Co nowego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Ten artykuł jest często aktualizowany w celu poinformowania o nowościach w najnowszych wersjach Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Aby uzyskać powiadomienie w kanale informacyjnym RSS przy każdej aktualizacji strony, skopiuj i wklej ten adres URL do czytnika kanału informacyjnego: https://aka.ms/mde/linux-rss

Wydania usługi Defender dla punktu końcowego w systemie Linux

Kompilacja z grudnia 2025 r.: 101.25092.0005 | Wersja wydania: 30.125092.0005.0

Co nowego

• Ulepszone wykrywanie luk w zabezpieczeniach dla składników React narażonych na ataki dzięki dokładniejszej analizie składników i ulepszonej telemetrii. Obejmuje to obsługę identyfikowania (CVE-2025-55182) i zapewnianie pełniejszej ochrony aplikacji opartych na React.

Kompilacja z grudnia 2025 r.: 101.25092.0002 | Wersja wydania: 30.125092.0002.0

Co nowego

• Zawiera krytyczne poprawki związane z identyfikatorem maszyny, dzięki czemu każdy punkt końcowy jest dokładnie identyfikowany jako unikatowe urządzenie.

Kompilacja z października 2025 r.: 101.25092.0001 | Wersja wydania: 30.125092.0001.0

Co nowego

• Dodano obsługę systemu RHEL 10.

• Zwiększona odporność aparatu dzięki automatycznemu odzyskiwaniu błędów, zapobieganiu nadmiernemu rejestrowaniu i minimalizowaniu przestojów w celu zwiększenia ogólnej niezawodności.

• Inne poprawki dotyczące jakości i stabilności.

Kompilacja z września 2025 r.: 101.25082.0003 | Wersja wydania: 30.125082.0003.0

Co nowego

• Wykrywanie luk w zabezpieczeniach dla platformy Języka Python typu open source służącej do tworzenia przepływów pracy i agentów sztucznej inteligencji zostało rozszerzone o wykrywanie dynamiczne przy użyciu zaawansowanych danych telemetrycznych i skanowania pakietów języka Python. Obejmuje to wykrywanie cve-2025-3248 z wynikiem CVSS 9,8, zapewniając kompleksowe pokrycie luk w zabezpieczeniach.

• Analizator klienta jest teraz powiązany bezpośrednio z pakietem MDE, eliminując konieczność pobierania oddzielnych plików. Zarówno wersje binarne, jak i Python są domyślnie uwzględniane i można je znaleźć pod adresem /opt/microsoft/mdatp/tools/client_analyzer/. Zapewnia to spójną dostępność w różnych środowiskach i usprawnia rozwiązywanie problemów dla klientów, dzięki czemu narzędzia diagnostyczne są łatwo dostępne.

• Inne poprawki dotyczące jakości i stabilności.

Kompilacja z września 2025 r.: 101.25072.0003 | Wersja wydania: 30.125072.0003.0

Co nowego

• Rozwiązano problem polegający na generowaniu unikatowych identyfikatorów maszyn dla każdego dołączonego urządzenia — szczególnie przydatny podczas wdrażania Microsoft Defender za pomocą złotego obrazu.

• Inne ulepszenia stabilności i poprawki błędów.

Kompilacja z sierpnia 2025 r.: 101.25062.0003 | Wersja wydania: 30.125062.0003.0

Co nowego

• Usługa Defender for Endpoint w systemie Linux obsługuje teraz instalację w lokalizacji niestandardowej (wersja zapoznawcza). Aby uzyskać więcej informacji, zobacz Włączanie wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w lokalizacji niestandardowej (wersja zapoznawcza). Obsługa tej funkcji jest dodawana do skryptu instalatora.
• Polecenie mdatp threat quarantine add wymaga teraz uprawnień administratora (głównego).
• Niestandardową ścieżkę definicji można teraz aktualizować bez zatrzymywania usługi Defender dla punktu końcowego. Wcześniej wymagało to zatrzymania usługi, ale w przypadku tej wersji można dynamicznie aktualizować ścieżkę definicji, poprawiając wydajność operacyjną i zmniejszając przestoje.
• Uruchamianie usługi Defender for Endpoint w systemie Linux wraz z rozwiązaniem Fapolicyd jest teraz obsługiwane w dystrybucjach opartych na systemie RHEL i Fedora, co umożliwia działanie zarówno oprogramowania antywirusowego (ochrony w czasie rzeczywistym), jak i funkcji EDR bez konfliktów. W przypadku innych narzędzi opartych na fanotyzacjach MDE nadal można bezpiecznie używać, ustawiając poziom wymuszania oprogramowania antywirusowego na pasywny, co pomaga uniknąć niestabilności systemu.
• Inne ulepszenia stabilności i poprawki błędów.

Kompilacja z lipca 2025 r.: 101.25052.0007 | Wersja wydania: 30.125052.0007.0

Co nowego

• Rozwiązano problem polegający na generowaniu unikatowych identyfikatorów maszyny w celu upewnienia się, że każde dołączone urządzenie jest unikatowo zidentyfikowane.
• Inne ulepszenia stabilności i poprawki błędów.

Kompilacja z czerwca 2025 r.: 101.25042.0003 | Wersja wydania: 30.125042.0003.0

Co nowego

• Wdrażanie pakietu usługi Defender for Endpoint w środowisku produkcyjnym odbywa się stopniowo. Od momentu opublikowania informacji o wersji wypchnięcie pakietu na wszystkie maszyny produkcyjne może potrwać nawet tydzień.
• Usunięto zewnętrzną zależność środowiska uuid-runtime z pakietu Defender for Endpoint
• Inne ulepszenia stabilności i poprawki błędów

Kompilacja z maja 2025 r.: 101.25032.0010 | Wersja wydania: 30.125032.0010.0

Co nowego

• Usunięto zewnętrzną zależność MDE Netfilter i libpcre z pakietu MDE

• Rozwiązano problem dotyczący skryptu języka Python wykonującego niezweryfikowane pliki binarne z uprawnieniami na poziomie głównym w celu identyfikowania procesów języka Java przy użyciu nieaktualnych wersji dziennika4j (CVE-2025-26684).

• Dodano mechanizm wykrywania cve-2025-31324 wpływający na składnik "Visual Composer" serwera aplikacji SAP NetWeaver.

Kompilacja z kwietnia 2025 r.: 101.25022.0002 | Wersja wydania: 30.125022.0001.0

Co nowego

• Polecenie mdatp diagnostic ebpf-statistics wymaga teraz uprawnień sudo

• Zarządzanie dynamicznym źródłem udziału plików sygnatury przez ustawienie adresu URL i interwału aktualizacji

• Inne ulepszenia stabilności i poprawki błędów

• Obsługa serwerów arm64 z systemem Linux

Kompilacja mar-2025: 101.25012.0000 | Wersja wydania: 30.125012.0000.0

Co nowego

• Wdrażanie pakietu MDATP w środowisku produkcyjnym będzie wykonywane stopniowo. Od momentu opublikowania informacji o wersji wypchnięcie pakietu na wszystkie maszyny produkcyjne może potrwać nawet tydzień.

• Luka w zabezpieczeniach programu curl, CVE-2024-7264, została rozwiązana.

• Inne ulepszenia stabilności i poprawki błędów.

Znane problemy

• Istnieje znany problem polegający na tym, że MDE usuwa plik konfiguracji znajdujący się pod adresem /etc/systemd/system/mdatp.service.d przy każdym uruchomieniu usługi. Aby obejść ten problem, klienci mogą użyć atrybutu Niezmienne, który uniemożliwia modyfikowanie lub usuwanie plików.

  Aby ustawić plik jako niemodyfikowalny, wykonaj następujące polecenie:

  sudo chattr +i /etc/systemd/system/mdatp.service.d/[file name]

To polecenie sprawia, że plik jest niezmienny. Jeśli chcesz przywrócić uprawnienia modyfikacji, użyj następującego polecenia:

sudo chattr -i /etc/systemd/system/mdatp.service.d/[file name]

Należy pamiętać, że polecenia chattr można używać tylko w obsługiwanych systemach plików, takich jak ext4.

Jeśli potrzebujesz dalszej pomocy, możesz skontaktować się z naszym zespołem pomocy technicznej przy użyciu identyfikatora organizacji, a my możemy zaimplementować tymczasowe środki zaradcze, aby zapobiec usunięciu. Trwałe rozwiązanie tego problemu jest dostępne w MDE wersji 101.25032.0000.

Kompilacja z lutego 2025 r.: 101.24122.0008 | Wersja wydania: 30.124112.0008.0

Co nowego

• Pakiet 101.24122.0008 MDATP jest wdrażany stopniowo dla każdej dystrybucji.
• Inne ulepszenia stabilności i poprawki błędów

Kompilacja z lutego 2025 r.: 101.24112.0003 | Wersja wydania: 30.124112.0003.0

Co nowego

• Usunięto usterkę, która nieprawidłowo zgłosiła element DefenderEngineVersion do portalu zabezpieczeń.
• Pakiet 101.24112.0003 MDATP jest wdrażany stopniowo dla każdej dystrybucji.

Kompilacja z stycznia 2025 r.: 101.24112.0001 | Wersja wydania: 30.124112.0001.0

Co nowego

• Uaktualniliśmy wersję bonda do wersji 13.0.1, aby rozwiązać problem luk w zabezpieczeniach w wersji 12 lub niższej.

• Pakiet Mdatp nie ma już zależności od pakietów SELinux.

• Użytkownicy mogą teraz wykonywać zapytania o stan dodatkowego dostawcy zdarzeń eBPF przy użyciu zapytania dotyczącego wyszukiwania zagrożeń w programie DeviceTvmInfoGathering. Aby dowiedzieć się więcej na temat tego zapytania, sprawdź: Użyj czujnika opartego na platformie eBPF do Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Wynik tego zapytania może zwrócić następujące dwie wartości jako stan eBPF:

  • Włączone: gdy eBPF jest włączony zgodnie z oczekiwaniami.
  • Wyłączone: po wyłączeniu eBPF z jednego z następujących powodów:
    • Gdy MDE używa funkcji auditD jako czujnika dodatkowego
    • Gdy eBPF nie jest obecny i wracamy do linku net jako dostawca zdarzeń dodatkowych
    • Nie ma czujnika dodatkowego.

• Począwszy od wersji 2411, wydanie pakietu MDATP do środowiska produkcyjnego jest packages.microsoft.com zgodne ze stopniowym mechanizmem wdrażania, który trwa ponad tydzień. Inne pierścienie wydania, insiderFast i insiderSlow, nie mają wpływu na tę zmianę.

• Ulepszenia stabilności i wydajności.

• Poprawki błędów krytycznych dotyczące przepływu aktualizacji definicji.

Kompilacja z stycznia 2025 r.: 101.24102.0000 | Wersja wydania: 30.124102.0000.0

Co nowego

• Domyślna wersja aparatu została zaktualizowana do 1.1.24080.11, a domyślna wersja podpisu została zaktualizowana do 1.419.351.0.

• Ulepszono raportowanie informacji o zagrożeniach wiersza polecenia dla krótkotrwałych procesów w portalu zabezpieczeń.

Kompilacja z listopada 2024 r.: 101.24092.0002 | Wersja wydania: 30.124092.0002.0

Co nowego

• Aby obsługiwać instalacje ze wzmocnionymi zabezpieczeniami z partycjami niewytłaczalnymi/var, definicje programu antywirusowego /var mdatp są teraz instalowane /opt/microsoft/mdatp/definitions.noindex w programie , a nie wtedy, gdy te ostatnie zostaną wykryte jako niewytłaczalne. Podczas uaktualnień instalator próbuje przeprowadzić migrację starszych definicji do nowej ścieżki po wykryciu niewytłukowanego /varelementu , chyba że stwierdzi, że ścieżka została już dostosowana (przy użyciu mdatp definitions path setpolecenia ).

• Począwszy od tej wersji, usługa Defender for Endpoint w systemie Linux nie potrzebuje już uprawnień wykonywalnych dla /var/logprogramu . Jeśli te uprawnienia nie są dostępne, pliki dziennika są automatycznie przekierowywane do /optprogramu .

Kompilacja z października 2024 r.: 101.24082.0004 | Wersja wydania: 30.124082.0004.0

Co nowego

• Począwszy od tej wersji, usługa Defender for Endpoint w systemie Linux nie jest już obsługiwana jako dostawca zdarzeń dodatkowych AuditD . Aby uzyskać lepszą stabilność i wydajność, przeszliśmy do eBPF. Jeśli wyłączysz eBPF lub w przypadku, gdy eBPF nie jest obsługiwany na żadnym konkretnym jądrze, usługa Defender for Endpoint w systemie Linux automatycznie przełącza się z powrotem do linku Net jako rezerwowy dostawca zdarzeń uzupełniających. Link net zapewnia ograniczoną funkcjonalność i śledzi tylko zdarzenia związane z procesami. W takim przypadku wszystkie operacje procesu nadal bezproblemowo przepływają, ale można pominąć określone zdarzenia związane z plikami i gniazdami, które w przeciwnym razie przechwyciłby eBPF. Aby uzyskać więcej informacji, zobacz Use eBPF-based sensor for Ochrona punktu końcowego w usłudze Microsoft Defender on Linux (Używanie czujnika opartego na platformie eBPF do Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux). Jeśli masz jakiekolwiek obawy lub potrzebujesz pomocy podczas tego przejścia, skontaktuj się z pomocą techniczną.

• Ulepszenia stabilności i wydajności

• Inne poprawki błędów

Kompilacja z września 2024 r.: 101.24072.0001 | Wersja wydania: 30.124072.0001.0

Co nowego

• Dodano obsługę systemu Ubuntu 24.04

• Zaktualizowano domyślną wersję aparatu do 1.1.24060.6 i domyślną wersję podpisów na 1.415.228.0wartość .

Kompilacja z lipca 2024 r.: 101.24062.0001 | Wersja wydania: 30.124062.0001.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian.

• Naprawia usterkę polegającą na tym, że zainfekowane informacje o zagrożeniu wiersza polecenia nie były poprawnie wyświetlane w portalu zabezpieczeń.

• Naprawia usterkę polegającą na tym, że wyłączenie funkcji w wersji zapoznawczej wymagało wyłączenia usługi Defender of Endpoint.

• Funkcja wykluczeń globalnych korzystająca z zarządzanego kodu JSON jest teraz dostępna w publicznej wersji zapoznawczej. dostępne w testerach powoli od 101.23092.0012. Aby uzyskać więcej informacji, zobacz linux-exclusions (Wykluczenia systemu Linux).

• Zaktualizowano domyślną wersję aparatu systemu Linux do wersji 1.1.24050.7 i domyślną wersję podpisu do wersji 1.411.410.0.

• Ulepszenia stabilności i wydajności.

• Inne poprawki błędów.

Kompilacja z czerwca 2024 r.: 101.24052.0002 | Wersja wydania: 30.124052.0002.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian.

• Ta wersja naprawia usterkę związaną z wysokim użyciem pamięci, co ostatecznie prowadzi do dużego użycia procesora CPU z powodu wycieku pamięci eBPF w przestrzeni jądra, co powoduje, że serwery przechodzą w stany bezużyteczne. Miało to wpływ tylko na jądro w wersjach 3.10x i <= 4.16x, głównie w dystrybucji RHEL/CentOS. Zaktualizuj do najnowszej wersji MDE, aby uniknąć wpływu.

• Uprościliśmy teraz dane wyjściowe mdatp health --detail features

• Ulepszenia stabilności i wydajności.

• Inne poprawki błędów.

Kompilacja z maja 2024 r.: 101.24042.0002 | Wersja wydania: 30.124042.0002.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• W wersji 24032.0007 wystąpił znany problem polegający na tym, że rejestrowanie urządzeń w celu MDE Security Management nie powiodło się podczas korzystania z mechanizmu "Tagowanie urządzenia" za pośrednictwem pliku mdatp_managed.json. Ten problem został rozwiązany w bieżącej wersji.

• Ulepszenia stabilności i wydajności.

• Inne poprawki błędów.

Kompilacja z maja 2024 r.: 101.24032.0007 | Wersja wydania: 30.124032.0007.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• W trybach pasywnych i na żądanie aparat antywirusowy pozostaje w stanie bezczynności i jest używany tylko podczas zaplanowanych skanowania niestandardowego. W związku z tym w ramach ulepszeń wydajności wprowadziliśmy zmiany, aby aparat AV był wyłączony w trybie pasywnym i na żądanie, z wyjątkiem zaplanowanych skanowania niestandardowego. Jeśli ochrona w czasie rzeczywistym jest włączona, aparat antywirusowy zawsze będzie uruchomiony. Nie ma to wpływu na ochronę serwera w dowolnym trybie.

  Aby informować użytkowników o stanie aparatu antywirusowego, wprowadziliśmy nowe pole o nazwie "engine_load_status" w ramach kondycji protokołu MDATP. Wskazuje, czy aparat antywirusowy jest obecnie uruchomiony, czy nie.

  Field name	engine_load_status
  Dopuszczalne wartości	Nie załadowano aparatu (proces aparatu AV nie działa), ładowanie aparatu powiodło się (proces aparatu AV jest uruchomiony)

  Scenariusze w dobrej kondycji:

  • Jeśli rtp jest włączona, engine_load_status powinno być "Ładowanie aparatu powiodło się"
  • Jeśli MDE jest w trybie na żądanie lub pasywnym, a skanowanie niestandardowe nie jest uruchomione, "engine_load_status" powinno być "Nie załadowano aparatu"
  • Jeśli MDE jest w trybie na żądanie lub pasywnym, a skanowanie niestandardowe jest uruchomione, "engine_load_status" powinno być "Ładowanie aparatu powiodło się"

• Poprawka usterki w celu ulepszenia wykrywania zachowań.

• Ulepszenia stabilności i wydajności.

• Inne poprawki błędów.

Znane problemy

• Istnieje znany problem polegający na tym, że rejestrowanie urządzeń w celu MDE zarządzania zabezpieczeniami za pomocą mechanizmu "Device Tagging" przy użyciu mdatp_managed.json kończy się niepowodzeniem w wersji 24032.0007. Aby rozwiązać ten problem, użyj następującego polecenia interfejsu wiersza polecenia mdatp, aby otagować urządzenia:

  sudo mdatp edr tag set --name GROUP --value MDE-Management
  

  Problem został rozwiązany w sekcji Kompilacja: 101.24042.0002

Kompilacja z marca 2024 r.: 101.24022.0001 | Wersja wydania: 30.124022.0001.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• Dodanie nowego pliku dziennika — microsoft_defender_scan_skip.log. Rejestruje nazwy plików, które zostały pominięte z różnych skanowania antywirusowego przez Ochrona punktu końcowego w usłudze Microsoft Defender z jakiegokolwiek powodu.

• Ulepszenia stabilności i wydajności.

• Poprawki.

Kompilacja z marca 2024 r.: 101.24012.0001 | Wersja wydania: 30.124012.0001.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• Zaktualizowano domyślną wersję aparatu na 1.1.23110.4wartość , a domyślną wersję podpisów na 1.403.87.0wartość .

• Ulepszenia stabilności i wydajności.

• Poprawki.

Kompilacja z lutego 2024 r.: 101.23122.0002 | Wersja wydania: 30.123122.0002.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• Zaktualizowano domyślną wersję aparatu na 1.1.23100.2010wartość , a domyślną wersję podpisów na 1.399.1389.0wartość .

• Ogólne ulepszenia stabilności i wydajności.

• Poprawki.

• Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux oficjalnie obsługuje teraz następujące dystrybucje i wersje:

  Wersja & dystrybucji	Pierścień	Pakiet
  Marynarz 2	Produkcja	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  Rocky 8.7 i nowsze	Wtajemniczonych wolno	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  Rocky 9.2 i nowsze	Wtajemniczonych wolno	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  Alma 8.4 i nowsze	Wtajemniczonych wolno	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  Alma 9.2 i nowsze	Wtajemniczonych wolno	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

Jeśli masz już usługę Defender for Endpoint uruchomioną w dowolnej z tych dystrybucji i masz problemy w starszych wersjach, uaktualnij do najnowszej wersji usługi Defender for Endpoint z odpowiedniego pierścienia wymienionego powyżej.

Kompilacja ze stycznia 2024 r.: 101.23112.0009 | Wersja wydania: 30.123112.0009.0

Co nowego

• Zaktualizowano domyślną wersję aparatu na 1.1.23110.4wartość , a domyślną wersję podpisów na 1.403.1579.0wartość .

• Ogólne ulepszenia stabilności i wydajności.

• Poprawka błędu dotycząca konfiguracji monitorowania zachowania.

• Poprawki.

Kompilacja z listopada 2023 r.: 101.23102.0003 | Wersja wydania: 30.123102.0003.0

Co nowego

• Zaktualizowano domyślną wersję aparatu na 1.1.23090.2008wartość , a domyślną wersję podpisów na 1.399.690.0wartość .

• Zaktualizowano bibliotekę libcurl do wersji 8.4.0 w celu rozwiązania ostatnio ujawnionych luk w zabezpieczeniach w starszej wersji.

• Zaktualizowano bibliotekę Openssl do wersji 3.1.1 w celu rozwiązania ostatnio ujawnionych luk w zabezpieczeniach w starszej wersji.

• Ogólne ulepszenia stabilności i wydajności.

• Poprawki.

Kompilacja z listopada 2023 r.: 101.23092.0012 | Wersja wydania: 30.123092.0012.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• Dodano obsługę przywracania zagrożeń na podstawie oryginalnej ścieżki przy użyciu następującego polecenia:

  sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
  

• Od tej wersji Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux nie będzie już dostarczać rozwiązania dla RHEL 6.

  RHEL 6 "Extended end of life support" jest gotowy do końca do 30 czerwca 2024 r., a klientom zaleca się zaplanowanie uaktualnień RHEL odpowiednio zgodnych ze wskazówkami firmy Red Hat. Klienci, którzy muszą uruchomić usługę Defender for Endpoint na serwerach RHEL 6, mogą nadal korzystać z wersji 101.23082.0011 (nie wygasa przed 30 czerwca 2024 r.) obsługiwanej w wersjach jądra 2.6.32-754.49.1.el6.x86_64 lub starszych.

  • Aktualizacja aparatu do 1.1.23080.2007 i podpisy Ver: 1.395.1560.0.
  • Usprawnione środowisko łączności urządzeń jest teraz w trybie publicznej wersji zapoznawczej. publiczny blog
  • Ulepszenia wydajności & poprawek błędów.

Znane problemy

• Blokada procesora cpu widoczna w jądrze w wersji 5.15.0-0.30.20 w trybie ebpf, zobacz Use eBPF-based sensor for Ochrona punktu końcowego w usłudze Microsoft Defender on Linux (Używanie czujnika opartego na eBPF dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux), aby uzyskać szczegółowe informacje i opcje ograniczania ryzyka.

Kompilacja z listopada 2023 r.: 101.23082.0011 | Wersja wydania: 30.123082.0011.0

Co nowego

• Ta nowa wersja jest kompilowana w wersji z października 2023 r. (101.23082.0009) z dodatkiem następujących zmian. Nie ma żadnych zmian dla innych klientów, a uaktualnienie jest opcjonalne.

• Poprawka dla niezmiennego trybu inspekcji, gdy dodatkowy podsystem to ebpf: w trybie ebpf wszystkie reguły inspekcji mdatp powinny być czyszczone po przełączeniu na ebpf i ponownym uruchomieniu. Po ponownym uruchomieniu reguły inspekcji mdatp nie zostały oczyszczone, ponieważ spowodowało to zawieszenie serwera. Poprawka usuwa te reguły, użytkownik nie powinien widzieć żadnych reguł mdatp załadowanych podczas ponownego uruchamiania

• Poprawka dotycząca MDE nie uruchamiania w systemie RHEL 6.

Znane problemy

Podczas uaktualniania z programu mdatp w wersji 101.75.43 lub 101.78.13 może wystąpić zawieszenie jądra. Przed próbą uaktualnienia do wersji 101.98.05 uruchom następujące polecenia. Więcej informacji na temat podstawowego problemu można znaleźć w artykule Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyzowania.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z października 2023 r.: 101.23082.0009 | Wersja wydania: 30.123082.0009.0

Co nowego

• Ta nowa wersja jest kompilowana w wersji z października 2023 r. ("101.23082.0009") z dodatkiem nowych certyfikatów urzędu certyfikacji. Nie ma żadnych zmian dla innych klientów, a uaktualnienie jest opcjonalne.

Znane problemy

Podczas uaktualniania z programu mdatp w wersji 101.75.43 lub 101.78.13 może wystąpić zawieszenie jądra. Przed próbą uaktualnienia do wersji 101.98.05 uruchom następujące polecenia. Więcej informacji na temat podstawowego problemu można znaleźć w artykule Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyzowania.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z października 2023 r.: 101.23082.0006 | Wersja wydania: 30.123082.0006.0

Co nowego

• Aktualizacje funkcji i nowe zmiany

  • Czujnik eBPF jest teraz domyślnym dodatkowym dostawcą zdarzeń dla punktów końcowych

  • Microsoft Intune funkcja dołączania dzierżawy jest dostępna w publicznej wersji zapoznawczej (od połowy lipca)

    • Aby funkcja działała prawidłowo, musisz dodać opcję "*.dm.microsoft.com" do wykluczeń zapory

  • Usługa Defender for Endpoint jest teraz dostępna dla systemów Debian 12 i Amazon Linux 2023

  • Obsługa włączania weryfikacji sygnatur pobranych aktualizacji

    • Musisz zaktualizować manajed.json, jak pokazano poniżej:

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • Wymagania wstępne dotyczące włączania funkcji

      • Wersja aparatu na urządzeniu musi mieć wartość "1.1.23080.007" lub nowszą. Sprawdź wersję aparatu przy użyciu następującego polecenia. mdatp health --field engine_version

  • Opcja obsługi monitorowania punktów instalacji systemu plików NFS i FUSE. Są one domyślnie ignorowane. W poniższym przykładzie pokazano, jak monitorować cały system plików, ignorując tylko system plików NFS:

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  Przykład monitorowania wszystkich systemów plików, w tym systemów plików NFS i FUSE:

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • Inne ulepszenia wydajności

  • Poprawki

Znane problemy

• Podczas uaktualniania z programu mdatp w wersji 101.75.43 lub 101.78.13 może wystąpić zawieszenie jądra. Przed próbą uaktualnienia do wersji 101.98.05 uruchom następujące polecenia. Więcej informacji na temat podstawowego problemu można znaleźć w artykule Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyzowania. Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z września 2023 r.: 101.23072.0021 | Wersja wydania: 30.123072.0021.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian:

• W mde_installer.sh wersji 0.6.3 użytkownicy mogą użyć argumentu --channel , aby podać kanał skonfigurowanego repozytorium podczas oczyszczania. Na przykład sudo ./mde_installer --clean --channel prod

• Rozszerzenie sieciowe może być teraz resetowane przez administratorów przy użyciu polecenia mdatp network-protection reset.

• Inne ulepszenia wydajności

• Poprawki

Znane problemy

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z lipca 2023 r.: 101.23062.0010 | Wersja wydania: 30.123062.0010.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian

• Jeśli dla usługi Defender for Endpoint ustawiono serwer proxy, jest on widoczny w mdatp health danych wyjściowych polecenia. W tej wersji udostępniliśmy dwie opcje w źródłach danych diagnostycznych mdatp hot-event-sources:

  • Pliki
  • Plików wykonywalnych

• Ochrona sieci: połączenia zablokowane przez ochronę sieci i przesłonięte przez użytkowników bloku są teraz prawidłowo zgłaszane do Microsoft Defender XDR

• Ulepszone rejestrowanie w bloku ochrony sieci i zdarzenia inspekcji na potrzeby debugowania |

• Inne poprawki i ulepszenia

  • Z tej wersji, enforcementLevel są domyślnie w trybie pasywnym dając administratorom większą kontrolę nad tym, gdzie chcą "RTP na" w ich majątku
  • Ta zmiana dotyczy tylko nowych wdrożeń MDE, na przykład serwerów, na których usługa Defender dla punktu końcowego jest wdrażana po raz pierwszy. W scenariuszach aktualizacji serwery, które mają usługę Defender for Endpoint wdrożoną z włączoną wersją RTP ON, kontynuuj obsługę protokołu RTP ON nawet po aktualizacji do wersji 101.23062.0010

• Poprawka usterki: problem z uszkodzeniem bazy danych programu RPM w Zarządzanie lukami w zabezpieczeniach w usłudze Defender linii bazowej został rozwiązany.

• Inne ulepszenia wydajności

Znane problemy

Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z lipca 2023 r.: 101.23052.0009 | Wersja wydania: 30.123052.0009.0

Co nowego

• W tej wersji istnieje wiele poprawek i nowych zmian — schemat wersji kompilacji jest aktualizowany z tej wersji. Chociaż numer wersji głównej pozostaje taki sam jak 101, numer wersji pomocniczej ma teraz pięć cyfr, po którym następuje czterocyfrowy numer poprawki, 101.xxxxx.yyy czyli — ulepszone zużycie pamięci w ramach ochrony sieci pod wpływem obciążenia
  • Zaktualizowano wersję aparatu do 1.1.20300.5 wersji i sygnaturę do 1.391.2837.0.
  • Poprawki.

Znane problemy

Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z czerwca 2023 r.: 101.98.89 | Wersja wydania: 30.123042.19889.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian

• Ulepszona obsługa serwera proxy ochrony sieci.

• W trybie pasywnym usługa Defender dla punktu końcowego nie skanuje się już po aktualizacji definicji.

• Urządzenia są nadal chronione nawet po wygaśnięciu agenta usługi Defender for Endpoint. Zalecamy uaktualnienie agenta usługi Defender for Endpoint Dla systemu Linux do najnowszej dostępnej wersji w celu otrzymywania poprawek błędów, funkcji i ulepszeń wydajności.

• Usunięto zależność pakietu semanage.

• Aktualizacja aparatu do 1.1.20100.7 i podpisy Ver: 1.385.1648.0.

• Poprawki.

Znane problemy

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z maja 2023 r.: 101.98.64 | Wersja wydania: 30.123032.19864.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian

• Ulepszenia komunikatów o kondycji umożliwiające przechwytywanie szczegółów dotyczących inspekcji błędów.

• Ulepszenia obsługi augenrules, co powodowało niepowodzenie instalacji.

• Okresowe oczyszczanie pamięci w procesie aparatu.

• Rozwiązano problem z pamięcią w wtyczce mdatp audisp.

• Obsłużona brakująca ścieżka katalogu wtyczki podczas instalacji.

• Gdy aplikacja powodująca konflikt używa blokowania fanotyfikacji, z domyślną konfiguracją kondycji mdatp pokazuje złej kondycji. To jest teraz naprawione.

• Obsługa inspekcji ruchu ICMP w usłudze BM.

• Aktualizacja aparatu do 1.1.20100.6 i podpisy Ver: 1.385.68.0.

• Poprawki.

Znane problemy

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z kwietnia 2023 r.: 101.98.58 | Wersja wydania: 30.123022.19858.0

Co nowego

W tej wersji istnieje wiele poprawek i nowych zmian

• Ulepszenia rejestrowania i raportowania błędów dla inspekcji.

• Obsługa błędu podczas ponownego ładowania inspekcji konfiguracji.

• Obsługa pustych plików reguł inspekcji podczas instalacji MDE.

• Aktualizacja aparatu do 1.1.20000.2 i podpisy Ver: 1.381.3067.0.

• Rozwiązano problem z kondycją w programie mdatp, który występuje z powodu odmów selinux.

• Poprawki.

Znane problemy

• Podczas uaktualniania programu mdatp do wersji lub nowszej 101.94.13 można zauważyć, że kondycja jest fałszywa, a health_issues jako "brak aktywnego dostawcy zdarzeń uzupełniających". Może się to zdarzyć z powodu błędnie skonfigurowanych/powodujących konflikt reguł inspekcji na istniejących maszynach. Aby rozwiązać ten problem, należy naprawić reguły inspekcji na istniejących maszynach. Poniższe polecenia mogą pomóc w zidentyfikowaniu takich reguł inspekcji (polecenia muszą być uruchamiane jako superużytkownik). Wykonaj kopię zapasową następującego pliku: /etc/audit/rules.d/audit.rules, ponieważ te kroki służą tylko do identyfikowania błędów.

  echo -c >> /etc/audit/rules.d/audit.rules
  augenrules --load
  

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Istnieją dwa sposoby rozwiązania tego problemu z uaktualnieniem:

1. Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

   Przykład:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. Alternatywnie możesz wykonać instrukcje , aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z marca 2023 r.: 101.98.30 | Wersja wydania: 30.123012.19830.0

Co nowego

• Ta nowa wersja jest kompilowana w wersji z marca 2023 r. ("101.98.05"),a poprawka dotycząca poleceń odpowiedzi na żywo kończy się niepowodzeniem dla jednego z naszych klientów. Nie ma żadnych zmian dla innych klientów, a uaktualnienie jest opcjonalne.

Znane problemy

• W przypadku programu mdatp w wersji 101.98.30 w niektórych przypadkach może wystąpić problem z błędem kondycji, ponieważ reguły SELinux nie są zdefiniowane dla niektórych scenariuszy. Ostrzeżenie o kondycji może wyglądać mniej więcej tak:

Znaleziono odmowy SELinux w ciągu ostatniego dnia. Jeśli protokół MDATP jest niedawno zainstalowany, wyczyść istniejące dzienniki inspekcji lub poczekaj jeden dzień na autoresolve tego problemu. Użyj polecenia: "sudo ausearch -i -c 'mdatp_audisp_pl' | grep "type=AVC" | grep "odmowa", aby znaleźć szczegóły

Problem można rozwiązać, uruchamiając następujące polecenia.

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

W tym miejscu mdatpaudisppl_v1 reprezentuje nazwę modułu zasad. Po uruchomieniu poleceń poczekaj 24 godziny lub wyczyść/zarchiwizować dzienniki inspekcji. Dzienniki inspekcji można zarchiwizować, uruchamiając następujące polecenie

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

W przypadku ponownego pojawienia się problemu z różnymi odmowami. Musimy ponownie uruchomić środki zaradcze o innej nazwie modułu (na przykład my-mdatpaudisppl_v2).

Kompilacja z marca 2023 r.: 101.98.05 | Wersja wydania: 30.123012.19805.0

Co nowego

• Ulepszona kompletność danych dla zdarzeń połączenia sieciowego

• Ulepszone możliwości zbierania danych dla zmian własności plików/uprawnień

• seManage w części pakietu, do tej zasady seLinux można skonfigurować w innej dystrybucji (stałe).

• Ulepszona stabilność demona przedsiębiorstwa

• Czyszczenie ścieżki zatrzymania AuditD

• Ulepszono stabilność przepływu zatrzymywania danych mdatp.

• Dodano nowe pole do wdavstate, aby śledzić czas aktualizacji platformy.

• Ulepszenia stabilności analizowania obiektu blob dołączania usługi Defender for Endpoint.

• Skanowanie nie jest kontynuowane, jeśli ważna licencja nie jest obecna (stała)

• Dodano opcję śledzenia wydajności do narzędzia xPlatClientAnalyzer z włączonym śledzeniem zrzutów procesu mdatp w pliku all_process.zip, który może służyć do analizy problemów z wydajnością.

• Dodano obsługę w usłudze Defender for Endpoint dla następujących wersji jądra RHEL-6:

  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64

• Inne poprawki

Znane problemy

Podczas uaktualniania programu mdatp do wersji 101.94.13 można zauważyć, że kondycja jest fałszywa, a health_issues jako "brak aktywnego dostawcy zdarzeń uzupełniających". Może się to zdarzyć z powodu błędnie skonfigurowanych/powodujących konflikt reguł inspekcji na istniejących maszynach. Aby rozwiązać ten problem, należy naprawić reguły inspekcji na istniejących maszynach. Poniższe kroki mogą pomóc w zidentyfikowaniu takich reguł inspekcji (te polecenia muszą być uruchamiane jako superużytkownik). Pamiętaj, aby utworzyć kopię zapasową następującego pliku: "/etc/audit/rules.d/audit.rules", ponieważ te kroki służą tylko do identyfikowania błędów.

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.98.05. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotify

Istnieją dwa sposoby rozwiązania problemu podczas uaktualniania.

Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

Przykład:

sudo apt purge mdatp
sudo apt-get install mdatp

Alternatywnie możesz wykonać instrukcje, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z stycznia 2023 r.: 101.94.13 | Wersja wydania: 30.122112.19413.0

Co nowego

• W tej wersji istnieje wiele poprawek i nowych zmian
  • Domyślnie pomiń kwarantannę zagrożeń w trybie pasywnym.
  • Nowa konfiguracja, nonExecMountPolicy, może teraz służyć do określania zachowania protokołu RTP w punkcie instalacji oznaczonym jako noexec.
  • Nowa konfiguracja, unmonitoredFilesystems, może służyć do niemonitorowania niektórych systemów plików.
  • Zwiększona wydajność przy dużym obciążeniu i w scenariuszach testów prędkości.
  • Rozwiązuje problem z uzyskiwaniem dostępu do udziałów SMB za połączeniami sieci VPN Cisco AnyConnect.
  • Rozwiązuje problem z usługą Network Protection i SMB.
  • obsługa śledzenia wydajności lttng.
  • Ulepszenia interfejsu wiersza polecenia tvm, eBPF, auditd, telemetria i mdatp.
  • Kondycja mdatp zgłasza teraz behavior_monitoring
  • Inne poprawki.

Znane problemy

• Podczas uaktualniania programu mdatp do wersji 101.94.13można zauważyć, że kondycja jest fałszywa, a health_issues jako "brak aktywnego dostawcy zdarzeń uzupełniających. Może się to zdarzyć z powodu błędnie skonfigurowanych/powodujących konflikt reguł inspekcji na istniejących maszynach. Aby rozwiązać ten problem, należy naprawić reguły inspekcji na istniejących maszynach. Poniższe kroki mogą pomóc w zidentyfikowaniu takich reguł inspekcji (te polecenia muszą być uruchamiane jako superużytkownik). Wykonaj kopię zapasową następującego pliku: /etc/audit/rules.d/audit.rules ponieważ te kroki służą tylko do identyfikowania błędów.

  echo -c >> /etc/audit/rules.d/audit.rules
  augenrules --load
  

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Przed podjęciem próby uaktualnienia do wersji 101.94.13 uruchom następujące polecenia. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotify

Istnieją dwa sposoby rozwiązania problemu podczas uaktualniania.

Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

Przykład:

sudo apt purge mdatp
sudo apt-get install mdatp

Alternatywnie możesz wykonać instrukcje, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z listopada 2022 r.: 101.85.27 | Wersja wydania: 30.122092.18527.0

Co nowego

• W tej wersji istnieje wiele poprawek i nowych zmian
  • Aparat w wersji 2 jest domyślnie w tej wersji, a bity aparatu w wersji 1 są usuwane w celu zwiększenia bezpieczeństwa.
  • Ścieżka konfiguracji aparatu w wersji 2 obsługuje definicje av. (ścieżka zestawu definicji mdatp)
  • Usunięto zależności pakietów zewnętrznych z pakietu MDE. Usunięte zależności to libatomic1, libselinux, libseccomp, libfuse i libuuid
  • W przypadku wyłączenia zbierania awarii przez konfigurację proces monitorowania awarii nie jest uruchamiany.
  • Poprawki wydajności umożliwiające optymalne używanie zdarzeń systemowych na potrzeby funkcji av.
  • Poprawa stabilności podczas ponownego uruchamiania problemów z mdatp i ładowaniem epsext.
  • Inne poprawki

Znane problemy

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.85.21. Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotify

Istnieją dwa sposoby rozwiązania problemu podczas uaktualniania.

Odinstaluj 101.75.43 wersję lub 101.78.13 mdatp za pomocą menedżera pakietów.

Przykład:

sudo apt purge mdatp
sudo apt-get install mdatp

Alternatywnie, postępuj zgodnie z instrukcjami, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Jeśli nie chcesz odinstalować programu mdatp, przed uaktualnieniem możesz wyłączyć funkcję rtp i mdatp w sekwencji. Przestroga: Niektórzy klienci (<1%) mają problemy z tą metodą.

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Kompilacja z września 2022 r.: 101.80.97 | Wersja wydania: 30.122072.18097.0

Co nowego

• Naprawia zawieszanie jądra zaobserwowane w przypadku wybranych obciążeń klienta z uruchomioną wersją 101.75.43mdatp . Po analizie głównej przyczyny przypisano to warunkowi wyścigu podczas wydawania własności deskryptora pliku czujnika. Stan wyścigu został ujawniony z powodu niedawnej zmiany produktu na ścieżce zamknięcia. Ten problem nie ma wpływu na klientów w nowszych wersjach jądra (5.1 lub nowszym). Aby uzyskać więcej informacji, zobacz Zawieszanie systemu z powodu zablokowanych zadań w kodzie fanotyfikacji.

Znane problemy

• Podczas uaktualniania z wersji 101.75.43 mdatp lub 101.78.13może wystąpić zawieszenie jądra. Uruchom następujące polecenia przed próbą uaktualnienia do wersji 101.80.97. Ta akcja powinna uniemożliwić wystąpienie problemu.

  sudo mdatp config real-time-protection --value=disabled
  sudo systemctl disable mdatp
  

Po wykonaniu poleceń wykonaj uaktualnienie za pomocą menedżera pakietów.

Alternatywnie, postępuj zgodnie z instrukcjami, aby odinstalować, a następnie zainstalować najnowszą wersję pakietu.

Kompilacja z sierpnia 2022 r.: 101.78.13 | Wersja wydania: 30.122072.17813.0

Co nowego

• Wycofano z powodu problemów z niezawodnością

Sierpień 2022 r. (kompilacja: 101.75.43 | Wersja wydania: 30.122071.17543.0)

Co nowego

• Dodano obsługę systemu Red Hat Enterprise Linux w wersji 9.0
• Dodano nowe pole w danych wyjściowych mdatp health , które może służyć do wykonywania zapytań dotyczących poziomu wymuszania funkcji ochrony sieci. Nowe pole jest wywoływane network_protection_enforcement_level i może przyjmować jedną z następujących wartości: audit, blocklub disabled.
• Rozwiązano problem polegający na tym, że wiele wykryć tę samą zawartość mogło prowadzić do zduplikowanych wpisów w historii zagrożeń
• Rozwiązano problem polegający na tym, że jeden z procesów zduplikowanych przez produkt (mdatp_audisp_plugin) czasami nie został prawidłowo zakończony, gdy usługa została zatrzymana
• Inne poprawki błędów

Kompilacja z lipca 2022 r.: 101.73.77 | Wersja wydania: 30.122062.17377.0

Co nowego

• Dodano opcję konfigurowania obliczeń skrótów plików
• Od tej kompilacji produkt ma domyślnie nowy aparat chroniący przed złośliwym oprogramowaniem
• Ulepszenia wydajności operacji kopiowania plików
• Poprawki błędów

Kompilacja z czerwca 2022 r.: 101.71.18 | Wersja wydania: 30.122052.17118.0

Co nowego

• Poprawka umożliwiająca obsługę magazynu definicji w niestandardowych lokalizacjach (poza /var) dla aktualizacji definicji w wersji 2
• Rozwiązano problem z czujnikiem produktu używanym w systemie RHEL 6, który mógł prowadzić do zawieszenia systemu operacyjnego
• mdatp connectivity test został rozszerzony o dodatkowy adres URL, który produkt wymaga poprawnego działania. Nowy adres URL to https://go.microsoft.com/fwlink/?linkid=2144709.
• Do tej pory poziom dziennika produktu nie był utrwalany między ponownym uruchomieniem produktu. Począwszy od tej wersji, istnieje nowy przełącznik narzędzia wiersza polecenia, który utrwala poziom dziennika. Nowe polecenie to mdatp log level persist --level <level>.
• Usunięto zależność python od pakietu instalacyjnego produktu
• Ulepszenia wydajności operacji kopiowania plików i przetwarzania zdarzeń sieciowych pochodzących z auditd
• Poprawki błędów

Kompilacja z maja 2022 r.: 101.68.80 | Wersja wydania: 30.122042.16880.0

Co nowego

• Dodano obsługę wersji 2.6.32-754.47.1.el6.x86_64 jądra podczas uruchamiania w systemie RHEL 6
• W systemie RHEL 6 produkt można teraz zainstalować na urządzeniach z uruchomionym nierozerwalnym jądrem przedsiębiorstwa (UEK)
• Rozwiązano problem polegający na tym, że nazwa procesu była czasami niepoprawnie wyświetlana, jak unknown podczas uruchamiania mdatp diagnostic real-time-protection-statistics
• Usunięto usterkę polegającą na tym, że produkt czasami niepoprawnie wykrywał pliki w folderze kwarantanny
• Rozwiązano problem polegający na tym mdatp , że narzędzie wiersza polecenia nie działało, gdy /opt było zainstalowane jako łącze nietrwałe
• Ulepszenia wydajności & poprawek błędów

Kompilacja z maja 2022 r.: 101.65.77 | Wersja wydania: 30.122032.16577.0

Co nowego

• Ulepszono pole w programie conflicting_applications , mdatp health aby wyświetlić tylko najnowsze 10 procesów, a także uwzględnić nazwy procesów. Dzięki temu łatwiej jest określić, które procesy mogą być w konflikcie z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux.
• Poprawki błędów

Mar-2022 (Kompilacja: 101.62.74 | Wersja wydania: 30.122022.16274.0)

Co nowego

• Rozwiązano problem polegający na tym, że produkt niepoprawnie blokował dostęp do plików o rozmiarze większym niż 2 GB podczas uruchamiania w starszych wersjach jądra
• Poprawki błędów

Kompilacja z marca 2022 r.: 101.60.93 | Wersja wydania: 30.122012.16093.0

Co nowego

• Ta wersja zawiera aktualizację zabezpieczeń cve-2022-23278.

Kompilacja z marca 2022 r.: 101.60.05 | Wersja wydania: 30.122012.16005.0

Co nowego

• Dodano obsługę jądra w wersji 2.6.32-754.43.1.el6.x86_64 dla RHEL 6.10
• Poprawki błędów

Kompilacja z lutego 2022 r.: 101.58.80 | Wersja wydania: 30.122012.15880.0

Co nowego

• Narzędzie wiersza polecenia obsługuje teraz przywracanie plików poddanych kwarantannie do lokalizacji innej niż ta, w której plik został pierwotnie wykryty. Można to zrobić za pośrednictwem programu mdatp threat quarantine restore --id [threat-id] --path [destination-folder].
• Począwszy od tej wersji, ochronę sieci dla systemu Linux można ocenić na żądanie
• Poprawki błędów

Kompilacja z stycznia 2022 r.: 101.56.62 | Wersja wydania: 30.121122.15662.0

Co nowego

• Naprawiono awarię produktu wprowadzona w wersji 101.53.02, która dotknęła wielu klientów

Kompilacja z stycznia 2022 r.: 101.53.02 | Wersja wydania: 30.1211112.15302.0

Co nowego

• Ulepszenia wydajności & poprawek błędów

Wersje 2021

Kompilacja: 101.52.57 | Wersja wydania: 30.121092.15257.0

Co nowego

• Dodano możliwość wykrywania wrażliwych plików jar log4j używanych przez aplikacje Java. Maszyna jest okresowo sprawdzana pod kątem uruchamiania procesów Java z załadowanymi plikami jar Log4j. Informacje są zgłaszane do zaplecza Ochrona punktu końcowego w usłudze Microsoft Defender i są widoczne w obszarze Zarządzanie lukami w zabezpieczeniach w portalu.

Kompilacja: 101.47.76 | Wersja wydania: 30.121092.14776.0

Co nowego

• Dodano nowy przełącznik do narzędzia wiersza polecenia, aby kontrolować, czy archiwa są skanowane podczas skanowania na żądanie. Można to skonfigurować za pomocą konfiguracji mdatp scan-archives --value [enabled/disabled]. Domyślnie to ustawienie jest włączone.

• Poprawki błędów

Kompilacja: 101.45.13 | Wersja wydania: 30.121082.14513.0

Co nowego

• Począwszy od tej wersji, oferujemy obsługę Ochrona punktu końcowego w usłudze Microsoft Defender do następujących dystrybucji:

  • Wersje RHEL6.7-6.10 i CentOS6.7-6.10.
  • Amazon Linux 2
  • Fedora 33 lub nowsza

• Poprawki błędów

Kompilacja: 101.45.00 | Wersja wydania: 30.121072.14500.0

Co nowego

• Dodano nowe przełączniki do narzędzia wiersza polecenia:
  • Kontrolowanie stopnia równoległości skanowania na żądanie. Można to skonfigurować za pomocą programu mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]. Domyślnie używany jest stopień równoległości 2 .
  • Określ, czy skanowanie po włączeniu lub wyłączeniu aktualizacji analizy zabezpieczeń. Można to skonfigurować za pomocą programu mdatp config scan-after-definition-update --value [enabled/disabled]. Domyślnie to ustawienie ma wartość enabled.
  • Zmiana poziomu dziennika produktu wymaga teraz podniesienia uprawnień
  • Poprawki błędów

Kompilacja: 101.39.98 | Wersja wydania: 30.121062.13998.0

Co nowego

• Ulepszenia wydajności & poprawek błędów

Kompilacja: 101.34.27 | Wersja wydania: 30.121052.13427.0

Co nowego

• Ulepszenia wydajności & poprawek błędów

Kompilacja: 101.29.64 | Wersja wydania: 30.121042.12964.0

Co nowego

• Począwszy od tej wersji, zagrożenia wykryte podczas skanowania antywirusowego na żądanie wyzwalane za pośrednictwem klienta wiersza polecenia są automatycznie korygowane. Zagrożenia wykryte podczas skanowania wyzwalane za pośrednictwem interfejsu użytkownika nadal wymagają akcji ręcznej.
• mdatp diagnostic real-time-protection-statistics Teraz obsługuje jeszcze dwa przełączniki:
• --sort: sortuje dane wyjściowe malejąco według całkowitej liczby skanowanych plików
• --top N: wyświetla pierwsze wyniki N (działa tylko wtedy, gdy --sort jest również określona)
• Ulepszenia wydajności & poprawek błędów

Kompilacja: 101.25.72 | Wersja wydania: 30.121022.12563.0

Co nowego

• Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux jest teraz dostępna w wersji zapoznawczej dla klientów rządowych USA. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.
• Rozwiązano problem polegający na tym, że użycie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux w systemach z systemami plików FUSE doprowadziło do zawieszenia systemu operacyjnego
• Ulepszenia wydajności & innych poprawek błędów

Kompilacja: 101.25.63 | Wersja wydania: 30.121022.12563.0

Co nowego

• Ulepszenia wydajności & poprawek błędów

Kompilacja: 101.23.64 | Wersja wydania: 30.121021.12364.0

Co nowego

• Poprawa wydajności w sytuacji, gdy cały punkt instalacji jest dodawany do listy wykluczeń programu antywirusowego. Przed tą wersją produkt przetworował działanie pliku pochodzące z punktu instalacji. Począwszy od tej wersji, działanie plików dla wykluczonych punktów instalacji jest pomijane, co prowadzi do lepszej wydajności produktu
• Dodano nową opcję do narzędzia wiersza polecenia, aby wyświetlić informacje o ostatnim skanowaniu na żądanie. Aby wyświetlić informacje o ostatnim skanowaniu na żądanie, uruchom polecenie mdatp health --details antivirus
• Inne ulepszenia wydajności & poprawki błędów

Kompilacja: 101.18.53

Co nowego

• EDR dla systemu Linux jest teraz ogólnie dostępny

• Dodano nowy przełącznik wiersza polecenia (--ignore-exclusions) w celu ignorowania wykluczeń av podczas skanowania niestandardowego (mdatp scan custom)

• Rozszerzono mdatp diagnostic create o nowy parametr (--path [directory]), który umożliwia zapisywanie dzienników diagnostycznych w innym katalogu

• Ulepszenia wydajności & poprawek błędów