Microsoft Defender for Endpoint Linuxissa
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa kuvataan, miten voit asentaa, määrittää, päivittää ja käyttää Microsoft Defender for Endpoint Linuxissa.
Varoitus
Muiden kuin Microsoftin päätepisteiden suojaustuotteiden suorittaminen linux-Microsoft Defender for Endpoint rinnalla johtaa todennäköisesti suorituskykyongelmiin ja arvaamattomiin sivuvaikutuksiin. Jos muu kuin Microsoftin päätepistesuojaus on ehdoton vaatimus ympäristössäsi, voit silti turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon suoritettavaksi passiivitilassa.
Microsoft Defender for Endpoint asentaminen Linuxiin
linux-Microsoft Defender for Endpoint sisältää haittaohjelmien torjunta- ja päätepisteiden tunnistamis- ja vastausominaisuudet (EDR).
Ennakkovaatimukset
Microsoft Defender portaalin käyttö
Linux-jakelu systemdsystem managerin avulla
Huomautus
Linux-jakelu järjestelmänhallinnan avulla, tuki sekä SystemV:lle että Upstartille.
Aloittelijatason käyttökokemus Linuxissa ja BASH-komentosarjoissa
Laitteen hallintaoikeudet (manuaalista käyttöönottoa varten)
Huomautus
Microsoft Defender for Endpoint Linux-agentissa on riippumaton OMS-agentista. Microsoft Defender for Endpoint luottaa omaan riippumattomaan telemetriaputkeensa.
Asennusohjeet
Voit asentaa ja määrittää Microsoft Defender for Endpoint Linuxissa useilla menetelmillä ja käyttöönottotyökaluilla. Ennen kuin aloitat, varmista, että Microsoft Defender for Endpoint vähimmäisvaatimukset täyttyvät.
Voit ottaa Microsoft Defender for Endpoint käyttöön Linuxissa jollakin seuraavista tavoista:
- Jos haluat käyttää komentorivityökalua, katso Manuaalinen käyttöönotto
- Jos haluat käyttää nukkea, katso Käyttöönotto nukkemääritysten hallintatyökalun avulla
- Jos haluat käyttää Ansiblea, katso Ota käyttöön Ansible-määritysten hallintatyökalun avulla
- Jos haluat käyttää Chefiä, katso Ota käyttöön Chefin määritystenhallintatyökalun avulla
- Jos haluat käyttää Saltstackia, katso Kohta Käyttöönotto Saltstack-määritysten hallintatyökalun avulla
Jos kohtaat asennusvirheitä, katso asennusvirheiden vianmääritys Microsoft Defender for Endpoint Linuxissa.
Tärkeää
Microsoft Defender for Endpoint asentamista mihinkään muuhun kuin oletusasennuspolkuun ei tueta.
Microsoft Defender for Endpoint Linuxissa luo käyttäjän, mdatp jolla on satunnainen UID ja GID. Jos haluat hallita UID: tä ja GID: tä, luo mdatp käyttäjä ennen asennusta käyttämällä shell-asetusta /usr/sbin/nologin . Tässä on esimerkki: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.
Järjestelmävaatimukset
Levytila: 2 Gt
Huomautus
Saatat tarvita vielä 2 Gigatavua levytilaa, jos kaatumiskokoelmien pilvidiagnostiikka on käytössä. Varmista, että /var-tiedostossa on vapaata levytilaa.
Ytimet: Kaksi vähintään, neljä suositeltavaa
Huomautus
Jos olet Passiivinen- tai RTP ON -tilassa, vaaditaan vähintään kaksi ydintä. Neljä ydintä ovat suositeltavia. Jos otat BM:n käyttöön, vaaditaan vähintään neljä ydintä.
Muisti: vähintään 1 Gt, suositeltava 4 Gt
Seuraavia Linux-palvelinjakeluja sekä x64-versioita (AMD64/EM64T) ja x86_64 tuetaan:
- Red Hat Enterprise Linux 7.2 tai uudempi
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 tai uudempi
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 tai uudempi
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8.7 ja uudempi
- Rocky 9.2 ja uudempi
- Alma 8.4 ja uudemmat
- Alma 9.2 ja uudemmat
- Mariner 2
Huomautus
Jakeluja ja versioita, joita ei ole nimenomaisesti lueteltu, ei tueta (vaikka ne johdetaan virallisesti tuetuista jakaumista). Kun uusi pakettiversio on julkaistu, kahden edellisen version tuki on rajoitettu vain tekniseen tukeen. Versiot, jotka ovat vanhempia kuin tässä osiossa luetellut versiot, tarjotaan vain teknistä päivitystukea varten. Microsoft Defender Vulnerablity Managementia ei tällä hetkellä tueta Rockyssa ja Almassa. kaikkien muiden tuettujen jakelujen ja versioiden Microsoft Defender for Endpoint on kernel-version-agnostic. Ytimen version vähimmäisvaatimus on vähintään 3.10.0-327.
Varoitus
Defender for Endpointin suorittamista Linuxissa rinnakkain muiden
fanotifysuojausratkaisujen kanssa ei tueta. Se voi johtaa arvaamattomiin tuloksiin, kuten käyttöjärjestelmän ripustamiseen. Jos järjestelmässä on muita sovelluksia, jotka käyttävätfanotifyestotilassa, sovellukset luetellaanconflicting_applicationskomentotulosteenmdatp healthkentässä. Linuxin FAPolicyD-ominaisuutta käytetäänfanotifyestotilassa, joten sitä ei tueta, kun Defender for Endpoint suoritetaan aktiivisessa tilassa. Voit edelleen turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon reaaliaikaisen suojauksen käytössä passiivitilaan.Luettelo tuetuista tiedostojärjestelmistä RTP-, Quick-, Full- ja Custom Scan -järjestelmille.
RTP, Nopea, Täysi tarkistus Mukautettu tarkistus btrfsKaikki tiedostojärjestelmät, joita RTP, Nopea ja Täysi tarkistus tukevat ecryptfsEfsext2S3fsext3Blobfuseext4LustrfuseglustrefsfuseblkAfsjfssshfsnfs(vain v3)cifsoverlaysmbramfsgcsfusereiserfssysfstmpfsudfvfatxfsValvontakehys (
auditd) on otettava käyttöön, jos käytät valvontaa ensisijaisena tapahtumapalveluna.Huomautus
Järjestelmätapahtumat, jotka on otettu käyttöön lisätyillä
/etc/audit/rules.d/säännöillä, lisätään kohteeseenaudit.log(s) ja ne saattavat vaikuttaa isäntien valvontaan ja ylätason kokoelmaan. Tapahtumat, jotka Microsoft Defender for Endpoint on Lisännyt Linuxissa, merkitäänmdatpavaimella./opt/microsoft/mdatp/sbin/wdavdaemon edellyttää suoritettavan tiedoston käyttöoikeutta. Lisätietoja on kohdassa "Varmista, että daemonin suoritusoikeudet" kohdassa Microsoft Defender for Endpoint Linuxin asennusongelmien vianmääritys.
Ulkoisen paketin riippuvuus
Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata edellytettävät riippuvuudet manuaalisesti. Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:
- Mdatp RPM -paketti edellyttää -
glibc >= 2.17,audit-policycoreutils, -selinux-policy-targetedsemanageja -pakettejamde-netfilter - RHEL6:ssa mdatp RPM -paketti edellyttää
audit,policycoreutils,libselinuxjamde-netfilter - DEBIAN-parametria varten mdatp-paketti edellyttää :
libc6 >= 2.23,uuid-runtime,auditdjamde-netfilter
mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:
- DEBIAN-parametria varten mde-netfilter-paketti edellyttää ,
libnetfilter-queue1jalibglib2.0-0 - RPM:ssä mde-netfilter-paketti edellyttää :
libmnl,libnfnetlink,libnetfilter_queuejaglib2
Poissulkemisten määrittäminen
Kun lisäät poissulkemisia Microsoft Defender virustentorjuntaan, muista Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet.
Verkkoyhteydet
Varmista, että yhteydet ovat mahdollisia laitteissasi Microsoft Defender for Endpoint pilvipalveluihin. Jos haluat valmistella ympäristösi, katso VAIHE 1: Verkkoympäristön määrittäminen varmistamaan yhteys Defender for Endpoint -palveluun.
Defender for Endpoint on Linux voi muodostaa yhteyden välityspalvelimen kautta seuraavilla etsintämenetelmillä:
- Läpinäkyvä välityspalvelin
- Manuaalinen staattisen välityspalvelimen määritys
Jos välityspalvelin tai palomuuri estää anonyymin liikenteen, varmista, että anonyymi liikenne on sallittu aiemmin luetelluissa URL-osoitteissa. Läpinäkyville välitysvälityksille ei tarvita muita määrityksiä Defenderin päätepisteelle. Jos kyseessä on staattinen välityspalvelin, noudata manuaalisen staattisen välityspalvelimen määrityksen ohjeita.
Varoitus
PAC:tä, WPAD:ia ja todennettuja välityslehtiä ei tueta. Varmista, että käytössä on vain staattinen välityspalvelin tai läpinäkyvä välityspalvelin. SSL-tarkastusta ja välitysvälitysvälitysten pysäyttämistä ei myöskään tueta turvallisuussyistä. Määritä poikkeus SSL-tarkastusta ja välityspalvelinta varten, jotta voit suoraan välittää tietoja Linuxin Defender for Endpointista asianmukaisiin URL-osoitteisiin ilman sieppausta. Sieppausvarmenteen lisääminen yleiseen säilöön ei salli sieppausta.
Lisätietoja vianmäärityksestä on artikkelissa Linux-Microsoft Defender for Endpoint pilvipalveluun liittyvien yhteysongelmien vianmääritys.
Microsoft Defender for Endpoint päivittäminen Linuxissa
Microsoft julkaisee säännöllisesti ohjelmistopäivityksiä suorituskyvyn ja suojauksen parantamiseksi ja uusien ominaisuuksien toimittamiseksi. Jos haluat päivittää Microsoft Defender for Endpoint Linuxissa, katso Microsoft Defender for Endpoint päivitysten käyttöönotto Linuxissa.
Microsoft Defender for Endpointin määrittäminen Linuxissa
Ohjeita tuotteen määrittämiseen yritysympäristössä on kohdassa Määritä asetukset Microsoft Defender for Endpoint Linuxissa.
Microsoft Defender for Endpoint yhteiset sovellukset voivat vaikuttaa
Tiettyjen sovellusten suurilla I/O-kuormituksilla voi ilmetä suorituskykyongelmia, kun Microsoft Defender for Endpoint asennetaan. Tällaisia sovelluskehittäjäskenaarioita varten ovat Jenkins ja Jira sekä tietokannan kuormitukset, kuten OracleDB ja Postgres. Jos suorituskyky heikkenee, harkitse poissulkemisten määrittämistä luotetuille sovelluksille pitäen Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet mielessä. Katso lisäohjeita konsultointidokumentaatiosta, joka koskee virustentorjuntaan liittyviä poissulkemisia muissa kuin Microsoft-sovelluksissa.
Resurssit
- Lisätietoja kirjaamisesta, asennuksen poistamisesta tai muista artikkeleista on kohdassa Resurssit.
Aiheeseen liittyviä artikkeleita
- Suojaa päätepisteet Defender for Cloudin integroidulla EDR-ratkaisulla: Microsoft Defender for Endpoint
- Muiden kuin Azure-koneiden yhdistäminen Microsoft Defender for Cloudiin
- Linuxin verkkosuojauksen ottaminen käyttöön
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.