Linux 用 Microsoft Defender for Endpoint

適用対象:

• サーバーのMicrosoft Defender for Endpoint
• サーバープラン 1 またはプラン 2 のMicrosoft Defender

ヒント

Linux 上のMicrosoft Defender for Endpointがプレビュー段階で Arm64 ベースの Linux サーバーにサポートを拡張したことを共有することに興奮しています。 詳細については、「Linux での Arm64 ベースのデバイスのMicrosoft Defender for Endpoint (プレビュー)」を参照してください。

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Linux でのMicrosoft Defender for Endpointとは

Microsoft Defender for Endpointは、組織が高度な脅威を防止、検出、調査、対応できるように設計された包括的なエンタープライズ エンドポイント セキュリティ プラットフォームです。 Windows および Mac クライアント コンピューター、Windows および Linux サーバー、iOS および Android モバイル デバイスなど、さまざまなデバイスを保護します。

次の表では、Defender for Endpoint の機能について説明します。

カテゴリ	説明
ポスチャ管理	Defender for Endpoint は、資産検出 & 監視、リスクベースの脆弱性管理とインテリジェントな優先順位付け、修復、追跡を組み合わせて、Linux サーバーを効果的に管理およびセキュリティで保護します。 1 つのウィンドウ オブ グラス エクスペリエンスにより、セキュリティ チームは、organizationの露出スコア、推奨事項、修復、インベントリなどを包括的に確認できます。
脅威に対する保護	Defender for Endpoint には、ローカル & クラウドベースの機械学習モデル、動作分析、ヒューリスティックを使用した次世代のウイルス対策保護が含まれています。 クラウド保護は、ほぼ瞬時に検出され、新たに生じる脅威のブロックを提供します。 定期的なセキュリティ インテリジェンスと製品更新プログラムを使用して、専用の継続的な保護を提供します。 また、顧客の IP ベースと URL ベースの侵害インジケーターのポリシーを調査して定義することもできます。
エンドポイントの検出および応答	Defender for Endpoint では、AI と高度な分析を使用して、リアルタイムに近い脅威を検出して対応します。 Microsoft Defender ポータルには、Microsoft Defender スイートとorganizationのデバイス全体の検出を表示するための中心的な場所があります。 高度なハンティングを使用して生データを表示し、ネットワーク イベントに関するより多くの洞察を得ることができます。 応答アクションを使用すると、セキュリティ アラートに対して迅速かつ迅速に対処できます。
管理と運用の合理化	Defender for Endpoint では、セキュリティ チームの運用を容易にしながら、幅広い Linux ディストリビューションにわたって幅広い範囲を提供します。 Microsoft Defender ポータルでセキュリティ ポリシーと設定を管理し、オフラインとマルチクラウドのオプションを使用して Linux サーバーをサポートしながら、更新サイクルを事前に計画できます。
エンタープライズ レベルのスケール、パフォーマンス、信頼性	Microsoft Defender for Endpointは、カーネル モジュールなしで動作し、運用安定性のために eBPF を統合する豊富なセンサー フレームワークを使用して、安定した耐久性のあるパフォーマンスを保証します。 Defender for Endpoint は、大規模なMicrosoft Defender スイートとシームレスに統合され、API 統合、SIEM コネクタ、Power BI サポート、ロールベースのアクセス制御 (RBAC)、MSPP サポートを通じて拡張性を提供します。

サーバー ライセンス

サーバーに Defender for Endpoint を展開するには、サーバー ライセンスが必要です。 次のオプションから選択できます。

• Defender for Cloud の一部としてのサーバー プラン 1 またはプラン 2 のMicrosoft Defender (推奨) または
• サーバーのMicrosoft Defender for Endpoint

「製品の使用条件: Microsoft Defender for Endpoint」を参照してください

Linux 上の Defender for Endpoint のポリシーを展開して構成する

Linux にMicrosoft Defender for Endpointをデプロイするために使用できる方法とツールがいくつかあります。

• インストーラー スクリプト ベースのデプロイ
• Ansible ベースの展開
• Chef ベースの展開
• Puppet ベースの展開
• SaltStack ベースのデプロイ
• 手動展開
• Defender for Cloud を使用した直接オンボード
• Arm64 ベースの Linux サーバーについては、「Linux 上の arm64 ベースのデバイス用のMicrosoft Defender for Endpoint (プレビュー)」を参照してください。
• SAP を使用した Linux Server については、「Sap を使用した Linux Server 上の Defender for Endpoint のデプロイ ガイダンス」を参照してください。

重要

既定のインストール パス以外の場所へのMicrosoft Defender for Endpointのインストールはサポートされていません。 Linux では、Microsoft Defender for Endpointはランダムな UID と GID 値を持つ mdatp ユーザーを作成します。 これらの値を制御する場合は、/usr/sbin/nologin シェル オプションを使用してインストールする前に mdatp ユーザーを作成します。 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。

インストールに関する問題のトラブルシューティング

インストールの問題が発生した場合は、自己トラブルシューティングのために、次の手順に従います。

1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

3. デバイスの正常性が falseされている場合は、「 Defender for Endpoint エージェントの正常性に関する問題」を参照してください。

4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。

Linux 上の Defender for Endpoint のポリシーを構成する

Linux 上で Defender for Endpoint を構成するには、次の 2 つのオプションからポリシーを構成できます。

• Defender for Endpoint セキュリティ設定管理に登録し、Microsoft Defender ポータルを使用してポリシーを構成および管理する
• json ファイルを使用する構成プロファイルを設定する

詳細については、「 Linux 上の Defender for Endpoint のセキュリティ設定とポリシーを構成する」を参照してください。

ソフトウェア更新プログラム

Microsoft は、パフォーマンスの向上、セキュリティの向上、新機能の提供を行うために、Defender for Endpoint on Linux 用のソフトウェア更新プログラムを公開しています。 ソフトウェア更新プログラムは、テストと検証に続いて、毎月リリースされます。 場合によっては、リリース間に 30 日以上かかる場合があります。 詳細については、「Linux 上の Defender for Endpoint の新機能」を参照してください。

Linux 上の Defender for Endpoint の各バージョンは、9 か月後に自動的に期限切れに設定されます。 利用可能な拡張機能と修正プログラムを取得できるように、現在のバージョンを使用することをお勧めします。 詳細については、「Linux でMicrosoft Defender for Endpointの更新プログラムをデプロイする方法」を参照してください。

デバイス正常性レポート

Device Health レポートには、ウイルス対策モード、スキャン結果、プラットフォームのバージョン、ウイルス対策エンジンのバージョン、セキュリティ インテリジェンスのバージョンなどの詳細など、Linux サーバーのウイルス対策状態に関する情報が表示されます。

この情報には、ポータルまたは API を使用してアクセスできます。 詳細については、次の記事を参照してください。

• Microsoft Defender for Endpointのデバイス正常性レポート
• Microsoft Defender ウイルス対策エクスポート デバイス ウイルス対策の正常性の詳細 API メソッドとプロパティ

応答アクションとライブ応答

セキュリティ運用チームは、デバイスにリモート接続し、ウイルス対策スキャンの実行、デバイスの分離、調査パッケージの収集など、さまざまな応答アクションを実行できます。

さらに、リモート シェル接続にライブ応答を使用して、詳細な調査作業を実行できます。 詳細については、次の記事を参照してください。

• デバイスの対応措置を講じる
• ライブ応答を使用してデバイス上のエンティティを調査する

プライバシー

Microsoft は、Linux 上で Defender for Endpoint を使用している場合にデータを収集および使用する方法について選択するために必要な情報とコントロールを提供することにコミットしています。

詳細については、「Linux 上のMicrosoft Defender for Endpointのプライバシー」を参照してください。

Defender for Endpoint が影響を与える一般的なアプリケーション

特定のアプリケーションの I/O ワークロードが高い場合、Microsoft Defender for Endpointのインストール時にパフォーマンスの問題が発生する可能性があります。 このような開発者シナリオのアプリケーションには、Jenkins と Jira、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定することを検討してください。 次の記事をご覧ください。

• Linux 上の Defender for Endpoint の除外を構成して検証する
• Microsoft Defender ウイルス対策に関する一般的な除外の間違いを確認する

Microsoft 以外のアプリケーションを使用している場合は、ウイルス対策の除外に関するドキュメントも参照してください。

次の手順

• Linux 上の Defender for Endpoint の前提条件を確認する
• Linux に Defender for Endpoint をデプロイする
• Linux で Defender for Endpoint を構成する
• Linux 上の Defender for Endpoint の更新プログラムを展開する
• Linux でクライアント アナライザーを実行する

関連項目

• Microsoft Defender for Endpointセキュリティ設定管理を使用してウイルス対策Microsoft Defender管理する
• Linux リソース
• Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング
• エージェントの正常性に関する問題の調査
• Linux 上のMicrosoft Defender for Endpointに関するイベントまたはアラートの不足に関する問題のトラブルシューティング
• Linux でのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community の Microsoft セキュリティ コミュニティとのEngage