Partager via


Microsoft Defender pour point de terminaison Linux

Conseil

Nous sommes ravis de partager que Microsoft Defender pour point de terminaison sur Linux étend désormais la prise en charge des serveurs Linux arm64 en préversion ! Pour plus d’informations, consultez Microsoft Defender pour point de terminaison sur Linux pour les appareils ARM64 (préversion).

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment installer, configurer, mettre à jour et utiliser Microsoft Defender pour point de terminaison sur Linux.

Attention

L’exécution d’autres produits de protection de point de terminaison non-Microsoft avec Microsoft Defender pour point de terminaison sur Linux est susceptible d’entraîner des problèmes de performances et des effets secondaires imprévisibles. Si la protection des points de terminaison non-Microsoft est une exigence absolue dans votre environnement, vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus pour qu’elle s’exécute en mode passif.

Comment installer Microsoft Defender pour point de terminaison sur Linux

Microsoft Defender pour point de terminaison pour Linux inclut des fonctionnalités anti-programme malveillant et de détection et réponse de point de terminaison (EDR).

Configuration requise

  • Accès au portail Microsoft Defender
  • Distribution Linux à l’aide du gestionnaire système systemd
  • Expérience de niveau débutant dans les scripts Linux et BASH
  • Privilèges d’administration sur l’appareil (pour le déploiement manuel)

Remarque

La distribution Linux à l’aide du gestionnaire de système prend en charge SystemV et Upstart. Microsoft Defender pour point de terminaison sur l’agent Linux est indépendant de l’agent OMS (Operation Management Suite). Microsoft Defender pour point de terminaison s’appuie sur son propre pipeline de télémétrie indépendant.

Configuration requise

  • PROCESSEUR : 1 cœur de processeur minimum. Pour les charges de travail hautes performances, davantage de cœurs sont recommandés.

  • Espace disque : 2 Go minimum. Pour les charges de travail hautes performances, davantage d’espace disque peut être nécessaire.

  • Mémoire : 1 Go de RAM au minimum. Pour les charges de travail hautes performances, davantage de mémoire peut être nécessaire.

    Remarque

    Le réglage des performances peut être nécessaire en fonction des charges de travail. Consultez Résoudre les problèmes de performances pour Microsoft Defender pour point de terminaison sur Linux.

  • Les distributions de serveur Linux et les versions x64 (AMD64/EM64T) suivantes sont prises en charge :

    • Red Hat Enterprise Linux 7.2 ou version ultérieure
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 ou version ultérieure
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 ou version ultérieure
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8.7 et versions ultérieures
    • Rocky 9.2 et versions ultérieures
    • Alma 8.4 et versions ultérieures
    • Alma 9.2 et versions ultérieures
    • Mariner 2
  • Les distributions de serveur Linux suivantes sur ARM64 sont désormais prises en charge en préversion :

    • Ubuntu 20.04 ARM64
    • Ubuntu 22.04 ARM64
    • Amazon Linux 2 ARM64
    • Amazon Linux 2023 ARM64

    Importante

    La prise en charge de Microsoft Defender pour point de terminaison sur Linux pour les appareils Linux ARM64 est désormais en préversion. Pour plus d’informations, consultez Microsoft Defender pour point de terminaison sur Linux pour les appareils ARM64 (préversion).

    Remarque

    Les versions de station de travail de ces distributions ne sont pas prises en charge. Les distributions et versions qui ne sont pas répertoriées explicitement ne sont pas prises en charge (même si elles sont dérivées des distributions officiellement prises en charge). Une fois qu’une nouvelle version de package est publiée, la prise en charge des deux versions précédentes est réduite au support technique uniquement. Les versions antérieures à celles répertoriées dans cette section sont fournies uniquement pour la prise en charge de la mise à niveau technique. Actuellement, les distributions Rocky et Alma ne sont pas prises en charge dans Gestion des vulnérabilités Microsoft Defender. Microsoft Defender pour point de terminaison pour toutes les autres distributions et versions prises en charge est indépendant de la version du noyau. Condition minimale requise pour que la version du noyau soit 3.10.0-327 ou ultérieure.

    Attention

    L’exécution de Defender pour point de terminaison sur Linux côte à côte avec d’autres fanotifysolutions de sécurité basées sur n’est pas prise en charge. Cela peut entraîner des résultats imprévisibles, y compris la suspension du système d’exploitation. Si d’autres applications sur le système utilisent fanotify en mode bloquant, les applications sont répertoriées dans le conflicting_applications champ de la sortie de la mdatp health commande. La fonctionnalité FAPolicyD Linux utilise fanotify en mode bloquant et n’est donc pas prise en charge lors de l’exécution de Defender pour point de terminaison en mode actif. Vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus Protection en temps réel activée en mode passif.

  • Liste des systèmes de fichiers pris en charge pour l’analyse RTP, rapide, complète et personnalisée.

RTP, Rapide, Analyse complète Analyse personnalisée
btrfs Tous les systèmes de fichiers pris en charge pour RTP, Rapide, Analyse complète
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3 uniquement) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

Remarque

À compter de la version 101.24082.0004, Defender pour point de terminaison sur Linux ne prend plus en charge le fournisseur d’événements Auditd . Nous passons complètement à la technologie eBPF (Berkeley Packet Filter) plus efficace. Si eBPF n’est pas pris en charge sur vos machines, ou s’il existe des exigences spécifiques pour rester sur Auditd et que vos machines utilisent Defender pour point de terminaison sur une version Linux ou une version 101.24072.0001 antérieure, l’infrastructure d’audit (auditd) doit être activée sur votre système. Si vous utilisez Auditd, les événements système capturés par des règles ajoutées à /etc/audit/rules.d/ ajoute à audit.loget peuvent affecter l’audit de l’hôte et amont collection. Les événements ajoutés par Microsoft Defender pour point de terminaison sur Linux sont marqués avec la mdatp clé .

Instructions d’installation

Il existe plusieurs méthodes et outils de déploiement que vous pouvez utiliser pour installer et configurer Microsoft Defender pour point de terminaison sur Linux. Avant de commencer, assurez-vous que la configuration minimale requise pour Microsoft Defender pour point de terminaison est remplie.

Vous pouvez utiliser l’une des méthodes suivantes pour déployer Microsoft Defender pour point de terminaison sur Linux :

Si vous rencontrez des échecs d’installation, consultez Résolution des problèmes d’installation dans Microsoft Defender pour point de terminaison sur Linux.

Importante

L’installation de Microsoft Defender pour point de terminaison à un emplacement autre que le chemin d’installation par défaut n’est pas prise en charge. Microsoft Defender pour point de terminaison sur Linux crée un utilisateur avec un mdatp UID et un GID aléatoires. Si vous souhaitez contrôler l’UID et le GID, créez un mdatp utilisateur avant l’installation à l’aide de l’option /usr/sbin/nologin shell. Voici un exemple : mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Dépendance de package externe

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises. Les dépendances de package externes suivantes existent pour le package mdatp :

  • Le package rpm mdatp nécessite glibc >= 2.17, policycoreutils, selinux-policy-targetedet mde-netfilter
  • Pour RHEL6, le package RPM mdatp nécessite policycoreutils, libselinuxet mde-netfilter
  • Pour DEBIAN, le package mdatp nécessite libc6 >= 2.23, uuid-runtimeet mde-netfilter

Remarque

À compter de la version 101.24082.0004, Defender pour point de terminaison sur Linux ne prend plus en charge le fournisseur d’événements Auditd . Nous passons complètement à la technologie eBPF plus efficace. Si eBPF n’est pas pris en charge sur vos machines, ou s’il existe des exigences spécifiques pour rester sur Auditd et que vos machines utilisent Defender pour point de terminaison sur une version Linux ou une version 101.24072.0001 antérieure, la dépendance supplémentaire suivante sur le package audité existe pour mdatp :

  • Le package mdatp RPM nécessite audit, semanage.
  • Pour DEBIAN, le package mdatp nécessite auditd.
  • Pour Mariner, le package mdatp nécessite audit.

Lemde-netfilter package a également les dépendances de package suivantes :

  • Pour DEBIAN, le package mde-netfilter nécessite libnetfilter-queue1, et libglib2.0-0
  • Pour RPM, le package mde-netfilter nécessite libmnl, libnfnetlink, libnetfilter_queueet glib2

Configuration des exclusions

Lorsque vous ajoutez des exclusions à Microsoft Defender Antivirus, vous devez tenir compte des erreurs d’exclusion courantes pour Microsoft Defender Antivirus.

Connexions réseau

Assurez-vous que la connectivité est possible entre vos appareils et Microsoft Defender pour point de terminaison services cloud. Pour préparer votre environnement, consultez ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.

Defender pour point de terminaison sur Linux peut se connecter via un serveur proxy à l’aide des méthodes de découverte suivantes :

  • Proxy transparent
  • Configuration manuelle du proxy statique

Si un proxy ou un pare-feu bloque le trafic anonyme, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment. Pour les proxys transparents, aucune autre configuration n’est nécessaire pour Defender pour point de terminaison. Pour le proxy statique, suivez les étapes décrites dans Configuration manuelle du proxy statique.

Avertissement

Les proxys PAC, WPAD et authentifiés ne sont pas pris en charge. Vérifiez que seul un proxy statique ou un proxy transparent est utilisé. L’inspection ssl et l’interception des proxys ne sont pas non plus prises en charge pour des raisons de sécurité. Configurez une exception pour l’inspection SSL et votre serveur proxy pour transmettre directement les données de Defender pour point de terminaison sur Linux aux URL appropriées sans interception. L’ajout de votre certificat d’interception au magasin global n’autorise pas l’interception.

Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux.

Guide pratique pour mettre à jour Microsoft Defender pour point de terminaison sur Linux

Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour mettre à jour Microsoft Defender pour point de terminaison sur Linux, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.

Comment configurer Microsoft Defender pour point de terminaison sur Linux

Des conseils sur la configuration du produit dans les environnements d’entreprise sont disponibles dans Définir des préférences pour Microsoft Defender pour point de terminaison sur Linux.

Les applications courantes à Microsoft Defender pour point de terminaison peuvent avoir un impact

Les charges de travail d’E/S élevées de certaines applications peuvent rencontrer des problèmes de performances lorsque Microsoft Defender pour point de terminaison est installé. Ces applications pour les scénarios de développement incluent Jenkins et Jira, ainsi que des charges de travail de base de données comme OracleDB et Postgres. En cas de dégradation des performances, envisagez de définir des exclusions pour les applications approuvées, en gardant à l’esprit les erreurs d’exclusion courantes pour Microsoft Defender antivirus. Pour plus d’informations, consultez la documentation concernant les exclusions d’antivirus des applications non-Microsoft.

Ressources

  • Pour plus d’informations sur la journalisation, la désinstallation ou d’autres articles, consultez Ressources.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.