Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Como funcionam as atualizações de informações de segurança offline
Este artigo descreve como configurar atualizações de informações de segurança offline no Defender para Endpoint no Linux. Esta capacidade permite-lhe atualizar informações de segurança (também conhecidas como definições ou assinaturas) em dispositivos Linux com exposição limitada ou sem exposição à Internet. Com esta configuração, utiliza um servidor de alojamento local, denominado servidor de espelho, que se liga à cloud da Microsoft para transferir atualizações de informações de segurança. Outros dispositivos Linux extraem estas atualizações do servidor espelho em intervalos predefinidos.
Benefícios da utilização de atualizações de informações de segurança offline
Os principais benefícios incluem:
- A sua equipa de segurança pode controlar e gerir a frequência das transferências de assinaturas no servidor local e a frequência com que os pontos finais extraem assinaturas do servidor local.
- Tem uma camada adicional de proteção e controlo, uma vez que as assinaturas transferidas podem ser testadas num dispositivo de teste antes de serem propagadas para toda a frota.
- Precisa de menos largura de banda de rede, porque apenas um servidor local obtém as atualizações mais recentes da cloud da Microsoft em nome de toda a sua frota.
- O servidor espelho pode executar o Windows, Mac ou Linux e não tem de instalar o Defender para Endpoint nesse servidor.
- Obtém a proteção antivírus mais atualizada, porque as assinaturas são sempre transferidas juntamente com o motor antivírus compatível mais recente.
- As versões mais antigas das assinaturas (
n-1) são movidas para uma pasta de cópia de segurança no servidor espelho em cada iteração. Se existir um problema com as atualizações mais recentes, pode solicitar an-1versão da assinatura da pasta de cópia de segurança para os seus dispositivos. - No caso raro de uma atualização offline falhar, pode configurar uma opção de contingência para obter atualizações online a partir da cloud da Microsoft.
Como funciona a atualização de informações de segurança offline
- Configure um servidor espelho, que é um servidor Web local ou NFS acessível pela cloud da Microsoft.
- As assinaturas são transferidas a partir da cloud da Microsoft neste servidor espelho ao executar um script com tarefa cron ou programador de tarefas no servidor local.
- Os pontos finais do Linux que executam o Defender para Endpoint extraem as assinaturas transferidas do servidor espelho num intervalo de tempo predefinido.
- As assinaturas extraídas para dispositivos Linux a partir do servidor local são primeiro verificadas antes de serem carregadas para o motor antivírus.
- Para iniciar e configurar o processo de atualização, pode atualizar o ficheiro json de configuração gerida nos seus dispositivos Linux.
- Pode ver a status de atualizações na CLI do mdatp.
Fig. 1: Diagrama de fluxo de processos no servidor de espelho para transferir as atualizações de informações de segurança
Fig. 2: Diagrama de fluxo de processos no ponto final do Linux para atualizações de informações de segurança
O servidor espelho pode executar qualquer um dos seguintes sistemas operativos:
- Linux (qualquer sabor)
- Windows (qualquer versão)
- Mac (qualquer versão)
Pré-requisitos
A versão
101.24022.0001do Defender para Endpoint ou posterior tem de ser instalada nos pontos finais do Linux.Os pontos finais do Linux têm de ter conectividade ao servidor espelho.
O ponto final do Linux tem de estar a executar qualquer uma das distribuições suportadas pelo Defender para Endpoint. (veja Distribuições suportadas do Linux.)
O servidor espelho pode ser um servidor HTTP/HTTPS ou um servidor de partilha de rede, como um Servidor NFS.
O servidor espelho tem de ter acesso aos seguintes URLs:
https://github.com/microsoft/mdatp-xplat.githttps://go.microsoft.com/fwlink/?linkid=2144709
O servidor espelho deve suportar o bash ou o PowerShell.
São necessárias as seguintes especificações mínimas do sistema para o servidor espelho:
Núcleo da CPU RAM Disco gratuito Trocar 2 núcleos (Preferencial 4 Núcleos) 1 GB Min (4 GB Preferenciais) 2 GB Dependente do Sistema Observação
Esta configuração pode variar consoante o número de pedidos que são servidos e a carga que cada servidor tem de processar.
Configurar o servidor espelho
Observação
- A gestão e a propriedade do Servidor Espelhado residem exclusivamente no cliente, uma vez que reside no ambiente privado do cliente.
- O Servidor Espelhado não precisa de ter o Defender para Endpoint instalado.
Obter o script do transferidor de informações de segurança offline
A Microsoft aloja um script de transferência de informações de segurança offline neste repositório do GitHub.
Execute os seguintes passos para obter o script do downloader:
Opção 1: Clonar o repositório (Preferencial)
Instale o git no servidor espelho.
Navegue para o diretório onde pretende clonar o repositório.
Execute o seguinte comando:
git clone https://github.com/microsoft/mdatp-xplat.git
Opção 2: Transferir o ficheiro zipado
Copie o ficheiro transferido para a pasta onde pretende manter o script.
Extraia a pasta zipada.
Agende uma tarefa ou uma tarefa cron para manter o ficheiro zip repositório/transferido atualizado para a versão mais recente em intervalos regulares.
Estrutura de diretório local após clonar o repositório ou transferir o ficheiro zipado
Depois de clonar o repositório ou transferir o ficheiro zipado, a estrutura do diretório local deve ser a seguinte:
user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh
0 directories, 5 files
Observação
Percorra o README.md ficheiro para compreender detalhadamente como utilizar o script.
O settings.json ficheiro consiste em algumas variáveis que o utilizador pode configurar para determinar o resultado da execução do script.
| Nome do Campo | Valor | Descrição |
|---|---|---|
downloadFolder |
string | Mapeia para a localização para onde o script transfere os ficheiros. |
downloadLinuxUpdates |
bool | Quando definido como true, o script transfere as atualizações específicas do Linux para o downloadFolder. |
logFilePath |
string | Configura os registos de diagnóstico numa determinada pasta. Este ficheiro pode ser partilhado com a Microsoft para depurar o script, caso existam problemas. |
downloadMacUpdates |
bool | O script transfere as atualizações específicas do Mac para o downloadFolder. |
downloadPreviewUpdates |
bool | Transfere a versão de pré-visualização das atualizações disponíveis para o SO específico. |
backupPreviousUpdates |
bool | Permite que o script copie a atualização anterior na _back pasta e as novas atualizações são transferidas para downloadFolder. |
Executar o script do transferidor de informações de segurança offline
Para executar manualmente o script do downloader, configure os parâmetros no settings.json ficheiro de acordo com a descrição na secção anterior e utilize um dos seguintes comandos com base no SO do servidor espelho:
Bash:
./xplat_offline_updates_download.shPowerShell:
./xplat_offline_updates_download.ps1
Observação
Agende uma tarefa cron para executar este script para transferir as atualizações de informações de segurança mais recentes no servidor espelho em intervalos regulares.
Alojar as atualizações de informações de segurança offline no servidor espelho
Assim que o script for executado, as assinaturas mais recentes são transferidas para a pasta configurada no settings.json ficheiro (updates.zip).
Assim que o zip de assinaturas for transferido, o servidor espelho pode ser utilizado para alojá-lo. O servidor espelho pode ser alojado com qualquer um dos servidores de partilha http/HTTPS/rede ou um ponto de montagem local/remoto.
Uma vez alojado, copie o caminho absoluto do servidor alojado (até e não incluindo o arch_* diretório).
Observação
Por exemplo, se o script do transferidor for executado com downloadFolder=/tmp/wdav-updatee o servidor HTTP (www.example.server.com:8000) estiver a alojar o /tmp/wdav-update caminho, o URI correspondente será: www.example.server.com:8000/linux/production/ (verifique se no diretório existem arch_* diretórios).
Também pode utilizar o caminho absoluto do diretório (ponto de montagem local/remoto). Por exemplo, se os ficheiros forem transferidos pelo script para um diretório /tmp/wdav-update, o URI correspondente será:/tmp/wdav-update/linux/production.
Assim que o servidor espelho estiver configurado, terá de propagar este URI para os pontos finais do Linux como offlineDefinitionUpdateUrl no na Configuração Gerida, conforme descrito na secção seguinte.
Configurar os pontos finais
Utilize o exemplo seguinte mdatp_managed.json e atualize os parâmetros de acordo com a configuração e copie o ficheiro para a localização /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.
{
"cloudService": {
"automaticDefinitionUpdateEnabled": true,
"definitionUpdatesInterval": 1202
},
"antivirusEngine": {
"offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
"offlineDefinitionUpdateFallbackToCloud":false,
"offlineDefinitionUpdate": "enabled"
},
"features": {
"offlineDefinitionUpdateVerifySig": "enabled"
}
}
| Nome do Campo | Values | Comments |
|---|---|---|
automaticDefinitionUpdateEnabled |
True/False |
Determina o comportamento do Defender para Endpoint ao tentar efetuar atualizações automaticamente, é ativado ou desativado, respetivamente. |
definitionUpdatesInterval |
Numérico | Tempo de intervalo entre cada atualização automática de assinaturas (em segundos). |
offlineDefinitionUpdateUrl |
Cadeia de caracteres | Valor do URL gerado como parte da configuração do servidor espelho. Isto pode ser em termos do URL do servidor remoto ou de um diretório (ponto de montagem local/remoto). Consulte a secção anterior para obter informações sobre como especificar este caminho. |
offlineDefinitionUpdate |
enabled/disabled |
Quando definida como enabled, a funcionalidade de atualização de informações de segurança offline está ativada e vice-versa. |
offlineDefinitionUpdateFallbackToCloud |
True/False |
Determine a abordagem de atualização de informações de segurança do Defender para Endpoint quando o servidor de espelho offline não consegue cumprir o pedido de atualização. Se definida como true, a atualização é repetida através da cloud da Microsoft quando a atualização de informações de segurança offline falhou; caso contrário, vice-versa. |
offlineDefinitionUpdateVerifySig |
enabled/disabled |
Quando definidas como enabled, as definições transferidas são verificadas nos pontos finais; caso contrário, vice-versa. |
Observação
Atualmente, as atualizações de informações de segurança offline podem ser configuradas em pontos finais do Linux apenas através de json gerido. A integração com a gestão de definições de segurança do Defender para Endpoint no portal do Microsoft Defender está no mapa de objetivos, mas ainda não está disponível.
Verificar a configuração
Para testar se as definições são aplicadas corretamente nos pontos finais do Linux, execute o seguinte comando:
mdatp health --details definitions
Uma saída de exemplo teria um aspeto semelhante ao seguinte fragmento de código:
user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled : true [managed]
definitions_updated : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago : 2
definitions_version : "1.407.417.0"
definitions_status : "up_to_date"
definitions_update_source_uri : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason : ""
offline_definition_url_configured : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update : "enabled" [managed]
offline_definition_update_verify_sig : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]
Acionar as atualizações de informações de segurança offline
Atualização automática
- Se o nível de imposição do motor antivírus estiver definido como
real_timee os camposautomaticDefinitionUpdateEnabledeoffline_definition_updateno json gerido estiverem definidos comotrue, as atualizações de informações de segurança offline são acionadas automaticamente em intervalos periódicos. - Por predefinição, este intervalo periódico é de 8 horas. No entanto, pode ser configurado ao definir o
definitionUpdatesIntervalparâmetro no json gerido.
Atualização Manual
Para acionar manualmente a atualização de informações de segurança offline para transferir as assinaturas do servidor espelho nos pontos finais do Linux, execute o seguinte comando:
mdatp definitions update
Verificar status de atualização
Depois de acionar atualizações de informações de segurança offline com o método automático ou manual, verifique se a atualização foi efetuada com êxito ao executar o comando:
mdatp health --details --definitions.Verifique os seguintes campos:
user@vm:~$ mdatp health --details definitions ... definitions_status : "up_to_date" ... definitions_update_fail_reason : "" ...
Resolução de problemas e diagnóstico
Se as atualizações falharem, estiverem bloqueadas ou não iniciarem, siga estes passos para resolver o problema:
Verifique a status de atualizações de informações de segurança offline com o seguinte comando:
mdatp health --details definitionsProcure informações na
definitions_update_fail_reasonsecção .Certifique-se de que
offline_definition_updateeoffline_definition_update_verify_sigestão ativados.Certifique-se de que
definitions_update_source_urié igual aoffline_definition_url_configured.-
definitions_update_source_urié a origem de onde as assinaturas foram transferidas. -
offline_definition_url_configuredé a origem de onde as assinaturas devem ser transferidas, a mencionada no ficheiro de configuração gerida.
-
Experimente executar o teste de conectividade para marcar se espelho servidor estiver acessível a partir do anfitrião:
mdatp connectivity testTente iniciar uma atualização manual com o seguinte comando:
mdatp definitions update