Microsoft Defender per endpoint su Linux
Si applica a:
- Microsoft Defender per endpoint per i server
- Microsoft Defender per server Piano 1 o Piano 2
Consiglio
Siamo lieti di condividere che Microsoft Defender per endpoint in Linux estende ora il supporto ai server Linux basati su Arm64 in anteprima. Per altre informazioni, vedere Microsoft Defender per endpoint in Linux per dispositivi basati su Arm64 (anteprima).
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Che cos'è Microsoft Defender per endpoint in Linux?
Microsoft Defender per endpoint è una piattaforma completa di sicurezza degli endpoint aziendali progettata per aiutare le organizzazioni a prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Protegge un'ampia gamma di dispositivi, tra cui computer client Windows e Mac, server Windows e Linux, nonché dispositivi mobili iOS e Android.
La tabella seguente descrive le funzionalità in Defender per endpoint:
Categoria | Descrizione |
---|---|
Gestione della postura | Defender per endpoint combina l'individuazione degli asset & il monitoraggio, la gestione delle vulnerabilità basata sui rischi e la definizione intelligente delle priorità, la correzione e il rilevamento per gestire e proteggere in modo efficace i server Linux. Con un'unica esperienza di riquadro, il team di sicurezza ottiene una visione completa del punteggio di esposizione, delle raccomandazioni, delle correzioni, degli inventari e altro ancora dell'organizzazione. |
Protezione dalle minacce | Defender per endpoint include la protezione antivirus di nuova generazione che usa modelli di Machine Learning basati sul cloud & locali, analisi del comportamento ed euristica. La protezione cloud offre il rilevamento quasi istantaneo e il blocco delle minacce nuove/emergenti. Si ottiene una protezione continua dedicata con informazioni di sicurezza regolari e aggiornamenti dei prodotti. È anche possibile analizzare e definire i criteri per gli indicatori di compromissione basati su IP e URL dei clienti. |
Rilevamento endpoint e risposta | Defender per endpoint usa l'intelligenza artificiale e l'analisi avanzata per rilevare e rispondere a minacce vicine al tempo reale. Nel portale di Microsoft Defender è disponibile una posizione centrale per visualizzare i rilevamenti nella suite di Microsoft Defender e nei dispositivi dell'organizzazione. È possibile usare la ricerca avanzata per visualizzare i dati non elaborati e ottenere maggiori informazioni sugli eventi di rete. Le azioni di risposta sono disponibili per agire rapidamente e agilmente sugli avvisi di sicurezza. |
Gestione e operazioni semplificate | Defender per endpoint offre un'ampia copertura in un'ampia gamma di distribuzioni Linux, semplificando al contempo le operazioni per il team di sicurezza. È possibile gestire i criteri e le impostazioni di sicurezza nel portale di Microsoft Defender e pianificare i cicli di aggiornamento in anticipo, supportando al tempo stesso i server Linux in cui si trovano, con opzioni offline e multicloud. |
Scalabilità, prestazioni e affidabilità di livello aziendale | Microsoft Defender per endpoint garantisce prestazioni stabili e durevoli con un framework di sensori avanzato che funziona senza moduli kernel e integra eBPF per la stabilità operativa. Defender per endpoint si integra perfettamente con la suite di Microsoft Defender più ampia, offrendo estendibilità tramite l'integrazione api, i connettori SIEM, il supporto di Power BI, il controllo degli accessi in base al ruolo e il supporto mspp. |
Licenze server
Per distribuire Defender per endpoint nei server, sono necessarie licenze server. È possibile scegliere tra queste opzioni:
- Microsoft Defender per server piano 1 o piano 2 come parte di Defender per cloud (consigliato); o
- Microsoft Defender per endpoint per i server
Vedere Condizioni del prodotto: Microsoft Defender per endpoint
Distribuire e configurare criteri per Defender per endpoint in Linux
Esistono diversi metodi e strumenti che è possibile usare per distribuire Microsoft Defender per endpoint in Linux:
- Distribuzione basata su script del programma di installazione
- Distribuzione basata su ansible
- Distribuzione basata su Chef
- Distribuzione basata su puppet
- Distribuzione basata su SaltStack
- Distribuzione manuale
- Onboarding diretto con Defender per cloud
- Per i server Linux basati su Arm64, vedere Microsoft Defender per endpoint in Linux per i dispositivi basati su Arm64 (anteprima)
- Per Il server Linux con SAP, vedere Linee guida per la distribuzione di Defender per endpoint in Server Linux con SAP
Importante
L'installazione di Microsoft Defender per endpoint in qualsiasi percorso diverso dal percorso di installazione predefinito non è supportata. In Linux Microsoft Defender per endpoint crea un utente mdatp con valori UID e GID casuali. Per controllare questi valori, creare un utente mdatp prima dell'installazione usando l'opzione della shell /usr/sbin/nologin. Ecco un esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Risolvere i problemi di installazione
Se si verificano problemi di installazione, per la risoluzione automatica dei problemi, seguire questa procedura:
Per informazioni su come trovare il log generato automaticamente quando si verifica un errore di installazione, vedere Problemi di installazione del log.
Per informazioni sui problemi di installazione comuni, vedere Problemi di installazione.
Se l'integrità del dispositivo è
false
, vedere Problemi di integrità dell'agente di Defender per endpoint.Per i problemi di prestazioni del prodotto, vedere Risolvere i problemi di prestazioni.
Per i problemi di proxy e connettività, vedere Risolvere i problemi di connettività cloud.
Per ottenere supporto da Microsoft, aprire un ticket di supporto e fornire i file di log creati usando l'analizzatore client.
Configurare i criteri per Defender per endpoint in Linux
Per configurare Defender per endpoint in Linux, è possibile scegliere tra due opzioni per configurare i criteri:
- Eseguire la registrazione nella gestione delle impostazioni di sicurezza di Defender per endpoint e usare il portale di Microsoft Defender per configurare e gestire i criteri
- Configurare un profilo di configurazione che usa un file json
Per altre informazioni, vedere Configurare le impostazioni e i criteri di sicurezza per Defender per endpoint in Linux.
Aggiornamenti software
Microsoft pubblica gli aggiornamenti software per Defender per endpoint in Linux per migliorare le prestazioni, migliorare la sicurezza e offrire nuove funzionalità. Gli aggiornamenti software vengono rilasciati su base mensile, dopo i test e la verifica. In alcuni casi, possono essere necessari più di 30 giorni tra le versioni. Per altre informazioni, vedere Novità di Defender per endpoint in Linux
Ogni versione di Defender per endpoint in Linux è impostata per la scadenza automatica dopo nove mesi. È consigliabile usare le versioni correnti per ottenere miglioramenti e correzioni disponibili. Per altre informazioni, vedere Come distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux
Report sull'integrità dei dispositivi
Il report Integrità dispositivi fornisce informazioni sullo stato antivirus dei server Linux, inclusi dettagli come la modalità antivirus, i risultati dell'analisi, la versione della piattaforma, la versione del motore antivirus e la versione di Security Intelligence.
È possibile accedere a queste informazioni tramite il portale o tramite API. Per altre informazioni, vedere gli articoli seguenti:
- Report sull'integrità dei dispositivi in Microsoft Defender per endpoint
- Microsoft Defender Antivirus export device antivirus health details API methods and properties
Azioni di risposta e risposta dinamica
Il team delle operazioni di sicurezza può connettersi in remoto a un dispositivo ed eseguire varie azioni di risposta, ad esempio l'esecuzione di un'analisi antivirus, l'isolamento del dispositivo e la raccolta di pacchetti di indagine.
Inoltre, possono usare la risposta dinamica per una connessione shell remota per eseguire un'indagine approfondita. Per altre informazioni, vedere gli articoli seguenti:
- Intraprendere azioni di risposta su un dispositivo
- Analizzare le entità nei dispositivi usando la risposta in tempo reale
Privacy
Microsoft si impegna a fornire le informazioni e i controlli necessari per scegliere come raccogliere e usare i dati quando si usa Defender per endpoint in Linux.
Per altre informazioni, vedere Privacy per Microsoft Defender per endpoint in Linux.
Applicazioni comuni che influiscono su Defender per endpoint
I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Tali applicazioni per scenari di sviluppo includono Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili. Fare inoltre riferimento ai seguenti articoli:
- Configurare e convalidare le esclusioni per Defender per endpoint in Linux
- Esaminare gli errori di esclusione comuni per Microsoft Defender Antivirus
Se si usano applicazioni non Microsoft, vedere anche la documentazione relativa alle esclusioni antivirus.
Passaggi successivi
- Esaminare i prerequisiti per Defender per endpoint in Linux
- Distribuire Defender per endpoint in Linux
- Configurare Defender per endpoint in Linux
- Distribuire gli aggiornamenti per Defender per endpoint in Linux
- Eseguire l'analizzatore client in Linux
Vedere anche
- Usare Microsoft Defender per endpoint Gestione impostazioni di sicurezza per gestire Microsoft Defender Antivirus
- Risorse Linux
- Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux
- Esaminare i problemi di integrità dell'agente
- Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux
- Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux
Consiglio
Per saperne di più, Engage con la community microsoft security nella community tecnica: Microsoft Defender per endpoint Tech Community