Microsoft Defender para punto de conexión en Linux
Sugerencia
Nos complace compartir que Microsoft Defender para punto de conexión en Linux ahora amplía la compatibilidad con servidores Linux basados en ARM64 en versión preliminar. Para obtener más información, consulte Microsoft Defender para punto de conexión en Linux para dispositivos basados en ARM64 (versión preliminar).
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
En este artículo se describe cómo instalar, configurar, actualizar y usar Microsoft Defender para punto de conexión en Linux.
Precaución
Es probable que la ejecución de otros productos de protección de puntos de conexión que no son de Microsoft junto con Microsoft Defender para punto de conexión en Linux genere problemas de rendimiento y efectos secundarios impredecibles. Si la protección de puntos de conexión que no son de Microsoft es un requisito absoluto en su entorno, puede aprovechar con seguridad la funcionalidad EDR de Defender para punto de conexión en Linux después de configurar la funcionalidad antivirus para que se ejecute en modo pasivo.
Instalación de Microsoft Defender para punto de conexión en Linux
Microsoft Defender para punto de conexión para Linux incluye funcionalidades de detección y respuesta (EDR) contra malware y puntos de conexión.
Requisitos previos
- Acceso al portal de Microsoft Defender
- Distribución de Linux mediante el administrador del sistema systemd
- Experiencia de nivel principiante en scripting de Linux y BASH
- Privilegios administrativos en el dispositivo (para la implementación manual)
Nota:
La distribución de Linux mediante el administrador del sistema admite SystemV y Upstart. Microsoft Defender para punto de conexión en el agente de Linux es independiente del agente de OMS. Microsoft Defender para punto de conexión se basa en su propia canalización de telemetría independiente.
Requisitos del sistema
CPU: 1 núcleo de CPU como mínimo. Para cargas de trabajo de alto rendimiento, se recomiendan más núcleos.
Espacio en disco: 2 GB como mínimo. En el caso de las cargas de trabajo de alto rendimiento, es posible que se necesite más espacio en disco.
Memoria: 1 GB de RAM como mínimo. Para cargas de trabajo de alto rendimiento, es posible que se necesite más memoria.
Nota:
Es posible que sea necesario ajustar el rendimiento en función de las cargas de trabajo. Consulte Solución de problemas de rendimiento para Microsoft Defender para punto de conexión en Linux.
Se admiten las siguientes distribuciones de servidores Linux y las versiones x64 (AMD64/EM64T) y x86_64:
- Red Hat Enterprise Linux 7.2 o superior
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 o superior
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 o superior
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8.7 y versiones posteriores
- Rocky 9.2 y versiones posteriores
- Alma 8.4 y versiones posteriores
- Alma 9.2 y versiones posteriores
- Mariner 2
Las siguientes distribuciones de servidores Linux en ARM64 ahora se admiten en versión preliminar:
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
Importante
La compatibilidad con Microsoft Defender para punto de conexión en Linux para dispositivos Linux basados en ARM64 está ahora en versión preliminar. Para obtener más información, consulte Microsoft Defender para punto de conexión en Linux para dispositivos basados en ARM64 (versión preliminar).
Nota:
Las distribuciones y versiones que no se enumeran explícitamente no son compatibles (incluso si se derivan de las distribuciones admitidas oficialmente). Una vez publicada la nueva versión del paquete, la compatibilidad con las dos versiones anteriores se reduce solo al soporte técnico. Las versiones anteriores a las que se enumeran en esta sección se proporcionan solo para soporte técnico de actualización. Administración de vulnerabilidades de Microsoft Defender no se admite actualmente en Rocky y Alma. Microsoft Defender para punto de conexión para todas las demás distribuciones y versiones admitidas es independiente de la versión del kernel. Con un requisito mínimo para que la versión del kernel sea mayor o mayor que 3.10.0-327.
Precaución
No se admite la ejecución de Defender para punto de conexión en Linux en paralelo con otras
fanotify
soluciones de seguridad basadas en . Puede dar lugar a resultados imprevisibles, incluida la suspensión del sistema operativo. Si hay otras aplicaciones en el sistema que usanfanotify
en modo de bloqueo, las aplicaciones se muestran en elconflicting_applications
campo de la salida delmdatp health
comando. La característica FAPolicyD de Linux usafanotify
en modo de bloqueo y, por tanto, no se admite al ejecutar Defender para punto de conexión en modo activo. Todavía puede aprovechar de forma segura la funcionalidad de Defender para punto de conexión en Linux EDR después de configurar la funcionalidad antivirus Protección en tiempo real habilitada en modo pasivo.Lista de sistemas de archivos admitidos para RTP, Quick, Full y Custom Scan.
RTP, Quick, Full Scan Examen personalizado btrfs
Todos los sistemas de archivos compatibles con RTP, Quick, Full Scan ecryptfs
Efs
ext2
S3fs
ext3
Blobfuse
ext4
Lustr
fuse
glustrefs
fuseblk
Afs
jfs
sshfs
nfs
(solo v3)cifs
overlay
smb
ramfs
gcsfuse
reiserfs
sysfs
tmpfs
udf
vfat
xfs
El marco de auditoría (
auditd
) debe estar habilitado si usa auditado como proveedor de eventos principal.Nota:
Los eventos del sistema capturados por las reglas agregadas a
/etc/audit/rules.d/
se agregarán aaudit.log
(s) y podrían afectar a la auditoría del host y a la recopilación ascendente. Los eventos agregados por Microsoft Defender para punto de conexión en Linux se etiquetarán conmdatp
clave./opt/microsoft/mdatp/sbin/wdavdaemon requiere permiso ejecutable. Para obtener más información, consulte "Asegúrese de que el demonio tiene permiso ejecutable" en Solución de problemas de instalación de Microsoft Defender para punto de conexión en Linux.
Instrucciones de instalación
Hay varios métodos y herramientas de implementación que puede usar para instalar y configurar Microsoft Defender para punto de conexión en Linux. Antes de empezar, asegúrese de que se cumplen los requisitos mínimos para Microsoft Defender para punto de conexión.
Puede usar uno de los métodos siguientes para implementar Microsoft Defender para punto de conexión en Linux:
- Para usar la herramienta de línea de comandos, consulte Implementación manual
- Para usar Puppet, consulte Implementación con la herramienta de administración de configuración de Puppet.
- Para usar Ansible, consulte Implementación mediante la herramienta de administración de configuración de Ansible.
- Para usar Chef, consulte Implementación mediante la herramienta de administración de configuración de Chef.
- Para usar Saltstack, consulte Implementación con la herramienta de administración de configuración de Saltstack.
- Para instalar en servidores Linux basados en ARM64, consulte Microsoft Defender para punto de conexión en Linux para dispositivos basados en ARM64 (versión preliminar).
Si experimenta algún error de instalación, consulte Solución de problemas de errores de instalación en Microsoft Defender para punto de conexión en Linux.
Importante
No se admite la instalación de Microsoft Defender para punto de conexión en cualquier ubicación que no sea la ruta de instalación predeterminada.
Microsoft Defender para punto de conexión en Linux crea un mdatp
usuario con UID y GID aleatorios. Si desea controlar el UID y el GID, cree un mdatp
usuario antes de la instalación mediante la opción de /usr/sbin/nologin
shell. Este es un ejemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Dependencia de paquete externo
Si se produce un error en la instalación de Microsoft Defender para punto de conexión debido a errores de dependencias que faltan, puede descargar manualmente las dependencias de requisitos previos. Existen las siguientes dependencias de paquetes externos para el paquete mdatp:
- El paquete RPM de mdatp requiere
glibc >= 2.17
,audit
,policycoreutils
,semanage
selinux-policy-targeted
ymde-netfilter
- Para RHEL6, el paquete RPM mdatp requiere
audit
,policycoreutils
,libselinux
ymde-netfilter
- Para DEBIAN, el paquete mdatp requiere
libc6 >= 2.23
,uuid-runtime
,auditd
ymde-netfilter
Elmde-netfilter
paquete también tiene las siguientes dependencias del paquete:
- Para DEBIAN, el paquete mde-netfilter requiere
libnetfilter-queue1
, ylibglib2.0-0
- Para RPM, el paquete mde-netfilter requiere
libmnl
,libnfnetlink
,libnetfilter_queue
yglib2
Configuración de exclusiones
Al agregar exclusiones a Microsoft Defender Antivirus, debe tener en cuenta los errores comunes de exclusión de Microsoft Defender Antivirus.
Conexiones de red
Asegúrese de que la conectividad sea posible desde los dispositivos a Microsoft Defender para punto de conexión servicios en la nube. Para preparar el entorno, consulte PASO 1: Configurar el entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión.
Defender para punto de conexión en Linux puede conectarse a través de un servidor proxy mediante los siguientes métodos de detección:
- Proxy transparente
- Configuración de proxy estático manual
Si un proxy o firewall bloquea el tráfico anónimo, asegúrese de que se permite el tráfico anónimo en las direcciones URL enumeradas anteriormente. En el caso de los servidores proxy transparentes, no se necesita otra configuración para Defender para punto de conexión. Para el proxy estático, siga los pasos descritos en Configuración manual de proxy estático.
Advertencia
No se admiten los servidores proxy PAC, WPAD y autenticados. Asegúrese de que solo se usa un proxy estático o un proxy transparente. Los servidores proxy de inspección e interceptación de SSL tampoco se admiten por motivos de seguridad. Configure una excepción para la inspección SSL y el servidor proxy para que pase directamente los datos de Defender para punto de conexión en Linux a las direcciones URL pertinentes sin interceptación. Agregar el certificado de interceptación al almacén global no permitirá la interceptación.
Para ver los pasos de solución de problemas, consulte Solución de problemas de conectividad en la nube para Microsoft Defender para punto de conexión en Linux.
Actualización de Microsoft Defender para punto de conexión en Linux
Microsoft publica periódicamente actualizaciones de software para mejorar el rendimiento, la seguridad y ofrecer nuevas características. Para actualizar Microsoft Defender para punto de conexión en Linux, consulte Implementación de actualizaciones para Microsoft Defender para punto de conexión en Linux.
Cómo configurar Microsoft Defender para punto de conexión en Linux
Las instrucciones para configurar el producto en entornos empresariales están disponibles en Establecer preferencias para Microsoft Defender para punto de conexión en Linux.
Las aplicaciones comunes que se Microsoft Defender para punto de conexión pueden afectar
Las cargas de trabajo de E/S elevadas de determinadas aplicaciones pueden experimentar problemas de rendimiento cuando se instala Microsoft Defender para punto de conexión. Estas aplicaciones para escenarios de desarrollador incluyen Jenkins y Jira, y cargas de trabajo de base de datos como OracleDB y Postgres. Si experimenta una degradación del rendimiento, considere la posibilidad de establecer exclusiones para aplicaciones de confianza, teniendo en cuenta los errores comunes de exclusión de Microsoft Defender Antivirus. Para obtener más instrucciones, considere la posibilidad de consultar documentación sobre exclusiones antivirus de aplicaciones que no son de Microsoft.
Recursos
- Para obtener más información sobre el registro, la desinstalación u otros artículos, consulte Recursos.
Artículos relacionados
- Protección de los puntos de conexión con la solución EDR integrada de Defender for Cloud: Microsoft Defender para punto de conexión
- Conexión de las máquinas que no son de Azure a Microsoft Defender for Cloud
- Activar la protección de red para Linux
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.