Linee guida avanzate per la distribuzione per Microsoft Defender per endpoint in Linux
Questo articolo fornisce indicazioni avanzate sulla distribuzione per Microsoft Defender per endpoint in Linux. Viene visualizzato un breve riepilogo dei passaggi di distribuzione, vengono fornite informazioni sui requisiti di sistema e quindi vengono illustrati i passaggi di distribuzione effettivi. Si apprenderà anche come verificare che il dispositivo sia stato caricato correttamente.
Per informazioni sulle funzionalità di Microsoft Defender per endpoint, vedere Funzionalità avanzate Microsoft Defender per endpoint.
Per altre informazioni su altri modi per distribuire Microsoft Defender per endpoint in Linux, vedere:
- Distribuzione manuale
- Distribuzione basata su puppet
- Distribuzione basata su ansible
- Distribuire Defender per Endpoint su Linux con Chef
Riepilogo della distribuzione
Informazioni sulle linee guida generali su una distribuzione tipica Microsoft Defender per endpoint in Linux. L'applicabilità di alcuni passaggi è determinata dai requisiti dell'ambiente Linux.
Acquisire i dati sulle prestazioni dall'endpoint.
Nota
Valutare la possibilità di eseguire gli elementi facoltativi seguenti, anche se non sono Microsoft Defender per endpoint specifici, tendono a migliorare le prestazioni nei sistemi Linux.
(Facoltativo) Verificare la presenza di errori del file system 'fsck' (simile a chkdsk).
(Facoltativo) Aggiornare i driver del sottosistema di archiviazione.
(Facoltativo) Aggiornare i driver della scheda di interfaccia di rete.
Verificare che i requisiti di sistema e le raccomandazioni per le risorse siano soddisfatti.
Aggiungere la soluzione esistente all'elenco di esclusione per Microsoft Defender Antivirus.
Configurare Microsoft Defender per endpoint nelle impostazioni antimalware Linux.
Usare Ansible, Puppet o Chef per gestire Microsoft Defender per endpoint in Linux.
Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.
Verificare la comunicazione con Microsoft Defender per endpoint back-end.
Verificare di essere in grado di ottenere "Platform Aggiornamenti" (aggiornamenti dell'agente).
Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux.
Risoluzione dei problemi relativi all'utilizzo elevato della CPU da parte di ISV, app Linux o script.
1. Preparare l'ambiente di rete
Aggiungere gli URL e/o gli indirizzi IP Microsoft Defender per endpoint all'elenco consentito e impedire il controllo SSL del traffico.
Connettività di rete di Microsoft Defender per endpoint
Seguire questa procedura per verificare la connettività di rete di Microsoft Defender per endpoint:
Vedere Passaggio 1: Consentire le destinazioni per il traffico Microsoft Defender per endpoint consentito per il traffico Microsoft Defender per endpoint.
Se i server Linux si trovano dietro un proxy, impostare le impostazioni proxy. Per altre informazioni, vedere Configurare le impostazioni proxy.
Verificare che il traffico non venga controllato dall'ispezione SSL (ispezione TLS). Si tratta del problema più comune relativo alla rete durante la configurazione dell'endpoint Microsoft Defender. Vedere Verificare che l'ispezione SSL non venga eseguita sul traffico di rete.
Nota
- Il traffico per Defender per endpoint NON deve essere controllato dall'ispezione SSL (ispezione TLS). Questo vale per tutti i sistemi operativi supportati (Windows, Linux e MacOS).
- Per consentire la connettività al set consolidato di URL o indirizzi IP, assicurarsi che i dispositivi eseguano le versioni più recenti dei componenti. Per altre informazioni, vedere Onboarding devices using streamlined connectivity for Microsoft Defender per endpoint (Onboarding devices using streamlined connectivity for Microsoft Defender per endpoint).
Per altre informazioni, vedere Risolvere i problemi di connettività cloud.
Passaggio 1: Consentire le destinazioni per il traffico Microsoft Defender per endpoint
- Passare al PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint per trovare le destinazioni pertinenti che devono essere accessibili ai dispositivi all'interno dell'ambiente di rete
- Configurare firewall,proxy/rete per consentire gli URL e/o gli indirizzi IP pertinenti
Passaggio 2: Configurare le impostazioni proxy
Se i server Linux si trovano dietro un proxy, usare le indicazioni sulle impostazioni seguenti.
Nella tabella seguente sono elencate le impostazioni proxy supportate:
Supportato | Non supportato |
---|---|
Proxy trasparente | Proxy autoconfig (PAC, un tipo di proxy autenticato) |
Configurazione manuale del proxy statico | Protocollo di individuazione automatica del proxy Web (WPAD, un tipo di proxy autenticato) |
- Connessioni di rete
- Profilo di configurazione completo
- Configurazione manuale del proxy statico
- Risoluzione dei problemi di connettività nello scenario proxy statico
Passaggio 3: Verificare che l'ispezione SSL non venga eseguita sul traffico di rete
Per evitare attacchi man-in-the-middle, tutto il traffico ospitato di Microsoft Azure usa l'aggiunta di certificati. Di conseguenza, le ispezioni SSL da parte dei principali sistemi firewall non sono consentite. È necessario ignorare l'ispezione SSL per gli URL di Microsoft Defender per endpoint. Per altre informazioni sul processo di aggiunta del certificato, vedere enterprise-certificate-pinning.
Risolvere i problemi di connettività cloud
Per altre informazioni, vedere Risoluzione dei problemi di connettività cloud per Microsoft Defender per endpoint in Linux.
2. Acquisire i dati sulle prestazioni dall'endpoint
Acquisire i dati sulle prestazioni dagli endpoint in cui è installato Defender per endpoint. Ciò include la disponibilità di spazio su disco in tutte le partizioni montate, l'utilizzo della memoria, l'elenco dei processi e l'utilizzo della CPU (aggregazione tra tutti i core).
3. (Facoltativo) Verificare la presenza di errori del file system 'fsck' (simile a chkdsk)
Qualsiasi file system potrebbe finire per essere danneggiato, quindi prima di installare qualsiasi nuovo software, sarebbe bene installarlo in un file system integro.
4. (Facoltativo) Aggiornare i driver del sottosistema di archiviazione
Il driver o il firmware più recente in un sottosistema di archiviazione potrebbe essere utile per le prestazioni e/o l'affidabilità.
5. (Facoltativo) Aggiornare i driver della scheda di interfaccia di rete
Un driver/firmware più recente in una scheda di interfaccia di rete o un software di teaming della scheda di interfaccia di rete potrebbe aiutare a ottenere prestazioni e/o affidabilità.
6. Verificare che i requisiti di sistema e le raccomandazioni per le risorse siano soddisfatti
La sezione seguente fornisce informazioni sulle versioni di Linux supportate e consigli per le risorse.
Per un elenco dettagliato delle distribuzioni Linux supportate, vedere Requisiti di sistema.
Risorsa | Consiglio |
---|---|
Spazio su disco | Minimo: 2 GB NOTA: potrebbe essere necessario più spazio su disco se la diagnostica cloud è abilitata per le raccolte di arresti anomali. |
RAM | 1 GB È preferibile 4 GB |
CPU | Se il sistema Linux esegue un solo vcpu, è consigliabile aumentarlo a due vcpu Sono preferiti 4 core |
Versione sistema operativo | Driver filtro kernel | Commenti |
---|---|---|
RHEL 7.x, RHEL 8.x e RHEL 9.x | Nessun driver di filtro del kernel, l'opzione fanotify kernel deve essere abilitata | simile a Gestione filtri (fltmgr, accessibile tramite fltmc.exe ) in Windows |
7. Aggiungere la soluzione esistente all'elenco di esclusione per Microsoft Defender Antivirus
Questo passaggio del processo di installazione prevede l'aggiunta di Defender per endpoint all'elenco di esclusione per la soluzione di protezione degli endpoint esistente e per qualsiasi altro prodotto di sicurezza usato dall'organizzazione. È possibile scegliere tra diversi metodi per aggiungere le esclusioni a Microsoft Defender Antivirus.
Consiglio
Per informazioni sulla configurazione delle esclusioni, vedere la documentazione del provider di soluzioni.
La possibilità di eseguire Microsoft Defender per endpoint in Linux insieme a un prodotto antimalware non Microsoft dipende dai dettagli di implementazione di tale prodotto. Se l'altro prodotto antimalware usa fanotify, deve essere disinstallato per eliminare gli effetti collaterali di prestazioni e stabilità risultanti dall'esecuzione di due agenti in conflitto.
Per verificare se è presente un antimalware non Microsoft che esegue FANotify, è possibile eseguire
mdatp health
, quindi controllare il risultato:In "conflicting_applications", se viene visualizzato un risultato diverso da "non disponibile", disinstallare l'antimalware non Microsoft.
Se non si disinstalla il prodotto antimalware non Microsoft, è possibile che si verifichino comportamenti imprevisti, ad esempio problemi di prestazioni, problemi di stabilità come sistemi sospesi o panico del kernel.
Per identificare i Microsoft Defender per endpoint nei processi e nei percorsi Linux che devono essere esclusi nel prodotto antimalware non Microsoft, eseguire
systemctl status -l mdatp
.Escludere i processi seguenti dal prodotto antimalware non Microsoft:
wdavdaemon
crashpad_handler
mdatp_audis_plugin
telemetryd_v2
Escludere i percorsi seguenti dal prodotto antimalware non Microsoft:
/opt/microsoft/mdatp/
/var/opt/microsoft/mdatp/
/etc/opt/microsoft/mdatp/
8. Tenere presenti i seguenti punti sulle esclusioni
Quando si aggiungono esclusioni alle analisi di Microsoft Defender Antivirus, è necessario aggiungere esclusioni di percorso ed elaborazione.
Nota
- Le esclusioni antivirus si applicano al motore antivirus.
- Gli indicatori consentono/bloccano l'applicazione al motore antivirus.
Tenere presente quanto segue:
- Le esclusioni di percorso escludono file specifici e qualsiasi accesso a tali file.
- Le esclusioni dei processi escludono qualsiasi processo tocchi, ma non escludono il processo stesso.
- Elencare le esclusioni del processo usando il percorso completo e non solo in base al nome. Il metodo di solo nome è meno sicuro.
- Se si elenca ogni eseguibile sia come esclusione di percorso che come esclusione del processo, il processo e gli elementi toccati vengono esclusi.
Consiglio
Esaminare "Errori comuni da evitare durante la definizione delle esclusioni", in particolare Posizioni cartelle ed Elabora le sezioni per le piattaforme Linux e macOS.
9. Creare gruppi di dispositivi
Configurare gruppi di dispositivi, raccolte di dispositivi e unità organizzative Gruppi di dispositivi, raccolte di dispositivi e unità organizzative consentono al team di sicurezza di gestire e assegnare i criteri di sicurezza in modo efficiente ed efficace. La tabella seguente descrive ognuno di questi gruppi e come configurarli. L'organizzazione potrebbe non usare tutti e tre i tipi di raccolta.
Tipo di raccolta | Soluzione |
---|---|
I gruppi di dispositivi (in precedenza denominati gruppi di computer) consentono al team delle operazioni di sicurezza di configurare le funzionalità di sicurezza, ad esempio l'analisi automatizzata e la correzione. I gruppi di dispositivi sono utili anche per assegnare l'accesso a tali dispositivi in modo che il team delle operazioni di sicurezza possa eseguire azioni correttive, se necessario. I gruppi di dispositivi vengono creati mentre l'attacco è stato rilevato e arrestato, gli avvisi, ad esempio un "avviso di accesso iniziale", sono stati attivati e visualizzati nel portale di Microsoft Defender. |
1. Passare al portale di Microsoft Defender (https://security.microsoft.com). 2. Nel riquadro di spostamento a sinistra scegliere Impostazioni>Endpoint>Autorizzazioni>Gruppi di dispositivi. 3. Scegliere + Aggiungi gruppo di dispositivi. 4. Specificare un nome e una descrizione per il gruppo di dispositivi. 5. Nell'elenco Livello di automazione selezionare un'opzione. È consigliabile completare la correzione automatica delle minacce. Per altre informazioni sui vari livelli di automazione, vedere Come vengono risolte le minacce. 6. Specificare le condizioni per una regola corrispondente per determinare quali dispositivi appartengono al gruppo di dispositivi. Ad esempio, è possibile scegliere un dominio, versioni del sistema operativo o anche usare i tag del dispositivo. 7. Nella scheda Accesso utente specificare i ruoli che devono avere accesso ai dispositivi inclusi nel gruppo di dispositivi. 8. Scegliere Fine. |
Le raccolte di dispositivi consentono al team delle operazioni di sicurezza di gestire le applicazioni, distribuire le impostazioni di conformità o installare gli aggiornamenti software nei dispositivi dell'organizzazione. Le raccolte di dispositivi vengono create usando Configuration Manager. |
Seguire i passaggi descritti in Creare una raccolta. |
Le unità organizzative consentono di raggruppare logicamente oggetti come account utente, account del servizio o account computer. È quindi possibile assegnare gli amministratori a unità organizzative specifiche e applicare criteri di gruppo per applicare le impostazioni di configurazione di destinazione. Le unità organizzative sono definite in Microsoft Entra Domain Services. |
Seguire la procedura descritta in Creare un'unità organizzativa in un dominio gestito Microsoft Entra Domain Services. |
10. Configurare Microsoft Defender per endpoint nelle impostazioni antimalware Linux
Prima di iniziare:
Se si usa già un prodotto antimalware non Microsoft per i server Linux, è consigliabile copiare le esclusioni esistenti in Microsoft Defender per endpoint in Linux.
Se non si usa un prodotto antimalware non Microsoft per i server Linux, ottenere un elenco di tutte le applicazioni Linux e controllare le esclusioni nel sito Web dei fornitori.
Se si esegue un prodotto antimalware non Microsoft, aggiungere i processi/percorsi all'elenco di esclusione antivirus del Microsoft Defender per endpoint. Per altre informazioni, vedere la documentazione antimalware non Microsoft o contattare il supporto tecnico.
Se si esegue il test in un computer, è possibile usare una riga di comando per configurare le esclusioni:
Se si esegue il test in più computer, usare il file seguente
mdatp_managed.json
. Se si proviene da Windows, ad esempio un "criterio di gruppo" per Defender per endpoint in Linux.È possibile modificare il file in base alle proprie esigenze:
{ "antivirusEngine":{ "enforcementLevel":"real_time", "scanAfterDefinitionUpdate":true, "scanArchives":true, "maximumOnDemandScanThreads":1, "exclusionsMergePolicy":"merge", "exclusions":[ { "$type":"excludedPath", "isDirectory":false, "path":"/var/log/system.log" }, { "$type":"excludedPath", "isDirectory":true, "path":"/home" }, { "$type":"excludedFileExtension", "extension":"pdf" }, { "$type":"excludedFileName", "name":"cat" } ], "allowedThreats":[ "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)" ], "disallowedThreatActions":[ "allow", "restore" ], "threatTypeSettingsMergePolicy":"merge", "threatTypeSettings":[ { "key":"potentially_unwanted_application", "value":"block" }, { "key":"archive_bomb", "value":"audit" } ] }, "cloudService":{ "enabled":true, "diagnosticLevel":"optional", "automaticSampleSubmissionConsent":"safe", "automaticDefinitionUpdateEnabled":true "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/" } }
Raccomandazioni:
{ "antivirusEngine":{ "enforcementLevel":"real_time", "scanAfterDefinitionUpdate":true, "scanArchives":true, "maximumOnDemandScanThreads":1, "exclusionsMergePolicy":"merge", "exclusions":[ { "$type":"excludedPath", "isDirectory":false, "path":"/var/log/system.log" }, { "$type":"excludedPath", "isDirectory":true, "path":"/proc" }, { "$type":"excludedPath", "isDirectory":true, "path":"/sys" }, { "$type":"excludedPath", "isDirectory":true, "path":"/dev" }, { "$type":"excludedFileExtension", "extension":"" }, { "$type":"excludedFileName", "name":"" } ], "allowedThreats":[ "" ], "disallowedThreatActions":[ "allow", "restore" ], "threatTypeSettingsMergePolicy":"merge", "threatTypeSettings":[ { "key":"potentially_unwanted_application", "value":"block" }, { "key":"archive_bomb", "value":"audit" } ] }, "cloudService":{ "enabled":true, "diagnosticLevel":"optional", "automaticSampleSubmissionConsent":"safe", "automaticDefinitionUpdateEnabled":true "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/" } }
Nota
In Linux (e macOS) supportiamo i percorsi in cui inizia con un carattere jolly.
La tabella seguente descrive le impostazioni consigliate come parte del mdatp_managed.json
file:
Impostazioni | Commenti |
---|---|
exclusionsMergePolicy impostato su admin_only |
Impedisce all'amministratore locale di aggiungere le esclusioni locali tramite bash (prompt dei comandi). |
disallowedThreatActions impostato su allow and restore |
Impedisce all'amministratore locale di ripristinare un elemento in quarantena tramite bash (prompt dei comandi). |
threatTypeSettingsMergePolicy impostato su admin_only |
Impedisce all'amministratore locale di aggiungere falsi positivi o true positive non validi per i tipi di minaccia (tramite bash (prompt dei comandi). |
- Salvare l'impostazione come
mdatp_managed.json
file. - Copiare l'impostazione in questo percorso
/etc/opt/microsoft/mdatp/managed/
. Per altre informazioni, vedere Impostare le preferenze per Microsoft Defender per endpoint in Linux. - Aggiungere i processi e i percorsi antimalware non Microsoft all'elenco di esclusione dal passaggio precedente.
- Verificare di aver aggiunto le esclusioni correnti dalla soluzione antimalware non Microsoft al passaggio precedente.
Applicazioni che Microsoft Defender per endpoint possono influire
Carichi di lavoro di I/O elevati, ad esempio Postgres, OracleDB, Jira e Jenkins, potrebbero richiedere altre esclusioni, a seconda della quantità di attività che viene elaborata (e monitorata da Defender per endpoint). È consigliabile seguire le indicazioni dei provider di applicazioni non Microsoft per le esclusioni se si verifica una riduzione delle prestazioni dopo l'installazione di Defender per endpoint. Tenere presente anche gli errori di esclusione comuni per Microsoft Defender Antivirus.
Se si verifica una riduzione delle prestazioni, vedere le risorse seguenti:
- Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.
- Risolvere i problemi di prestazioni auditD con Microsoft Defender per endpoint in Linux.
11. Scaricare il pacchetto di onboarding Microsoft Defender per endpoint in Linux
Per altre informazioni, vedere scaricare il pacchetto di onboarding dal portale di Microsoft Defender.
Nota
Questo download registra Microsoft Defender per endpoint in Linux per inviare i dati all'istanza di Microsoft Defender per endpoint.
Dopo aver scaricato questo pacchetto, è possibile seguire le istruzioni di installazione manuale o usare una piattaforma di gestione Linux per distribuire e gestire Defender per endpoint in Linux.
12. Esempi di Ansible, Puppet e Chef per gestire Microsoft Defender per endpoint in Linux
Defender per endpoint in Linux è progettato per consentire a quasi tutte le soluzioni di gestione di distribuire e gestire facilmente le impostazioni di Defender per endpoint in Linux. Alcune piattaforme di gestione Linux comuni sono Ansible, Puppet e Chef. I documenti seguenti contengono esempi su come configurare queste piattaforme di gestione per distribuire e configurare Defender per endpoint in Linux.
Distribuire Microsoft Defender per endpoint in Linux con Puppet
Distribuire Microsoft Defender per endpoint in Linux con Ansible
Distribuire Microsoft Defender per endpoint in Linux con Chef
Nota
I riavvii NON sono necessari dopo l'installazione o l'aggiornamento Microsoft Defender per endpoint in Linux, tranne quando si esegue auditD in modalità non modificabile.
Recapitare l'impostazione cronjob delle analisi pianificate
Pianificare un'analisi antivirus usando Anacron in Microsoft Defender per endpoint in Linux. Per altre informazioni, vedere Pianificare un'analisi antivirus con Anacron in Microsoft Defender per endpoint in Linux.
Aggiornare Microsoft Defender per endpoint nelle impostazioni cronjob dell'agente Linux
Pianificare un aggiornamento del Microsoft Defender per endpoint in Linux. Per altre informazioni, vedere Pianificare un aggiornamento del Microsoft Defender per endpoint in Linux.
13. Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux
Informazioni su come risolvere i problemi che possono verificarsi durante l'installazione in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.
14. Controllare le statistiche di utilizzo delle risorse
Controllare le statistiche sulle prestazioni e confrontarlo con l'utilizzo della pre-distribuzione rispetto alla post-distribuzione.
15. Verificare la comunicazione con Microsoft Defender per endpoint back-end
Per verificare la comunicazione Microsoft Defender per endpoint in Linux con il cloud con le impostazioni di rete correnti, eseguire il test di connettività seguente dalla riga di comando:
mdatp connectivity test
Nell'immagine seguente viene visualizzato l'output previsto dal test:
Per altre informazioni, vedere Convalida della connettività.
16. Analizzare i problemi di integrità dell'agente
Analizzare i problemi di integrità dell'agente in base ai valori restituiti quando si esegue il mdatp health
comando. Per altre informazioni, vedere Analizzare i problemi di integrità dell'agente.
17. Verificare di essere in grado di ottenere gli aggiornamenti della piattaforma (aggiornamenti dell'agente)
Per verificare Microsoft Defender per endpoint aggiornamenti della piattaforma Linux, eseguire la riga di comando seguente:
sudo yum update mdatp
o
apt-get update mdatp
a seconda della gestione pacchetti.
Per altre informazioni, vedere Device health and Microsoft Defender antimalware health report (Integrità dei dispositivi e Microsoft Defender report sull'integrità antimalware).
Per trovare la versione più recente del canale Broad, vedere Novità di Microsoft Defender per endpoint in Linux.
Come aggiornare Microsoft Defender per endpoint in Linux
Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux. Per altre informazioni, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.
Nota
Se si dispone di Redhat's Satellite (simile a WSUS in Windows), è possibile ottenere i pacchetti aggiornati da esso.
Consiglio
Automatizzare l'aggiornamento dell'agente in base a una pianificazione mensile (consigliata) usando un processo Cron. Per altre informazioni, vedere Pianificare un aggiornamento del Microsoft Defender per endpoint in Linux.
Endpoint non Windows
Con macOS e Linux, è possibile usare un paio di sistemi ed eseguirne l'esecuzione nel canale Beta.
Nota
Idealmente, è consigliabile includere uno di ogni tipo di sistema Linux in esecuzione nel canale Anteprima in modo da poter individuare problemi di compatibilità, prestazioni e affidabilità prima che la compilazione entri nel canale Corrente.
La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in beta sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da Anteprima e infine da Current.
Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per l'uso della versione beta o dell'anteprima.
Avviso
Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo per usare il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.
18. Verificare di essere in grado di ottenere gli aggiornamenti dell'intelligence di sicurezza (firme/aggiornamenti delle definizioni)
Per verificare Microsoft Defender per endpoint nelle firme/aggiornamenti delle definizioni di Linux, eseguire la riga di comando seguente:
mdatp definitions update
Per altre informazioni, vedere Creazione di report sull'integrità dei dispositivi per Microsoft Defender antimalware.
19. Rilevamenti di test
Per assicurarsi che il dispositivo sia correttamente caricato e segnalato al servizio, eseguire il test di rilevamento seguente:
Aprire una finestra terminale ed eseguire il comando seguente per eseguire un test di rilevamento antimalware:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
È possibile eseguire test di rilevamento aggiuntivi sui file ZIP usando uno dei comandi seguenti:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Nota
Se i rilevamenti non vengono visualizzati, è possibile che tu abbia impostato "allowedThreats" per consentire le preferenze tramite Ansible o Puppet.
Rilevamento di endpoint e risposta (EDR), vedere Esperienza Microsoft Defender per endpoint tramite attacchi simulati. Se il rilevamento non viene visualizzato, potrebbe essere presente un evento o avvisi mancanti nel portale. Per altre informazioni, vedere Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux.
Per altre informazioni sugli invii unificati in Microsoft Defender XDR e sulla possibilità di inviare falsi positivi e falsi negativi tramite il portale, vedere Invii unificati in Microsoft Defender XDR ora disponibili a livello generale- Microsoft Tech Community.
20. Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux
Per altre informazioni, vedere Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux.
21. Risolvere i problemi relativi all'utilizzo elevato della CPU da parte di ISV, app Linux o script
Se si osserva che gli ISV di terze parti, le app Linux sviluppate internamente o gli script hanno un utilizzo elevato della CPU, seguire questa procedura per analizzare la causa.
- Identificare il thread o il processo che causa il sintomo.
- Applicare ulteriori passaggi di diagnostica in base al processo identificato per risolvere il problema.
Passaggio 1: Identificare il Microsoft Defender per endpoint nel thread Linux che causa il sintomo
Usare le sintassi seguenti per identificare il processo che causa il sovraccarico della CPU:
Per ottenere Microsoft Defender per endpoint ID processo che causa il problema, eseguire:
sudo top -c
Per altre informazioni sul processo Microsoft Defender per endpoint, eseguire:
sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
Per identificare l'ID thread Microsoft Defender per endpoint specifico che causa il massimo utilizzo della CPU all'interno del processo, eseguire:
sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
Nella tabella seguente sono elencati i processi che potrebbero causare un utilizzo elevato della CPU:
Nome processo | Componente usato | MDE motore usato |
---|---|---|
wdavdaemon | FANotify | Antivirus & EDR |
wdavdaemon unprivileged | Motore antivirus | |
wdavdaemon edr | Motore EDR | |
mdatp_audisp_plugin | framework di controllo (controllato) | Inserimento del log di controllo |
Passaggio 2: Applicare ulteriori passaggi di diagnostica in base al processo identificato
Ora che è stato identificato il processo che causa l'utilizzo elevato della CPU, usare le indicazioni diagnostiche corrispondenti nella sezione seguente.
Ad esempio, nel passaggio precedente è wdavdaemon unprivileged
stato identificato come processo che causava un utilizzo elevato della CPU. In base al risultato, è possibile applicare le indicazioni per controllare il processo wdavdaemon senza privilegi.
Usare la tabella seguente per risolvere i problemi di utilizzo elevato della CPU:
Nome processo | Componente usato | Microsoft Defender per endpoint motore usato | Procedura |
---|---|---|---|
wdavdaemon | FANotify | Antivirus & EDR | - Scaricare ed eseguire Microsoft Defender per endpoint Analizzatore client. Per altre informazioni, vedere Eseguire l'analizzatore client in macOS o Linux. - Raccogliere i dati di diagnostica usando lo strumento Analizzatore client. - Aprire un caso di supporto CSS con Microsoft. Per altre informazioni, vedere Caso di supporto per la sicurezza CSS. |
wdavdaemon unprivileged | N/D | Motore antivirus | Il diagramma seguente illustra il flusso di lavoro e i passaggi necessari per aggiungere esclusioni antivirus. Linee guida generali per la risoluzione dei problemi - Se sono presenti app/script interni o un'app/script di terze parti legittima che viene contrassegnata, i ricercatori di sicurezza Microsoft analizzano i file sospetti per determinare se si tratta di minacce, applicazioni indesiderate o file normali. Inviare file che si ritiene siano malware o file che si ritiene siano stati erroneamente classificati come malware usando l'esperienza di invio unificato (per altre informazioni, vedere Esperienza di invio unificato) o Invii di file. - Vedere risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux. - Scaricare ed eseguire Microsoft Defender per endpoint Analizzatore client. Per altre informazioni, vedere Eseguire l'analizzatore client in macOS o Linux. - Raccogliere i dati di diagnostica usando lo strumento Analizzatore client. - Aprire un caso di supporto CSS con Microsoft. Per altre informazioni, vedere Caso di supporto per la sicurezza CSS. |
wdavdaemon edr | N/D | Motore EDR | Il diagramma seguente illustra il flusso di lavoro e i passaggi per risolvere i problemi di wdavedaemon_edr processo. Linee guida generali per la risoluzione dei problemi - Se sono presenti app/script interni o un'app/script di terze parti legittima che viene contrassegnata, i ricercatori di sicurezza Microsoft analizzano i file sospetti per determinare se si tratta di minacce, applicazioni indesiderate o file normali. Inviare file che si ritiene siano malware o file che si ritiene siano erroneamente classificati come malware usando l'esperienza di invio unificato (per altre informazioni, vedere Esperienza di invio unificato) o Invii di file. - Vedere risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux. - Scaricare ed eseguire Microsoft Defender per endpoint Analizzatore client. Per altre informazioni, vedere Eseguire l'analizzatore client in macOS o Linux. - Raccogliere i dati di diagnostica usando lo strumento Analizzatore client. - Aprire un caso di supporto CSS con Microsoft. Per altre informazioni, vedere Caso di supporto per la sicurezza CSS. |
mdatp_audisp_plugin | Framework di controllo | Inserimento del log di controllo | Vedere Risolvere i problemi di prestazioni auditD con Microsoft Defender per endpoint in Linux. |
22. Disinstallare la soluzione non Microsoft
Se a questo punto si dispone di:
- È stato caricato i dispositivi dell'organizzazione in Defender per endpoint e
- Microsoft Defender Antivirus è installato e abilitato,
Il passaggio successivo consiste quindi nel disinstallare la soluzione antivirus, antimalware ed endpoint protection non Microsoft. Quando si disinstalla la soluzione non Microsoft, assicurarsi di aggiornare la configurazione per passare dalla modalità passiva a attiva se si imposta Defender per endpoint sulla modalità passiva durante l'installazione o la configurazione.
Risorse di diagnostica e risoluzione dei problemi
- Risolvere i problemi di installazione di Microsoft Defender per endpoint in Linux.
- Identificare dove trovare i log dettagliati per i problemi di installazione.
- Procedura di risoluzione dei problemi per gli ambienti senza proxy o con proxy trasparente.
- Procedura di risoluzione dei problemi per gli ambienti con proxy statico.
- Raccogliere informazioni di diagnostica.
- Disinstallare Defender per endpoint in Linux.
- Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.
- Risolvere i problemi di prestazioni auditD con Microsoft Defender per endpoint in Linux.
Funzionalità avanzate di Microsoft Defender per endpoint
Funzionalità avanzate del motore antimalware in Linux e macOS
Aumentare la protezione del patrimonio Linux con il monitoraggio del comportamento
Nota
La funzionalità di monitoraggio del comportamento integra le funzionalità avanzate basate sul contenuto esistenti, tuttavia è consigliabile valutare attentamente questa funzionalità nell'ambiente prima di distribuirla a livello generale, poiché l'abilitazione del monitoraggio comportamentale usa più risorse e può causare problemi di prestazioni.
Introduzione alla nuova esperienza di eliminazione degli avvisi
Riferimenti
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.