Microsoft Defender for Endpoint v systému Linux

Tip

S radostí vám oznamujeme, že Microsoft Defender for Endpoint v Linuxu teď rozšiřuje podporu linuxových serverů založených na ARM64 ve verzi Preview! Další informace najdete v tématu Microsoft Defender for Endpoint v Linuxu pro zařízení s procesorem ARM64 (Preview).

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek popisuje, jak nainstalovat, nakonfigurovat, aktualizovat a používat Microsoft Defender for Endpoint v Linuxu.

Upozornění

Spouštění dalších produktů koncové ochrany jiných společností než Microsoftu spolu s Microsoft Defender for Endpoint v Linuxu pravděpodobně povede k problémům s výkonem a nepředvídatelným vedlejším účinkům. Pokud je ve vašem prostředí absolutním požadavkem ochrana koncových bodů jiných společností než Microsoft, můžete i po konfiguraci antivirové funkce pro spuštění v pasivním režimu bezpečně využívat funkce Defenderu for Endpoint v Linuxu EDR.

Instalace Microsoft Defender for Endpoint v Linuxu

Microsoft Defender for Endpoint pro Linux zahrnuje antimalwarové funkce a funkce detekce a odezvy koncových bodů (EDR).

Požadavky

• Přístup k portálu Microsoft Defender
• Distribuce Linuxu pomocí systemd systemdsystem manageru
• Zkušenosti na úrovni začátečníka se skriptováním v Linuxu a BASH
• Oprávnění správce na zařízení (pro ruční nasazení)

Poznámka

Distribuce Linuxu pomocí správce systému podporuje SystemV i UpStart. Microsoft Defender for Endpoint agenta pro Linux je nezávislý na agentu OMS (Operation Management Suite). Microsoft Defender for Endpoint spoléhá na vlastní nezávislý kanál telemetrie.

Požadavky na systém

• CPU: Minimálně 1 jádro procesoru. U vysoce výkonných úloh se doporučuje více jader.

• Místo na disku: minimálně 2 GB. U vysoce výkonných úloh může být potřeba více místa na disku.

• Paměť: minimálně 1 GB paměti RAM. U vysoce výkonných úloh může být potřeba více paměti.

  Poznámka

  Na základě úloh může být potřeba doladit výkon. Viz Řešení potíží s výkonem pro Microsoft Defender for Endpoint v Linuxu.

• Podporují se následující linuxové serverové distribuce a verze x64 (AMD64/EM64T):

  • Red Hat Enterprise Linux 7.2 nebo novější
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 nebo novější
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 nebo novější
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 a novější
  • Rocky 9.2 a vyšší
  • Alma 8.4 a novější
  • Alma 9.2 a novější
  • Mariňák 2

• Ve verzi Preview se teď podporují následující distribuce serverů Linuxu v ARM64:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Důležité

  Podpora Microsoft Defender for Endpoint v Linuxu pro zařízení s Linuxem založená na ARM64 je teď ve verzi Preview. Další informace najdete v tématu Microsoft Defender for Endpoint v Linuxu pro zařízení s procesorem ARM64 (Preview).

  Poznámka

  Pracovní stanice verze těchto distribucí nejsou podporovány. Distribuce a verze, které nejsou explicitně uvedené, se nepodporují (i když jsou odvozené od oficiálně podporovaných distribucí). Po vydání nové verze balíčku se podpora předchozích dvou verzí omezí pouze na technickou podporu. Verze starší než ty, které jsou uvedené v této části, jsou k dispozici pouze pro technickou podporu upgradu. Distribuce Rocky a Alma se v současné době v Microsoft Defender Správa zranitelností nepodporují. Microsoft Defender for Endpoint pro všechny ostatní podporované distribuce a verze je nezávislá na verzi jádra. Minimální požadavek, aby verze jádra byla 3.10.0-327 nebo novější.

  Upozornění

  Spuštění Defenderu for Endpoint v Linuxu společně s jinými fanotifyřešeními zabezpečení se nepodporuje. Může to vést k nepředvídatelným výsledkům, včetně zablokujícího operačního systému. Pokud v systému existují nějaké jiné aplikace, které používají fanotify režim blokování, jsou aplikace uvedeny v conflicting_applications poli výstupu mdatp health příkazu. Funkce FAPolicyD v Linuxu se používá fanotify v režimu blokování, a proto se nepodporuje při spuštění Defenderu for Endpoint v aktivním režimu. I po konfiguraci antivirové funkce Ochrana v reálném čase Povolena do pasivního režimu můžete bezpečně využívat funkce Defender for Endpoint v Linuxu EDR.

• Seznam podporovaných systémů souborů pro rtp, rychlé, úplné a vlastní prohledávání

RTP, rychlá, úplná kontrola	Vlastní kontrola
btrfs	Všechny podporované systémy souborů pro rtp, rychlé a úplné prohledávání
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
fuse	glustrefs
fuseblk	Afs
jfs	sshfs
nfs (pouze v3)	cifs
overlay	smb
ramfs	gcsfuse
reiserfs	sysfs
tmpfs
udf
vfat
xfs

Poznámka

Počínaje verzí 101.24082.0004už Defender for Endpoint v Linuxu Auditd nepodporuje poskytovatele událostí. Zcela přecházíme na efektivnější technologii rozšířeného filtru paketů Berkeley (eBPF). Pokud se na vašich počítačích nepodporuje eBPF nebo pokud existují konkrétní požadavky, které je potřeba zachovat v auditovaném systému, a vaše počítače používají Defender for Endpoint v Linuxu nebo nižší verzi 101.24072.0001 , musí být ve vašem systému povolená architektura auditování (auditd). Pokud používáte Auditd, pak systémové události zachycené pravidly přidanými do /etc/audit/rules.d/audit.log(s) a můžou ovlivnit auditování hostitele a upstreamové shromažďování. Události přidané Microsoft Defender for Endpoint v Linuxu mdatp jsou označené klíčem .

• /opt/microsoft/mdatp/sbin/wdavdaemon vyžaduje oprávnění spustitelného souboru. Další informace najdete v tématu "Ujistěte se, že démon má oprávnění ke spustitelnému souboru" v tématu Řešení potíží s instalací Microsoft Defender for Endpoint v Linuxu.

Pokyny k instalaci

Existuje několik metod a nástrojů pro nasazení, které můžete použít k instalaci a konfiguraci Microsoft Defender for Endpoint v Linuxu. Než začnete, ujistěte se, že jsou splněné minimální požadavky na Microsoft Defender for Endpoint.

K nasazení Microsoft Defender for Endpoint v Linuxu můžete použít jednu z následujících metod:

• Pokud chcete použít nástroj příkazového řádku, přečtěte si téma Ruční nasazení.
• Pokud chcete použít Puppet, přečtěte si téma Nasazení pomocí nástroje pro správu konfigurace Puppetu.
• Pokud chcete použít Ansible, přečtěte si téma Nasazení pomocí nástroje pro správu konfigurace Ansible.
• Pokud chcete použít Chef, přečtěte si téma Nasazení pomocí nástroje pro správu konfigurace Chefu.
• Pokud chcete použít Saltstack, přečtěte si téma Nasazení pomocí nástroje pro správu konfigurace Saltstack.
• Informace o instalaci na servery s Linuxem založeným na ARM64 najdete v tématu Microsoft Defender for Endpoint v Linuxu pro zařízení s procesorem ARM64 (Preview).

Pokud dojde k nějakým selháním instalace, přečtěte si téma Řešení potíží se selháními instalace v Microsoft Defender for Endpoint v Linuxu.

Důležité

Instalace Microsoft Defender for Endpoint v jiném umístění, než je výchozí instalační cesta, se nepodporuje. Microsoft Defender for Endpoint v Linuxu mdatp vytvoří uživatele s náhodným UID a GID. Pokud chcete řídit UID a GID, vytvořte mdatp uživatele před instalací pomocí /usr/sbin/nologin možnosti prostředí. Tady je příklad: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Závislost externího balíčku

Pokud se instalace Microsoft Defender for Endpoint nezdaří kvůli chybám chybějících závislostí, můžete požadované závislosti stáhnout ručně. Pro balíček mdatp existují následující závislosti externích balíčků:

• Balíček mdatp RPM vyžaduje glibc >= 2.17, policycoreutils, selinux-policy-targeteda mde-netfilter
• Pro RHEL6 balíček mdatp RPM vyžaduje policycoreutils, libselinuxa mde-netfilter
• Pro DEBIAN balíček mdatp vyžaduje libc6 >= 2.23, uuid-runtimea mde-netfilter

Poznámka

Od verze 101.24082.0004už Defender for Endpoint v Linuxu Auditd nepodporuje poskytovatele událostí. Zcela přecházíme na efektivnější technologii eBPF. Pokud se eBPF na vašich počítačích nepodporuje nebo pokud existují konkrétní požadavky, které je potřeba zachovat v auditovaném systému, a vaše počítače používají Defender for Endpoint v Linuxu nebo starší verzi 101.24072.0001 , existuje pro mdatp následující další závislost na auditovaném balíčku:

• Balíček mdatp RPM vyžaduje audit, . semanage
• Balíček mdatp pro DEBIAN vyžaduje auditd.
• Pro Mariner vyžaduje auditbalíček mdatp .

Balíčekmde-netfilter má také následující závislosti balíčku:

• Pro DEBIAN balíček mde-netfilter vyžaduje libnetfilter-queue1, a libglib2.0-0
• Pro RPM balíček mde-netfilter vyžaduje libmnl, libnfnetlink, libnetfilter_queue, a glib2

Konfigurace vyloučení

Při přidávání vyloučení do Microsoft Defender Antivirové ochrany byste měli mít na paměti běžné chyby vyloučení pro Microsoft Defender Antivirus.

Síťová připojení

Ujistěte se, že je možné připojení z vašich zařízení k Microsoft Defender for Endpoint cloudových služeb. Informace o přípravě prostředí najdete v tématu KROK 1: Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint.

Defender for Endpoint v Linuxu se může připojit přes proxy server pomocí následujících metod zjišťování:

• Transparentní proxy server
• Ruční konfigurace statického proxy serveru

Pokud proxy server nebo brána firewall blokují anonymní provoz, ujistěte se, že je v dříve uvedených adresách URL povolený anonymní provoz. U transparentních proxy serverů není pro Defender for Endpoint potřeba žádná další konfigurace. V případě statického proxy serveru postupujte podle kroků v tématu Ruční konfigurace statického proxy serveru.

Upozornění

Pac, WPAD a ověřené proxy servery se nepodporují. Ujistěte se, že se používá jenom statický proxy server nebo transparentní proxy server. Z bezpečnostních důvodů se také nepodporuje kontrola SSL a zachytávání proxy serverů. Nakonfigurujte výjimku pro kontrolu SSL a proxy server tak, aby přímo předával data z Defenderu for Endpoint v Linuxu příslušným adresám URL bez zachycování. Přidání certifikátu pro zachytávání do globálního úložiště neumožňuje zachytávání.

Postup řešení potíží najdete v tématu Řešení potíží s připojením ke cloudu pro Microsoft Defender for Endpoint v Linuxu.

Aktualizace Microsoft Defender for Endpoint v Linuxu

Společnost Microsoft pravidelně publikuje aktualizace softwaru, aby zlepšila výkon, zabezpečení a poskytovala nové funkce. Informace o aktualizaci Microsoft Defender for Endpoint v Linuxu najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v Linuxu.

Jak nakonfigurovat Microsoft Defender for Endpoint v systému Linux

Pokyny ke konfiguraci produktu v podnikových prostředích najdete v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v Linuxu.

Běžné aplikace pro Microsoft Defender for Endpoint můžou mít vliv

U úloh s vysokým počtem vstupně-výstupních operací z určitých aplikací může při instalaci Microsoft Defender for Endpoint docházet k problémům s výkonem. Mezi takové aplikace pro scénáře vývojářů patří Jenkins a Jira a databázové úlohy, jako jsou OracleDB a Postgres. Pokud dochází ke snížení výkonu, zvažte nastavení vyloučení pro důvěryhodné aplikace a mějte na paměti běžné chyby vyloučení pro Microsoft Defender Antivirus. Další pokyny najdete v dokumentaci týkající se vyloučení antivirového softwaru z aplikací jiných společností než Microsoft.

Zdroje

• Další informace o protokolování, odinstalaci nebo jiných článcích najdete v tématu Zdroje informací.

Související články

• Ochrana koncových bodů pomocí integrovaného řešení EDR v Defenderu for Cloud: Microsoft Defender for Endpoint
• Připojení počítačů mimo Azure ke službě Microsoft Defender for Cloud
• Zapnutí ochrany sítě pro Linux

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.