Compartir a través de


Microsoft Defender para punto de conexión en Linux

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe cómo instalar, configurar, actualizar y usar Microsoft Defender para punto de conexión en Linux.

Precaución

Es probable que la ejecución de otros productos de protección de puntos de conexión que no son de Microsoft junto con Microsoft Defender para punto de conexión en Linux genere problemas de rendimiento y efectos secundarios impredecibles. Si la protección de puntos de conexión que no son de Microsoft es un requisito absoluto en su entorno, puede aprovechar con seguridad la funcionalidad EDR de Defender para punto de conexión en Linux después de configurar la funcionalidad antivirus para que se ejecute en modo pasivo.

Instalación de Microsoft Defender para punto de conexión en Linux

Microsoft Defender para punto de conexión para Linux incluye funcionalidades de detección y respuesta (EDR) contra malware y puntos de conexión.

Requisitos previos

  • Acceso al portal de Microsoft Defender

  • Distribución de Linux mediante el administrador del sistema systemd

    Nota:

    La distribución de Linux mediante el administrador del sistema admite SystemV y Upstart.

  • Experiencia de nivel principiante en scripting de Linux y BASH

  • Privilegios administrativos en el dispositivo (para la implementación manual)

Nota:

Microsoft Defender para punto de conexión en el agente de Linux es independiente del agente de OMS. Microsoft Defender para punto de conexión se basa en su propia canalización de telemetría independiente.

Instrucciones de instalación

Hay varios métodos y herramientas de implementación que puede usar para instalar y configurar Microsoft Defender para punto de conexión en Linux. Antes de empezar, asegúrese de que se cumplen los requisitos mínimos para Microsoft Defender para punto de conexión.

Puede usar uno de los métodos siguientes para implementar Microsoft Defender para punto de conexión en Linux:

Si experimenta algún error de instalación, consulte Solución de problemas de errores de instalación en Microsoft Defender para punto de conexión en Linux.

Importante

No se admite la instalación de Microsoft Defender para punto de conexión en cualquier ubicación que no sea la ruta de instalación predeterminada. Microsoft Defender para punto de conexión en Linux crea un mdatp usuario con UID y GID aleatorios. Si desea controlar el UID y el GID, cree un mdatp usuario antes de la instalación mediante la opción de /usr/sbin/nologin shell. Este es un ejemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Requisitos del sistema

  • Espacio en disco: 2 GB

    Nota:

    Es posible que se necesite un espacio en disco adicional de 2 GB si los diagnósticos en la nube están habilitados para las recopilaciones de bloqueos. Asegúrese de que tiene espacio libre en disco en /var.

  • Núcleos: dos mínimos, cuatro preferidos

    Nota:

    Si está en modo pasivo o RTP ON, se requieren al menos dos núcleos. Se prefieren cuatro núcleos. Si activa BM, se requieren al menos cuatro núcleos.

  • Memoria: 1 GB como mínimo, 4 GB preferidos

  • Se admiten las siguientes distribuciones de servidores Linux y las versiones x64 (AMD64/EM64T) y x86_64:

    • Red Hat Enterprise Linux 7.2 o superior
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 o superior
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 o superior
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8.7 y versiones posteriores
    • Rocky 9.2 y versiones posteriores
    • Alma 8.4 y versiones posteriores
    • Alma 9.2 y versiones posteriores
    • Mariner 2

    Nota:

    Las distribuciones y versiones que no se enumeran explícitamente no son compatibles (incluso si se derivan de las distribuciones admitidas oficialmente). Una vez publicada la nueva versión del paquete, la compatibilidad con las dos versiones anteriores se reduce solo al soporte técnico. Las versiones anteriores a las que se enumeran en esta sección se proporcionan solo para soporte técnico de actualización. Microsoft Defender Vulnerablity Management no se admite actualmente en Rocky y Alma. Microsoft Defender para punto de conexión para todas las demás distribuciones y versiones admitidas es independiente de la versión del kernel. Con un requisito mínimo para que la versión del kernel sea mayor o mayor que 3.10.0-327.

    Precaución

    No se admite la ejecución de Defender para punto de conexión en Linux en paralelo con otras fanotifysoluciones de seguridad basadas en . Puede dar lugar a resultados imprevisibles, incluida la suspensión del sistema operativo. Si hay otras aplicaciones en el sistema que usan fanotify en modo de bloqueo, las aplicaciones se muestran en el conflicting_applications campo de la salida del mdatp health comando. La característica FAPolicyD de Linux usa fanotify en modo de bloqueo y, por tanto, no se admite al ejecutar Defender para punto de conexión en modo activo. Todavía puede aprovechar de forma segura la funcionalidad de Defender para punto de conexión en Linux EDR después de configurar la funcionalidad antivirus Protección en tiempo real habilitada en modo pasivo.

  • Lista de sistemas de archivos admitidos para RTP, Quick, Full y Custom Scan.

    RTP, Quick, Full Scan Examen personalizado
    btrfs Todos los sistemas de archivos compatibles con RTP, Quick, Full Scan
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (solo v3) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs
  • El marco de auditoría (auditd) debe estar habilitado si usa auditado como proveedor de eventos principal.

    Nota:

    Los eventos del sistema capturados por las reglas agregadas a /etc/audit/rules.d/ se agregarán a audit.log(s) y podrían afectar a la auditoría del host y a la recopilación ascendente. Los eventos agregados por Microsoft Defender para punto de conexión en Linux se etiquetarán con mdatp clave.

  • /opt/microsoft/mdatp/sbin/wdavdaemon requiere permiso ejecutable. Para obtener más información, consulte "Asegúrese de que el demonio tiene permiso ejecutable" en Solución de problemas de instalación de Microsoft Defender para punto de conexión en Linux.

Dependencia de paquete externo

Si se produce un error en la instalación de Microsoft Defender para punto de conexión debido a errores de dependencias que faltan, puede descargar manualmente las dependencias de requisitos previos. Existen las siguientes dependencias de paquetes externos para el paquete mdatp:

  • El paquete RPM de mdatp requiere glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetedy mde-netfilter
  • Para RHEL6, el paquete RPM mdatp requiere audit, policycoreutils, libselinuxy mde-netfilter
  • Para DEBIAN, el paquete mdatp requiere libc6 >= 2.23, uuid-runtime, auditdy mde-netfilter

El paquete mde-netfilter también tiene las siguientes dependencias del paquete:

  • Para DEBIAN, el paquete mde-netfilter requiere libnetfilter-queue1, y libglib2.0-0
  • Para RPM, el paquete mde-netfilter requiere libmnl, libnfnetlink, libnetfilter_queuey glib2

Configuración de exclusiones

Al agregar exclusiones a Microsoft Defender Antivirus, debe tener en cuenta los errores comunes de exclusión de Microsoft Defender Antivirus.

Conexiones de red

Asegúrese de que la conectividad sea posible desde los dispositivos a Microsoft Defender para punto de conexión servicios en la nube. Para preparar el entorno, consulte PASO 1: Configurar el entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión.

Defender para punto de conexión en Linux puede conectarse a través de un servidor proxy mediante los siguientes métodos de detección:

  • Proxy transparente
  • Configuración de proxy estático manual

Si un proxy o firewall bloquea el tráfico anónimo, asegúrese de que se permite el tráfico anónimo en las direcciones URL enumeradas anteriormente. En el caso de los servidores proxy transparentes, no se necesita otra configuración para Defender para punto de conexión. Para el proxy estático, siga los pasos descritos en Configuración manual de proxy estático.

Advertencia

No se admiten los servidores proxy PAC, WPAD y autenticados. Asegúrese de que solo se usa un proxy estático o un proxy transparente. Los servidores proxy de inspección e interceptación de SSL tampoco se admiten por motivos de seguridad. Configure una excepción para la inspección SSL y el servidor proxy para que pase directamente los datos de Defender para punto de conexión en Linux a las direcciones URL pertinentes sin interceptación. Agregar el certificado de interceptación al almacén global no permitirá la interceptación.

Para ver los pasos de solución de problemas, consulte Solución de problemas de conectividad en la nube para Microsoft Defender para punto de conexión en Linux.

Actualización de Microsoft Defender para punto de conexión en Linux

Microsoft publica periódicamente actualizaciones de software para mejorar el rendimiento, la seguridad y ofrecer nuevas características. Para actualizar Microsoft Defender para punto de conexión en Linux, consulte Implementación de actualizaciones para Microsoft Defender para punto de conexión en Linux.

Cómo configurar Microsoft Defender para punto de conexión en Linux

Las instrucciones para configurar el producto en entornos empresariales están disponibles en Establecer preferencias para Microsoft Defender para punto de conexión en Linux.

Las aplicaciones comunes que se Microsoft Defender para punto de conexión pueden afectar

Las cargas de trabajo de E/S elevadas de determinadas aplicaciones pueden experimentar problemas de rendimiento cuando se instala Microsoft Defender para punto de conexión. Estas aplicaciones para escenarios de desarrollador incluyen Jenkins y Jira, y cargas de trabajo de base de datos como OracleDB y Postgres. Si experimenta una degradación del rendimiento, considere la posibilidad de establecer exclusiones para aplicaciones de confianza, teniendo en cuenta los errores comunes de exclusión de Microsoft Defender Antivirus. Para obtener más instrucciones, considere la posibilidad de consultar documentación sobre exclusiones antivirus de aplicaciones que no son de Microsoft.

Recursos

  • Para obtener más información sobre el registro, la desinstalación u otros artículos, consulte Recursos.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.