Nouveautés de Microsoft Defender pour point de terminaison sur Linux

Cet article est fréquemment mis à jour pour vous informer des nouveautés des dernières versions de Microsoft Defender pour point de terminaison sur Linux. Pour obtenir une notification dans votre flux RSS chaque fois que la page est mise à jour, copiez et collez cette URL dans votre lecteur de flux : https://aka.ms/mde/linux-rss

Versions de Defender pour point de terminaison sur Linux

Build de décembre 2025 : 101.25092.0005 | Version de publication : 30.125092.0005.0

Nouveautés

• Détection améliorée des vulnérabilités pour les composants React vulnérables grâce à une analyse plus approfondie des composants et à une télémétrie améliorée. Cela inclut la prise en charge de l’identification (CVE-2025-55182), ce qui offre une couverture de sécurité plus complète pour les applications React.

Build de décembre 2025 : 101.25092.0002 | Version de publication : 30.125092.0002.0

Nouveautés

• Inclut un correctif critique lié à l’identificateur de machine, garantissant que chaque point de terminaison est identifié avec précision comme un appareil unique.

Build de novembre 2025 : 101.25102.0003 | Version de publication : 30.125102.0003.0

Nouveautés

• La bibliothèque Openssl est mise à niveau vers la version 3.6.0

• La bibliothèque Libcurl est mise à niveau vers la version 8.16.0

• La version du moteur par défaut a été mise à jour vers 1.1.25090.6000 et la version de signature par défaut vers 1.439.338.0.

Build d’octobre 2025 : 101.25092.0001 | Version de publication : 30.125092.0001.0

Nouveautés

• Ajout de la prise en charge de RHEL 10.

• Résilience améliorée du moteur grâce à la récupération automatique des erreurs, empêchant une journalisation excessive et réduisant les temps d’arrêt pour améliorer la fiabilité globale.

• Autres correctifs de qualité et de stabilité.

Build de septembre-2025 : 101.25082.0003 | Version de publication : 30.125082.0003.0

Nouveautés

• La détection des vulnérabilités pour Langflow, une infrastructure Python open source pour la création de workflows et d’agents IA, a été améliorée avec la détection dynamique à l’aide de la télémétrie avancée et de l’analyse des packages Python. Cela inclut la détection de CVE-2025-3248 avec un score CVSS de 9,8, ce qui garantit une couverture complète des vulnérabilités.

• Client Analyzer est désormais fourni directement dans le package MDE, ce qui évite d’avoir à effectuer des téléchargements distincts. Les versions binaire et Python sont incluses par défaut et se trouvent à l’adresse /opt/microsoft/mdatp/tools/client_analyzer/. Cela garantit une disponibilité cohérente entre les environnements et simplifie la résolution des problèmes pour les clients en rendant les outils de diagnostic facilement accessibles prêts à l’emploi.

• Autres correctifs de qualité et de stabilité.

Build de septembre-2025 : 101.25072.0003 | Version de publication : 30.125072.0003.0

Nouveautés

• Correction d’un problème de génération d’identificateurs de machine uniques pour chaque appareil intégré, particulièrement utile lors du déploiement de Microsoft Defender via une image Golden.

• Autres améliorations de la stabilité et correctifs de bogues.

Build d’août-2025 : 101.25062.0003 | Version de publication : 30.125062.0003.0

Nouveautés

• Defender pour point de terminaison sur Linux prend désormais en charge l’installation vers un emplacement personnalisé (préversion). Pour plus d’informations, consultez Activation du déploiement de Microsoft Defender pour point de terminaison vers un emplacement personnalisé (préversion). La prise en charge de cette fonctionnalité est ajoutée au script du programme d’installation.
• La mdatp threat quarantine add commande nécessite désormais des privilèges de superutilisateur (racine).
• Le chemin de définition personnalisée peut désormais être mis à jour sans arrêter Defender pour point de terminaison. Auparavant, cela nécessitait l’arrêt du service, mais avec cette version, les mises à jour du chemin de définition peuvent être effectuées dynamiquement, ce qui améliore l’efficacité opérationnelle et réduit les temps d’arrêt.
• L’exécution de Defender pour point de terminaison sur Linux avec Fapolicyd est désormais prise en charge sur les distributions basées sur RHEL et Fedora, ce qui permet à l’antivirus (protection en temps réel) et aux fonctionnalités EDR de fonctionner sans conflit. Pour les autres outils basés sur fanotify, MDE peut toujours être utilisé en toute sécurité en définissant le niveau d’application de l’antivirus sur passif, ce qui permet d’éviter l’instabilité du système.
• Autres améliorations de la stabilité et correctifs de bogues.

Build de juillet-2025 : 101.25052.0007 | Version de publication : 30.125052.0007.0

Nouveautés

• Correction du problème de génération d’identificateurs d’ordinateur uniques pour garantir que chaque appareil intégré est identifié de manière unique.
• Autres améliorations de la stabilité et correctifs de bogues.

Build de juin 2025 : 101.25042.0003 | Version de publication : 30.125042.0003.0

Nouveautés

• Le déploiement du package Defender pour point de terminaison en production se produit progressivement. À partir du moment où les notes de publication sont publiées, l’envoi (push) du package à toutes les machines de production peut prendre jusqu’à une semaine.
• Suppression de la dépendance externe d’uuid-runtime du package Defender pour point de terminaison
• Autres améliorations de la stabilité et correctifs de bogues

Build de mai-2025 : 101.25032.0010 | Version de publication : 30.125032.0010.0

Nouveautés

• Suppression de la dépendance externe de MDE Netfilter et libpcre du package MDE

• Le correctif pour le script Python exécutant des fichiers binaires non vérifiés avec des privilèges de niveau racine pour identifier les processus Java à l’aide de versions obsolètes de log4j (CVE-2025-26684) a été résolu.

• Ajout du mécanisme de détection pour CVE-2025-31324 affectant le composant « Visual Composer » du serveur d’applications SAP NetWeaver.

Build d’avril 2025 : 101.25022.0002 | Version de publication : 30.125022.0001.0

Nouveautés

• La commande mdatp diagnostic ebpf-statistics nécessite le privilège sudo maintenant

• Gérer la source de partage de fichiers de signature dynamique en définissant l’URL et l’intervalle de mise à jour

• Autres améliorations de la stabilité et correctifs de bogues

• Prise en charge des serveurs Linux ARM64

Build de mars 2025 : 101.25012.0000 | Version de publication : 30.125012.0000.0

Nouveautés

• Le déploiement du package MDATP en production se fera progressivement. À partir du moment où les notes de publication sont publiées, l’envoi (push) du package à toutes les machines de production peut prendre jusqu’à une semaine.

• La vulnérabilité dans curl, CVE-2024-7264, a été résolue.

• Autres améliorations de la stabilité et correctifs de bogues.

Problèmes connus

• Il existe un problème connu où MDE supprime le fichier de configuration situé à l’emplacement /etc/systemd/system/mdatp.service.d à chaque démarrage du service. Comme solution de contournement, les clients peuvent utiliser l’attribut Immutable qui empêche la modification ou la suppression des fichiers.

  Pour définir le fichier comme non modifiable, exécutez la commande suivante :

  sudo chattr +i /etc/systemd/system/mdatp.service.d/[file name]

Cette commande rend le fichier immuable. Si vous avez besoin de restaurer des autorisations de modification, utilisez la commande suivante :

sudo chattr -i /etc/systemd/system/mdatp.service.d/[file name]

Notez que la commande chattr ne peut être utilisée que sur les systèmes de fichiers pris en charge, tels que ext4.

Si vous avez besoin d’une assistance supplémentaire, vous pouvez contacter notre équipe de support technique avec votre ID de organization, et nous pouvons implémenter une atténuation temporaire pour empêcher la suppression. Un correctif permanent pour ce problème est disponible dans MDE version 101.25032.0000.

Build de février-2025 : 101.24122.0008 | Version de publication : 30.124112.0008.0

Nouveautés

• Le package 101.24122.0008 MDATP est déployé progressivement pour chaque distribution.
• Autres améliorations de la stabilité et correctifs de bogues

Build de février-2025 : 101.24112.0003 | Version de publication : 30.124112.0003.0

Nouveautés

• Correction d’un bogue qui signalait de manière incorrecte defenderEngineVersion au portail de sécurité.
• Le package 101.24112.0003 MDATP est déployé progressivement pour chaque distribution.

Build de janvier 2025 : 101.24112.0001 | Version de publication : 30.124112.0001.0

Nouveautés

• Mise à niveau de la version Bond vers 13.0.1 pour résoudre les vulnérabilités de sécurité dans les versions 12 ou antérieures.

• Le package Mdatp n’a plus de dépendance sur les packages SELinux.

• Les utilisateurs peuvent désormais interroger le status du fournisseur d’événements supplémentaire eBPF à l’aide de la requête de repérage des menaces dans DeviceTvmInfoGathering. Pour en savoir plus sur cette requête case activée : Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux. Le résultat de cette requête peut retourner les deux valeurs suivantes en tant que status eBPF :

  • Activé : quand eBPF est activé comme prévu.
  • Désactivé : quand eBPF est désactivé pour l’une des raisons suivantes :
    • Quand MDE utilise auditD comme capteur supplémentaire
    • Quand eBPF n’est pas présent et que nous revenons à Net Link en tant que fournisseur d’événements supplémentaire
    • Aucun capteur supplémentaire n’est présent.

• À compter de la version 2411, la mise en production du package MDATP sur suit un mécanisme de déploiement progressif qui s’étend sur packages.microsoft.com une semaine. Les autres anneaux de publication, insiderFast et insiderSlow, ne sont pas affectés par cette modification.

• Améliorations de la stabilité et des performances.

• Correctifs de bogues critiques concernant le flux de mise à jour de définition.

Build de janvier 2025 : 101.24102.0000 | Version de publication : 30.124102.0000.0

Nouveautés

• La version du moteur par défaut a été mise à jour vers 1.1.24080.11, et la version de signature par défaut a été mise à jour vers 1.419.351.0.

• Amélioration de la création de rapports sur les informations sur les menaces en ligne de commande pour les processus de courte durée sur le portail de sécurité.

Build de novembre 2024 : 101.24092.0002 | Version de publication : 30.124092.0002.0

Nouveautés

• Pour prendre en charge les installations renforcées avec des partitions non exécutables /var , les définitions antivirus mdatp s’installent /opt/microsoft/mdatp/definitions.noindex désormais sur au lieu de /var si cette dernière est détectée comme non exécutable. Pendant les mises à niveau, le programme d’installation tente de migrer les anciennes définitions vers le nouveau chemin d’accès lors de la détection d’un non exécutable /var, sauf s’il constate que le chemin d’accès a déjà été personnalisé (à l’aide mdatp definitions path setde ).

• À compter de cette version, Defender pour point de terminaison sur Linux n’a plus besoin d’autorisations exécutables pour /var/log. Si ces autorisations ne sont pas disponibles, les fichiers journaux sont automatiquement redirigés vers /opt.

Build d’octobre 2024 : 101.24082.0004 | Version de publication : 30.124082.0004.0

Nouveautés

• À compter de cette version, Defender pour point de terminaison sur Linux ne prend plus en charge AuditD en tant que fournisseur d’événements supplémentaire. Pour améliorer la stabilité et les performances, nous sommes passés à l’eBPF. Si vous désactivez eBPF, ou dans le cas où eBPF n’est pas pris en charge sur un noyau spécifique, Defender pour point de terminaison sur Linux bascule automatiquement vers Net link en tant que fournisseur d’événements supplémentaire de secours. Net Link fournit des fonctionnalités réduites et suit uniquement les événements liés au processus. Dans ce cas, toutes les opérations de processus continuent de circuler en toute transparence, mais vous risquez de manquer des événements spécifiques liés aux fichiers et aux sockets qu’eBPF capturerait autrement. Pour plus d’informations, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux. Si vous avez des préoccupations ou avez besoin d’aide pendant cette transition, contactez le support technique.

• Améliorations de la stabilité et des performances

• Autres correctifs de bogues

Build de septembre 2024 : 101.24072.0001 | Version de publication : 30.124072.0001.0

Nouveautés

• Ajout de la prise en charge d’Ubuntu 24.04

• Mise à jour de la version du moteur par défaut vers 1.1.24060.6 et de la version des signatures par défaut sur 1.415.228.0.

Build de juillet-2024 : 101.24062.0001 | Version de publication : 30.124062.0001.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version.

• Corrige le bogue dans lequel les informations sur les menaces de ligne de commande infectées ne s’affichait pas correctement dans le portail de sécurité.

• Corrige un bogue dans lequel la désactivation d’une fonctionnalité en préversion nécessitait un Defender de point de terminaison pour la désactiver.

• La fonctionnalité Exclusions globales utilisant json managé est désormais en préversion publique. disponible dans les insiders lent à partir de 101.23092.0012. Pour plus d’informations, consultez exclusions linux.

• Mise à jour de la version du moteur Linux par défaut vers 1.1.24050.7 et de la version de signature par défaut vers 1.411.410.0.

• Améliorations de la stabilité et des performances.

• Autres correctifs de bogues.

Build de juin 2024 : 101.24052.0002 | Version de publication : 30.124052.0002.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version.

• Cette version corrige un bogue lié à une utilisation élevée de la mémoire, ce qui entraîne finalement une utilisation élevée du processeur en raison d’une fuite de mémoire eBPF dans l’espace du noyau, entraînant des serveurs dans des états inutilisables. Cela affectait uniquement les versions du noyau 3.10x et <= 4.16x, principalement sur les distributions RHEL/CentOS. Mettez à jour vers la dernière version MDE pour éviter tout impact.

• Nous avons maintenant simplifié la sortie de mdatp health --detail features

• Améliorations de la stabilité et des performances.

• Autres correctifs de bogues.

Build de mai-2024 : 101.24042.0002 | Version de publication : 30.124042.0002.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• Dans la version 24032.0007, il y a eu un problème connu où l’inscription des appareils à MDE Security Management a échoué lors de l’utilisation du mécanisme « Device Tagging » via le fichier mdatp_managed.json. Ce problème a été résolu dans la version actuelle.

• Améliorations de la stabilité et des performances.

• Autres correctifs de bogues.

Build de mai-2024 : 101.24032.0007 | Version de publication : 30.124032.0007.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• En mode passif et à la demande, le moteur antivirus reste à l’état inactif et est utilisé uniquement pendant les analyses personnalisées planifiées. Ainsi, dans le cadre de l’amélioration des performances, nous avons apporté des modifications pour maintenir le moteur AV hors service en mode passif et à la demande, sauf pendant les analyses personnalisées planifiées. Si la protection en temps réel est activée, le moteur antivirus est toujours opérationnel. Cela n’a aucun impact sur la protection de votre serveur dans n’importe quel mode.

  Pour informer les utilisateurs de l’état du moteur antivirus, nous avons introduit un nouveau champ appelé « engine_load_status » dans le cadre de l’intégrité MDATP. Il indique si le moteur antivirus est en cours d’exécution ou non.

  Field name	engine_load_status
  Valeurs possibles	Le moteur n’est pas chargé (le processus du moteur AV est arrêté), le chargement du moteur a réussi (processus du moteur AV opérationnel)

  Scénarios sains :

  • Si RTP est activé, engine_load_status doit être « Chargement du moteur réussi »
  • Si MDE est en mode passif ou à la demande et que l’analyse personnalisée n’est pas en cours d’exécution, « engine_load_status » doit être « Moteur non chargé »
  • Si MDE est en mode à la demande ou passif et que l’analyse personnalisée est en cours d’exécution, « engine_load_status » doit être « Chargement du moteur réussi »

• Correctif de bogue pour améliorer les détections comportementales.

• Améliorations de la stabilité et des performances.

• Autres correctifs de bogues.

Problèmes connus

• Il existe un problème connu où l’inscription d’appareils à MDE gestion de la sécurité via le mécanisme « Étiquetage des appareils » à l’aide de mdatp_managed.json échoue dans la version 24032.0007. Pour atténuer ce problème, utilisez la commande CLI mdatp suivante pour étiqueter les appareils :

  sudo mdatp edr tag set --name GROUP --value MDE-Management
  

  Le problème a été résolu dans build : 101.24042.0002

Build de mars-2024 : 101.24022.0001 | Version de publication : 30.124022.0001.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• Ajout d’un nouveau fichier journal : microsoft_defender_scan_skip.log. Cela journalise les noms de fichiers qui ont été ignorés de diverses analyses antivirus par Microsoft Defender pour point de terminaison pour une raison quelconque.

• Améliorations de la stabilité et des performances.

• Corrections de bogues.

Build de mars-2024 : 101.24012.0001 | Version de publication : 30.124012.0001.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• Mise à jour de la version du moteur par défaut vers 1.1.23110.4, et de la version des signatures par défaut sur 1.403.87.0.

• Améliorations de la stabilité et des performances.

• Corrections de bogues.

Build de février-2024 : 101.23122.0002 | Version de publication : 30.123122.0002.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• Mise à jour de la version du moteur par défaut vers 1.1.23100.2010, et de la version des signatures par défaut sur 1.399.1389.0.

• Améliorations générales de la stabilité et des performances.

• Corrections de bogues.

• Microsoft Defender pour point de terminaison sur Linux prend désormais officiellement en charge les distributions et versions suivantes :

  Distribution & version	Anneau	Paquet
  Mariner 2	Production	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  Rocky 8.7 et versions ultérieures	Insiders Lents	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  Rocky 9.2 et versions ultérieures	Insiders Lents	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  Alma 8.4 et versions ultérieures	Insiders Lents	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  Alma 9.2 et versions ultérieures	Insiders Lents	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

Si vous avez déjà Defender pour point de terminaison en cours d’exécution sur l’une de ces distributions et que vous rencontrez des problèmes dans les versions antérieures, effectuez une mise à niveau vers la dernière version de Defender pour point de terminaison à partir de l’anneau correspondant mentionné ci-dessus.

Build de janvier-2024 : 101.23112.0009 | Version de publication : 30.123112.0009.0

Nouveautés

• Mise à jour de la version du moteur par défaut vers 1.1.23110.4, et de la version des signatures par défaut sur 1.403.1579.0.

• Améliorations générales de la stabilité et des performances.

• Correctif de bogue pour la configuration de la surveillance du comportement.

• Corrections de bogues.

Build de novembre-2023 : 101.23102.0003 | Version de publication : 30.123102.0003.0

Nouveautés

• Mise à jour de la version du moteur par défaut vers 1.1.23090.2008, et de la version des signatures par défaut sur 1.399.690.0.

• Mise à jour de la bibliothèque libcurl vers la version 8.4.0 pour corriger les vulnérabilités récemment divulguées avec l’ancienne version.

• Mise à jour de la bibliothèque Openssl vers la version 3.1.1 pour corriger les vulnérabilités récemment divulguées avec l’ancienne version.

• Améliorations générales de la stabilité et des performances.

• Corrections de bogues.

Build de novembre 2023 : 101.23092.0012 | Version de publication : 30.123092.0012.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• Ajout de la prise en charge de la restauration des menaces en fonction du chemin d’origine à l’aide de la commande suivante :

  sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
  

• À partir de cette version, Microsoft Defender pour point de terminaison sur Linux n’envoie plus de solution pour RHEL 6.

  RHEL 6 « Prise en charge étendue de la fin de vie » est sur le point de prendre fin le 30 juin 2024 et les clients sont invités à planifier leurs mises à niveau RHEL en conséquence, conformément aux recommandations de Red Hat. Les clients qui doivent exécuter Defender pour point de terminaison sur des serveurs RHEL 6 peuvent continuer à utiliser la version 101.23082.0011 (n’expire pas avant le 30 juin 2024) prise en charge sur les versions du noyau 2.6.32-754.49.1.el6.x86_64 ou antérieures.

  • Mise à jour du moteur vers 1.1.23080.2007 et signatures Ver : 1.395.1560.0.
  • L’expérience de connectivité d’appareil simplifiée est désormais en mode préversion publique. blog public
  • Améliorations des performances & correctifs de bogues.

Problèmes connus

• Verrouillage du processeur observé sur la version 5.15.0-0.30.20 du noyau en mode ebpf. Consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux pour plus d’informations et les options d’atténuation.

Build de novembre 2023 : 101.23082.0011 | Version de publication : 30.123082.0011.0

Nouveautés

• Cette nouvelle version est la version d’octobre 2023 (101.23082.0009) avec l’ajout des modifications suivantes. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.

• Correctif pour le mode immuable de audité lorsque le sous-système supplémentaire est ebpf : En mode ebpf, toutes les règles d’audit mdatp doivent être nettoyées après le basculement vers ebpf et le redémarrage. Après le redémarrage, les règles d’audit mdatp n’ont pas été nettoyées, ce qui a entraîné un blocage du serveur. Le correctif nettoie ces règles. L’utilisateur ne doit pas voir de règles mdatp chargées au redémarrage

• Correctif pour MDE ne démarre pas sur RHEL 6.

Problèmes connus

Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build d’octobre 2023 : 101.23082.0009 | Version de publication : 30.123082.0009.0

Nouveautés

• Cette nouvelle version est générée sur la version d’octobre 2023 (« 101.23082.0009 ») avec l’ajout de nouveaux certificats d’autorité de certification. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.

Problèmes connus

Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build d’octobre 2023 : 101.23082.0006 | Version de publication : 30.123082.0006.0

Nouveautés

• Mises à jour des fonctionnalités et nouvelles modifications

  • Le capteur eBPF est désormais le fournisseur d’événements supplémentaire par défaut pour les points de terminaison

  • Microsoft Intune fonctionnalité d’attachement de locataire est en préversion publique (à la mi-juillet)

    • Vous devez ajouter « *.dm.microsoft.com » aux exclusions de pare-feu pour que la fonctionnalité fonctionne correctement

  • Defender pour point de terminaison est désormais disponible pour Debian 12 et Amazon Linux 2023

  • Prise en charge de l’activation de la vérification des signatures des mises à jour téléchargées

    • Vous devez mettre à jour le manajed.json comme indiqué :

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • Prérequis pour activer la fonctionnalité

      • La version du moteur sur l’appareil doit être « 1.1.23080.007 » ou supérieure. Vérifiez la version de votre moteur à l’aide de la commande suivante. mdatp health --field engine_version

  • Option permettant de prendre en charge la surveillance des points de montage NFS et FUSE. Ceux-ci sont ignorés par défaut. L’exemple suivant montre comment surveiller tous les systèmes de fichiers tout en ignorant uniquement NFS :

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  Exemple de surveillance de tous les systèmes de fichiers, y compris NFS et FUSE :

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • Autres améliorations des performances

  • Bogue

Problèmes connus

• Lors de la mise à niveau à partir de mdatp version 101.75.43 ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.98.05. Pour plus d’informations sur le problème sous-jacent, consultez Blocage du système en raison de tâches bloquées dans le code fanotify. Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de septembre-2023 : 101.23072.0021 | Version de publication : 30.123072.0021.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version :

• Dans mde_installer.sh la version 0.6.3, les utilisateurs peuvent utiliser l’argument --channel pour fournir le canal du référentiel configuré lors du nettoyage. Par exemple, sudo ./mde_installer --clean --channel prod

• L’extension réseau peut désormais être réinitialisée par les administrateurs à l’aide de mdatp network-protection reset.

• Autres améliorations des performances

• Bogue

Problèmes connus

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de juillet-2023 : 101.23062.0010 | Version de publication : 30.123062.0010.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version

• Si un proxy est défini pour Defender pour point de terminaison, il est visible dans la sortie de la mdatp health commande. Avec cette version, nous avons fourni deux options dans les sources d’événements chauds de diagnostic mdatp :

  • Fichiers
  • Exécutables

• Protection réseau : les connexions bloquées par la protection réseau et dont le bloc est remplacé par les utilisateurs sont désormais correctement signalées à Microsoft Defender XDR

• Amélioration de la journalisation dans les événements de bloc et d’audit de protection réseau pour le débogage |

• Autres correctifs et améliorations

  • À partir de cette version, enforcementLevel est en mode passif par défaut, ce qui donne aux administrateurs plus de contrôle sur l’endroit où ils veulent « RTP sur » dans leur patrimoine
  • Cette modification s’applique uniquement aux nouveaux déploiements MDE, par exemple les serveurs sur lesquels Defender pour point de terminaison est déployé pour la première fois. Dans les scénarios de mise à jour, les serveurs sur lesquels Defender pour point de terminaison est déployé avec RTP ON continuent à fonctionner avec RTP ON, même après la mise à jour vers la version 101.23062.0010

• Correctif de bogue : problème d’altération de la base de données RPM dans Defender Vulnerability Management base de référence est résolu.

• Autres améliorations des performances

Problèmes connus

Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de juillet-2023 : 101.23052.0009 | Version de publication : 30.123052.0009.0

Nouveautés

• Il existe plusieurs correctifs et de nouvelles modifications dans cette version : le schéma de version de build est mis à jour à partir de cette version. Bien que le numéro de version principale reste identique à celui de 101, le numéro de version mineure comporte désormais cinq chiffres suivis du numéro de correctif à quatre chiffres, c’est-à-dire : 101.xxxxx.yyy Amélioration de la consommation de mémoire de la protection réseau sous contrainte
  • Mise à jour de la version du moteur vers 1.1.20300.5 et de la version de signature vers 1.391.2837.0.
  • Corrections de bogues.

Problèmes connus

Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de juin 2023 : 101.98.89 | Version de publication : 30.123042.19889.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version

• Amélioration de la gestion du proxy de protection réseau.

• En mode passif, Defender pour point de terminaison n’effectue plus d’analyse lorsque la mise à jour de la définition a lieu.

• Les appareils continuent d’être protégés même après l’expiration de l’agent Defender pour point de terminaison. Nous vous recommandons de mettre à niveau l’agent Linux Defender pour point de terminaison vers la dernière version disponible pour recevoir des correctifs de bogues, des fonctionnalités et des améliorations des performances.

• Suppression de la dépendance du package semanage.

• Mise à jour du moteur vers 1.1.20100.7 et signatures Ver : 1.385.1648.0.

• Corrections de bogues.

Problèmes connus

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de mai-2023 : 101.98.64 | Version de publication : 30.123032.19864.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version

• Améliorations des messages d’intégrité pour capturer des détails sur les échecs audités.

• Améliorations apportées à la gestion des augenrules, ce qui a provoqué l’échec de l’installation.

• Nettoyage périodique de la mémoire dans le processus du moteur.

• Correction du problème de mémoire dans le plug-in audisp mdatp.

• Chemin du répertoire du plug-in manquant géré pendant l’installation.

• Lorsque l’application en conflit utilise le blocage fanotify, avec la configuration par défaut, l’intégrité mdatp s’affiche non saine. Ce problème est désormais résolu.

• Prise en charge de l’inspection du trafic ICMP dans BM.

• Mise à jour du moteur vers 1.1.20100.6 et signatures Ver : 1.385.68.0.

• Corrections de bogues.

Problèmes connus

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build d’avril 2023 : 101.98.58 | Version de publication : 30.123022.19858.0

Nouveautés

Il existe plusieurs correctifs et de nouvelles modifications dans cette version

• Améliorations de la journalisation et du rapport d’erreurs pour audité.

• Gérer les échecs lors du rechargement de la configuration auditée.

• Gestion des fichiers de règles audités vides pendant MDE’installation.

• Mise à jour du moteur vers 1.1.20000.2 et signatures Ver : 1.381.3067.0.

• Résolution d’un problème d’intégrité dans mdatp qui se produit en raison de refus de selinux.

• Corrections de bogues.

Problèmes connus

• Lors de la mise à niveau de mdatp vers la version ou une version 101.94.13 ultérieure, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les commandes suivantes peuvent vous aider à identifier ces règles auditées (les commandes doivent être exécutées en tant que super utilisateur). Effectuez une sauvegarde du fichier suivant : /etc/audit/rules.d/audit.rules, car ces étapes sont uniquement pour identifier les défaillances.

  echo -c >> /etc/audit/rules.d/audit.rules
  augenrules --load
  

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Il existe deux façons d’atténuer ce problème de mise à niveau :

1. Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

   Exemple :

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de mars-2023 : 101.98.30 | Version de publication : 30.123012.19830.0

Nouveautés

• Cette nouvelle version est la version de mars 2023 (« 101.98.05 ») avec un correctif pour l’échec des commandes de réponse en direct pour l’un de nos clients. Il n’y a aucune modification pour les autres clients et la mise à niveau est facultative.

Problèmes connus

• Avec mdatp version 101.98.30, vous pouvez rencontrer un problème de faux intégrité dans certains cas, car les règles SELinux ne sont pas définies pour certains scénarios. L’avertissement d’intégrité peut ressembler à ceci :

Nous avons trouvé des dénis SELinux au cours du dernier jour. Si MDATP est installé récemment, effacez les journaux d’audit existants ou attendez un jour pour que ce problème soit résolu automatiquement. Use command : "sudo ausearch -i -c 'mdatp_audisp_pl' | grep « type=AVC » | grep " refusé » pour trouver des détails

Le problème peut être atténué en exécutant les commandes suivantes.

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

Ici, my-mdatpaudisppl_v1 représente le nom du module de stratégie. Après avoir exécuté les commandes, attendez 24 heures ou effacez/archivez les journaux d’audit. Les journaux d’audit peuvent être archivés en exécutant la commande suivante

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

Si le problème réapparaît avec des dénis différents. Nous devons réexécuter l’atténuation avec un autre nom de module (par exemple, my-mdatpaudisppl_v2).

Build de mars-2023 : 101.98.05 | Version de publication : 30.123012.19805.0

Nouveautés

• Amélioration de l’exhaustivité des données pour les événements de connexion réseau

• Amélioration des fonctionnalités de collecte de données pour les modifications de propriété/autorisations de fichier

• seManage dans une partie du package, pour que les stratégies seLinux peuvent être configurées dans une distribution différente (fixe).

• Amélioration de la stabilité du démon d’entreprise

• Chemin d’arrêt audité propre-up

• Amélioration de la stabilité du flux d’arrêt mdatp.

• Ajout d’un nouveau champ à wdavstate pour effectuer le suivi de l’heure de mise à jour de la plateforme.

• Améliorations de la stabilité de l’analyse de l’objet blob d’intégration defender pour point de terminaison.

• L’analyse ne se poursuit pas si aucune licence valide n’est présente (fixe)

• Ajout de l’option de suivi des performances à xPlatClientAnalyzer, avec le processus mdatp activé, vide le flux dans all_process.zip fichier qui peut être utilisé pour l’analyse des problèmes de performances.

• Ajout de la prise en charge dans Defender pour point de terminaison pour les versions de noyau RHEL-6 suivantes :

  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64

• Autres correctifs

Problèmes connus

Lors de la mise à niveau de mdatp vers la version 101.94.13, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif ». Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les étapes suivantes peuvent vous aider à identifier ces règles auditées (ces commandes doivent être exécutées en tant que super utilisateur). Veillez à sauvegarder le fichier suivant : « /etc/audit/rules.d/audit.rules », car ces étapes sont uniquement pour identifier les défaillances.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.98.05. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify

Il existe deux façons d’atténuer le problème lors de la mise à niveau.

Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp

Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de janvier 2023 : 101.94.13 | Version de publication : 30.122112.19413.0

Nouveautés

• Il existe plusieurs correctifs et de nouvelles modifications dans cette version
  • Ignorer la mise en quarantaine des menaces en mode passif par défaut.
  • La nouvelle configuration, nonExecMountPolicy, peut désormais être utilisée pour spécifier le comportement de RTP sur le point de montage marqué comme noexec.
  • Une nouvelle configuration, unmonitoredFilesystems, peut être utilisée pour annuler la surveillance de certains systèmes de fichiers.
  • Amélioration des performances en cas de charge élevée et dans les scénarios de test de vitesse.
  • Correction d’un problème d’accès aux partages SMB derrière les connexions VPN Cisco AnyConnect.
  • Correction d’un problème avec la protection réseau et SMB.
  • prise en charge du suivi des performances lttng.
  • Améliorations de TVM, eBPF, auditd, télémétrie et mdatp cli.
  • l’intégrité mdatp signale désormais behavior_monitoring
  • Autres correctifs.

Problèmes connus

• Lors de la mise à niveau de mdatp vers la version 101.94.13, vous remarquerez peut-être que l’intégrité est false, avec health_issues comme « aucun fournisseur d’événements supplémentaire actif. Cela peut se produire en raison de règles auditées mal configurées/en conflit sur des machines existantes. Pour atténuer le problème, les règles auditées sur les machines existantes doivent être corrigées. Les étapes suivantes peuvent vous aider à identifier ces règles auditées (ces commandes doivent être exécutées en tant que super utilisateur). Effectuez une sauvegarde du fichier suivant : /etc/audit/rules.d/audit.rules car ces étapes sont uniquement pour identifier les échecs.

  echo -c >> /etc/audit/rules.d/audit.rules
  augenrules --load
  

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.94.13. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify

Il existe deux façons d’atténuer le problème lors de la mise à niveau.

Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp

Vous pouvez également suivre les instructions pour désinstaller, puis installer la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build de novembre 2022 : 101.85.27 | Version de publication : 30.122092.18527.0

Nouveautés

• Il existe plusieurs correctifs et de nouvelles modifications dans cette version
  • Le moteur V2 est par défaut avec cette version et les bits du moteur V1 sont supprimés pour renforcer la sécurité.
  • Le moteur V2 prend en charge le chemin de configuration pour les définitions AV. (chemin d’accès du jeu de définitions mdatp)
  • Suppression des dépendances de packages externes de MDE package. Les dépendances supprimées sont libatomic1, libselinux, libseccomp, libfuse et libuuid
  • Si la collecte des incidents est désactivée par la configuration, le processus de surveillance des incidents n’est pas lancé.
  • Correctifs de performances pour utiliser de manière optimale les événements système pour les fonctionnalités AV.
  • Amélioration de la stabilité lors du redémarrage de mdatp et des problèmes epsext de charge.
  • Autres correctifs

Problèmes connus

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter la mise à niveau vers la version 101.85.21. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify

Il existe deux façons d’atténuer le problème lors de la mise à niveau.

Utilisez votre gestionnaire de package pour désinstaller la 101.75.43 version ou 101.78.13 mdatp.

Exemple :

sudo apt purge mdatp
sudo apt-get install mdatp

En guise d’approche alternative, suivez les instructions pour désinstaller, puis installez la dernière version du package.

Si vous ne souhaitez pas désinstaller mdatp, vous pouvez désactiver rtp et mdatp dans l’ordre avant la mise à niveau. Attention : Certains clients (<1 %) rencontrent des problèmes avec cette méthode.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Build sep-2022 : 101.80.97 | Version de publication : 30.122072.18097.0

Nouveautés

• Corrige un blocage du noyau observé sur certaines charges de travail client exécutant la version 101.75.43mdatp. Après rca, cela a été attribué à une condition de concurrence lors de la libération de la propriété d’un descripteur de fichier de capteur. La condition de concurrence a été exposée en raison d’une modification récente du produit dans le chemin d’arrêt. Les clients des versions plus récentes du noyau (5.1+) ne sont pas affectés par ce problème. Pour plus d’informations, consultez Blocage du système en raison de tâches bloquées dans le code fanotify.

Problèmes connus

• Lors de la mise à niveau à partir de la version 101.75.43 mdatp ou 101.78.13, vous pouvez rencontrer un blocage du noyau. Exécutez les commandes suivantes avant de tenter de mettre à niveau vers la version 101.80.97. Cette action doit empêcher le problème de se produire.

  sudo mdatp config real-time-protection --value=disabled
  sudo systemctl disable mdatp
  

Après avoir exécuté les commandes, utilisez votre gestionnaire de package pour effectuer la mise à niveau.

En guise d’approche alternative, suivez les instructions pour désinstaller, puis installez la dernière version du package.

Build d’août 2022 : 101.78.13 | Version de publication : 30.122072.17813.0

Nouveautés

• Restauration en raison de problèmes de fiabilité

Août 2022 (Build : 101.75.43 | Version de publication : 30.122071.17543.0)

Nouveautés

• Ajout de la prise en charge de Red Hat Enterprise Linux version 9.0
• Ajout d’un nouveau champ dans la sortie de mdatp health qui peut être utilisé pour interroger le niveau d’application de la fonctionnalité de protection réseau. Le nouveau champ est appelé network_protection_enforcement_level et peut prendre l’une des valeurs suivantes : audit, blockou disabled.
• Résolution d’un bogue de produit où plusieurs détections du même contenu pouvaient entraîner des entrées en double dans l’historique des menaces
• Résolution d’un problème où l’un des processus générés par le produit (mdatp_audisp_plugin) n’était parfois pas correctement arrêté lorsque le service était arrêté
• Autres correctifs de bogues

Build de juillet 2022 : 101.73.77 | Version de publication : 30.122062.17377.0

Nouveautés

• Ajout d’une option pour configurer le calcul de hachage de fichier
• À partir de cette build, le produit a le nouveau moteur anti-programme malveillant par défaut
• Améliorations des performances pour les opérations de copie de fichiers
• Correctifs de bogue

Build de juin 2022 : 101.71.18 | Version de publication : 30.122052.17118.0

Nouveautés

• Correctif pour prendre en charge le stockage des définitions dans des emplacements non standard (en dehors de /var) pour les mises à jour de définition v2
• Correction d’un problème dans le capteur de produit utilisé sur RHEL 6 qui pouvait entraîner un blocage du système d’exploitation
• mdatp connectivity test a été étendu avec une URL supplémentaire dont le produit a besoin pour fonctionner correctement. La nouvelle URL est https://go.microsoft.com/fwlink/?linkid=2144709.
• Jusqu’à présent, le niveau de journalisation du produit n’était pas conservé entre les redémarrages du produit. À compter de cette version, il existe un nouveau commutateur d’outil en ligne de commande qui conserve le niveau de journalisation. La nouvelle commande est mdatp log level persist --level <level>.
• Suppression de la dépendance sur python du package d’installation du produit
• Améliorations des performances pour les opérations de copie de fichiers et le traitement des événements réseau provenant de auditd
• Correctifs de bogue

Build de mai-2022 : 101.68.80 | Version de publication : 30.122042.16880.0

Nouveautés

• Ajout de la prise en charge de la version 2.6.32-754.47.1.el6.x86_64 du noyau lors de l’exécution sur RHEL 6
• Sur RHEL 6, le produit peut désormais être installé sur les appareils exécutant un noyau d’entreprise incassable (UEK)
• Correction d’un problème où le nom du processus s’affichait parfois de manière incorrecte comme unknown lors de l’exécution mdatp diagnostic real-time-protection-statistics
• Correction d’un bogue dans lequel le produit détectait parfois incorrectement des fichiers dans le dossier de quarantaine
• Correction d’un problème où l’outil mdatp en ligne de commande ne fonctionnait pas quand /opt il était monté en tant que liaison logicielle
• Améliorations des performances & correctifs de bogues

Build de mai-2022 : 101.65.77 | Version de publication : 30.122032.16577.0

Nouveautés

• Amélioration du conflicting_applications champ dans mdatp health pour afficher uniquement les 10 processus les plus récents et inclure les noms de processus. Cela facilite l’identification des processus potentiellement en conflit avec Microsoft Defender pour point de terminaison pour Linux.
• Correctifs de bogue

Mars 2022 (Build : 101.62.74 | Version de publication : 30.122022.16274.0)

Nouveautés

• Résolution d’un problème dans lequel le produit bloquait incorrectement l’accès aux fichiers d’une taille supérieure à 2 Go lors de l’exécution sur des versions antérieures du noyau
• Correctifs de bogue

Build de mars 2022 : 101.60.93 | Version de publication : 30.122012.16093.0

Nouveautés

• Cette version contient une mise à jour de sécurité pour CVE-2022-23278.

Build de mars 2022 : 101.60.05 | Version de publication : 30.122012.16005.0

Nouveautés

• Ajout de la prise en charge du noyau version 2.6.32-754.43.1.el6.x86_64 pour RHEL 6.10
• Correctifs de bogue

Build de février-2022 : 101.58.80 | Version de publication : 30.122012.15880.0

Nouveautés

• L’outil en ligne de commande prend désormais en charge la restauration des fichiers mis en quarantaine à un emplacement autre que celui où le fichier a été détecté à l’origine. Cette opération peut être effectuée via mdatp threat quarantine restore --id [threat-id] --path [destination-folder].
• À partir de cette version, la protection réseau pour Linux peut être évaluée à la demande
• Correctifs de bogue

Build de janvier 2022 : 101.56.62 | Version de publication : 30.121122.15662.0

Nouveautés

• Correction d’un incident de produit introduit dans la version 101.53.02 qui affectait plusieurs clients

Build de janvier 2022 : 101.53.02 | Version de publication : 30.121112.15302.0

Nouveautés

• Améliorations des performances & correctifs de bogues

Versions 2021

Build : 101.52.57 | Version de publication : 30.121092.15257.0

Nouveautés

• Ajout d’une fonctionnalité permettant de détecter les fichiers jar Log4j vulnérables utilisés par les applications Java. La machine est régulièrement inspectée pour l’exécution de processus Java avec des fichiers jar Log4j chargés. Les informations sont communiquées au back-end Microsoft Defender pour point de terminaison et sont exposées dans la zone Gestion des vulnérabilités du portail.

Build : 101.47.76 | Version de publication : 30.121092.14776.0

Nouveautés

• Ajout d’un nouveau commutateur à l’outil en ligne de commande pour contrôler si les archives sont analysées pendant les analyses à la demande. Cela peut être configuré par le biais de la configuration mdatp scan-archives--value [enabled/disabled]. Par défaut, ce paramètre est défini sur activé.

• Correctifs de bogue

Build : 101.45.13 | Version de publication : 30.121082.14513.0

Nouveautés

• À compter de cette version, nous apportons Microsoft Defender pour point de terminaison prise en charge aux distributions suivantes :

  • Versions RHEL6.7-6.10 et CentOS6.7-6.10.
  • Amazon Linux 2
  • Fedora 33 ou version ultérieure

• Correctifs de bogue

Build : 101.45.00 | Version de publication : 30.121072.14500.0

Nouveautés

• Ajout de nouveaux commutateurs à l’outil en ligne de commande :
  • Contrôler le degré de parallélisme pour les analyses à la demande. Cela peut être configuré via mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Par défaut, un degré de parallélisme de 2 est utilisé.
  • Contrôler si les analyses après les mises à jour du renseignement de sécurité sont activées ou désactivées. Cela peut être configuré via mdatp config scan-after-definition-update --value [enabled/disabled]. Par défaut, ce paramètre est défini sur enabled.
  • La modification du niveau de journal du produit nécessite désormais une élévation
  • Correctifs de bogue

Build : 101.39.98 | Version de publication : 30.121062.13998.0

Nouveautés

• Améliorations des performances & correctifs de bogues

Build : 101.34.27 | Version de publication : 30.121052.13427.0

Nouveautés

• Améliorations des performances & correctifs de bogues

Build : 101.29.64 | Version de publication : 30.121042.12964.0

Nouveautés

• À compter de cette version, les menaces détectées lors des analyses antivirus à la demande déclenchées via le client de ligne de commande sont automatiquement corrigées. Les menaces détectées lors des analyses déclenchées via l’interface utilisateur nécessitent toujours une action manuelle.
• mdatp diagnostic real-time-protection-statistics prend désormais en charge deux autres commutateurs :
• --sort: trie la sortie en décroissant par nombre total de fichiers analysés
• --top N: affiche les N premiers résultats (fonctionne uniquement si --sort est également spécifié)
• Améliorations des performances & correctifs de bogues

Build : 101.25.72 | Version de publication : 30.121022.12563.0

Nouveautés

• Microsoft Defender pour point de terminaison sur Linux est désormais disponible en préversion pour les clients du gouvernement des États-Unis. Pour plus d’informations, consultez Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
• Correction d’un problème où l’utilisation de Microsoft Defender pour point de terminaison sur Linux sur des systèmes avec des systèmes de fichiers FUSE menait au blocage du système d’exploitation
• Améliorations des performances & d’autres correctifs de bogues

Build : 101.25.63 | Version de publication : 30.121022.12563.0

Nouveautés

• Améliorations des performances & correctifs de bogues

Build : 101.23.64 | Version de publication : 30.121021.12364.0

Nouveautés

• Amélioration des performances pour la situation où un point de montage entier est ajouté à la liste d’exclusions antivirus. Avant cette version, le produit traitait l’activité de fichier provenant du point de montage. À compter de cette version, l’activité des fichiers pour les points de montage exclus est supprimée, ce qui améliore les performances du produit
• Ajout d’une nouvelle option à l’outil en ligne de commande pour afficher des informations sur la dernière analyse à la demande. Pour afficher des informations sur la dernière analyse à la demande, exécutez mdatp health --details antivirus
• Autres améliorations des performances & correctifs de bogues

Build : 101.18.53

Nouveautés

• EDR pour Linux est désormais en disponibilité générale

• Ajout d’un nouveau commutateur de ligne de commande (--ignore-exclusions) pour ignorer les exclusions AV pendant les analyses personnalisées (mdatp scan custom)

• Étendu mdatp diagnostic create avec un nouveau paramètre (--path [directory]) qui permet d’enregistrer les journaux de diagnostic dans un autre répertoire

• Améliorations des performances & correctifs de bogues