至防病毒軟體排除清單的情況效能改善。 在此版本之前，產品處理的檔案活動源自裝入點。 從此版本開始，會隱藏排除裝入點的檔案活動，進而提升產品效能

• 已將新選項新增至命令行工具，以檢視上次隨選掃描的相關信息。 若要檢視上次隨選掃描的相關信息，請執行 mdatp health --details antivirus
• 其他效能改善 & 錯誤修正

(組建：101.18.53)

組建： 101.18.53

新增功能

適用於Linux的EDR現已 正式推出

• 新增新的指令列參數 (--ignore-exclusions) ，以在自訂掃描期間忽略 AV 排除 () mdatp scan custom
• 使用 mdatp diagnostic create 新的參數擴充 (--path [directory] 可讓診斷記錄儲存至不同目錄的)
• 效能改善 & 錯誤修正