Microsoft Defender per endpoint su Linux

Consiglio

Siamo lieti di condividere che Microsoft Defender per endpoint in Linux ora estende il supporto per i server Linux basati su ARM64 in anteprima. Per altre informazioni, vedere Microsoft Defender per endpoint in Linux per dispositivi basati su ARM64 (anteprima).

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo articolo descrive come installare, configurare, aggiornare e usare Microsoft Defender per endpoint in Linux.

Attenzione

L'esecuzione di altri prodotti di endpoint protection non Microsoft insieme a Microsoft Defender per endpoint in Linux potrebbe causare problemi di prestazioni ed effetti collaterali imprevedibili. Se la protezione degli endpoint non Microsoft è un requisito assoluto nell'ambiente, è comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus per l'esecuzione in modalità passiva.

Come installare Microsoft Defender per endpoint in Linux

Microsoft Defender per endpoint per Linux include funzionalità di rilevamento e risposta di endpoint e antimalware.

Prerequisiti

• Accesso al portale di Microsoft Defender
• Distribuzione linux tramite system manager
• Esperienza di livello principiante negli script Linux e BASH
• Privilegi amministrativi nel dispositivo (per la distribuzione manuale)

Nota

La distribuzione linux tramite System Manager supporta sia SystemV che Upstart. Microsoft Defender per endpoint agente Linux è indipendente dall'agente di Operation Management Suite (OMS). Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.

Requisiti di sistema

• CPU: minimo 1 core CPU. Per carichi di lavoro a prestazioni elevate, sono consigliati più core.

• Spazio su disco: minimo 2 GB. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessario più spazio su disco.

• Memoria: almeno 1 GB di RAM. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessaria una maggiore quantità di memoria.

  Nota

  L'ottimizzazione delle prestazioni potrebbe essere necessaria in base ai carichi di lavoro. Vedere Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.

• Sono supportate le seguenti distribuzioni del server Linux e le versioni x64 (AMD64/EM64T):

  • Red Hat Enterprise Linux 7.2 o versione successiva
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 o versione successiva
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 o versione successiva
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 e versioni successive
  • Rocky 9.2 e versioni successive
  • Alma 8.4 e versioni successive
  • Alma 9.2 e versioni successive
  • Mariner 2

• Le distribuzioni del server Linux seguenti in ARM64 sono ora supportate in anteprima:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Importante

  Il supporto per Microsoft Defender per endpoint in Linux per dispositivi Linux basati su ARM64 è ora disponibile in anteprima. Per altre informazioni, vedere Microsoft Defender per endpoint in Linux per dispositivi basati su ARM64 (anteprima).

  Nota

  Le versioni delle workstation di queste distribuzioni non sono supportate. Le distribuzioni e le versioni non elencate in modo esplicito non sono supportate, anche se derivano dalle distribuzioni supportate ufficialmente. Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico. Attualmente, le distribuzioni Rocky e Alma non sono supportate in Gestione delle vulnerabilità di Microsoft Defender. Microsoft Defender per endpoint per tutte le altre distribuzioni e versioni supportate è indipendente dalla versione del kernel. Il requisito minimo per la versione del kernel deve essere 3.10.0-327 o versione successiva.

  Attenzione

  L'esecuzione di Defender per endpoint in Linux affiancata ad altre fanotifysoluzioni di sicurezza basate su non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usano fanotify in modalità di blocco, le conflicting_applications applicazioni vengono elencate nel campo dell'output del mdatp health comando. La funzionalità FAPolicyD di Linux usa fanotify in modalità di blocco ed è pertanto non supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva.

• Elenco dei file system supportati per RTP, Quick, Full e Custom Scan.

RTP, veloce, analisi completa	Analisi personalizzata
btrfs	Tutti i file system supportati per RTP, Quick, Full Scan
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
fuse	glustrefs
fuseblk	Afs
jfs	sshfs
nfs (solo v3)	cifs
overlay	smb
ramfs	gcsfuse
reiserfs	sysfs
tmpfs
udf
vfat
xfs

Nota

A partire dalla versione 101.24082.0004, Defender per endpoint in Linux non supporta più il Auditd provider di eventi. Stiamo passando completamente alla tecnologia eBPF (Berkeley Packet Filter) estesa più efficiente. Se eBPF non è supportato nei computer o se sono presenti requisiti specifici per rimanere in Auditd e i computer usano Defender per endpoint nella versione 101.24072.0001 linux o inferiore, è necessario abilitare Il framework di controllo (auditd) nel sistema. Se si usa Auditd, gli eventi di sistema acquisiti dalle regole aggiunte ad aggiunte a /etc/audit/rules.d/audit.log(s) e potrebbero influire sul controllo host e sulla raccolta upstream. Gli eventi aggiunti da Microsoft Defender per endpoint in Linux vengono contrassegnati con la mdatp chiave .

• /opt/microsoft/mdatp/sbin/wdavdaemon richiede l'autorizzazione eseguibile. Per altre informazioni, vedere "Verificare che il daemon disponga dell'autorizzazione eseguibile" in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

Istruzioni di installazione

Esistono diversi metodi e strumenti di distribuzione che è possibile usare per installare e configurare Microsoft Defender per endpoint in Linux. Prima di iniziare, verificare che siano soddisfatti i requisiti minimi per Microsoft Defender per endpoint.

È possibile usare uno dei metodi seguenti per distribuire Microsoft Defender per endpoint in Linux:

• Per usare lo strumento da riga di comando, vedere Distribuzione manuale
• Per usare Puppet, vedere Distribuire usando lo strumento di gestione della configurazione puppet
• Per usare Ansible, vedere Distribuire usando lo strumento di gestione della configurazione di Ansible
• Per usare Chef, vedere Distribuire usando lo strumento di gestione della configurazione chef
• Per usare Saltstack, vedere Distribuire usando lo strumento di gestione della configurazione Saltstack
• Per installare nei server Linux basati su ARM64, vedere Microsoft Defender per endpoint in Linux per i dispositivi basati su ARM64 (anteprima).

Se si verificano errori di installazione, vedere Risoluzione degli errori di installazione in Microsoft Defender per endpoint in Linux.

Importante

L'installazione di Microsoft Defender per endpoint in qualsiasi percorso diverso dal percorso di installazione predefinito non è supportata. Microsoft Defender per endpoint in Linux crea un mdatp utente con UID e GID casuali. Per controllare uid e GID, creare un mdatp utente prima dell'installazione usando l'opzione shell /usr/sbin/nologin . Ecco un esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Dipendenza del pacchetto esterno

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti. Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

• Il pacchetto RPM mdatp richiede glibc >= 2.17, policycoreutils, selinux-policy-targetede mde-netfilter
• Per RHEL6 il pacchetto RPM mdatp richiede policycoreutils, libselinuxe mde-netfilter
• Per DEBIAN il pacchetto mdatp richiede libc6 >= 2.23, uuid-runtimee mde-netfilter

Nota

A partire dalla versione 101.24082.0004, Defender per endpoint in Linux non supporta più il Auditd provider di eventi. Stiamo passando completamente alla tecnologia eBPF più efficiente. Se eBPF non è supportato nei computer o se sono presenti requisiti specifici da mantenere in Auditd e i computer usano Defender per endpoint nella versione 101.24072.0001 linux o meno recente, esiste la dipendenza aggiuntiva seguente dal pacchetto controllato per mdatp:

• Il pacchetto RPM mdatp richiede audit, semanage.
• Per DEBIAN, il pacchetto mdatp richiede auditd.
• Per Mariner, il pacchetto mdatp richiede audit.

Ilmde-netfilter pacchetto presenta anche le dipendenze del pacchetto seguenti:

• Per DEBIAN, il pacchetto mde-netfilter richiede libnetfilter-queue1, e libglib2.0-0
• Per RPM, il pacchetto mde-netfilter richiede libmnl, libnfnetlink, libnetfilter_queuee glib2

Configurazione delle esclusioni

Quando si aggiungono esclusioni a Microsoft Defender Antivirus, è consigliabile tenere presente gli errori di esclusione comuni per Microsoft Defender Antivirus.

Connessioni di rete

Assicurarsi che la connettività sia possibile dai dispositivi ai servizi cloud Microsoft Defender per endpoint. Per preparare l'ambiente, vedere PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.

Defender per endpoint in Linux può connettersi tramite un server proxy usando i metodi di individuazione seguenti:

• Proxy trasparente
• Configurazione manuale del proxy statico

Se un proxy o un firewall blocca il traffico anonimo, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza. Per i proxy trasparenti, non è necessaria un'altra configurazione per Defender per endpoint. Per il proxy statico, seguire la procedura descritta in Configurazione manuale del proxy statico.

Avviso

Pac, WPAD e proxy autenticati non sono supportati. Assicurarsi che venga usato solo un proxy statico o un proxy trasparente. Anche i proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per passare direttamente i dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non consente l'intercettazione.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

Come aggiornare Microsoft Defender per endpoint in Linux

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Come configurare Microsoft Defender per endpoint su Linux

Le indicazioni su come configurare il prodotto negli ambienti aziendali sono disponibili in Impostare le preferenze per Microsoft Defender per endpoint in Linux.

Le applicazioni comuni da Microsoft Defender per endpoint possono influire

I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Tali applicazioni per scenari di sviluppo includono Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili, tenendo presenti gli errori di esclusione comuni per Microsoft Defender Antivirus. Per altre indicazioni, prendere in considerazione la documentazione di consulenza relativa alle esclusioni antivirus da applicazioni non Microsoft.

Risorse

• Per altre informazioni sulla registrazione, la disinstallazione o altri articoli, vedere Risorse.

Articoli correlati

• Proteggere gli endpoint con la soluzione EDR integrata di Defender per cloud: Microsoft Defender per endpoint
• Connettere i computer non Azure a Microsoft Defender per il cloud
• Attivare la protezione di rete per Linux

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.