次の方法で共有


Linux 用 Microsoft Defender for Endpoint

ヒント

Linux 上のMicrosoft Defender for Endpointが ARM64 ベースの Linux サーバーのサポートをプレビュー段階で拡張したことを共有することに興奮しています。 詳細については、ARM64 ベースのデバイス (プレビュー) 用の Linux 上のMicrosoft Defender for Endpointに関するページを参照してください。

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、Linux 上でMicrosoft Defender for Endpointをインストール、構成、更新、および使用する方法について説明します。

注意

Linux でMicrosoft Defender for Endpointと共に Microsoft 以外のエンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、 パッシブ モードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

Linux にMicrosoft Defender for Endpointをインストールする方法

Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。

前提条件

  • Microsoft Defender ポータルへのアクセス
  • systemdシステム マネージャーを使用した Linux ディストリビューション
  • Linux および BASH スクリプトの初心者レベルのエクスペリエンス
  • デバイスの管理特権 (手動展開の場合)

注:

システム マネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。 Linux エージェント上のMicrosoft Defender for Endpointは、Operation Management Suite (OMS) エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリ パイプラインに依存しています。

システム要件

  • CPU: 最小 1 CPU コア。 パフォーマンスの高いワークロードの場合は、より多くのコアを使用することをお勧めします。

  • ディスク領域: 2 GB 以上。 パフォーマンスの高いワークロードの場合は、より多くのディスク領域が必要になる場合があります。

  • メモリ: 1 GB 以上の RAM。 パフォーマンスの高いワークロードの場合は、より多くのメモリが必要になる場合があります。

    注:

    ワークロードに基づいてパフォーマンスチューニングが必要になる場合があります。 Linux でのMicrosoft Defender for Endpointのパフォーマンスの問題のトラブルシューティングに関するページを参照してください。

  • 次の Linux サーバーディストリビューションと x64 (AMD64/EM64T) バージョンがサポートされています。

    • Red Hat Enterprise Linux 7.2 以上
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 以上
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 以上
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • ロッキー 8.7 以上
    • ロッキー 9.2 以上
    • アルマ8.4以降
    • アルマ9.2以降
    • マリナー 2
  • ARM64 の次の Linux サーバーディストリビューションがプレビューでサポートされるようになりました。

    • Ubuntu 20.04 ARM64
    • Ubuntu 22.04 ARM64
    • Amazon Linux 2 ARM64
    • Amazon Linux 2023 ARM64

    重要

    ARM64 ベースの Linux デバイスの Linux でのMicrosoft Defender for Endpointのサポートがプレビュー段階になりました。 詳細については、ARM64 ベースのデバイス (プレビュー) 用の Linux 上のMicrosoft Defender for Endpointに関するページを参照してください。

    注:

    これらのディストリビューションのワークステーション バージョンはサポートされていません。 明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。 新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。 現時点では、ロッキーとアルマのディストリビューションはMicrosoft Defender 脆弱性の管理ではサポートされていません。 他のすべてのサポートされているディストリビューションとバージョンのMicrosoft Defender for Endpointは、カーネル バージョンに依存しません。 カーネル バージョンが 3.10.0-327 以降であることの最小要件。

    注意

    Linux 上で Defender for Endpoint を他の fanotifyベースのセキュリティ ソリューションと並行して実行することはサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。 fanotifyをブロッキング・モードで使用する他のアプリケーションがシステム上にある場合は、mdatp healthコマンド出力のconflicting_applications・フィールドにアプリケーションがリストされます。 Linux FAPolicyD 機能はブロック モードで fanotify を使用するため、アクティブ モードで Defender for Endpoint を実行する場合はサポートされません。 ウイルス対策機能リアルタイム保護を パッシブ モードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

  • RTP、クイック、フル、カスタム スキャンでサポートされているファイルシステムの一覧。

RTP、クイック、フル スキャン カスタム スキャン
btrfs RTP、クイック、フル スキャンでサポートされているすべてのファイルシステム
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3 のみ) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

注:

バージョン 101.24082.0004以降、Defender for Endpoint on Linux では、 Auditd イベント プロバイダーはサポートされなくなりました。 私たちは、より効率的な拡張されたバークレーパケットフィルタ(eBPF)技術に完全に移行しています。 eBPF がマシンでサポートされていない場合、または Auditd に残す特定の要件があり、マシンで Defender for Endpoint on Linux バージョン 101.24072.0001 以下を使用している場合は、システムで監査フレームワーク (auditd) を有効にする必要があります。 Auditd を使用している場合は、 /etc/audit/rules.d/ に追加されたルールによってキャプチャされたシステム イベントが audit.logに追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上のMicrosoft Defender for Endpointによって追加されたイベントには、mdatp キーでタグが付けられます。

インストール手順

Linux にMicrosoft Defender for Endpointをインストールして構成するために使用できる方法とデプロイ ツールがいくつかあります。 開始する前に、Microsoft Defender for Endpointの最小要件が満たされていることを確認します。

Linux にMicrosoft Defender for Endpointをデプロイするには、次のいずれかの方法を使用できます。

インストールエラーが発生した場合は、「Microsoft Defender for Endpoint on Linux でのインストールエラーのトラブルシューティング」を参照してください。

重要

既定のインストール パス以外の場所へのMicrosoft Defender for Endpointのインストールはサポートされていません。 Linux 上のMicrosoft Defender for Endpointは、ランダムな UID と GID を持つmdatp ユーザーを作成します。 UID と GID を制御する場合は、/usr/sbin/nologin シェル オプションを使用してインストールする前にmdatp ユーザーを作成します。 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。

外部パッケージの依存関係

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。 mdatp パッケージには、次の外部パッケージの依存関係があります。

  • mdatp RPM パッケージには、 glibc >= 2.17policycoreutilsselinux-policy-targeted、および mde-netfilter
  • RHEL6 の場合、mdatp RPM パッケージには、 policycoreutilslibselinux、および mde-netfilter
  • DEBIAN の場合、mdatp パッケージには libc6 >= 2.23uuid-runtime、および mde-netfilter

注:

バージョン 101.24082.0004以降、Defender for Endpoint on Linux では、 Auditd イベント プロバイダーはサポートされなくなりました。 私たちは、より効率的なeBPF技術に完全に移行しています。 eBPF がマシンでサポートされていない場合、または Auditd に残す特定の要件があり、マシンで Defender for Endpoint on Linux バージョン 101.24072.0001 以前を使用している場合は、mdatp に対して監査済みパッケージに次の追加の依存関係が存在します。

  • mdatp RPM パッケージには、 auditsemanageが必要です。
  • DEBIAN の場合、mdatp パッケージには auditdが必要です。
  • Mariner の場合、mdatp パッケージには auditが必要です。

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

  • DEBIAN の場合、mde-netfilter パッケージには libnetfilter-queue1が必要です。 libglib2.0-0
  • RPM の場合、mde-netfilter パッケージには、 libmnllibnfnetlinklibnetfilter_queue、および glib2

除外の構成

Microsoft Defenderウイルス対策に除外を追加する場合は、Microsoft Defenderウイルス対策の一般的な除外の間違いを念頭に置く必要があります。

ネットワーク接続

デバイスからクラウド サービスへの接続が可能であることを確認Microsoft Defender for Endpoint。 環境を準備するには、「 手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。

Linux 上の Defender for Endpoint は、次の検出方法を使用してプロキシ サーバー経由で接続できます。

  • 透過プロキシ
  • 手動の静的プロキシ構成

プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。 透過的プロキシの場合、Defender for Endpoint に別の構成は必要ありません。 静的プロキシの場合は、「 手動静的プロキシ構成」の手順に従います。

警告

PAC、WPAD、認証済みプロキシはサポートされていません。 静的プロキシまたは透過的プロキシのみが使用されていることを確認します。 セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。 インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシ サーバーの例外を構成します。 インターセプト証明書をグローバル ストアに追加しても、インターセプトは許可されません。

トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。

Linux でMicrosoft Defender for Endpointを更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには、「Linux にMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。

Linux 用 Microsoft Defender for Endpoint の構成方法

エンタープライズ環境で製品を構成する方法のガイダンスについては、「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

Microsoft Defender for Endpointする一般的なアプリケーションが影響を与える可能性がある

特定のアプリケーションの I/O ワークロードが高い場合、Microsoft Defender for Endpointのインストール時にパフォーマンスの問題が発生する可能性があります。 このような開発者シナリオのアプリケーションには、Jenkins と Jira、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定し、Microsoft Defenderウイルス対策に関する一般的な除外の間違いを念頭に置いて検討してください。 詳細なガイダンスについては、Microsoft 以外のアプリケーションからのウイルス対策の除外に関するコンサルティング ドキュメントを検討してください。

リソース

  • ログ記録、アンインストール、またはその他の記事の詳細については、「 リソース」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。