Новые возможности Microsoft Defender для конечной точки в Linux
Эта статья часто обновляется, чтобы узнать о новых возможностях последних выпусков Microsoft Defender для конечной точки на Linux.
- Новые возможности Defender для конечной точки в macOS
- Новые возможности Defender для конечной точки в iOS
Важно!
Начиная с версии 101.2408.0004
Defender для конечной точки в Linux больше не поддерживает Auditd
поставщик событий. Мы полностью переходим на более эффективную технологию eBPF. Это изменение позволяет повысить производительность, сократить потребление ресурсов и повысить общую стабильность. Поддержка eBPF доступна с августа 2023 года и полностью интегрирована во все обновления Defender для конечной точки в Linux (версия 101.23082.0006
и более поздние версии). Мы настоятельно рекомендуем внедрить сборку eBPF, так как она обеспечивает значительные улучшения по сравнению с Auditd. Если eBPF не поддерживается на ваших компьютерах или существуют определенные требования, чтобы остаться в auditd, у вас есть следующие варианты:
Продолжайте использовать сборку
101.24072.0000
Defender для конечной точки в Linux с auditd. Эта сборка будет поддерживаться в течение нескольких месяцев, поэтому у вас есть время для планирования и выполнения миграции в eBPF.Если вы используете более поздние версии , Defender
101.24072.0000
для конечной точки в Linux используетсяnetlink
в качестве дополнительного поставщика резервных копий событий. В случае отката все операции процесса продолжают выполняться без проблем.
Просмотрите текущее развертывание Defender для конечной точки в Linux и начните планировать миграцию на сборку, поддерживаемую eBPF. Дополнительные сведения о eBPF и его работе см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux.
Если у вас есть какие-либо проблемы или вам нужна помощь во время этого перехода, обратитесь в службу поддержки.
Ноябрь 2024 г. (сборка: 101.24092.0002 | Версия выпуска: 30.124092.0002.0)
Ноябрь 2024 г. Сборка: 101.24092.0002 | Версия выпуска: 30.124092.0002.0
Дата выпуска: 14 ноября 2024 г. Опубликовано: 14 ноября 2024 г. Сборка: 101.24092.0002 Версия выпуска: 30.124092.0002 Версия ядра: 1.1.24080.9 Версия подписи: 1.417.659.0
Новые возможности
Добавлена поддержка защищенных установок на неисполняемых
/var
секциях. Начиная с этого выпуска, антивирусные сигнатуры устанавливаются/opt/microsoft/mdatp/definitions.noindex
по умолчанию вместо/var/opt/microsoft/mdatp/definitions.noindex
. Во время обновлений установщик пытается перенести старые определения в новый путь, если не обнаружит, что путь уже настроен (с помощьюmdatp definitions path set
).Начиная с этой версии Defender для конечной точки в Linux больше не требуются разрешения на исполняемые файлы для
/var/log
. Если эти разрешения недоступны, файлы журнала автоматически перенаправляются в/opt
.
Октябрь 2024 г. (сборка: 101.24082.0004 | Версия выпуска: 30.124082.0004.0)
Сборка: 101.24082.0004 за сентябрь 2024 г. | Версия выпуска: 30.124082.0004.0
Дата выпуска: 15 октября 2024 г.
Опубликовано: 15 октября 2024 г.
Сборка: 101.24082.0004
Версия выпуска: 30.124082.0004
Версия обработчика: 1.1.24080.9
Версия подписи: 1.417.659.0
Новые возможности
- Начиная с этой версии Defender для конечной точки в Linux больше не поддерживается
AuditD
в качестве дополнительного поставщика событий. Для повышения стабильности и производительности мы полностью перешли на eBPF. Если вы отключите eBPF или если eBPF не поддерживается ни в одном конкретном ядре, Defender для конечной точки в Linux автоматически переключится на Netlink в качестве резервного дополнительного поставщика событий. Netlink предоставляет ограниченную функциональность и отслеживает только события, связанные с процессом. В этом случае все операции процесса продолжают выполняться без проблем, но вы можете пропустить определенные события, связанные с файлами и сокетами, которые в противном случае будет записывать eBPF. Дополнительные сведения см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux. Если у вас есть какие-либо проблемы или вам нужна помощь во время этого перехода, обратитесь в службу поддержки. - Повышение стабильности и производительности
- Другие исправления ошибок
Сентябрь 2024 г. (сборка: 101.24072.0001 | Версия выпуска: 30.124072.0001.0)
Сентябрь 2024 г. Сборка: 101.24072.0001 | Версия выпуска: 30.124072.0001.0
Дата выпуска: 23 сентября 2024 г.
Опубликовано: 23 сентября 2024 г.
Сборка: 101.24072.0001
Версия выпуска: 30.124072.0001.0
Версия обработчика: 1.1.24060.6
Версия подписи: 1.415.228.0
Новые возможности
- Добавлена поддержка Ubuntu 24.04
- Обновлена версия обработчика по умолчанию до
1.1.24060.6
версии, а версия подписей по умолчанию — до1.415.228.0
.
Июль 2024 г. (сборка: 101.24062.0001 | Версия выпуска: 30.124062.0001.0)
Сборка: 101.24062.0001 за июль 2024 г. | Версия выпуска: 30.124062.0001.0
Дата выпуска: 31 июля 2024 г.
Опубликовано: 31 июля 2024 г.
Сборка: 101.24062.0001
Версия выпуска: 30.124062.0001.0
Версия обработчика: 1.1.24050.7
Версия подписи: 1.411.410.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
- Исправлена ошибка, из-за которой зараженные сведения об угрозах командной строки отображались неправильно на портале безопасности.
- Исправлена ошибка, из-за которой для отключения функции предварительной версии требовался Защитник конечной точки, чтобы отключить ее.
- Функция глобальных исключений с использованием управляемого JSON теперь доступна в общедоступной предварительной версии. доступно для участников программы предварительной оценки с 101.23092.0012. Дополнительные сведения см. в разделе Исключения linux.
- Обновлена версия ядра Linux по умолчанию до версии 1.1.24050.7, а версия sigs по умолчанию — до версии 1.411.410.0.
- Повышение стабильности и производительности.
- Другие исправления ошибок.
Июнь 2024 г. (сборка: 101.24052.0002 | Версия выпуска: 30.124052.0002.0)
Сборка: 101.24052.0002 | Версия выпуска: 30.124052.0002.0
Дата выпуска: 24 июня 2024 г.
Опубликовано: 24 июня 2024 г.
Сборка: 101.24052.0002
Версия выпуска: 30.124052.0002.0
Версия обработчика: 1.1.24040.2
Версия подписи: 1.411.153.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
- В этом выпуске исправлена ошибка, связанная с высоким потреблением памяти, что в конечном итоге привело к высокой загрузке ЦП из-за утечки памяти eBPF в пространстве ядра, в результате чего серверы переходить в непригодные для использования состояния. Это повлияло только на версии ядра 3.10x и <= 4.16x, в основном на дистрибутивах RHEL/CentOS. Обновите до последней версии MDE, чтобы избежать каких-либо последствий.
- Теперь мы упростили выходные данные
mdatp health --detail features
- Повышение стабильности и производительности.
- Другие исправления ошибок.
Май 2024 г. (сборка: 101.24042.0002 | Версия выпуска: 30.124042.0002.0)
Сборка за май 2024 г.: 101.24042.0002 | Версия выпуска: 30.124042.0002.0
Дата выпуска: 29 мая 2024 г.
Опубликовано: 29 мая 2024 г.
Сборка: 101.24042.0002
Версия выпуска: 30.124042.0002.0
Версия обработчика: 1.1.24030.4
Версия подписи: 1.407.521.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
- В версии 24032.0007 существовала известная проблема, из-за которой регистрация устройств для MDE управления безопасностью не удалась при использовании механизма "Маркировка устройств" через файл mdatp_managed.json. Эта проблема устранена в текущем выпуске.
- Повышение стабильности и производительности.
- Другие исправления ошибок.
Май 2024 г. (сборка: 101.24032.0007 | Версия выпуска: 30.124032.0007.0)
Сборка: 101.24032.0007 за май 2024 г. | Версия выпуска: 30.124032.0007.0
Дата выпуска: 15 мая 2024 г.
Опубликовано: 15 мая 2024 г.
Сборка: 101.24032.0007
Версия выпуска: 30.124032.0007.0
Версия обработчика: 1.1.24020.3
Версия подписи: 1.403.3500.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
В пассивном режиме и режиме по запросу антивирусная подсистема остается в состоянии простоя и используется только во время запланированных пользовательских проверок. Таким образом, в рамках повышения производительности мы внесли изменения, чтобы не работать подсистема AV в пассивном режиме и режиме по запросу, за исключением запланированных пользовательских проверок. Если включена защита в режиме реального времени, антивирусная подсистема всегда будет работать. Это не повлияет на защиту сервера в любом режиме.
Чтобы информировать пользователей о состоянии антивирусной подсистемы, мы ввели новое поле под названием "engine_load_status" в рамках работоспособности MDATP. Он указывает, работает ли антивирусная подсистема в настоящее время.
Field name
engine_load_status
Возможные значения Подсистема не загружена (процесс обработчика av engine не работает), загрузка подсистемы выполнена успешно (процесс обработчика AV запущен) Работоспособные сценарии:
- Если RTP включен, engine_load_status должно быть "Загрузка подсистемы выполнена успешно"
- Если MDE находится в режиме по запросу или в пассивном режиме, а настраиваемое сканирование не выполняется, то "engine_load_status" должно быть "Engine not loaded" (Подсистема не загружена)
- Если MDE находится в режиме по запросу или в пассивном режиме и выполняется настраиваемая проверка, "engine_load_status" должно быть "Загрузка ядра выполнена успешно".
Исправление ошибок для улучшения обнаружения поведения.
Повышение стабильности и производительности.
Другие исправления ошибок.
Известные проблемы
Существует известная проблема, из-за которой в 24032.0007 происходит сбой регистрации устройств для MDE управления безопасностью с помощью механизма маркировки устройств с помощью mdatp_managed.json. Чтобы устранить эту проблему, используйте следующую команду mdatp CLI для добавления тегов к устройствам:
sudo mdatp edr tag set --name GROUP --value MDE-Management
Проблема устранена в сборке: 101.24042.0002
Март 2024 г. (сборка: 101.24022.0001 | Версия выпуска: 30.124022.0001.0)
Сборка за март 2024 г.: 101.24022.0001 | Версия выпуска: 30.124022.0001.0
Дата выпуска: 22 марта 2024 г.
Опубликовано: 22 марта 2024 г.
Сборка: 101.24022.0001
Версия выпуска: 30.124022.0001.0
Версия обработчика: 1.1.23110.4
Версия подписи: 1.403.87.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
- Добавление нового файла журнала —
microsoft_defender_scan_skip.log
. При этом будут регистрироваться имена файлов, которые были пропущены при различных проверках антивирусной программы Microsoft Defender для конечной точки по любой причине. - Повышение стабильности и производительности.
- Исправления ошибок.
Март 2024 г. (сборка: 101.24012.0001 | Версия выпуска: 30.124012.0001.0)
Сборка: 101.24012.0001 за март 2024 г. | Версия выпуска: 30.124012.0001.0
Дата выпуска: 12 марта 2024 г.
Опубликовано: 12 марта 2024 г.
Сборка: 101.24012.0001
Версия выпуска: 30.124012.0001.0
Версия обработчика: 1.1.23110.4
Версия подписи: 1.403.87.0
Новые возможности В этом выпуске есть несколько исправлений и новых изменений:
- Обновлена версия обработчика по умолчанию до
1.1.23110.4
, а версия подписей по умолчанию — до1.403.87.0
. - Повышение стабильности и производительности.
- Исправления ошибок.
Февраль 2024 г. (сборка: 101.23122.0002 | Версия выпуска: 30.123122.0002.0)
Сборка: 101.23122.0002 за февраль 2024 г. | Версия выпуска: 30.123122.0002.0
Дата выпуска: 5 февраля 2024 г.
Опубликовано: 5 февраля 2024 г.
Сборка: 101.23122.0002
Версия выпуска: 30.123122.0002.0
Версия обработчика: 1.1.23100.2010
Версия подписи: 1.399.1389.0
Новые возможности В этом выпуске есть несколько исправлений и новых изменений:
Обновлена версия обработчика по умолчанию до
1.1.23100.2010
, а версия подписей по умолчанию — до1.399.1389.0
.Повышение общей стабильности и производительности.
Исправления ошибок.
Microsoft Defender для конечной точки в Linux теперь официально поддерживает следующие дистрибутивы и версии:
Версия дистрибутива & Кольцо Пакет Маринер 2 Производство https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo Rocky 8.7 и более поздних версий Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/rocky/8/insiders-slow.repo Rocky 9.2 и более поздних версий Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/rocky/9/insiders-slow.repo Альма 8.4 и выше Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/alma/8/insiders-slow.repo Альма 9.2 и выше Медленное выполнение программы предварительной оценки https://packages.microsoft.com/config/alma/9/insiders-slow.repo
Если у вас уже есть Defender для конечной точки, работающий в любом из этих дистрибутивов, и у вас возникли проблемы в более старых версиях, обновите до последней версии Defender для конечной точки с соответствующего круга, упомянутого выше. Дополнительные сведения см. в нашей общедоступной документации по развертыванию .
Примечание.
Известные проблемы
Microsoft Defender для конечной точки для Linux в Rocky и Alma в настоящее время имеются следующие известные проблемы:
- Динамическое реагирование и управление уязвимостями угроз в настоящее время не поддерживаются (работа выполняется).
- Сведения об операционной системе для устройств не отображаются на портале Microsoft Defender
Январь 2024 г. (сборка: 101.23112.0009 | Версия выпуска: 30.123112.0009.0)
Сборка: 101.23112.0009 за январь 2024 г. | Версия выпуска: 30.123112.0009.0
Дата выпуска: 29 января 2024 г.
Опубликовано: 29 января 2024 г.
Сборка: 101.23112.0009
Версия выпуска: 30.123112.0009.0
Версия обработчика: 1.1.23100.2010
Версия подписи: 1.399.1389.0
Новые возможности
- Обновлена версия обработчика по умолчанию до
1.1.23110.4
, а версия подписей по умолчанию — до1.403.1579.0
. - Повышение общей стабильности и производительности.
- Исправление ошибок для конфигурации мониторинга поведения.
- Исправления ошибок.
Ноябрь 2023 г. (сборка: 101.23102.0003 | Версия выпуска: 30.123102.0003.0)
Сборка: 101.23102.0003 за ноябрь 2023 г. | Версия выпуска: 30.123102.0003.0
Дата выпуска: 28 ноября 2023 г.
Опубликовано: 28 ноября 2023 г.
Сборка: 101.23102.0003
Версия выпуска: 30.123102.0003.0
Версия обработчика: 1.1.23090.2008
Версия подписи: 1.399.690.0
Новые возможности
- Обновлена версия обработчика по умолчанию до
1.1.23090.2008
, а версия подписей по умолчанию — до1.399.690.0
. - Обновлена библиотека libcurl до версии
8.4.0
, чтобы устранить недавно обнаруженные уязвимости в более старой версии. - Обновлена библиотека Openssl до версии
3.1.1
, чтобы устранить недавно обнаруженные уязвимости в более старой версии. - Повышение общей стабильности и производительности.
- Исправления ошибок.
Ноябрь 2023 г. (сборка: 101.23092.0012 | Версия выпуска: 30.123092.0012.0)
Сборка за ноябрь 2023 г.: 101.23092.0012 | Версия выпуска: 30.123092.0012.0
Дата выпуска: 14 ноября 2023 г.
Опубликовано: 14 ноября 2023 г.
Сборка: 101.23092.0012
Версия выпуска: 30.123092.0012.0
Версия обработчика: 1.1.23080.2007
Версия подписи: 1.395.1560.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений:
- Добавлена поддержка восстановления угрозы на основе исходного пути с помощью следующей команды:
sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Начиная с этого выпуска Microsoft Defender для конечной точки на Linux больше не будут поставлять решение для RHEL 6.
RHEL 6 "Продление срока жизненного обеспечения" будет завершено к 30 июня 2024 г., и клиентам рекомендуется планировать обновления RHEL соответствующим образом в соответствии с рекомендациями Red Hat. Клиенты, которым необходимо запустить Defender для конечной точки на серверах RHEL 6, могут продолжать использовать версию 101.23082.0011 (срок действия не истекает до 30 июня 2024 г.), поддерживаемую в ядрах версии 2.6.32-754.49.1.el6.x86_64 или более ранних.
- Обновление ядра до
1.1.23080.2007
и подписи Ver:1.395.1560.0
. - Упрощенный интерфейс подключения устройства теперь находится в режиме общедоступной предварительной версии. общедоступный блог
- Улучшения производительности & исправления ошибок.
- Обновление ядра до
Известные проблемы
- Блокировка ЦП наблюдается в ядре версии 5.15.0-0.30.20 в режиме ebpf. Дополнительные сведения см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux и варианты устранения рисков.
Ноябрь 2023 г. (сборка: 101.23082.0011 | Версия выпуска: 30.123082.0011.0)
Сборка: 101.23082.0011 за ноябрь 2023 г. | Версия выпуска: 30.123082.0011.0
Дата выпуска: 1 ноября 2023 г.
Опубликовано: 1 ноября 2023 г.
Сборка: 101.23082.0011
Версия выпуска: 30.123082.0011.0
Версия обработчика: 1.1.23070.1002
Версия подписи: 1.393.1305.0
Новые возможности Этот новый выпуск создан по сравнению с выпуском за октябрь 2023 г. ('101.23082.0009'') с добавлением следующих изменений. Для других клиентов нет изменений, и обновление является необязательным.
Исправление для неизменяемого режима аудита, когда дополнительная подсистема имеет значение ebpf. В режиме ebpf все правила аудита mdatp должны быть очищены после переключения на ebpf и перезагрузки. После перезагрузки правила аудита mdatp не были очищены, из-за чего сервер завис. Исправление очищает эти правила. Пользователь не должен видеть правила mdatp, загруженные при перезагрузке.
Исправление для MDE не запускается в RHEL 6.
Известные проблемы
При обновлении с mdatp версии 101.75.43 или 101.78.13 может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения о базовой проблеме можно найти в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Октябрь 2023 г. (сборка: 101.23082.0009 | Версия выпуска: 30.123082.0009.0)
Сборка: 101.23082.0009 за октябрь 2023 г. | Версия выпуска: 30.123082.0009.0
Дата выпуска: 9 октября 2023 г.
Опубликовано: 9 октября 2023 г.
Сборка: 101.23082.0009
Версия выпуска: 30.123082.0009.0
Версия обработчика: 1.1.23070.1002
Версия подписи: 1.393.1305.0
Новые возможности
- Этот новый выпуск создан по сравнению с выпуском за октябрь 2023 г. ('101.23082.0009'') с добавлением новых сертификатов ЦС. Для других клиентов нет изменений, и обновление является необязательным.
Известные проблемы
При обновлении с mdatp версии 101.75.43 или 101.78.13 может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения о базовой проблеме можно найти в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Октябрь 2023 г. (сборка: 101.23082.0006 | Версия выпуска: 30.123082.0006.0)
Сборка: 101.23082.0006 за октябрь 2023 г. | Версия выпуска: 30.123082.0006.0
Дата выпуска: 9 октября 2023 г.
Опубликовано: 9 октября 2023 г.
Сборка: 101.23082.0006
Версия выпуска: 30.123082.0006.0
Версия обработчика: 1.1.23070.1002
Версия подписи: 1.393.1305.0
Новые возможности
Обновления компонентов и новые изменения
- Датчик eBPF теперь является дополнительным поставщиком событий по умолчанию для конечных точек
- Microsoft Intune функция подключения клиента доступна в общедоступной предварительной версии (с середины июля)
- Чтобы функция работала правильно, необходимо добавить "*.dm.microsoft.com" в исключения брандмауэра.
- Defender для конечной точки теперь доступен для Debian 12 и Amazon Linux 2023
- Поддержка включения проверки подписи скачанных обновлений
Обратите внимание, что необходимо обновить manajed.json, как показано ниже.
"features":{ "OfflineDefinitionUpdateVerifySig":"enabled" }
Необходимые условия для включения функции
- Версия обработчика на устройстве должна быть "1.1.23080.007" или выше. Проверьте версию обработчика с помощью следующей команды.
mdatp health --field engine_version
- Версия обработчика на устройстве должна быть "1.1.23080.007" или выше. Проверьте версию обработчика с помощью следующей команды.
- Параметр для поддержки мониторинга точек подключения NFS и FUSE. По умолчанию они игнорируются. В следующем примере показано, как отслеживать всю файловую систему, игнорируя только NFS:
"antivirusEngine": { "unmonitoredFilesystems": ["nfs"] }
Пример мониторинга всех файловых систем, включая NFS и FUSE:
"antivirusEngine": { "unmonitoredFilesystems": [] }
- Другие улучшения производительности
- Исправления ошибок
Известные проблемы
- При обновлении с mdatp версии 101.75.43 или 101.78.13 может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.98.05. Дополнительные сведения о базовой проблеме можно найти в статье Зависание системы из-за заблокированных задач в коде fanotify. Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сентябрь 2023 г. (сборка: 101.23072.0021 | Версия выпуска: 30.123072.0021.0)
Сборка: 101.23072.0021 за сентябрь 2023 г. | Версия выпуска: 30.123072.0021.0
Дата выпуска: 11 сентября 2023 г.
Опубликовано: 11 сентября 2023 г.
Сборка: 101.23072.0021
Версия выпуска: 30.123072.0021.0
Версия обработчика: 1.1.20100.7
Версия сигнатуры: 1.385.1648.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- В mde_installer.sh версии 0.6.3 пользователи могут использовать
--channel
аргумент для предоставления канала настроенного репозитория во время очистки. Пример:sudo ./mde_installer --clean --channel prod
- Теперь администраторы могут сбросить сетевое расширение с помощью
mdatp network-protection reset
. - Другие улучшения производительности
- Исправления ошибок
- В mde_installer.sh версии 0.6.3 пользователи могут использовать
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Июль 2023 г. (сборка: 101.23062.0010 | Версия выпуска: 30.123062.0010.0)
Сборка: 101.23062.0010 | Версия выпуска: 30.123062.0010.0
Дата выпуска: 26 июля 2023 г.
Опубликовано: 26 июля 2023 г.
Сборка: 101.23062.0010
Версия выпуска: 30.123062.0010.0
Версия обработчика: 1.1.20100.7
Версия сигнатуры: 1.385.1648.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
- Если для Defender для конечной точки задан прокси-сервер, он отображается в выходных
mdatp health
данных команды. - В этом выпуске мы предоставили два варианта в mdatp diagnostic hot-event-sources:
- Файлы
- Исполняемые файлы
- Защита сети: Connections, заблокированные защитой сети и переопределенные пользователями, теперь правильно сообщаются Microsoft Defender XDR
- Улучшено ведение журнала в блоке защиты сети и событиях аудита для отладки
- Если для Defender для конечной точки задан прокси-сервер, он отображается в выходных
Другие исправления и улучшения
- В этой версии enforcementLevel по умолчанию находится в пассивном режиме, предоставляя администраторам больший контроль над тем, где они хотят включить RTP в своем свойстве.
- Это изменение применяется только к новым MDE развертываниям, например к серверам, на которых Defender для конечной точки развертывается впервые. В сценариях обновления серверы, на которых развернут Defender для конечной точки с RTP ON, продолжают работать с RTP ON даже после обновления до версии 101.23062.0010.
Исправления ошибок
- Исправлена проблема повреждения базы данных RPM в базовых Управление уязвимостями Defender
Другие улучшения производительности
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Июль 2023 г. (сборка: 101.23052.0009 | Версия выпуска: 30.123052.0009.0)
Сборка: 101.23052.0009 за июль 2023 г. | Версия выпуска: 30.123052.0009.0
Дата выпуска: 10 июля 2023 г.
Опубликовано: 10 июля 2023 г.
Сборка: 101.23052.0009
Версия выпуска: 30.123052.0009.0
Версия обработчика: 1.1.20100.7
Версия сигнатуры: 1.385.1648.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений . Схема версии сборки обновляется с этого выпуска. В то время как основной номер версии остается таким же, как 101, дополнительный номер версии теперь содержит пять цифр, за которым следует четыре цифры исправлений,
101.xxxxx.yyy
т. е. улучшенное использование памяти защиты сети при стрессе- Обновлена версия обработчика до
1.1.20300.5
, а версия сигнатуры — до1.391.2837.0
. - Исправления ошибок.
- Обновлена версия обработчика до
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Июнь 2023 г. (сборка: 101.98.89 | Версия выпуска: 30.123042.19889.0)
Сборка: 101.98.89 за июнь 2023 г. | Версия выпуска: 30.123042.19889.0
Дата выпуска: 12 июня 2023 г.
Опубликовано: 12 июня 2023 г.
Сборка: 101.98.89
Версия выпуска: 30.123042.19889.0
Версия обработчика: 1.1.20100.7
Версия сигнатуры: 1.385.1648.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- Улучшена обработка прокси-сервера защиты сети.
- В пассивном режиме Defender для конечной точки больше не выполняет проверку при обновлении определения.
- Устройства продолжают защищаться даже после истечения срока действия агента Defender для конечной точки. Мы рекомендуем обновить агент Linux Defender для конечной точки до последней доступной версии, чтобы получать исправления ошибок, функции и улучшения производительности.
- Удалена зависимость пакета semanage.
- Обновление ядра до
1.1.20100.7
и подписи Ver:1.385.1648.0
. - Исправления ошибок.
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Май 2023 г. (сборка: 101.98.64 | Версия выпуска: 30.123032.19864.0)
Сборка: 101.98.64 за май 2023 г. | Версия выпуска: 30.123032.19864.0
Дата выпуска: 3 мая 2023 г.
Опубликовано: 3 мая 2023 г.
Сборка: 101.98.64
Версия выпуска: 30.123032.19864.0
Версия обработчика: 1.1.20100.6
Версия подписи: 1.385.68.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- Улучшения сообщений о работоспособности для сбора сведений о сбоях аудита.
- Улучшения в обработке augenrules, которые приводили к сбою установки.
- Периодическая очистка памяти в процессе обработчика.
- Исправлена проблема с памятью в подключаемом модуле mdatp audisp.
- Обработан отсутствующий путь к каталогу подключаемого модуля во время установки.
- Если конфликтующее приложение использует блокирующие fanotify, при настройке по умолчанию mdatp работоспособность отображается неработоспособно. Эта ошибка исправлена.
- Поддержка проверки трафика ICMP в BM.
- Обновление ядра до
1.1.20100.6
и подписи Ver:1.385.68.0
. - Исправления ошибок.
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Внимание! Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Апрель 2023 г. (сборка: 101.98.58 | Версия выпуска: 30.123022.19858.0)
Сборка: 101.98.58 за апрель 2023 г. | Версия выпуска: 30.123022.19858.0
Дата выпуска: 20 апреля 2023 г.
Опубликовано: 20 апреля 2023 г.
Сборка: 101.98.58
Версия выпуска: 30.123022.19858.0
Версия обработчика: 1.1.20000.2
Версия подписи: 1.381.3067.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- Улучшения ведения журнала и отчетов об ошибках для аудита.
- Обработка сбоя при перезагрузке проверенной конфигурации.
- Обработка пустых проверенных файлов правил во время MDE установки.
- Обновление ядра до
1.1.20000.2
и подписи Ver:1.381.3067.0
. - Устранена проблема работоспособности в mdatp, возникающая из-за отказов selinux.
- Исправления ошибок.
Известные проблемы
- При обновлении mdatp до версии
101.94.13
или более поздней вы можете заметить, что работоспособность имеет значение false, при этом health_issues как "нет активного поставщика дополнительных событий". Это может произойти из-за неправильно настроенных или конфликтующих правил аудита на существующих компьютерах. Чтобы устранить эту проблему, необходимо исправить правила аудита на существующих компьютерах. Следующие команды помогут определить такие правила аудита (команды должны выполняться от имени суперпользовала). Создайте резервную копию следующего файла: /etc/audit/rules.d/audit.rules, так как эти действия предназначены только для выявления сбоев.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения этой проблемы обновления:
- Используйте диспетчер пакетов, чтобы удалить версию
101.75.43
или101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
- В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, можно отключить rtp и mdatp последовательно перед обновлением. Внимание! Некоторые клиенты (<1 %) сталкиваются с проблемами с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Март 2023 г. (сборка: 101.98.30 | Версия выпуска: 30.123012.19830.0)
Сборка: 101.98.30 за март 2023 г. | Версия выпуска: 30.123012.19830.0
Выпущено: март, 20 2023 г.
Опубликовано: 20 марта 2023 г.
Сборка: 101.98.30
Версия выпуска: 30.123012.19830.0
Версия обработчика: 1.1.19900.2
Версия сигнатуры: 1.379.1299.0
Новые возможности
- Этот новый выпуск создан по сравнению с мартом 2023 г. ('101.98.05'') с ошибкой для команд динамического ответа для одного из наших клиентов. Для других клиентов нет изменений, и обновление является необязательным.
Известные проблемы
- В mdatp версии 101.98.30 в некоторых случаях может возникнуть ошибка работоспособности, так как правила SELinux не определены для определенных сценариев. Предупреждение о работоспособности может выглядеть примерно так:
обнаружены отказы SELinux в течение последнего дня. Если MDATP недавно установлен, очистите существующие журналы аудита или подождите день, пока эта проблема не будет автоматически устранена. Используйте команду " sudo ausearch -i -c "mdatp_audisp_pl" | grep "type=AVC" | grep "запрещено" для поиска сведений
Эту проблему можно устранить, выполнив следующие команды.
sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp
Здесь my-mdatpaudisppl_v1 представляет имя модуля политики. После выполнения команд подождите 24 часа или очистите или заархивируйте журналы аудита. Журналы аудита можно заархивировать, выполнив следующую команду.
sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health
В случае, если проблема снова появится с различными отказами. Необходимо снова запустить устранение рисков с другим именем модуля (например, my-mdatpaudisppl_v2).
Март 2023 г. (сборка: 101.98.05 | Версия выпуска: 30.123012.19805.0)
Март 2023 г. (сборка: 101.98.05 | Версия выпуска: 30.123012.19805.0)
Выпущено: март, 08 2023 г.
Опубликовано: 8 марта 2023 г.
Сборка: 101.98.05
Версия выпуска: 30.123012.19805.0
Версия обработчика: 1.1.19900.2
Версия сигнатуры: 1.379.1299.0
Новые возможности
В этом выпуске есть несколько исправлений и новых изменений.
- Улучшенная полнота данных для событий сетевого подключения
- Улучшенные возможности сбора данных для изменения прав владения файлом и разрешений
- SeManage в части пакета, чтобы политики seLinux можно настроить в разных дистрибутивах (фиксированных).
- Улучшенная стабильность корпоративной управляющей программы
- Очистка пути остановки AuditD
- Улучшена стабильность потока остановки mdatp.
- Добавлено новое поле в wdavstate для отслеживания времени обновления платформы.
- Улучшена стабильность при синтаксическом анализе большого двоичного объекта Defender для конечной точки.
- Проверка не выполняется, если действительной лицензии нет (исправлено)
- Добавлен параметр трассировки производительности в xPlatClientAnalyzer, с включенной трассировкой процесс mdatp создает дампы потока в all_process.zip файле, который можно использовать для анализа проблем с производительностью.
- Добавлена поддержка в Defender для конечной точки для следующих версий ядра RHEL-6:
2.6.32-754.43.1.el6.x86_64
2.6.32-754.49.1.el6.x86_64
- Другие исправления
Известные проблемы
- При обновлении mdatp до версии 101.94.13 вы можете заметить, что работоспособность имеет значение false, при этом health_issues как "нет активного дополнительного поставщика событий". Это может произойти из-за неправильно настроенных или конфликтующих правил аудита на существующих компьютерах. Чтобы устранить эту проблему, необходимо исправить правила аудита на существующих компьютерах. Следующие действия помогут вам определить такие правила аудита (эти команды должны выполняться от имени суперпользовала). Обязательно создайте резервную копию следующего файла: "/etc/audit/rules.d/audit.rules", так как эти действия предназначены только для выявления сбоев.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.98.05
. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения проблемы при обновлении.
Используйте диспетчер пакетов, чтобы удалить версию 101.75.43
или 101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
В качестве альтернативы можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, вы можете отключить rtp и mdatp последовательно перед обновлением. Внимание! У некоторых клиентов (<1 %) возникают проблемы с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Январь 2023 г. (сборка: 101.94.13 | Версия выпуска: 30.122112.19413.0)
Январь 2023 г. (сборка: 101.94.13 | Версия выпуска: 30.122112.19413.0)
Дата выпуска: 10 января 2023 г.
Опубликовано: 10 января 2023 г.
Сборка: 101.94.13
Версия выпуска: 30.122112.19413.0
Версия обработчика: 1.1.19700.3
Версия подписи: 1.377.550.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- По умолчанию пропускайте карантин угроз в пассивном режиме.
- Новую конфигурацию, nonExecMountPolicy, теперь можно использовать для указания поведения RTP в точке подключения, помеченной как noexec.
- Новую конфигурацию, unmonitoredFilesystems, можно использовать для немониторов определенных файловых систем.
- Улучшена производительность при высокой нагрузке и в сценариях тестирования скорости.
- Устранена проблема с доступом к общим папкам SMB за VPN-подключениями Cisco AnyConnect.
- Устранена проблема с защитой сети и SMB.
- Поддержка трассировки производительности lttng.
- УЛУЧШЕНИЯ TVM, eBPF, auditd, телеметрии и mdatp CLI.
- mdatp health теперь сообщает о behavior_monitoring
- Другие исправления.
Известные проблемы
- При обновлении mdatp до версии
101.94.13
вы можете заметить, что работоспособность имеет значение false, при этом health_issues как "нет активного дополнительного поставщика событий". Это может произойти из-за неправильно настроенных или конфликтующих правил аудита на существующих компьютерах. Чтобы устранить эту проблему, необходимо исправить правила аудита на существующих компьютерах. Следующие действия помогут вам определить такие правила аудита (эти команды должны выполняться от имени суперпользовала). Создайте резервную копию следующего файла:/etc/audit/rules.d/audit.rules
эти действия предназначены только для выявления сбоев.
echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.94.13. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения проблемы при обновлении.
Используйте диспетчер пакетов, чтобы удалить версию 101.75.43
или 101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
В качестве альтернативы приведенному выше можно выполнить инструкции по удалению, а затем установить последнюю версию пакета.
Если вы не хотите удалять mdatp, вы можете отключить rtp и mdatp последовательно перед обновлением. Внимание! У некоторых клиентов (<1 %) возникают проблемы с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Ноябрь 2022 г. (сборка: 101.85.27 | Версия выпуска: 30.122092.18527.0)
Ноябрь 2022 г. (сборка: 101.85.27 | Версия выпуска: 30.122092.18527.0)
Дата выпуска: 2 ноября 2022 г.
Опубликовано: 2 ноября 2022 г.
Сборка: 101.85.27
Версия выпуска: 30.122092.18527.0
Версия обработчика: 1.1.19500.2
Версия подписи: 1.371.1369.0
Новые возможности
- В этом выпуске есть несколько исправлений и новых изменений.
- Подсистема версии 2 используется по умолчанию в этом выпуске, и биты подсистемы версии 1 удаляются для повышения безопасности.
- Подсистема версии 2 поддерживает путь конфигурации для определений av. (путь к набору определений mdatp)
- Удалены зависимости внешних пакетов из пакета MDE. Удаленные зависимости: libatomic1, libselinux, libseccomp, libfuse и libuuid
- Если сбор сбоев отключен конфигурацией, процесс мониторинга сбоев не запускается.
- Исправления производительности для оптимального использования системных событий для возможностей av.
- Повышение стабильности при перезапуске mdatp и проблем с загрузкой epsext.
- Другие исправления
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии 101.85.21. Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Существует два способа устранения проблемы при обновлении.
Используйте диспетчер пакетов, чтобы удалить версию 101.75.43
или 101.78.13
mdatp.
Пример:
sudo apt purge mdatp
sudo apt-get install mdatp
В качестве альтернативы следуйте инструкциям по удалению, а затем установите последнюю версию пакета.
Если вы не хотите удалять mdatp, вы можете отключить rtp и mdatp последовательно перед обновлением. Внимание! У некоторых клиентов (<1 %) возникают проблемы с этим методом.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
Сентябрь 2022 г. (сборка: 101.80.97 | Версия выпуска: 30.122072.18097.0)
Сентябрь 2022 г. (сборка: 101.80.97 | Версия выпуска: 30.122072.18097.0)
Дата выпуска: 14 сентября 2022 г.
Опубликовано: 14 сентября 2022 г.
Сборка: 101.80.97
Версия выпуска: 30.122072.18097.0
Версия обработчика: 1.1.19300.3
Версия подписи: 1.369.395.0
Новые возможности
- Исправлена зависание ядра, наблюдаемое при выборе рабочих нагрузок клиента с версией
101.75.43
mdatp . После RCA это было связано с состоянием гонки при освобождении владения дескриптором файла датчика. Состояние гонки было открыто из-за недавнего изменения продукта в пути завершения работы. Эта проблема не затрагивает пользователей более новых версий ядра (5.1 и более поздних версий). Дополнительные сведения см. в статье Зависание системы из-за заблокированных задач в коде fanotify.
Известные проблемы
- При обновлении с версии
101.75.43
mdatp или101.78.13
может возникнуть зависание ядра. Выполните следующие команды, прежде чем пытаться выполнить обновление до версии101.80.97
. Это действие должно предотвратить возникновение проблемы.
sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp
После выполнения команд выполните обновление с помощью диспетчера пакетов.
В качестве альтернативы следуйте инструкциям по удалению, а затем установите последнюю версию пакета.
Август 2022 г. (сборка: 101.78.13 | Версия выпуска: 30.122072.17813.0)
Август 2022 г. (сборка: 101.78.13 | Версия выпуска: 30.122072.17813.0)
Дата выпуска: 24 августа 2022 г.
Опубликовано: 24 августа 2022 г.
Сборка: 101.78.13
Версия выпуска: 30.122072.17813.0
Версия обработчика: 1.1.19300.3
Версия подписи: 1.369.395.0
Новые возможности
- Откат из-за проблем с надежностью
Август 2022 г. (сборка: 101.75.43 | Версия выпуска: 30.122071.17543.0)
Август 2022 г. (сборка: 101.75.43 | Версия выпуска: 30.122071.17543.0)
Дата выпуска: 2 августа 2022 г.
Опубликовано: 2 августа 2022 г.
Сборка: 101.75.43
Версия выпуска: 30.122071.17543.0
Версия обработчика: 1.1.19300.3
Версия подписи: 1.369.395.0
Новые возможности
- Добавлена поддержка Red Hat Enterprise Linux версии 9.0.
- В выходные данные
mdatp health
добавлено новое поле, которое можно использовать для запроса уровня принудительного применения функции защиты сети. Новое поле вызываетсяnetwork_protection_enforcement_level
и может принимать одно из следующих значений:audit
,block
илиdisabled
. - Устранена ошибка продукта, из-за которой несколько обнаружений одного и того же содержимого могло привести к дублированию записей в журнале угроз.
- Устранена проблема, из-за которой один из процессов, порожденных продуктом (
mdatp_audisp_plugin
), иногда не прерывался должным образом при остановке службы. - Другие исправления ошибок
Июль 2022 г. (сборка: 101.73.77 | Версия выпуска: 30.122062.17377.0)
Июль 2022 г. (сборка: 101.73.77 | Версия выпуска: 30.122062.17377.0)
Дата выпуска: 21 июля 2022 г.
Опубликовано: 21 июля 2022 г.
Сборка: 101.73.77
Версия выпуска: 30.122062.17377.0
Версия обработчика: 1.1.19200.3
Версия подписи: 1.367.1011.0
Новые возможности
- Добавлен параметр для настройки вычисления хэша файлов.
- Начиная с этой сборки, продукт по умолчанию имеет новый модуль защиты от вредоносных программ.
- Повышение производительности операций копирования файлов
- Исправления ошибок
Июнь 2022 г. (сборка: 101.71.18 | Версия выпуска: 30.122052.17118.0)
Дата выпуска: 24 июня 2022 г.
Опубликовано: 24 июня 2022 г.
Сборка: 101.71.18
Версия выпуска: 30.122052.17118.0
Новые возможности
- Исправлена поддержка хранилища определений в нестандартных расположениях (за пределами /var) для обновлений определений версии 2
- Исправлена проблема в датчике продукта, используемом в RHEL 6, которая могла привести к зависаю ОС
-
mdatp connectivity test
был расширен дополнительный URL-адрес, необходимый продукту для правильной работы. Новый URL-адрес — https://go.microsoft.com/fwlink/?linkid=2144709. - До сих пор уровень журнала продукта не сохранялся между перезапусками продукта. Начиная с этой версии, существует новый параметр программы командной строки, который сохраняет уровень журнала. Новая команда —
mdatp log level persist --level <level>
. - Удалена зависимость
python
от из пакета установки продукта. - Повышение производительности операций копирования файлов и обработки сетевых событий, исходящих из
auditd
- Исправления ошибок
Май 2022 г. (сборка: 101.68.80 | Версия выпуска: 30.122042.16880.0)
Май 2022 г. (сборка: 101.68.80 | Версия выпуска: 30.122042.16880.0)
Дата выпуска: 23 мая 2022 г.
Опубликовано: 23 мая 2022 г.
Сборка: 101.68.80
Версия выпуска: 30.122042.16880.0
Новые возможности
- Добавлена поддержка версии
2.6.32-754.47.1.el6.x86_64
ядра при запуске в RHEL 6 - В RHEL 6 продукт теперь можно установить на устройствах с неразрывным корпоративным ядром (UEK)
- Исправлена проблема, из-за которой имя процесса иногда отображалось неправильно при
unknown
выполненииmdatp diagnostic real-time-protection-statistics
- Исправлена ошибка, из-за которой продукт иногда неправильно обнаруживал файлы в папке карантина.
- Исправлена проблема, из-за которой
mdatp
средство командной строки не работало при/opt
подключении в качестве программного канала - Улучшения производительности & исправления ошибок
Май 2022 г. (сборка: 101.65.77 | Версия выпуска: 30.122032.16577.0)
Май 2022 г. (сборка: 101.65.77 | Версия выпуска: 30.122032.16577.0)
Дата выпуска: 2 мая 2022 г.
Опубликовано: 2 мая 2022 г.
Сборка: 101.65.77
Версия выпуска: 30.122032.16577.0
Новые возможности
- Улучшено
conflicting_applications
поле в ,mdatp health
чтобы отобразить только последние 10 процессов, а также включить имена процессов. Это упрощает определение потенциально конфликтующих процессов с Microsoft Defender для конечной точки для Linux. - Исправления ошибок
Март 2022 г. (сборка: 101.62.74 | Версия выпуска: 30.122022.16274.0)
Дата выпуска: 24 марта 2022 г.
Опубликовано: 24 марта 2022 г.
Сборка: 101.62.74
Версия выпуска: 30.122022.16274.0
Новые возможности
- Устранена проблема, из-за которой продукт неправильно блокал доступ к файлам размером более 2 ГБ при запуске в более ранних версиях ядра.
- Исправления ошибок
Март 2022 г. (сборка: 101.60.93 | Версия выпуска: 30.122012.16093.0)
Март 2022 г. (сборка: 101.60.93 | Версия выпуска: 30.122012.16093.0)
Дата выпуска: 9 марта 2022 г.
Опубликовано: 9 марта 2022 г.
Сборка: 101.60.93
Версия выпуска: 30.122012.16093.0
Новые возможности
- Эта версия содержит обновление для системы безопасности CVE-2022-23278.
Март 2022 г. (сборка: 101.60.05 | Версия выпуска: 30.122012.16005.0)
Дата выпуска: 3 марта 2022 г.
Опубликовано: 3 марта 2022 г.
Сборка: 101.60.05
Версия выпуска: 30.122012.16005.0
Новые возможности
- Добавлена поддержка ядра версии 2.6.32-754.43.1.el6.x86_64 для RHEL 6.10
- Исправления ошибок
Февраль 2022 г. (сборка: 101.58.80 | Версия выпуска: 30.122012.15880.0)
Февраль 2022 г. (сборка: 101.58.80 | Версия выпуска: 30.122012.15880.0)
Дата выпуска: 20 февраля 2022 г.
Опубликовано: 20 февраля 2022 г.
Сборка: 101.58.80
Версия выпуска: 30.122012.15880.0
Новые возможности
- Программа командной строки теперь поддерживает восстановление файлов, помещенных в карантин, в расположение, отличное от того, где файл был первоначально обнаружен. Это можно сделать с помощью
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
. - Начиная с этой версии защита сети для Linux может оцениваться по запросу.
- Исправления ошибок
Январь 2022 г. (сборка: 101.56.62 | Версия выпуска: 30.121122.15662.0)
Январь 2022 г. (сборка: 101.56.62 | Версия выпуска: 30.121122.15662.0)
Дата выпуска: 26 января 2022 г.
Опубликовано: 26 января 2022 г.
Сборка: 101.56.62
Версия выпуска: 30.121122.15662.0
Новые возможности
- Исправлен сбой продукта, появившийся в версии 101.53.02, который повлиял на нескольких клиентов
Январь 2022 г. (сборка: 101.53.02 | Версия выпуска: (30.121112.15302.0)
Дата выпуска: 8 января 2022 г.
Опубликовано: 8 января 2022 г.
Сборка: 101.53.02
Версия выпуска: 30.121112.15302.0
Новые возможности
- Улучшения производительности & исправления ошибок
Выпуски 2021 г.
(Сборка: 101.52.57 | Версия выпуска: 30.121092.15257.0)
Сборка: 101.52.57
Версия выпуска: 30.121092.15257.0
Новые возможности
Добавлена возможность обнаруживать уязвимые jar-файлы log4j, используемые приложениями Java. Компьютер периодически проверяется на выполнение процессов Java с загруженными jar-файлами log4j. Эта информация передается Microsoft Defender для конечной точки серверной части и предоставляется в области Управление уязвимостями на портале.
(Сборка: 101.47.76 | Версия выпуска: 30.121092.14776.0)
Сборка: 101.47.76
Версия выпуска: 30.121092.14776.0
Новые возможности
Добавлен новый переключатель в программу командной строки для управления проверкой архивов во время проверки по запросу. Это можно настроить с помощью mdatp config scan-archives --value [enabled/disabled]. По умолчанию для этого параметра задано значение Включено.
- Исправления ошибок
(Сборка: 101.45.13 | Версия выпуска: 30.121082.14513.0)
Сборка: 101.45.13
Версия выпуска: 30.121082.14513.0
Новые возможности
Начиная с этой версии мы предлагаем поддержку Microsoft Defender для конечной точки для следующих дистрибутивов:
- Версии RHEL6.7-6.10 и CentOS6.7-6.10.
- Amazon Linux 2
- Fedora 33 или выше
Исправления ошибок
(Сборка: 101.45.00 | Версия выпуска: 30.121072.14500.0)
Сборка: 101.45.00
Версия выпуска: 30.121072.14500.0
Новые возможности
- Добавлены новые параметры в программу командной строки:
- Контроль степени параллелизма для проверок по запросу. Это можно настроить с помощью
mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]
. По умолчанию используется степень параллелизма2
. - Управление включением или отключением проверок после обновлений аналитики безопасности. Это можно настроить с помощью
mdatp config scan-after-definition-update --value [enabled/disabled]
. По умолчанию для этого параметра задано значениеenabled
.
- Контроль степени параллелизма для проверок по запросу. Это можно настроить с помощью
- Теперь для изменения уровня журнала продуктов требуется повышение прав
- Исправления ошибок
(Сборка: 101.39.98 | Версия выпуска: 30.121062.13998.0)
Сборка: 101.39.98
Версия выпуска: 30.121062.13998.0
Новые возможности
Улучшения производительности & исправления ошибок
(Сборка: 101.34.27 | Версия выпуска: 30.121052.13427.0)
Сборка: 101.34.27
Версия выпуска: 30.121052.13427.0
Новые возможности
Улучшения производительности & исправления ошибок
(Сборка: 101.29.64 | Версия выпуска: 30.121042.12964.0)
Сборка: 101.29.64
Версия выпуска: 30.121042.12964.0
Новые возможности
- Начиная с этой версии угрозы, обнаруженные во время проверки антивирусной программы по запросу, запущенной через клиент командной строки, автоматически устраняются. Угрозы, обнаруженные во время проверок, запускаемых через пользовательский интерфейс, по-прежнему требуют действий вручную.
-
mdatp diagnostic real-time-protection-statistics
теперь поддерживает еще два параметра:-
--sort
: сортирует выходные данные по убыванию по общему количеству сканируемых файлов. -
--top N
: отображает первые N результатов (работает только в том случае, если--sort
также указано).
-
- Улучшения производительности & исправления ошибок
(Сборка: 101.25.72 | Версия выпуска: 30.121022.12563.0)
Сборка: 101.25.72
Версия выпуска: 30.121022.12563.0
Новые возможности
Microsoft Defender для конечной точки на Linux теперь доступна в предварительной версии для государственных организаций США. Дополнительные сведения см. в разделе Microsoft Defender для конечной точки для клиентов из государственных организаций США.
- Исправлена проблема, из-за которой использование Microsoft Defender для конечной точки в Linux в системах с файловыми системами FUSE вело зависание ОС
- Улучшения производительности & других исправлений ошибок
(Сборка: 101.25.63 | Версия выпуска: 30.121022.12563.0)
Сборка: 101.25.63
Версия выпуска: 30.121022.12563.0
Новые возможности
Улучшения производительности & исправления ошибок
(Сборка: 101.23.64 | Версия выпуска: 30.121021.12364.0)
Сборка: 101.23.64
Версия выпуска: 30.121021.12364.0
Новые возможности
Повышение производительности в ситуации, когда в список исключений антивирусной программы добавляется вся точка подключения. До этой версии действие файла, обработанного продуктом, происходит из точки подключения. Начиная с этой версии действие файлов для исключенных точек подключения подавляется, что приводит к повышению производительности продукта.
- Добавлен новый параметр в программу командной строки для просмотра сведений о последней проверке по запросу. Чтобы просмотреть сведения о последней проверке по запросу, выполните команду
mdatp health --details antivirus
- Другие улучшения производительности & исправлений ошибок
(Сборка: 101.18.53)
Сборка: 101.18.53
Новые возможности
EDR для Linux теперь общедоступен
- Добавлен новый параметр командной строки (
--ignore-exclusions
) для игнорирования исключений av во время пользовательских проверок (mdatp scan custom
) - Расширен
mdatp diagnostic create
новый параметр (--path [directory]
), который позволяет сохранять журналы диагностики в другом каталоге. - Улучшения производительности & исправления ошибок