Del via

Microsoft Defender for Endpoint på Linux

  • Artikel

Tip

Vi er glade for at kunne dele Microsoft Defender for Endpoint på Linux nu udvider understøttelsen af ARM64-baserede Linux-servere som prøveversion! Du kan få flere oplysninger under Microsoft Defender for Endpoint på Linux til ARM64-baserede enheder (prøveversion).

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I denne artikel beskrives det, hvordan du installerer, konfigurerer, opdaterer og bruger Microsoft Defender for Endpoint på Linux.

Forsigtighed

Kørsel af andre endpoint protection-produkter, der ikke er fra Microsoft, sammen med Microsoft Defender for Endpoint på Linux, vil sandsynligvis medføre problemer med ydeevnen og uforudsigelige bivirkninger. Hvis beskyttelse af slutpunkter, der ikke er fra Microsoft, er et absolut krav i dit miljø, kan du stadig trygt drage fordel af Defender for Endpoint på Linux EDR-funktionalitet, når du har konfigureret antivirusfunktioner til at køre i passiv tilstand.

Sådan installerer du Microsoft Defender for Endpoint på Linux

Microsoft Defender for Endpoint til Linux indeholder EDR-funktioner (antimalware) og EDR (endpoint detection and response).

Forudsætninger

  • Adgang til Microsoft Defender-portalen
  • Linux-distribution ved hjælp af systemadministratoren
  • Erfaring med Linux- og BASH-scripting på begynderniveau
  • Administrative rettigheder på enheden (til manuel installation)

Bemærk!

Linux-distribution ved hjælp af System Manager understøtter både SystemV og Upstart. Microsoft Defender for Endpoint på Linux-agenten er uafhængig af OMS-agenten (Operation Management Suite). Microsoft Defender for Endpoint er afhængig af sin egen uafhængige telemetripipeline.

Systemkrav

  • CPU: Minimum 1 CPU-kerne. I forbindelse med arbejdsbelastninger med høj ydeevne anbefales der flere kerner.

  • Diskplads: minimum 2 GB. I forbindelse med arbejdsbelastninger med høj ydeevne kan der være behov for mere diskplads.

  • Hukommelse: mindst 1 GB RAM. I forbindelse med arbejdsbelastninger med høj ydeevne kan der være behov for mere hukommelse.

    Bemærk!

    Der kan være behov for justering af ydeevnen baseret på arbejdsbelastninger. Se Fejlfinding af problemer med ydeevnen for Microsoft Defender for Endpoint på Linux.

  • Følgende Linux-serverdistributioner og x64-versioner (AMD64/EM64T) understøttes:

    • Red Hat Enterprise Linux 7.2 eller nyere

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 7,2 eller højere, eksklusive CentOS-Stream

    • Ubuntu 16.04 LTS

    • Ubuntu 18.04 LTS

    • Ubuntu 20.04 LTS

    • Ubuntu 22.04 LTS

    • Ubuntu 24.04 LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12.x

    • SUSE Linux Enterprise Server 15.x

    • Oracle Linux 7.2 eller nyere

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33-38

    • Rocky 8,7 og højere

    • Rocky 9,2 og højere

    • Alma 8,4 og nyere

    • Alma 9.2 og nyere

    • Mariner 2

  • Følgende Linux-serverdistributioner på ARM64 understøttes nu som prøveversion:

    • Ubuntu 20.04 ARM64

    • Ubuntu 22.04 ARM64

    • Ubuntu 24.04 ARM64

    • Amazon Linux 2 ARM64

    • Amazon Linux 2023 ARM64

    • RHEL 8.x ARM64

    • RHEL 9.x ARM64

    • Oracle Linux 8.x ARM64

    • Oracle Linux 9.x ARM64

    • SUSE Linux Enterprise Server 15 (SP5, SP6) ARM64

    Vigtigt!

    Understøttelse af Microsoft Defender for Endpoint på Linux til ARM64-baserede Linux-enheder fås nu som prøveversion. Du kan få flere oplysninger under Microsoft Defender for Endpoint på Linux til ARM64-baserede enheder (prøveversion).

    Bemærk!

    Arbejdsstationens versioner af disse distributioner understøttes ikke. Distributioner og versioner, der ikke udtrykkeligt er angivet, understøttes ikke (også selvom de er afledt af de officielt understøttede distributioner). Når en ny pakkeversion er udgivet, reduceres understøttelsen af de to tidligere versioner til kun teknisk support. Versioner, der er ældre end dem, der er angivet i dette afsnit, leveres kun til teknisk opgraderingssupport. I øjeblikket understøttes Rocky- og Alma-distributioner ikke i Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender. Microsoft Defender for Endpoint for alle andre understøttede distributioner og versioner er agnostiske kerneversioner. Det minimale krav, at kerneversionen skal være 3.10.0-327 eller nyere.

    Forsigtighed

    Kørsel af Defender for Endpoint på Linux side om side med andre fanotify-baserede sikkerhedsløsninger understøttes ikke. Det kan føre til uforudsigelige resultater, herunder hængende operativsystemet. Hvis der er andre programmer på systemet, der bruger fanotify i blokerende tilstand, vises programmer i conflicting_applications feltet for kommandooutputtet mdatp health . Funktionen Linux FAPolicyD bruger fanotify blokeringstilstand og understøttes derfor ikke, når Defender for Endpoint køres i aktiv tilstand. Du kan stadig trygt drage fordel af Defender for Endpoint på Linux EDR-funktionalitet, når du har konfigureret antivirusfunktionen Realtidsbeskyttelse aktiveret til passiv tilstand.

  • Liste over understøttede filsystemer til RTP, Hurtig, Fuld og Brugerdefineret scanning.

RTP, Hurtig, Fuld scanning Brugerdefineret scanning
btrfs Alle filsystemer, der understøttes for RTP, Hurtig og Fuld scanning
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (kun v3) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

Bemærk!

Hvis NFS v3-tilslutningspunkter skal scannes grundigt, skal eksportindstillingen angives no_root_squash på disse tilslutningspunkter. Uden denne indstilling kan scanning af NFS v3 potentielt mislykkes på grund af manglende tilladelser.

Bemærk!

Fra og med version 101.24082.0004understøtter Defender for Endpoint på Linux ikke længere hændelsesudbyderen Auditd . Vi overgår helt til den mere effektive udvidede Berkeley Packet Filter -teknologi (eBPF). Hvis eBPF ikke understøttes på dine maskiner, eller hvis der er specifikke krav om at forblive på Auditd, og dine maskiner bruger Defender for Endpoint på Linux-version 101.24072.0001 eller lavere, skal Audit framework (auditd) være aktiveret på dit system. Hvis du bruger Overvåget, kan systemhændelser, der registreres af regler, der føjes til /etc/audit/rules.d/ , føjes til audit.log(s) og kan påvirke værtsovervågning og upstream-samling. Hændelser, der tilføjes af Microsoft Defender for Endpoint på Linux, mærkes mdatp med nøglen.

Installationsvejledning

Der er flere metoder og installationsværktøjer, som du kan bruge til at installere og konfigurere Microsoft Defender for Endpoint på Linux. Før du begynder, skal du sørge for, at minimumskravene til Microsoft Defender for Endpoint er opfyldt.

Du kan bruge en af følgende metoder til at installere Microsoft Defender for Endpoint på Linux:

Hvis du oplever installationsfejl, skal du se Fejlfinding af installationsfejl i Microsoft Defender for Endpoint på Linux.

Vigtigt!

Installation af Microsoft Defender for Endpoint på en anden placering end standardinstallationsstien understøttes ikke. Microsoft Defender for Endpoint på Linux opretter en mdatp bruger med tilfældigt UID og GID. Hvis du vil styre UID og GID, skal du oprette en mdatp bruger, før du installerer, ved hjælp af shellindstillingen /usr/sbin/nologin . Her er et eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Afhængighed af ekstern pakke

Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de påkrævede afhængigheder. Der findes følgende eksterne pakkeafhængigheder for mdatp-pakken:

  • Mdatp RPM-pakken kræver glibc >= 2.17, policycoreutils, selinux-policy-targetedog mde-netfilter
  • For RHEL6 kræver policycoreutilsmdatp RPM-pakken , libselinuxog mde-netfilter
  • For DEBIAN kræver libc6 >= 2.23mdatp-pakken , uuid-runtimeog mde-netfilter

Bemærk!

Fra og med version 101.24082.0004understøtter Defender for Endpoint på Linux ikke længere hændelsesudbyderen Auditd . Vi er ved at gå helt over til den mere effektive eBPF-teknologi. Hvis eBPF ikke understøttes på dine maskiner, eller hvis der er specifikke krav om at forblive på Overvåget, og dine maskiner bruger Defender for Endpoint på Linux-version 101.24072.0001 eller ældre, findes følgende yderligere afhængighed af den overvågede pakke for mdatp:

  • Mdatp RPM-pakken kræver audit, semanage.
  • For DEBIAN kræver auditdmdatp-pakken .
  • For Mariner kræver auditmdatp-pakken .

Pakken mde-netfilter har også følgende pakkeafhængigheder:

  • For DEBIAN kræver libnetfilter-queue1mde-netfilter-pakken , og libglib2.0-0
  • For RPM kræver libmnlmde-netfilter-pakken , libnfnetlink, libnetfilter_queueog glib2

Konfiguration af udeladelser

Når du føjer udeladelser til Microsoft Defender Antivirus, skal du være opmærksom på almindelige udelukkelsesfejl for Microsoft Defender Antivirus.

Netværksforbindelser

Sørg for, at det er muligt at oprette forbindelse fra dine enheder til Microsoft Defender for Endpoint cloudtjenester. Hvis du vil forberede dit miljø, skal du se TRIN 1: Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.

Defender for Endpoint på Linux kan oprette forbindelse via en proxyserver ved hjælp af følgende registreringsmetoder:

  • Gennemsigtig proxy
  • Manuel konfiguration af statisk proxy

Hvis en proxy eller firewall blokerer anonym trafik, skal du sørge for, at anonym trafik er tilladt i de tidligere angivne URL-adresser. For gennemsigtige proxyer kræves der ingen anden konfiguration til Defender for Endpoint. I forbindelse med statisk proxy skal du følge trinnene i Manuel konfiguration af statisk proxy.

Advarsel

PAC, WPAD og godkendte proxyer understøttes ikke. Sørg for, at der kun bruges en statisk proxy eller gennemsigtig proxy. SSL-inspektion og opfangelse af proxyer understøttes heller ikke af sikkerhedsmæssige årsager. Konfigurer en undtagelse for SSL-inspektion og din proxyserver til at overføre data direkte fra Defender for Endpoint på Linux til de relevante URL-adresser uden opfangelse. Tilføjelse af dit aflytningscertifikat til det globale lager tillader ikke opfangelse.

Du kan finde fejlfindingstrin under Fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux.

Sådan opdaterer du Microsoft Defender for Endpoint på Linux

Microsoft udgiver jævnligt softwareopdateringer for at forbedre ydeevnen, sikkerheden og levere nye funktioner. Hvis du vil opdatere Microsoft Defender for Endpoint på Linux, skal du se Installér opdateringer til Microsoft Defender for Endpoint på Linux.

Sådan konfigurerer du Microsoft Defender for Endpoint på Linux

Vejledning til, hvordan du konfigurerer produktet i virksomhedsmiljøer, er tilgængelig under Angiv indstillinger for Microsoft Defender for Endpoint på Linux.

Almindelige programmer til Microsoft Defender for Endpoint kan påvirke

Høje I/O-arbejdsbelastninger fra visse programmer kan opleve problemer med ydeevnen, når Microsoft Defender for Endpoint installeres. Sådanne programmer til udviklingsscenarier omfatter Jenkins og Jira og databasearbejdsbelastninger som OracleDB og Postgres. Hvis der er en forringelse af ydeevnen, kan du overveje at angive undtagelser for programmer, der er tillid til, og holde øje med Almindelige udeladelsesfejl for Microsoft Defender Antivirus. Hvis du vil have mere vejledning, kan du overveje at konsultere dokumentation vedrørende antivirusudeladelser fra ikke-Microsoft-programmer.

Ressourcer

  • Du kan få flere oplysninger om logføring, fjernelse eller andre artikler under Ressourcer.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.