Konfigurieren von Offline-Security Intelligence-Updates für Microsoft Defender for Endpoint auf Linux

Funktionsweise von Offline-Security Intelligence-Updates

In diesem Artikel wird beschrieben, wie Sie Offline-Security Intelligence-Updates in Defender für Endpunkt auf Linux konfigurieren. Mit dieser Funktion können Sie Sicherheitsintelligenz (auch als Definitionen oder Signaturen bezeichnet) auf Linux Geräten aktualisieren, die nur eingeschränkt oder gar nicht im Internet verfügbar sind. Bei dieser Konfiguration verwenden Sie einen lokalen Hostingserver, der als Spiegel Server bezeichnet wird und eine Verbindung mit der Microsoft-Cloud herstellt, um Security Intelligence-Updates herunterzuladen. Andere Linux-Geräte rufen diese Updates in vordefinierten Intervallen von Ihrem Spiegel Server ab.

Vorteile der Verwendung von Offline-Security Intelligence-Updates

Zu den wichtigsten Vorteilen gehören:

• Ihr Sicherheitsteam kann die Häufigkeit von Signaturdownloads auf dem lokalen Server und die Häufigkeit, mit der Endpunkte Signaturen vom lokalen Server abrufen, steuern und verwalten.
• Sie verfügen über eine zusätzliche Schutz- und Steuerungsebene, da die heruntergeladenen Signaturen auf einem Testgerät getestet werden können, bevor sie an die gesamte Flotte weitergegeben werden.
• Sie benötigen weniger Netzwerkbandbreite, da nur ein lokaler Server im Auftrag Ihrer gesamten Flotte die neuesten Updates aus der Microsoft-Cloud erhält.
• Ihr Spiegel Server kann Windows, Mac oder Linux ausführen, und Sie müssen Defender für Endpunkt nicht auf diesem Server installieren.
• Sie erhalten den aktuellsten Antivirenschutz, da Signaturen immer zusammen mit der neuesten kompatiblen Antiviren-Engine heruntergeladen werden.
• Ältere Versionen von Signaturen (n-1) werden in jeder Iteration in einen Sicherungsordner auf Ihrem Spiegel Server verschoben. Wenn ein Problem mit den neuesten Updates vorliegt, können Sie die n-1 Signaturversion aus dem Sicherungsordner auf Ihre Geräte pullen.
• Im seltenen Fall, dass ein Offlineupdate fehlschlägt, können Sie eine Fallbackoption konfigurieren, um Onlineupdates aus der Microsoft-Cloud abzurufen.

Funktionsweise des Offline-Security Intelligence-Updates

• Sie richten einen Spiegel Server ein, bei dem es sich um einen lokalen Web- oder NFS-Server handelt, der über die Microsoft-Cloud erreichbar ist.
• Signaturen werden aus der Microsoft-Cloud auf diesen Spiegel Server heruntergeladen, indem ein Skript mithilfe eines Cron-Auftrags oder Taskplaner auf dem lokalen Server ausgeführt wird.
• Linux Endpunkte, die Defender für Endpunkt ausführen, rufen die heruntergeladenen Signaturen in einem vordefinierten Zeitintervall vom Spiegel Server ab.
• Signaturen, die vom lokalen Server auf Linux Geräten abgerufen werden, werden zuerst überprüft, bevor sie in die Antiviren-Engine geladen werden.
• Um den Updatevorgang zu starten und zu konfigurieren, können Sie die JSON-Datei der verwalteten Konfiguration auf Ihren Linux-Geräten aktualisieren.
• Sie können die status von Updates in der mdatp CLI anzeigen.

Abb. 1: Prozessflussdiagramm auf dem Spiegel Server zum Herunterladen der Security Intelligence-Updates

Abb. 2: Prozessflussdiagramm auf dem Linux-Endpunkt für Security Intelligence-Updates

Auf dem Spiegel-Server kann eines der folgenden Betriebssysteme ausgeführt werden:

• Linux (beliebige Variante)
• Windows (beliebige Version)
• Mac (beliebige Version)

Voraussetzungen

• Defender für Endpunkt-Version 101.24022.0001 oder höher muss auf den Linux-Endpunkten installiert sein.

• Die Linux Endpunkte müssen mit dem Spiegel Server verbunden sein.

• Auf dem Linux-Endpunkt muss eine der von Defender für Endpunkt unterstützten Distributionen ausgeführt werden. (Siehe Unterstützte Linux Distributionen.)

• Der Spiegel Server kann entweder ein HTTP/HTTPS-Server oder ein Netzwerkfreigabeserver sein, z. B. ein NFS-Server.

• Der Spiegel-Server muss Zugriff auf die folgenden URLs haben:

  • https://github.com/microsoft/mdatp-xplat.git
  • https://go.microsoft.com/fwlink/?linkid=2144709

• Der Spiegel Server sollte Bash oder PowerShell unterstützen.

• Die folgenden Mindestsystemspezifikationen sind für den Spiegel Server erforderlich:

  CPU-Kern	RAM	Freier Datenträger	Swap
  2 Kerne (bevorzugte 4 Kerne)	1 GB Min ( bevorzugt 4 GB)	2 GB	Systemabhängig

  Hinweis

  Diese Konfiguration kann abhängig von der Anzahl der bereitgestellten Anforderungen und der Last variieren, die jeder Server verarbeiten muss.

Konfigurieren des Spiegel Servers

Abrufen des Offline-Skripts zum Herunterladen von Sicherheitsintelligenz

Microsoft hostet ein Offline-Skript zum Herunterladen von Sicherheitsinformationen in diesem GitHub-Repository.

Führen Sie die folgenden Schritte aus, um das Downloaderskript abzurufen:

Option 1: Klonen des Repositorys (bevorzugt)

1. Installieren Sie Git auf dem Spiegel Server.

2. Navigieren Sie zu dem Verzeichnis, in dem Sie das Repository klonen möchten.

3. Führen Sie den folgenden Befehl aus: git clone https://github.com/microsoft/mdatp-xplat.git

Option 2: Herunterladen der ZIP-Datei

1. Laden Sie die ZIP-Datei herunter.

2. Kopieren Sie die heruntergeladene Datei in den Ordner, in dem Sie das Skript speichern möchten.

3. Extrahieren Sie den gezippten Ordner.

4. Planen Sie eine Aufgabe oder einen Cron-Auftrag , um das Repository/die heruntergeladene ZIP-Datei in regelmäßigen Abständen auf die neueste Version zu aktualisieren.

Lokale Verzeichnisstruktur nach dem Klonen des Repositorys oder Herunterladen der ZIP-Datei

Nach dem Klonen des Repositorys oder herunterladen der ZIP-Datei sollte die lokale Verzeichnisstruktur wie folgt aussehen:

user@vm:~/mdatp-xplat$ tree linux/definition_downloader/
linux/definition_downloader/
├── README.md
├── settings.json
├── settings.ps1
├── xplat_offline_updates_download.ps1
└── xplat_offline_updates_download.sh

0 directories, 5 files

Die settings.json Datei besteht aus einigen Variablen, die der Benutzer konfigurieren kann, um die Ausgabe der Skriptausführung zu bestimmen.

Ausführen des Offline-Sicherheitsintelligenz-Downloadskripts

Um das Downloaderskript manuell auszuführen, konfigurieren Sie die Parameter in der settings.json Datei gemäß der Beschreibung im vorherigen Abschnitt, und verwenden Sie einen der folgenden Befehle basierend auf dem Betriebssystem des Spiegel Servers:

• Bash:

  ./xplat_offline_updates_download.sh
  

• Powershell:

  ./xplat_offline_updates_download.ps1
  

Hosten der Offline-Security Intelligence-Updates auf dem Spiegel Server

Nachdem das Skript ausgeführt wurde, werden die neuesten Signaturen in den in der settings.json Datei konfigurierten Ordner (updates.zip) heruntergeladen.

Nachdem die ZIP-Datei der Signaturen heruntergeladen wurde, kann der Spiegel Server zum Hosten verwendet werden. Der Spiegel-Server kann mit einem der HTTP-/HTTPS-/Netzwerkfreigabeserver oder einem lokalen/Remoteeinbindungspunkt gehostet werden.

Kopieren Sie nach dem Hosten den absoluten Pfad des gehosteten Servers (bis zum Verzeichnis und ohne das arch_* Verzeichnis).

Nachdem der Spiegel Server eingerichtet wurde, müssen Sie diesen URI an die Linux Endpunkte weitergeben, wie offlineDefinitionUpdateUrl in der verwalteten Konfiguration wie im nächsten Abschnitt beschrieben.

Konfigurieren der Endpunkte

Sie können das Feature für Offline-Security Intelligence-Updates auf zwei Arten konfigurieren:

• Über die Verwaltung von Sicherheitseinstellungen im Defender/Intune-Portal: Ermöglicht die zentrale Verwaltung und Konfiguration der Einstellungen für eine Gruppe von Geräten.
• Über die verwaltete JSON-Datei: Ermöglicht die Konfiguration der Einstellungen manuell oder über Verwaltungstools von Drittanbietern wie Chef, Ansible und andere.

{
  "cloudService": {
    "automaticDefinitionUpdateEnabled": true,
    "definitionUpdatesInterval": 1202
  },
  "antivirusEngine": {
    "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/",
    "offlineDefinitionUpdateFallbackToCloud":false,
    "offlineDefinitionUpdate": "enabled"
  },
  "features": {
    "offlineDefinitionUpdateVerifySig": "enabled"
  }
}

Überprüfen der Konfiguration

Führen Sie den folgenden Befehl aus, um zu testen, ob die Einstellungen auf den Linux-Endpunkten richtig angewendet werden:

mdatp health --details definitions

Eine Beispielausgabe würde wie der folgende Codeausschnitt aussehen:

user@vm:~$ mdatp health --details definitions
automatic_definition_update_enabled         : true [managed]
definitions_updated                         : Mar 14, 2024 at 12:13:17 PM
definitions_updated_minutes_ago             : 2
definitions_version                         : "1.407.417.0"
definitions_status                          : "up_to_date"
definitions_update_source_uri               : "https://go.microsoft.com/fwlink/?linkid=2144709"
definitions_update_fail_reason              : ""
offline_definition_url_configured           : "http://172.XX.XXX.XX:8000/linux/production/" [managed]
offline_definition_update                   : "enabled" [managed]
offline_definition_update_verify_sig        : "enabled"
offline_definition_update_fallback_to_cloud : false[managed]

Auslösen der Offline-Security Intelligence-Updates

Automatische Aktualisierung

• Wenn die Erzwingungsebene für die Antiviren-Engine auf real_timefestgelegt ist und die Felder automaticDefinitionUpdateEnabled und offline_definition_update in der verwalteten JSON-Datei auf truefestgelegt sind, werden die Offline-Security Intelligence-Updates in regelmäßigen Abständen automatisch ausgelöst.
• Standardmäßig beträgt dieses periodische Intervall 8 Stunden. Sie kann jedoch konfiguriert werden, indem Sie den definitionUpdatesInterval Parameter in der verwalteten JSON-Datei festlegen.

Manuelles Update

• Führen Sie den folgenden Befehl aus, um das Offline-Security Intelligence-Update manuell auszulösen, um die Signaturen vom Spiegel Server auf die Linux Endpunkte herunterzuladen:

  mdatp definitions update
  

Überprüfen von Update-status

• Überprüfen Sie nach dem Auslösen von Offline-Security Intelligence-Updates mithilfe der automatischen oder manuellen Methode, ob das Update erfolgreich war, indem Sie den folgenden Befehl ausführen: mdatp health --details --definitions.

• Überprüfen Sie die folgenden Felder:

  user@vm:~$ mdatp health --details definitions
  ...
  definitions_status                          : "up_to_date"
  ...
  definitions_update_fail_reason              : ""
  ...
  

Problembehandlung und Diagnose

Wenn Updates fehlschlagen, hängen bleiben oder nicht gestartet werden, führen Sie die folgenden Schritte zur Problembehandlung aus:

1. Überprüfen Sie die status von Security Intelligence-Offlineupdates mit dem folgenden Befehl:

   mdatp health --details definitions
   

   Suchen Sie im definitions_update_fail_reason Abschnitt nach Informationen.

2. Stellen Sie sicher, dass offline_definition_update und offline_definition_update_verify_sig aktiviert sind.

3. Stellen Sie sicher, dass definitions_update_source_uri gleich offline_definition_url_configuredist.

   • definitions_update_source_uri ist die Quelle, aus der die Signaturen heruntergeladen wurden.
   • offline_definition_url_configured ist die Quelle, aus der Signaturen heruntergeladen werden sollen, die in der verwalteten Konfigurationsdatei erwähnt wird.

4. Führen Sie den Konnektivitätstest aus, um zu überprüfen, ob Spiegel Server vom Host aus erreichbar ist:

   mdatp connectivity test
   

5. Versuchen Sie, mit dem folgenden Befehl ein manuelles Update zu initiieren:

   mdatp definitions update
   

Siehe auch

• Linux Ressourcen
• Microsoft Defender für Endpunkt unter Linux
• Konfigurieren von Sicherheitseinstellungen und -richtlinien für Microsoft Defender for Endpoint auf Linux