Configurer les mises à jour de security intelligence hors connexion pour Microsoft Defender pour point de terminaison sur Linux

Fonctionnement des mises à jour du renseignement de sécurité hors connexion

Cet article explique comment configurer les mises à jour du renseignement de sécurité hors connexion dans Defender pour point de terminaison sur Linux. Cette fonctionnalité vous permet de mettre à jour le renseignement de sécurité (également appelé définitions ou signatures) sur les appareils Linux qui ont une exposition limitée ou inexistante à Internet. Avec cette configuration, vous utilisez un serveur d’hébergement local, appelé serveur miroir, qui se connecte au cloud Microsoft pour télécharger les mises à jour du renseignement de sécurité. D’autres appareils Linux extrayent ces mises à jour de votre serveur miroir à des intervalles prédéfinis.

Avantages de l’utilisation des mises à jour du renseignement de sécurité hors connexion

Les principaux avantages sont les suivants :

• Votre équipe de sécurité peut contrôler et gérer la fréquence des téléchargements de signatures sur le serveur local et la fréquence à laquelle les points de terminaison extrayent les signatures du serveur local.
• Vous disposez d’une couche supplémentaire de protection et de contrôle, car les signatures téléchargées peuvent être testées sur un appareil de test avant d’être propagées à l’ensemble du parc.
• Vous avez besoin de moins de bande passante réseau, car un seul serveur local reçoit les dernières mises à jour du cloud Microsoft pour le compte de l’ensemble de votre flotte.
• Votre serveur miroir peut exécuter Windows, Mac ou Linux, et vous n’avez pas besoin d’installer Defender pour point de terminaison sur ce serveur.
• Vous bénéficiez de la protection antivirus la plus récente, car les signatures sont toujours téléchargées avec le dernier moteur antivirus compatible.
• Les versions antérieures des signatures (n-1) sont déplacées vers un dossier de sauvegarde sur votre serveur miroir dans chaque itération. En cas de problème avec les dernières mises à jour, vous pouvez extraire la version de signature n-1 du dossier de sauvegarde vers vos appareils.
• Dans les rares cas où une mise à jour hors connexion échoue, vous pouvez configurer une option de secours pour obtenir des mises à jour en ligne à partir du cloud Microsoft.

Fonctionnement de la mise à jour du renseignement de sécurité hors connexion

• Vous configurez un serveur miroir, qui est un serveur web local ou NFS accessible par le cloud Microsoft.
• Les signatures sont téléchargées à partir du cloud Microsoft sur ce serveur miroir en exécutant un script à l’aide d’un travail cron ou du planificateur de tâches sur le serveur local.
• Les points de terminaison Linux exécutant Defender pour point de terminaison extrayent les signatures téléchargées à partir du serveur miroir à un intervalle de temps prédéfini.
• Les signatures extraites du serveur local sur les appareils Linux sont d’abord vérifiées avant d’être chargées dans le moteur antivirus.
• Pour démarrer et configurer le processus de mise à jour, vous pouvez mettre à jour le fichier json de configuration managée sur vos appareils Linux.
• Vous pouvez afficher la status des mises à jour dans l’interface CLI mdatp.

Figure 1 : Diagramme de flux de processus sur le serveur miroir pour le téléchargement des mises à jour du renseignement de sécurité

Figure 2 : Diagramme de flux de processus sur le point de terminaison Linux pour les mises à jour du renseignement de sécurité

Le serveur miroir peut exécuter l’un des systèmes d’exploitation suivants :

• Linux (n’importe quelle saveur)
• Windows (n’importe quelle version)
• Mac (n’importe quelle version)

Configuration requise

• Defender pour point de terminaison version 101.24022.0001 ou ultérieure doit être installé sur les points de terminaison Linux.

• Les points de terminaison Linux doivent être connectés au serveur miroir.

• Le point de terminaison Linux doit exécuter l’une des distributions prises en charge par Defender pour point de terminaison. (consultez Distributions Linux prises en charge.)

• Le serveur miroir peut être un serveur HTTP/HTTPS ou un serveur de partage réseau, tel qu’un serveur NFS.

• Le serveur miroir doit avoir accès aux URL suivantes :

  • https://github.com/microsoft/mdatp-xplat.git
  • https://go.microsoft.com/fwlink/?linkid=2144709

• Le serveur miroir doit prendre en charge bash ou PowerShell.

• Les spécifications système minimales suivantes sont requises pour le serveur miroir :

  Cœur du processeur	Mémoire RAM	Disque libre	Échanger
  2 cœurs (4 cœurs préférés)	1 Go Min (préféré 4 Go)	2 Go	Dépendant du système

  Remarque

  Cette configuration peut varier en fonction du nombre de demandes traitées et de la charge que chaque serveur doit traiter.

Configuration du serveur miroir

Obtenir le script du téléchargeur security intelligence hors connexion

Microsoft héberge un script de téléchargement de veille de sécurité hors connexion sur ce dépôt GitHub.

Pour obtenir le script du téléchargeur, procédez comme suit :

Option 1 : Cloner le référentiel (préféré)

1. Installez git sur le serveur miroir.

2. Accédez au répertoire dans lequel vous souhaitez cloner le dépôt.

3. Exécutez la commande suivante : git clone https://github.com/microsoft/mdatp-xplat.git

Option 2 : Télécharger le fichier compressé

1. Téléchargez le fichier compressé.

2. Copiez le fichier téléchargé dans le dossier dans lequel vous souhaitez conserver le script.

3. Extrayez le dossier compressé.

4. Planifiez une tâche ou un travail cron pour maintenir le dépôt/fichier zip téléchargé à jour vers la dernière version à intervalles réguliers.

Structure du répertoire local après le clonage du référentiel ou le téléchargement du fichier compressé

Après avoir cloné le référentiel ou téléchargé le fichier compressé, la structure du répertoire local doit être la suivante :

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Le settings.json fichier se compose de quelques variables que l’utilisateur peut configurer pour déterminer la sortie de l’exécution du script.

Exécuter le script du téléchargeur security intelligence hors connexion

Pour exécuter manuellement le script du téléchargeur, configurez les paramètres dans le settings.json fichier conformément à la description de la section précédente et utilisez l’une des commandes suivantes basées sur le système d’exploitation du serveur miroir :

• Cogner:

  ./xplat_offline_updates_download.sh
  

• PowerShell :

  ./xplat_offline_updates_download.ps1
  

Héberger les mises à jour du renseignement de sécurité hors connexion sur le serveur miroir

Une fois le script exécuté, les dernières signatures sont téléchargées dans le dossier configuré dans le settings.json fichier (updates.zip).

Une fois le fichier zip de signatures téléchargé, le serveur miroir peut être utilisé pour l’héberger. Le serveur miroir peut être hébergé à l’aide de n’importe quel serveur de partage http/HTTPS/réseau ou d’un point de montage local/distant.

Une fois hébergé, copiez le chemin d’accès absolu du serveur hébergé (jusqu’au répertoire sans inclure).arch_*

Une fois le serveur miroir configuré, vous devez propager cet URI aux points de terminaison Linux en tant que offlineDefinitionUpdateUrl dans la configuration managée, comme décrit dans la section suivante.

Configurer les points de terminaison

Utilisez l’exemple mdatp_managed.json suivant et mettez à jour les paramètres en fonction de la configuration et copiez le fichier à l’emplacement /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}

Vérifier la configuration

Pour tester si les paramètres sont appliqués correctement sur les points de terminaison Linux, exécutez la commande suivante :

mdatp health --details definitions

Un exemple de sortie ressemble à l’extrait de code suivant :

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Déclenchement des mises à jour du renseignement de sécurité hors connexion

Mise à jour automatique

• Si le niveau d’application du moteur antivirus est défini sur real_timeet que les champs automaticDefinitionUpdateEnabled et offline_definition_update dans le json managé ont la valeur true, les mises à jour de veille de sécurité hors connexion sont déclenchées automatiquement à intervalles réguliers.
• Par défaut, cet intervalle périodique est de 8 heures. Mais il peut être configuré en définissant le definitionUpdatesInterval paramètre dans le json managé.

Mise à jour manuelle

• Pour déclencher manuellement la mise à jour du renseignement de sécurité hors connexion afin de télécharger les signatures à partir du serveur miroir sur les points de terminaison Linux, exécutez la commande suivante :

  mdatp definitions update
  

Vérifier les status de mise à jour

• Après avoir déclenché les mises à jour de veille de sécurité hors connexion à l’aide de la méthode automatique ou manuelle, vérifiez que la mise à jour a réussi en exécutant la commande : mdatp health --details --definitions.

• Vérifiez les champs suivants :

  user@vm:~$ mdatp health --details definitions
  ...
  definitions_status                          : "up_to_date"
  ...
  definitions_update_fail_reason              : ""
  ...
  

Résolution des problèmes et diagnostics

Si les mises à jour échouent, sont bloquées ou ne démarrent pas, procédez comme suit pour résoudre les problèmes :

1. Vérifiez l’status des mises à jour du renseignement de sécurité hors connexion à l’aide de la commande suivante :

   mdatp health --details definitions
   

   Recherchez des informations dans la definitions_update_fail_reason section .

2. Assurez-vous que offline_definition_update et offline_definition_update_verify_sig sont activés.

3. Assurez-vous que definitions_update_source_uri est égal à offline_definition_url_configured.

   • definitions_update_source_uri est la source à partir de laquelle les signatures ont été téléchargées.
   • offline_definition_url_configured est la source à partir de laquelle les signatures doivent être téléchargées, celle mentionnée dans le fichier de configuration managé.

4. Essayez d’effectuer le test de connectivité à case activée si miroir serveur est accessible à partir de l’hôte :

   mdatp connectivity test
   

5. Essayez de lancer une mise à jour manuelle à l’aide de la commande suivante :

   mdatp definitions update
   

Voir aussi

• Ressources Linux
• Microsoft Defender pour point de terminaison Linux
• Configurer les paramètres de sécurité et les stratégies pour Microsoft Defender pour point de terminaison sur Linux