Настройка автономных обновлений аналитики безопасности для Microsoft Defender для конечной точки в Linux

Область применения:

• Microsoft Defender для конечной точки для серверов
• Microsoft Defender для серверов плана 1 или плана 2

В этой статье описывается настройка автономных обновлений аналитики безопасности в Defender для конечной точки на Linux. Эта возможность позволяет обновлять аналитику безопасности (также называемую определениями или сигнатурами) на устройствах Linux, которые имеют ограниченный доступ к Интернету или вообще не имеют доступа к интернету. В этой конфигурации используется локальный сервер размещения, называемый сервером зеркало, который подключается к облаку Майкрософт для скачивания обновлений аналитики безопасности. Другие устройства Linux извлекали эти обновления с сервера зеркало через предопределенные интервалы.

В числе основных преимуществ можно назвать следующие:

• Ваша группа безопасности может контролировать частоту скачивания подписей на локальном сервере и частоту, с которой конечные точки извлекали подписи с локального сервера, и управлять ими.
• У вас есть дополнительный уровень защиты и контроля, так как скачанные сигнатуры можно протестировать на тестовом устройстве, прежде чем они будут распространены на весь парк.
• Требуется меньшая пропускная способность сети, так как только один локальный сервер получает последние обновления из облака Майкрософт от имени всего парка.
• Сервер зеркало может работать под управлением Windows, Mac или Linux, и вам не нужно устанавливать Defender для конечной точки на этом сервере.
• Вы получаете самую актуальную антивирусную защиту, так как подписи всегда скачиваются вместе с последней совместимой антивирусной подсистемой.
• Старые версии подписей (n-1) перемещаются в папку резервного копирования на сервере зеркало в каждой итерации. Если возникла проблема с последними обновлениями, вы можете извлечь версию сигнатуры n-1 из папки резервного копирования на устройства.
• В редких случаях при сбое автономного обновления можно настроить резервный вариант для получения обновлений по сети из облака Майкрософт.

• Вы настраиваете сервер зеркало, который является локальным веб-сервером или сервером NFS, доступным в облаке Майкрософт.
• Подписи скачиваются из облака Майкрософт на этом зеркало сервере путем выполнения скрипта с помощью задания cron или планировщика задач на локальном сервере.
• Конечные точки Linux под управлением Defender для конечной точки тянут скачанные сигнатуры с сервера зеркало через предопределенный интервал времени.
• Подписи, полученные на устройствах Linux с локального сервера, сначала проверяются перед загрузкой в антивирусную подсистему.
• Чтобы запустить и настроить процесс обновления, можно обновить json-файл управляемой конфигурации на устройствах Linux.
• Состояние обновлений можно просмотреть в интерфейсе командной строки mdatp.

Рис. 1. Схема процесса на сервере зеркало для скачивания обновлений аналитики безопасности

Рис. 2. Схема процесса в конечной точке Linux для обновлений аналитики безопасности

Сервер зеркало может запускать любую из следующих операционных систем:

• Linux (любой вариант)
• Windows (любая версия)
• Mac (любая версия)

• На конечных точках Linux необходимо установить Defender для конечной точки или более поздней версии 101.24022.0001 .

• Конечные точки Linux должны иметь подключение к серверу зеркало.

• Конечная точка Linux должна работать под управлением любого дистрибутива, поддерживаемого Defender для конечной точки. (См. раздел Поддерживаемые дистрибутивы Linux.)

• Сервер зеркало может быть сервером HTTP/HTTPS или сервером общей сети, например сервером NFS.

• Сервер зеркало должен иметь доступ к следующим URL-адресам:

  • https://github.com/microsoft/mdatp-xplat.git
  • https://go.microsoft.com/fwlink/?linkid=2144709

• Сервер зеркало должен поддерживать bash или PowerShell.

• Для сервера зеркало требуются следующие минимальные системные спецификации:

  Развернуть таблицу

  Ядро ЦП	ОЗУ	Бесплатный диск	Обменивать
  2 ядра (предпочтительное 4 ядра)	1 ГБ min (предпочтительно 4 ГБ)	2 ГБ	Зависимая от системы

  Примечание

  Эта конфигурация может отличаться в зависимости от количества обслуживаемых запросов и загрузки, которую должен обработать каждый сервер.

Корпорация Майкрософт размещает скрипт автономного загрузчика аналитики безопасности в этом репозитории GitHub.

Чтобы получить скрипт загрузчика, выполните следующие действия:

1. Установите Git на сервере зеркало.

2. Перейдите в каталог, в котором вы хотите клонировать репозиторий.

3. Выполните следующую команду: git clone https://github.com/microsoft/mdatp-xplat.git

1. Скачайте zip-файл.

2. Скопируйте скачанный файл в папку, в которой вы хотите сохранить скрипт.

3. Извлеките zip-папку.

4. Запланируйте задачу или задание cron , чтобы регулярно обновлять репозиторий или скачанный ZIP-файл до последней версии.

После клонирования репозитория или скачивания zip-файла структура локальных каталогов должна выглядеть следующим образом:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Файл settings.json состоит из нескольких переменных, которые пользователь может настроить для определения выходных данных выполнения скрипта.

Чтобы вручную выполнить скрипт загрузчика, настройте параметры в файле согласно settings.json описанию в предыдущем разделе и используйте одну из следующих команд на основе ОС сервера зеркало:

• Бить:

  ./xplat_offline_updates_download.sh
  

• PowerShell:

  ./xplat_offline_updates_download.ps1
  

После выполнения скрипта последние подписи скачиваются в папку, настроенную в settings.json файле (updates.zip).

После скачивания ZIP-файла сигнатур для размещения можно использовать сервер зеркало. Сервер зеркало можно разместить с помощью любого сервера HTTP/HTTPS/сетевого ресурса или локальной или удаленной точки подключения.

После размещения скопируйте абсолютный путь к размещенного сервера (до каталога и не включая его arch_* ).

После настройки сервера зеркало необходимо распространить этот URI на конечные точки Linux как offlineDefinitionUpdateUrl в управляемой конфигурации, как описано в следующем разделе.

Используйте следующий пример mdatp_managed.json , обновите параметры в соответствии с конфигурацией и скопируйте файл в расположение /etc/opt/microsoft/mdatp/managed/mdatp_managed.json.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}

Чтобы проверить правильность применения параметров к конечным точкам Linux, выполните следующую команду:

mdatp health --details definitions

Пример выходных данных будет выглядеть следующим образом:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

• Если для антивирусной подсистемы задано значениеreal_time, а полям automaticDefinitionUpdateEnabled и offline_definition_update в управляемом json задано значение true, то обновления аналитики безопасности в автономном режиме активируются автоматически через периодические интервалы.
• По умолчанию этот периодический интервал составляет 8 часов. Но его можно настроить, задав definitionUpdatesInterval параметр в управляемом файле JSON.

• Чтобы вручную запустить автономное обновление аналитики безопасности для загрузки подписей с сервера зеркало в конечных точках Linux, выполните следующую команду:

  mdatp definitions update
  

• После запуска автономных обновлений аналитики безопасности с помощью автоматического или ручного метода убедитесь, что обновление прошло успешно, выполнив команду : mdatp health --details --definitions.

• Проверьте следующие поля:

  user@vm:~$ mdatp health --details definitions
  ...
  definitions_status                          : "up_to_date"
  ...
  definitions_update_fail_reason              : ""
  ...
  

Если обновления завершаются сбоем, зависают или не запускаются, выполните следующие действия для устранения неполадок:

1. Проверьте состояние автономных обновлений аналитики безопасности с помощью следующей команды:

   mdatp health --details definitions
   

   Найдите сведения в definitions_update_fail_reason разделе.

2. Убедитесь, что offline_definition_update и offline_definition_update_verify_sig включены.

3. Убедитесь, что definitions_update_source_uri значение равно offline_definition_url_configured.

   • definitions_update_source_uri — это источник, из которого были загружены подписи.
   • offline_definition_url_configured — это источник, из которого следует скачать сигнатуры, упомянутый в управляемом файле конфигурации.

4. Попробуйте выполнить проверку подключения, чтобы проверка, если зеркало сервер доступен с узла:

   mdatp connectivity test
   

5. Попробуйте запустить обновление вручную с помощью следующей команды:

   mdatp definitions update
   

• Ресурсы Linux
• Microsoft Defender для конечной точки в Linux
• Настройка параметров безопасности и политик для Microsoft Defender для конечной точки в Linux