Linux 上のMicrosoft Defender for Endpointの新機能

2024 年 9 月 ビルド: 101.24072.0001 |リリース バージョン: 30.124072.0001.0

 リリース日: 2024 年 9 月 23 日
 公開 日: 2024 年 9 月 23 日
 ビルド: 101.24072.0001
 リリース バージョン: 30.124072.0001.0
 エンジン バージョン: 1.1.24060.6
 署名バージョン: 1.415.228.0

新機能

• Ubuntu 24.04 のサポートを追加しました
• 既定のエンジン バージョンを 1.1.24060.6 に更新し、既定の署名バージョンを 1.415.228.0 に更新しました。

2024 年 7 月ビルド: 101.24062.0001 |リリース バージョン: 30.124062.0001.0

 リリース日: 2024 年 7 月 31 日
 公開 日: 2024 年 7 月 31 日
 ビルド: 101.24062.0001
 リリース バージョン: 30.124062.0001.0
 エンジン バージョン: 1.1.24050.7
 署名バージョン: 1.411.410.0

新機能

このリリースには、複数の修正と新しい変更があります。

• セキュリティ ポータルで、感染したコマンド ラインの脅威情報が正しく表示されないバグを修正しました。
• プレビュー機能を無効にすると、Defender of Endpoint で無効にする必要があるバグが修正されました。
• マネージド JSON を使用したグローバル除外機能がパブリック プレビューになりました。 101.23092.0012 から遅いインサイダーで利用できます。 詳細については、「 linux-exclusions」を参照してください。
• Linux の既定のエンジン バージョンを 1.1.24050.7 に、既定の sigs バージョンを 1.411.410.0 に更新しました。
• 安定性とパフォーマンスの向上。
• その他のバグ修正。

June-2024 ビルド: 101.24052.0002 |リリース バージョン: 30.124052.0002.0

 リリース日: 2024 年 6 月 24 日
 公開 日: 2024 年 6 月 24 日
 ビルド: 101.24052.0002
 リリース バージョン: 30.124052.0002.0
 エンジンのバージョン: 1.1.24040.2
 署名バージョン: 1.411.153.0

新機能

このリリースには、複数の修正と新しい変更があります。

• このリリースでは、メモリ使用率が高い場合に関連するバグが修正され、最終的にカーネル領域の eBPF メモリ リークが原因で CPU が高くなり、サーバーが使用できない状態になります。 これは、カーネル バージョン 3.10x と <= 4.16x にのみ影響しました。これは主に RHEL/CentOS ディストリビューションに影響を与えました。 影響を避けるために、最新のMDEバージョンに更新してください。
• の出力を簡略化しました。 mdatp health --detail features
• 安定性とパフォーマンスの向上。
• その他のバグ修正。

2024 年 5 月ビルド: 101.24042.0002 |リリース バージョン: 30.124042.0002.0

 リリース日: 2024 年 5 月 29 日
 公開 日: 2024 年 5 月 29 日
 ビルド: 101.24042.0002
 リリース バージョン: 30.124042.0002.0
 エンジン バージョン: 1.1.24030.4
 署名バージョン: 1.407.521.0

新機能

このリリースには、複数の修正と新しい変更があります。

• バージョン 24032.0007 では、mdatp_managed.json ファイルを介して "デバイスのタグ付け" メカニズムを使用するときに、セキュリティ管理をMDEするデバイスの登録が失敗する既知の問題がありました。 この問題は、現在のリリースで解決されています。
• 安定性とパフォーマンスの向上。
• その他のバグ修正。

May-2024 ビルド: 101.24032.0007 |リリース バージョン: 30.124032.0007.0

 リリース日: 2024 年 5 月 15 日
 公開 日: 2024 年 5 月 15 日
 ビルド: 101.24032.0007
 リリース バージョン: 30.124032.0007.0
 エンジン バージョン: 1.1.24020.3
 署名バージョン: 1.403.3500.0

新機能

このリリースには、複数の修正と新しい変更があります。

• パッシブ モードとオンデマンド モードでは、ウイルス対策エンジンはアイドル状態のままであり、スケジュールされたカスタム スキャン中にのみ使用されます。 したがって、パフォーマンスの向上の一環として、スケジュールされたカスタム スキャン中を除き、AV エンジンをパッシブモードとオンデマンド モードに保つために変更を加えています。 リアルタイム保護が有効になっている場合、ウイルス対策エンジンは常に起動して実行されます。 これは、どのモードでもサーバー保護に影響しません。

  ウイルス対策エンジンの状態をユーザーに知らせるために、MDATP の正常性の一部として"engine_load_status" という新しいフィールドを導入しました。 ウイルス対策エンジンが現在実行されているかどうかを示します。

  Field name	engine_load_status
  使用可能な値	エンジンが読み込まれていない (AV エンジン プロセスが停止しています)、エンジンの読み込みに成功しました (AV エンジン プロセスの起動と実行)

  正常なシナリオ:

  • RTP が有効になっている場合、engine_load_statusは "エンジンの読み込みに成功しました" である必要があります
  • MDEがオンデマンドまたはパッシブ モードで、カスタム スキャンが実行されていない場合は、"engine_load_status" は "エンジンが読み込まれていない" 必要があります
  • MDEがオンデマンドまたはパッシブ モードで、カスタム スキャンが実行されている場合、"engine_load_status" は "エンジンの読み込みに成功しました" である必要があります

• 動作検出を強化するためのバグ修正。

• 安定性とパフォーマンスの向上。

• その他のバグ修正。

既知の問題

• 24032.0007 では、mdatp_managed.jsonを使用して "デバイス タグ付け" メカニズムを使用してデバイスをセキュリティ管理MDE登録できないという既知の問題があります。 この問題を軽減するには、次の mdatp CLI コマンドを使用してデバイスにタグを付けます。

  sudo mdatp edr tag set --name GROUP --value MDE-Management
  

  ビルド: 101.24042.0002 で問題が修正されました

2024 年 3 月ビルド: 101.24022.0001 |リリース バージョン: 30.124022.0001.0

 リリース日: 2024 年 3 月 22 日
 公開日: 2024 年 3 月 22 日
 ビルド: 101.24022.0001
 リリース バージョン: 30.124022.0001.0
 エンジンのバージョン: 1.1.23110.4
 署名バージョン: 1.403.87.0

新機能

このリリースには、複数の修正と新しい変更があります。

• 新しいログ ファイルの追加 - microsoft_defender_scan_skip.log。 これにより、何らかの理由でMicrosoft Defender for Endpointによってさまざまなウイルス対策スキャンからスキップされたファイル名がログに記録されます。
• 安定性とパフォーマンスの向上。
• バグ修正。

2024 年 3 月ビルド: 101.24012.0001 |リリース バージョン: 30.124012.0001.0

 リリース日: 2024 年 3 月 12 日
 公開日: 2024 年 3 月 12 日
 ビルド: 101.24012.0001
 リリース バージョン: 30.124012.0001.0
 エンジンのバージョン: 1.1.23110.4
 署名バージョン: 1.403.87.0

新機能 このリリースには、複数の修正と新しい変更があります。

• 既定のエンジン バージョンを 1.1.23110.4 に更新し、既定の署名バージョンを 1.403.87.0 に更新しました。
• 安定性とパフォーマンスの向上。
• バグ修正。

2024 年 2 月ビルド: 101.23122.0002 |リリース バージョン: 30.123122.0002.0

 リリース日: 2024 年 2 月 5 日
 公開日: 2024 年 2 月 5 日
 ビルド: 101.23122.0002
 リリース バージョン: 30.123122.0002.0
 エンジンのバージョン: 1.1.23100.2010
 署名バージョン: 1.399.1389.0

新機能 このリリースには、複数の修正と新しい変更があります。

• 既定のエンジン バージョンを 1.1.23100.2010 に更新し、既定の署名バージョンを 1.399.1389.0 に更新しました。

• 一般的な安定性とパフォーマンスの向上。

• バグ修正。

• Linux 上のMicrosoft Defender for Endpointでは、次のディストリビューションとバージョンが正式にサポートされるようになりました。

  ディストリビューションとバージョン	指輪	パッケージ
  マリナー 2	Production	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  ロッキー 8.7 以上	Insiders Slow	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  ロッキー 9.2 以上	Insiders Slow	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  アルマ8.4以降	Insiders Slow	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  アルマ9.2以降	Insiders Slow	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

これらのディストリビューションのいずれかで Defender for Endpoint が既に実行されていて、以前のバージョンで問題が発生している場合は、上記の対応するリングから最新の Defender for Endpoint バージョンにアップグレードしてください。 詳細については、 パブリック デプロイ に 関するドキュメントを参照してください。

2024 年 1 月ビルド: 101.23112.0009 |リリース バージョン: 30.123112.0009.0

 リリース日: 2024 年 1 月 29 日
 公開 日: 2024 年 1 月 29 日
 ビルド: 101.23112.0009
 リリース バージョン: 30.123112.0009.0
 エンジンのバージョン: 1.1.23100.2010
 署名バージョン: 1.399.1389.0

新機能

• 既定のエンジン バージョンを 1.1.23110.4 に更新し、既定の署名バージョンを 1.403.1579.0 に更新しました。
• 一般的な安定性とパフォーマンスの向上。
• 動作監視構成のバグ修正。
• バグ修正。

2023 年 11 月ビルド: 101.23102.0003 |リリース バージョン: 30.123102.0003.0

 リリース日: 2023 年 11 月 28 日
 公開 日: 2023 年 11 月 28 日
 ビルド: 101.23102.0003
 リリース バージョン: 30.123102.0003.0
 エンジンのバージョン: 1.1.23090.2008
 署名バージョン: 1.399.690.0

新機能

• 既定のエンジン バージョンを 1.1.23090.2008 に更新し、既定の署名バージョンを 1.399.690.0 に更新しました。
• libcurl ライブラリをバージョン 8.4.0 に更新し、以前のバージョンで最近公開された脆弱性を修正しました。
• Openssl ライブラリをバージョン 3.1.1 に更新し、以前のバージョンで最近公開された脆弱性を修正しました。
• 一般的な安定性とパフォーマンスの向上。
• バグ修正。

2023 年 11 月ビルド: 101.23092.0012 |リリース バージョン: 30.123092.0012.0

 リリース日: 2023 年 11 月 14 日
 公開 日: 2023 年 11 月 14 日
 ビルド: 101.23092.0012
 リリース バージョン: 30.123092.0012.0
 エンジンのバージョン: 1.1.23080.2007
 署名バージョン: 1.395.1560.0

新機能

このリリースには、複数の修正と新しい変更があります。

• 次のコマンドを使用して、元のパスに基づいて脅威を復元するためのサポートを追加しました。

sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]

• このリリース以降、Linux 上のMicrosoft Defender for Endpointは RHEL 6 のソリューションを出荷しなくなります。

  RHEL 6 "延長寿命サポート" は 2024 年 6 月 30 日までに終了する予定であり、お客様は Red Hat からのガイダンスに合わせて RHEL のアップグレードを計画することをお勧めします。 RHEL 6 サーバーで Defender for Endpoint を実行する必要があるお客様は、カーネル バージョン 2.6.32-754.49.1.el6.x86_64 以前でサポートされているバージョン 101.23082.0011 (2024 年 6 月 30 日より前には期限切れではありません) を引き続き利用できます。

  • エンジンの 1.1.23080.2007 と署名 Ver: 1.395.1560.0に更新します。
  • 合理化されたデバイス接続エクスペリエンスがパブリック プレビュー モードになりました。 パブリック ブログ
  • パフォーマンスの向上 & バグ修正。

既知の問題

• ebpf モードのカーネル バージョン 5.15.0-0.30.20 で見られる CPU ロックアップについては、「Linux でのMicrosoft Defender for Endpointに eBPF ベースのセンサーを使用する」と「軽減策」オプションを参照してください。

2023 年 11 月ビルド: 101.23082.0011 |リリース バージョン: 30.123082.0011.0

 リリース日: 2023 年 11 月 1 日
 公開 日: 2023 年 11 月 1 日
 ビルド: 101.23082.0011
 リリース バージョン: 30.123082.0011.0
 エンジンのバージョン: 1.1.23070.1002
 署名バージョン: 1.393.1305.0

新機能 この新しいリリースは、2023 年 10 月リリース ('101.23082.0009'') よりビルドされ、次の変更が加わります。 他のお客様に変更はなく、アップグレードはオプションです。

補助サブシステムが ebpf の場合の監査の不変モードの修正: ebpf モードでは、ebpf に切り替えて再起動した後、すべての mdatp 監査規則をクリーンアップする必要があります。 再起動後、mdatp 監査ルールはクリーンアップされず、サーバーがハングしました。 修正により、これらのルールがクリーンアップされ、再起動時に mdatp ルールが読み込まれるのはユーザーに表示されません

RHEL 6 で起動しないMDEの修正。

既知の問題

mdatp バージョン 101.75.43 または 101.78.13 からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05 にアップグレードする前に、次のコマンドを実行します。 基になる問題の詳細については、 fanotify コードでタスクがブロックされているため、システムハングに関するページを参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 10 月ビルド: 101.23082.0009 |リリース バージョン: 30.123082.0009.0

 リリース日: 2023 年 10 月 9 日
 公開日: 2023 年 10 月 9 日
 ビルド: 101.23082.0009
 リリース バージョン: 30.123082.0009.0
 エンジンのバージョン: 1.1.23070.1002
 署名バージョン: 1.393.1305.0

新機能

• この新しいリリースは、新しい CA 証明書を追加して、2023 年 10 月のリリース ('101.23082.0009'') よりビルドされます。 他のお客様に変更はなく、アップグレードはオプションです。

既知の問題

mdatp バージョン 101.75.43 または 101.78.13 からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05 にアップグレードする前に、次のコマンドを実行します。 基になる問題の詳細については、 fanotify コードでタスクがブロックされているため、システムハングに関するページを参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 10 月ビルド: 101.23082.0006 |リリース バージョン: 30.123082.0006.0

 リリース日: 2023 年 10 月 9 日
 公開日: 2023 年 10 月 9 日
 ビルド: 101.23082.0006
 リリース バージョン: 30.123082.0006.0
 エンジンのバージョン: 1.1.23070.1002
 署名バージョン: 1.393.1305.0

新機能

• 機能の更新と新しい変更

  • eBPF センサーがエンドポイントの既定の補助イベント プロバイダーになりました
  • Microsoft Intuneテナントアタッチ機能がパブリック プレビュー中 (7 月中旬現在)
    • 機能が正しく機能するためには、ファイアウォールの除外に "*.dm.microsoft.com" を追加する必要があります
  • Defender for Endpoint が Debian 12 および Amazon Linux 2023 で使用できるようになりました
  • ダウンロードした更新プログラムの署名検証を有効にするサポート

    • 次に示すように、manajed.jsonを更新する必要があることに注意してください

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • 機能を有効にする前提条件

      • デバイスのエンジン バージョンは、"1.1.23080.007" 以上である必要があります。 次のコマンドを使用して、エンジンのバージョンを確認します。 mdatp health --field engine_version
  • NFS および FUSE マウント ポイントの監視をサポートするオプション。 これらは既定では無視されます。 次の例は、NFS のみを無視しながら、すべてのファイルシステムを監視する方法を示しています。

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  NFS や FUSE を含むすべてのファイルシステムを監視する例:

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • その他のパフォーマンスの向上
  • バグ修正

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13 からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05 にアップグレードする前に、次のコマンドを実行します。 基になる問題の詳細については、 fanotify コードでタスクがブロックされているため、システムハングに関するページを参照してください。 このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 9 月ビルド: 101.23072.0021 |リリース バージョン: 30.123072.0021.0

 リリース日: 2023 年 9 月 11 日
 公開 日: 2023 年 9 月 11 日
 ビルド: 101.23072.0021
 リリース バージョン: 30.123072.0021.0
 エンジンのバージョン: 1.1.20100.7
 署名バージョン: 1.385.1648.0

新機能

• このリリースには、複数の修正と新しい変更があります
  • mde_installer.sh v0.6.3 では、ユーザーは --channel 引数を使用して、クリーンアップ中に構成されたリポジトリのチャネルを指定できます。 たとえば、sudo ./mde_installer --clean --channel prod のように指定します。
  • mdatp network-protection resetを使用して管理者がネットワーク拡張機能をリセットできるようになりました。
  • その他のパフォーマンスの向上
  • バグ修正

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 7 月ビルド: 101.23062.0010 |リリース バージョン: 30.123062.0010.0

 リリース日: 2023 年 7 月 26 日
 公開 日: 2023 年 7 月 26 日
 ビルド: 101.23062.0010
 リリース バージョン: 30.123062.0010.0
 エンジンのバージョン: 1.1.20100.7
 署名バージョン: 1.385.1648.0

新機能

• このリリースには、複数の修正と新しい変更があります

  • Defender for Endpoint にプロキシが設定されている場合は、 mdatp health コマンド出力に表示されます
  • このリリースでは、mdatp 診断ホット イベント ソースに次の 2 つのオプションを提供しました。
    1. ファイル
    2. 実行可能ファイル
  • ネットワーク保護: Network Protection によってブロックされ、ユーザーによってブロックがオーバーライドされたConnectionsが、Microsoft Defender XDRに正しく報告されるようになりました。
  • デバッグ用の Network Protection ブロックイベントと監査イベントのログ記録の改善

• その他の修正と機能強化

  • このバージョンでは、enforcementLevel は既定でパッシブ モードであり、管理者は自分の資産内で "RTP をオンにする" 場所をより詳細に制御できます
  • この変更は、Defender for Endpoint が初めてデプロイされるサーバーなど、新しいMDE展開にのみ適用されます。 更新シナリオでは、Defender for Endpoint が RTP ON で展開されているサーバーは、バージョン 101.23062.0010 への更新後も RTP ON で動作を続けます

• バグ修正

  • ベースラインの RPM データベース破損の問題Defender 脆弱性の管理修正されました

• その他のパフォーマンスの向上

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 7 月ビルド: 101.23052.0009 |リリース バージョン: 30.123052.0009.0

 リリース日: 2023 年 7 月 10 日
 公開日: 2023 年 7 月 10 日
 ビルド: 101.23052.0009
 リリース バージョン: 30.123052.0009.0
 エンジンのバージョン: 1.1.20100.7
 署名バージョン: 1.385.1648.0

新機能

• このリリースには複数の修正と新しい変更があります。ビルド バージョン スキーマはこのリリースから更新されます。 メジャー バージョン番号は 101 と変わりませんが、マイナー バージョン番号に 5 桁の数字が続き、4 桁のパッチ番号が続くようになりました。その後、 101.xxxxx.yyy - ストレス下でのネットワーク保護メモリ消費量の向上
  • エンジンのバージョンを 1.1.20300.5 に、署名バージョンを 1.391.2837.0 に更新しました。
  • バグ修正。

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

June-2023 ビルド: 101.98.89 |リリース バージョン: 30.123042.19889.0

 リリース日: 2023 年 6 月 12 日
 公開 日: 2023 年 6 月 12 日
 ビルド: 101.98.89
 リリース バージョン: 30.123042.19889.0
 エンジンのバージョン: 1.1.20100.7
 署名バージョン: 1.385.1648.0

新機能

• このリリースには、複数の修正と新しい変更があります
  • ネットワーク保護プロキシの処理が改善されました。
  • パッシブ モードでは、定義の更新が行われると Defender for Endpoint がスキャンされなくなりました。
  • Defender for Endpoint エージェントの有効期限が切れた後も、デバイスは引き続き保護されます。 Defender for Endpoint Linux エージェントを利用可能な最新バージョンにアップグレードして、バグ修正、機能、パフォーマンスの向上を受け取うことをお勧めします。
  • semanage パッケージの依存関係を削除しました。
  • エンジンの 1.1.20100.7 と署名 Ver: 1.385.1648.0に更新します。
  • バグ修正。

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 一部のお客様 (<1%) がこの方法で問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 5 月ビルド: 101.98.64 |リリース バージョン: 30.123032.19864.0

 リリース日: 2023 年 5 月 3 日
 公開日: 2023 年 5 月 3 日
 ビルド: 101.98.64
 リリース バージョン: 30.123032.19864.0
 エンジン バージョン: 1.1.20100.6
 署名バージョン: 1.385.68.0

新機能

• このリリースには、複数の修正と新しい変更があります
  • 監査されたエラーに関する詳細をキャプチャするための正常性メッセージの機能強化。
  • インストール エラーの原因となったオージェルールを処理するための機能強化。
  • エンジン プロセスでの定期的なメモリ クリーンアップ。
  • mdatp audisp プラグインのメモリの問題を修正しました。
  • インストール中にプラグイン ディレクトリ パスが見つからない問題を処理しました。
  • 競合するアプリケーションがブロッキング fanotify を使用している場合、既定の構成 mdatp 正常性では異常が表示されます。 この問題は修正されました。
  • BM での ICMP トラフィック検査のサポート。
  • エンジンの 1.1.20100.6 と署名 Ver: 1.385.68.0に更新します。
  • バグ修正。

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 注意: 一部のお客様 (<1%) がこの方法に関する問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 4 月ビルド: 101.98.58 |リリース バージョン: 30.123022.19858.0

 リリース日: 2023 年 4 月 20 日
 公開 日: 2023 年 4 月 20 日
 ビルド: 101.98.58
 リリース バージョン: 30.123022.19858.0
 エンジン バージョン: 1.1.20000.2
 署名バージョン: 1.381.3067.0

新機能

• このリリースには、複数の修正と新しい変更があります
  • 監査のログ記録とエラー 報告の機能強化。
  • 監査された構成の再読み込み時にエラーを処理します。
  • MDEインストール中の空の監査済みルール ファイルの処理。
  • エンジンの 1.1.20000.2 と署名 Ver: 1.381.3067.0に更新します。
  • selinux 拒否が原因で発生する mdatp の正常性の問題に対処しました。
  • バグ修正。

既知の問題

• mdatp をバージョン 101.94.13 以降にアップグレードすると、正常性が false で、health_issuesが "アクティブな補助イベント プロバイダーなし" であることがわかります。 これは、既存のマシンで監査規則が正しく構成されていないか競合しているために発生する可能性があります。 この問題を軽減するには、既存のマシンの監査規則を修正する必要があります。 次のコマンドは、このような監査ルールを識別するのに役立ちます (コマンドはスーパー ユーザーとして実行する必要があります)。 /etc/audit/rules.d/audit.rules というファイルのバックアップを作成します。これらの手順はエラーを識別するためだけに行います。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

このアップグレードの問題を軽減するには、次の 2 つの方法があります。

1. パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

2. 別の方法として、手順に従って アンインストールしてから、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしない場合は、アップグレードする前に rtp と mdatp を順番に無効にできます。 注意: 一部のお客様 (<1%) がこの方法に関する問題を経験しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 3 月ビルド: 101.98.30 |リリース バージョン: 30.123012.19830.0

 リリース日: 2023 年 3 月 20 日
 公開日: 2023 年 3 月 20 日
 ビルド: 101.98.30
 リリース バージョン: 30.123012.19830.0
 エンジン バージョン: 1.1.19900.2
 署名バージョン: 1.379.1299.0
新機能

• この新しいリリースは、2023 年 3 月のリリース ('101.98.05'') に対してビルドされ、お客様の 1 人に対して Live 応答コマンドの修正が失敗しました。 他のお客様に変更はなく、アップグレードは省略可能です。

既知の問題

• mdatp バージョン 101.98.30 では、SELinux ルールが特定のシナリオに対して定義されていないため、一部のケースで正常性の誤った問題が発生することがあります。 正常性の警告は次のようになります。

過去 1 日以内に SELinux 拒否が見つかりました。 MDATP が最近インストールされた場合は、既存の監査ログをクリアするか、この問題が自動解決されるまで 1 日待ちます。 コマンドを使用する: "sudo ausearch -i -c 'mdatp_audisp_pl' |grep "type=AVC" |grep "denied" to find details

この問題は、次のコマンドを実行することで軽減される可能性があります。

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

ここでは、my-mdatpaudisppl_v1 はポリシー モジュール名を表します。 コマンドを実行した後、24 時間待つか、監査ログをクリア/アーカイブします。 監査ログは、次のコマンドを実行してアーカイブできます

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

問題がいくつかの異なる拒否で再び現れた場合。 別のモジュール名 (たとえば、my-mdatpaudisppl_v2) で軽減策を再実行する必要があります。

2023 年 3 月 (ビルド: 101.98.05 |リリース バージョン: 30.123012.19805.0)

 リリース日: 2023 年 3 月 8 日
 公開日: 2023 年 3 月 8 日
 ビルド: 101.98.05
 リリース バージョン: 30.123012.19805.0
 エンジン バージョン: 1.1.19900.2
 署名バージョン: 1.379.1299.0

新機能

このリリースには、複数の修正と新しい変更があります。

• ネットワーク接続イベントのデータの完全性の向上
• ファイルの所有権/アクセス許可の変更に関するデータ収集機能の強化
• seパッケージの一部でseLinuxポリシーを異なるディストリビューション(固定)で構成できます。
• エンタープライズ デーモンの安定性の向上
• AuditD stop path クリーン-up
• mdatp ストップ フローの安定性が向上しました。
• プラットフォームの更新時間を追跡するために、wdavstate に新しいフィールドを追加しました。
• Defender for Endpoint オンボード BLOB の解析に対する安定性の向上。
• 有効なライセンスが存在しない場合、スキャンは続行されません (修正済み)
• xPlatClientAnalyzer にパフォーマンス トレース オプションを追加しました。トレースが有効な mdatp プロセスでは、パフォーマンスの問題の分析に使用できる all_process.zip ファイルにフローがダンプされます。
• 次の RHEL-6 カーネル バージョンの Defender for Endpoint でのサポートが追加されました。
  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64
• その他の修正

既知の問題

• mdatp をバージョン 101.94.13 にアップグレードしているときに、正常性が false で、health_issuesが "アクティブな補助イベント プロバイダーなし" であることがわかります。 これは、既存のマシンで監査規則が正しく構成されていないか競合しているために発生する可能性があります。 この問題を軽減するには、既存のマシンの監査規則を修正する必要があります。 次の手順は、このような監査ルールを識別するのに役立ちます (これらのコマンドはスーパー ユーザーとして実行する必要があります)。 "/etc/audit/rules.d/audit.rules' というファイルは必ずバックアップしてください。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.98.05にアップグレードする前に、次のコマンドを実行します。 詳細については、fanotify コードでのブロックされたタスクによるシステムハングに関するページを参照してください。

アップグレードの問題を軽減するには、2 つの方法があります。

パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。 例:

sudo apt purge mdatp
sudo apt-get install mdatp

別の方法として、手順に従って アンインストールし、最新バージョンのパッケージを インストール することもできます。

mdatp をアンインストールしたくない場合は、アップグレード前に rtp と mdatp を順番に無効にできます。 注意: 一部のお客様 (<1%) がこの方法で問題が発生しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

Jan-2023 (ビルド: 101.94.13 |リリース バージョン: 30.122112.19413.0)

 リリース日: 2023 年 1 月 10 日
 公開 日: 2023 年 1 月 10 日
 ビルド: 101.94.13
 リリース バージョン: 30.122112.19413.0
 エンジンのバージョン: 1.1.19700.3
 署名バージョン: 1.377.550.0

新機能

• このリリースには、複数の修正と新しい変更があります
  • 既定では、パッシブ モードで脅威の検疫をスキップします。
  • 新しい構成 (nonExecMountPolicy) を使用して、noexec としてマークされたマウント ポイントでの RTP の動作を指定できるようになりました。
  • 新しい構成 (unmonitoredFilesystems) を使用して、特定のファイルシステムの監視を解除できます。
  • 高負荷時および速度テスト シナリオでのパフォーマンスの向上。
  • Cisco AnyConnect VPN 接続の背後にある SMB 共有へのアクセスに関する問題を修正します。
  • ネットワーク保護と SMB に関する問題を修正します。
  • lttng パフォーマンス トレースのサポート。
  • TVM、eBPF、auditd、Telemetry、mdatp cli の機能強化。
  • mdatp 正常性がbehavior_monitoringを報告するようになりました
  • その他の修正。

既知の問題

• mdatp をバージョン 101.94.13 にアップグレードしているときに、正常性が false で、health_issuesが "アクティブな補助イベント プロバイダーなし" であることがわかります。 これは、既存のマシンで監査規則が正しく構成されていないか競合しているために発生する可能性があります。 この問題を軽減するには、既存のマシンの監査規則を修正する必要があります。 次の手順は、このような監査ルールを識別するのに役立ちます (これらのコマンドはスーパー ユーザーとして実行する必要があります)。 次のファイルのバックアップを作成します。 /etc/audit/rules.d/audit.rules 、これらの手順はエラーを特定することだけです。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.94.13 にアップグレードする前に、次のコマンドを実行します。 詳細については、fanotify コードでのブロックされたタスクによるシステムハングに関するページを参照してください。

アップグレードの問題を軽減するには、2 つの方法があります。

パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

上記の別の方法として、指示に従って アンインストールしてから、最新バージョンのパッケージを インストール できます。

mdatp をアンインストールしたくない場合は、アップグレード前に rtp と mdatp を順番に無効にできます。 注意: 一部のお客様 (<1%) がこの方法で問題が発生しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022 年 11 月 (ビルド: 101.85.27 |リリース バージョン: 30.122092.18527.0)

 リリース日: 2022 年 11 月 2 日
 公開 日: 2022 年 11 月 2 日
 ビルド: 101.85.27
 リリース バージョン: 30.122092.18527.0
 エンジンのバージョン: 1.1.19500.2
 署名バージョン: 1.371.1369.0

新機能

• このリリースには、複数の修正と新しい変更があります
  • このリリースでは V2 エンジンが既定で、セキュリティ強化のために V1 エンジン ビットが削除されます。
  • V2 エンジンは、AV 定義の構成パスをサポートします。 (mdatp 定義セット パス)
  • パッケージから外部パッケージの依存関係MDE削除しました。 削除された依存関係は libatomic1、libselinux、libseccomp、libfuse、libuuid です。
  • 構成によってクラッシュ収集が無効になっている場合、クラッシュ監視プロセスは起動されません。
  • AV 機能にシステム イベントを最適に使用するためのパフォーマンスの修正。
  • mdatp を再起動して epsext を読み込む際の安定性の向上。
  • その他の修正

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.85.21 にアップグレードする前に、次のコマンドを実行します。 詳細については、fanotify コードでのブロックされたタスクによるシステムハングに関するページを参照してください。

アップグレードの問題を軽減するには、2 つの方法があります。

パッケージ マネージャーを使用して、 101.75.43 または mdatp バージョン 101.78.13 アンインストールします。

例:

sudo apt purge mdatp
sudo apt-get install mdatp

別の方法として、手順に従って アンインストールし、最新バージョンのパッケージを インストール します。

mdatp をアンインストールしたくない場合は、アップグレード前に rtp と mdatp を順番に無効にできます。 注意: 一部のお客様 (<1%) がこの方法で問題が発生しています。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022 年 9 月 (ビルド: 101.80.97 |リリース バージョン: 30.122072.18097.0)

 リリース日: 2022 年 9 月 14 日
 公開 日: 2022 年 9 月 14 日
 ビルド: 101.80.97
 リリース バージョン: 30.122072.18097.0
 エンジン バージョン: 1.1.19300.3
 署名バージョン: 1.369.395.0

新機能

• mdatp バージョンの 101.75.43を実行している一部の顧客ワークロードで観察されるカーネル ハングを修正しました。 RCA の後、これはセンサー ファイル記述子の所有権を解放するときに競合状態に起因します。 シャットダウン パスの最近の製品の変更により、競合状態が公開されました。 新しいカーネル バージョン (5.1 以降) のお客様は、この問題の影響を受けません。 詳細については、「 fanotify コードでブロックされたタスクが原因でシステムがハングする」を参照してください。

既知の問題

• mdatp バージョン 101.75.43 または 101.78.13からアップグレードすると、カーネルハングが発生する可能性があります。 バージョン 101.80.97にアップグレードする前に、次のコマンドを実行します。 このアクションにより、問題が発生しないようにする必要があります。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

コマンドを実行した後、パッケージ マネージャーを使用してアップグレードを実行します。

別の方法として、手順に従って アンインストールし、最新バージョンのパッケージを インストール します。

2022 年 8 月 (ビルド: 101.78.13 |リリース バージョン: 30.122072.17813.0)

 リリース日: 2022 年 8 月 24 日
 公開 日: 2022 年 8 月 24 日
 ビルド: 101.78.13
 リリース バージョン: 30.122072.17813.0
 エンジン バージョン: 1.1.19300.3
 署名バージョン: 1.369.395.0

新機能

• 信頼性の問題が原因でロールバックされた

2022 年 8 月 (ビルド: 101.75.43 |リリース バージョン: 30.122071.17543.0)

 リリース日: 2022 年 8 月 2 日
 公開 日: 2022 年 8 月 2 日
 ビルド: 101.75.43
 リリース バージョン: 30.122071.17543.0
 エンジン バージョン: 1.1.19300.3
 署名バージョン: 1.369.395.0

新機能

• Red Hat Enterprise Linux バージョン 9.0 のサポートを追加しました
• mdatp healthの出力に、ネットワーク保護機能の適用レベルのクエリに使用できる新しいフィールドを追加しました。 新しいフィールドは network_protection_enforcement_level と呼ばれ、 audit、 block、または disabledのいずれかの値を受け取ることができます。
• 同じコンテンツを複数検出すると、脅威履歴のエントリが重複する可能性がある製品バグに対処しました
• サービスが停止したときに、製品 (mdatp_audisp_plugin) によって生成されたプロセスの 1 つが適切に終了されないことがある問題に対処しました
• その他のバグ修正
  

Jul-2022 (ビルド: 101.73.77 |リリース バージョン: 30.122062.17377.0)

 リリース日: 2022 年 7 月 21 日
 公開 日: 2022 年 7 月 21 日
 ビルド: 101.73.77
 リリース バージョン: 30.122062.17377.0
 エンジンのバージョン: 1.1.19200.3
 署名バージョン: 1.367.1011.0

新機能

• ファイル ハッシュ計算を構成するオプションを追加しました
• このビルド以降、製品には既定で新しいマルウェア対策エンジンがあります
• ファイル コピー操作のパフォーマンスの向上
• バグ修正
  

 リリース日: 2022 年 6 月 24 日
 公開 日: 2022 年 6 月 24 日
 ビルド: 101.71.18
 リリース バージョン: 30.122052.17118.0

新機能

• v2 定義更新プログラムの非標準の場所 (/var の外部) での定義ストレージをサポートするように修正しました
• RHEL 6 で使用される製品センサーで OS がハングする可能性がある問題を修正しました
• mdatp connectivity test は、製品が正しく機能するために必要な追加の URL で拡張されました。 新しい URL が https://go.microsoft.com/fwlink/?linkid=2144709。
• これまで、製品の再起動の間、製品ログ レベルは保持されませんでした。 このバージョン以降、ログ レベルを保持する新しいコマンド ライン ツール スイッチがあります。 新しいコマンドが mdatp log level persist --level <level>。
• 製品インストール パッケージから python への依存関係を削除しました
• ファイル コピー操作と、から発生するネットワーク イベントの処理のパフォーマンスが向上しました auditd
• バグ修正
  

2022 年 5 月 (ビルド: 101.68.80 |リリース バージョン: 30.122042.16880.0)

 リリース日: 2022 年 5 月 23 日
 公開 日: 2022 年 5 月 23 日
 ビルド: 101.68.80
 リリース バージョン: 30.122042.16880.0

新機能

• RHEL 6 で実行する場合のカーネル バージョン 2.6.32-754.47.1.el6.x86_64 のサポートを追加しました
• RHEL 6 では、壊れないエンタープライズ カーネル (UEK) を実行しているデバイスに製品をインストールできるようになりました
• 実行中にプロセス名が unknown として正しく表示されない問題を修正しました mdatp diagnostic real-time-protection-statistics
• 検疫フォルダー内のファイルが製品によって誤って検出されるバグを修正しました
• /optがソフト リンクとしてマウントされている場合に、mdatp コマンド ライン ツールが機能しない問題を修正しました
• バグ修正 & パフォーマンスの向上
  

2022 年 5 月 (ビルド: 101.65.77 |リリース バージョン: 30.122032.16577.0)

 リリース日: 2022 年 5 月 2 日
 公開日: 2022 年 5 月 2 日
 ビルド: 101.65.77
 リリース バージョン: 30.122032.16577.0

新機能

• mdatp healthの [conflicting_applications] フィールドを改善し、最新の 10 個のプロセスのみを表示し、プロセス名も含めます。 これにより、Linux 用のMicrosoft Defender for Endpointと競合する可能性のあるプロセスを簡単に特定できます。
• バグ修正

 リリース日: 2022 年 3 月 24 日
 公開日: 2022 年 3 月 24 日
 ビルド: 101.62.74
 リリース バージョン: 30.122022.16274.0

新機能

• 古いカーネル バージョンで実行しているときに、2 GB を超えるサイズのファイルへのアクセスが製品によって誤ってブロックされる問題に対処しました
• バグ修正

2022 年 3 月 (ビルド: 101.60.93 |リリース バージョン: 30.122012.16093.0)

 リリース日: 2022 年 3 月 9 日
 公開日: 2022 年 3 月 9 日
 ビルド: 101.60.93
 リリース バージョン: 30.122012.16093.0

新機能

• このバージョンには、CVE-2022-23278 のセキュリティ更新プログラムが含まれています

 リリース日: 2022 年 3 月 3 日
 公開日: 2022 年 3 月 3 日
 ビルド: 101.60.05
 リリース バージョン: 30.122012.16005.0

新機能

• RHEL 6.10 のカーネル バージョン 2.6.32-754.43.1.el6.x86_64のサポートを追加しました
• バグ修正

2022 年 2 月 (ビルド: 101.58.80 |リリース バージョン: 30.122012.15880.0)

 リリース日: 2022 年 2 月 20 日
 公開 日: 2022 年 2 月 20 日
 ビルド: 101.58.80
 リリース バージョン: 30.122012.15880.0

新機能

• コマンド ライン ツールでは、検疫されたファイルを、ファイルが最初に検出された場所以外の場所への復元がサポートされるようになりました。 これは、 mdatp threat quarantine restore --id [threat-id] --path [destination-folder]を使用して行うことができます。
• このバージョン以降、Linux のネットワーク保護はオンデマンドで評価できます
• バグ修正

Jan-2022 (ビルド: 101.56.62 |リリース バージョン: 30.121122.15662.0)

 リリース日: 2022 年 1 月 26 日
 公開 日: 2022 年 1 月 26 日
 ビルド: 101.56.62
 リリース バージョン: 30.121122.15662.0

新機能

• 101.53.02 で導入され、複数の顧客に影響を与えた製品クラッシュを修正しました

 リリース日: 2022 年 1 月 8 日
 公開日: 2022 年 1 月 8 日
 ビルド: 101.53.02
 リリース バージョン: 30.121112.15302.0

新機能

• バグ修正 & パフォーマンスの向上