Microsoft Defender for Endpoint Linuxissa

Vihje

Olemme innoissamme voidessamme jakaa tämän Microsoft Defender for Endpoint Linuxissa laajentaa arm64-pohjaisten Linux-palvelimien tukea esikatselussa! Lisätietoja on kohdassa Microsoft Defender for Endpoint Linuxissa ARM64-pohjaisille laitteille (esikatselu).

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan, miten voit asentaa, määrittää, päivittää ja käyttää Microsoft Defender for Endpoint Linuxissa.

Varoitus

Muiden kuin Microsoftin päätepisteiden suojaustuotteiden suorittaminen linux-Microsoft Defender for Endpoint rinnalla johtaa todennäköisesti suorituskykyongelmiin ja arvaamattomiin sivuvaikutuksiin. Jos muu kuin Microsoftin päätepistesuojaus on ehdoton vaatimus ympäristössäsi, voit silti turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon suoritettavaksi passiivitilassa.

Microsoft Defender for Endpoint asentaminen Linuxiin

linux-Microsoft Defender for Endpoint sisältää haittaohjelmien torjunta- ja päätepisteiden tunnistamis- ja vastausominaisuudet (EDR).

Ennakkovaatimukset

• Microsoft Defender portaalin käyttö
• Linux-jakelu systemdsystem managerin avulla
• Aloittelijatason käyttökokemus Linuxissa ja BASH-komentosarjoissa
• Laitteen hallintaoikeudet (manuaalista käyttöönottoa varten)

Huomautus

Linux-jakelu järjestelmänhallinnan avulla tukee sekä SystemV:tä että Upstartia. Microsoft Defender for Endpoint Linux-agentissa on riippumaton Operation Management Suite (OMS) -agentista. Microsoft Defender for Endpoint luottaa omaan riippumattomaan telemetriaputkeensa.

Järjestelmävaatimukset

• Suoritin: vähintään 1 suoritinydin. Suuren suorituskyvyn kuormituksille suositellaan enemmän ytimiä.

• Levytila: vähintään 2 Gt. Suuren suorituskyvyn kuormituksille saattaa tarvita enemmän levytilaa.

• Muisti: vähintään 1 Gt RAM-muistia. Suuren suorituskyvyn kuormituksille saatetaan tarvita enemmän muistia.

  Huomautus

  Suorituskyvyn säätö saattaa olla tarpeen kuormitusten perusteella. Katso Linux-Microsoft Defender for Endpoint suorituskykyongelmien vianmääritys.

• Seuraavia Linux-palvelinjakaumia ja x64-versioita (AMD64/EM64T) tuetaan:

  • Red Hat Enterprise Linux 7.2 tai uudempi
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 tai uudempi
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 tai uudempi
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 ja uudempi
  • Rocky 9.2 ja uudempi
  • Alma 8.4 ja uudemmat
  • Alma 9.2 ja uudemmat
  • Mariner 2

• Seuraavia LINUX-palvelinjakeluja ARM64:ssä tuetaan nyt esikatselussa:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Tärkeää

  Tuki Microsoft Defender for Endpoint Linuxissa ARM64-pohjaisille Linux-laitteille on nyt esikatselussa. Lisätietoja on kohdassa Microsoft Defender for Endpoint Linuxissa ARM64-pohjaisille laitteille (esikatselu).

  Huomautus

  Näiden jakaumien työasemaversioita ei tueta. Jakeluja ja versioita, joita ei ole nimenomaisesti lueteltu, ei tueta (vaikka ne johdetaan virallisesti tuetuista jakaumista). Kun uusi pakettiversio on julkaistu, kahden edellisen version tuki on rajoitettu vain tekniseen tukeen. Versiot, jotka ovat vanhempia kuin tässä osiossa luetellut versiot, tarjotaan vain teknistä päivitystukea varten. Tällä hetkellä Rocky- ja Alma-jakeluja ei tueta Microsoft Defenderin haavoittuvuuksien hallinta. kaikkien muiden tuettujen jakelujen ja versioiden Microsoft Defender for Endpoint on ytimen versioagnostinen. Ytimen version vähimmäisvaatimus on oltava 3.10.0-327 tai uudempi.

  Varoitus

  Defender for Endpointin suorittamista Linuxissa rinnakkain muiden fanotifysuojausratkaisujen kanssa ei tueta. Se voi johtaa arvaamattomiin tuloksiin, kuten käyttöjärjestelmän ripustamiseen. Jos järjestelmässä on muita sovelluksia, jotka käyttävät fanotify estotilassa, sovellukset luetellaan conflicting_applications komentotulosteen mdatp health kentässä. Linuxin FAPolicyD-ominaisuutta käytetään fanotify estotilassa, joten sitä ei tueta, kun Defender for Endpoint suoritetaan aktiivisessa tilassa. Voit edelleen turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon reaaliaikaisen suojauksen käytössä passiivitilaan.

• Luettelo tuetuista tiedostojärjestelmistä RTP-, Quick-, Full- ja Custom Scan -järjestelmille.

RTP, Nopea, Täysi tarkistus	Mukautettu tarkistus
btrfs	Kaikki tiedostojärjestelmät, joita RTP, Nopea ja Täysi tarkistus tukevat
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
fuse	glustrefs
fuseblk	Afs
jfs	sshfs
nfs (vain v3)	cifs
overlay	smb
ramfs	gcsfuse
reiserfs	sysfs
tmpfs
udf
vfat
xfs

Huomautus

Versiosta 101.24082.0004alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd . Olemme siirtymässä täysin tehokkaampaan laajennettuun Berkeley Packet Filter (eBPF) -teknologiaan. Jos eBPF:tä ei tueta koneissasi tai jos auditointiin liittyy tiettyjä vaatimuksia ja laitteesi käyttävät Defender for Endpointia Linux-versiossa 101.24072.0001 tai sitä alemmassa versiossa, valvontakehys (auditd) on otettava käyttöön järjestelmässäsi. Jos käytät Auditd-toimintoa, lisätoimintoihin audit.loglisättyjen /etc/audit/rules.d/ sääntöjen tallentamat järjestelmätapahtumat voivat vaikuttaa isäntien valvontaan ja ylätason kokoelmaan. Linux-Microsoft Defender for Endpoint lisäämät tapahtumat merkitään avaimellamdatp.

• /opt/microsoft/mdatp/sbin/wdavdaemon edellyttää suoritettavan tiedoston käyttöoikeutta. Lisätietoja on kohdassa "Varmista, että daemonin suoritusoikeudet" kohdassa Microsoft Defender for Endpoint Linuxin asennusongelmien vianmääritys.

Asennusohjeet

Voit asentaa ja määrittää Microsoft Defender for Endpoint Linuxissa useilla menetelmillä ja käyttöönottotyökaluilla. Ennen kuin aloitat, varmista, että Microsoft Defender for Endpoint vähimmäisvaatimukset täyttyvät.

Voit ottaa Microsoft Defender for Endpoint käyttöön Linuxissa jollakin seuraavista tavoista:

• Jos haluat käyttää komentorivityökalua, katso Manuaalinen käyttöönotto
• Jos haluat käyttää nukkea, katso Käyttöönotto nukkemääritysten hallintatyökalun avulla
• Jos haluat käyttää Ansiblea, katso Ota käyttöön Ansible-määritysten hallintatyökalun avulla
• Jos haluat käyttää Chefiä, katso Ota käyttöön Chefin määritystenhallintatyökalun avulla
• Jos haluat käyttää Saltstackia, katso Kohta Käyttöönotto Saltstack-määritysten hallintatyökalun avulla
• Jos haluat asentaa ARM64-pohjaisiin Linux-palvelimiin, katso Microsoft Defender for Endpoint Linuxissa ARM64-pohjaisille laitteille (esikatselu).

Jos kohtaat asennusvirheitä, katso asennusvirheiden vianmääritys Microsoft Defender for Endpoint Linuxissa.

Tärkeää

Microsoft Defender for Endpoint asentamista mihinkään muuhun kuin oletusasennuspolkuun ei tueta. Microsoft Defender for Endpoint Linuxissa luo käyttäjän, mdatp jolla on satunnainen UID ja GID. Jos haluat hallita UID: tä ja GID: tä, luo mdatp käyttäjä ennen asentamista käyttämällä shell-asetusta /usr/sbin/nologin . Tässä on esimerkki: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Ulkoisen paketin riippuvuus

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata edellytettävät riippuvuudet manuaalisesti. Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:

• Mdatp RPM -paketti edellyttää - glibc >= 2.17, policycoreutils- selinux-policy-targetedja -paketteja mde-netfilter
• RHEL6:lle mdatp RPM -paketti edellyttää policycoreutils, libselinuxja mde-netfilter
• DEBIAN-parametria varten mdatp-paketti edellyttää , libc6 >= 2.23uuid-runtimejamde-netfilter

Huomautus

Versiosta 101.24082.0004alkaen Defender for Endpoint on Linux ei enää tue tapahtumapalvelua Auditd . Olemme siirtymässä täysin tehokkaampaan eBPF-teknologiaan. Jos eBPF:tä ei tueta koneissasi tai jos auditointiin liittyy tiettyjä vaatimuksia ja laitteesi käyttävät Defender for Endpointia Linux-versiossa 101.24072.0001 tai sitä vanhemmassa versiossa, mdatp:lle on olemassa seuraava lisäriippuvuus valvotun paketin kanssa:

• Mdatp RPM -paketti edellyttää : audit. semanage
• DEBIAN:ssä mdatp-paketti edellyttää .auditd
• Marinerille mdatp-paketti edellyttää audit.

mde-netfilter Paketilla on myös seuraavat pakettiriippuvuudet:

• DEBIAN-parametrin mde-netfilter-paketti edellyttää , libnetfilter-queue1ja libglib2.0-0
• RPM:ssä mde-netfilter-paketti edellyttää , libmnl, libnetfilter_queuelibnfnetlinkjaglib2

Poissulkemisten määrittäminen

Kun lisäät poissulkemisia Microsoft Defender virustentorjuntaan, muista Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet.

Verkkoyhteydet

Varmista, että yhteydet ovat mahdollisia laitteissasi Microsoft Defender for Endpoint pilvipalveluihin. Jos haluat valmistella ympäristösi, katso VAIHE 1: Verkkoympäristön määrittäminen varmistamaan yhteys Defender for Endpoint -palveluun.

Defender for Endpoint on Linux voi muodostaa yhteyden välityspalvelimen kautta seuraavilla etsintämenetelmillä:

• Läpinäkyvä välityspalvelin
• Manuaalinen staattisen välityspalvelimen määritys

Jos välityspalvelin tai palomuuri estää anonyymin liikenteen, varmista, että anonyymi liikenne on sallittu aiemmin luetelluissa URL-osoitteissa. Läpinäkyville välitysvälityksille ei tarvita muita määrityksiä Defenderin päätepisteelle. Jos kyseessä on staattinen välityspalvelin, noudata manuaalisen staattisen välityspalvelimen määrityksen ohjeita.

Varoitus

PAC:tä, WPAD:ia ja todennettuja välityslehtiä ei tueta. Varmista, että käytössä on vain staattinen välityspalvelin tai läpinäkyvä välityspalvelin. SSL-tarkastusta ja välitysvälitysvälitysten pysäyttämistä ei myöskään tueta turvallisuussyistä. Määritä poikkeus SSL-tarkastusta ja välityspalvelinta varten, jotta voit suoraan välittää tietoja Linuxin Defender for Endpointista asianmukaisiin URL-osoitteisiin ilman sieppausta. Sieppausvarmenteen lisääminen yleiseen säilöön ei salli sieppausta.

Lisätietoja vianmäärityksestä on artikkelissa Linux-Microsoft Defender for Endpoint pilvipalveluun liittyvien yhteysongelmien vianmääritys.

Microsoft Defender for Endpoint päivittäminen Linuxissa

Microsoft julkaisee säännöllisesti ohjelmistopäivityksiä suorituskyvyn ja suojauksen parantamiseksi ja uusien ominaisuuksien toimittamiseksi. Jos haluat päivittää Microsoft Defender for Endpoint Linuxissa, katso Microsoft Defender for Endpoint päivitysten käyttöönotto Linuxissa.

Microsoft Defender for Endpointin määrittäminen Linuxissa

Ohjeita tuotteen määrittämiseen yritysympäristössä on kohdassa Määritä asetukset Microsoft Defender for Endpoint Linuxissa.

Microsoft Defender for Endpoint yhteiset sovellukset voivat vaikuttaa

Tiettyjen sovellusten suurilla I/O-kuormituksilla voi ilmetä suorituskykyongelmia, kun Microsoft Defender for Endpoint asennetaan. Tällaisia sovelluskehittäjäskenaarioita varten ovat Jenkins ja Jira sekä tietokannan kuormitukset, kuten OracleDB ja Postgres. Jos suorituskyky heikkenee, harkitse poissulkemisten määrittämistä luotetuille sovelluksille pitäen Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet mielessä. Katso lisäohjeita konsultointidokumentaatiosta, joka koskee virustentorjuntaan liittyviä poissulkemisia muissa kuin Microsoft-sovelluksissa.

Resurssit

• Lisätietoja kirjaamisesta, asennuksen poistamisesta tai muista artikkeleista on kohdassa Resurssit.

Aiheeseen liittyviä artikkeleita

• Suojaa päätepisteet Defender for Cloudin integroidulla EDR-ratkaisulla: Microsoft Defender for Endpoint
• Muiden kuin Azure-koneiden yhdistäminen Microsoft Defender for Cloudiin
• Linuxin verkkosuojauksen ottaminen käyttöön

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.