Linux 用 Microsoft Defender for Endpoint
ヒント
Linux 上のMicrosoft Defender for Endpointが ARM64 ベースの Linux サーバーのサポートをプレビュー段階で拡張したことを共有することに興奮しています。 詳細については、ARM64 ベースのデバイス (プレビュー) 用の Linux 上のMicrosoft Defender for Endpointに関するページを参照してください。
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
この記事では、Linux 上でMicrosoft Defender for Endpointをインストール、構成、更新、および使用する方法について説明します。
注意
Linux でMicrosoft Defender for Endpointと共に Microsoft 以外のエンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、 パッシブ モードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。
Linux にMicrosoft Defender for Endpointをインストールする方法
Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。
前提条件
- Microsoft Defender ポータルへのアクセス
- systemdシステム マネージャーを使用した Linux ディストリビューション
- Linux および BASH スクリプトの初心者レベルのエクスペリエンス
- デバイスの管理特権 (手動展開の場合)
注:
システム マネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。 Linux エージェント上のMicrosoft Defender for Endpointは、OMS エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリ パイプラインに依存しています。
システム要件
CPU: 最小 1 CPU コア。 パフォーマンスの高いワークロードの場合は、より多くのコアを使用することをお勧めします。
ディスク領域: 2 GB 以上。 パフォーマンスの高いワークロードの場合は、より多くのディスク領域が必要になる場合があります。
メモリ: 1 GB 以上の RAM。 パフォーマンスの高いワークロードの場合は、より多くのメモリが必要になる場合があります。
注:
ワークロードに基づいてパフォーマンスチューニングが必要になる場合があります。 Linux でのMicrosoft Defender for Endpointのパフォーマンスの問題のトラブルシューティングに関するページを参照してください。
次の Linux サーバーディストリビューションと x64 (AMD64/EM64T) とx86_64バージョンがサポートされています。
- Red Hat Enterprise Linux 7.2 以上
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 以上
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 以上
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- ロッキー 8.7 以上
- ロッキー 9.2 以上
- アルマ8.4以降
- アルマ9.2以降
- マリナー 2
ARM64 の次の Linux サーバーディストリビューションがプレビューでサポートされるようになりました。
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
重要
ARM64 ベースの Linux デバイスの Linux でのMicrosoft Defender for Endpointのサポートがプレビュー段階になりました。 詳細については、ARM64 ベースのデバイス (プレビュー) 用の Linux 上のMicrosoft Defender for Endpointに関するページを参照してください。
注:
明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。 新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。 現在、ロッキーとアルマではMicrosoft Defender 脆弱性の管理はサポートされていません。 サポートされているすべてのディストリビューションとバージョンのMicrosoft Defender for Endpointは、カーネル バージョンに依存しません。 カーネル バージョンが 3.10.0-327 以上である最小要件。
注意
Linux 上で Defender for Endpoint を他の
fanotify
ベースのセキュリティ ソリューションと並行して実行することはサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。fanotify
をブロッキング・モードで使用する他のアプリケーションがシステム上にある場合は、mdatp health
コマンド出力のconflicting_applications
・フィールドにアプリケーションがリストされます。 Linux FAPolicyD 機能はブロック モードでfanotify
を使用するため、アクティブ モードで Defender for Endpoint を実行する場合はサポートされません。 ウイルス対策機能リアルタイム保護を パッシブ モードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。RTP、クイック、フル、カスタム スキャンでサポートされているファイルシステムの一覧。
RTP、クイック、フル スキャン カスタム スキャン btrfs
RTP、クイック、フル スキャンでサポートされているすべてのファイルシステム ecryptfs
Efs
ext2
S3fs
ext3
Blobfuse
ext4
Lustr
fuse
glustrefs
fuseblk
Afs
jfs
sshfs
nfs
(v3 のみ)cifs
overlay
smb
ramfs
gcsfuse
reiserfs
sysfs
tmpfs
udf
vfat
xfs
プライマリ イベント プロバイダーとして auditd を使用している場合は、監査フレームワーク (
auditd
) を有効にする必要があります。注:
/etc/audit/rules.d/
に追加されたルールによってキャプチャされたシステム イベントは、audit.log
に追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上のMicrosoft Defender for Endpointによって追加されたイベントには、mdatp
キーが付けられます。/opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。 詳細については、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。
インストール手順
Linux にMicrosoft Defender for Endpointをインストールして構成するために使用できる方法とデプロイ ツールがいくつかあります。 開始する前に、Microsoft Defender for Endpointの最小要件が満たされていることを確認します。
Linux にMicrosoft Defender for Endpointをデプロイするには、次のいずれかの方法を使用できます。
- コマンド ライン ツールを使用するには、「手動デプロイ」を参照してください。
- Puppet を使用するには、「Puppet 構成管理ツールを使用してデプロイする」を参照してください。
- Ansible を使用するには、「Ansible 構成管理ツールを使用したデプロイ」を参照してください。
- Chef を使用するには、「Chef 構成管理ツールを使用してデプロイする」を参照してください。
- Saltstack を使用するには、「Saltstack 構成管理ツールを使用したデプロイ」を参照してください。
- ARM64 ベースの Linux サーバーにインストールするには、「Microsoft Defender for Endpoint on Linux for ARM64 ベースのデバイス (プレビュー)」を参照してください。
インストールエラーが発生した場合は、「Microsoft Defender for Endpoint on Linux でのインストールエラーのトラブルシューティング」を参照してください。
重要
既定のインストール パス以外の場所へのMicrosoft Defender for Endpointのインストールはサポートされていません。
Linux 上のMicrosoft Defender for Endpointは、ランダムな UID と GID を持つmdatp
ユーザーを作成します。 UID と GID を制御する場合は、/usr/sbin/nologin
シェル オプションを使用してインストールする前に、mdatp
ユーザーを作成します。
mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
の例を次に示します。
外部パッケージの依存関係
依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。 mdatp パッケージには、次の外部パッケージの依存関係があります。
- mdatp RPM パッケージには、
glibc >= 2.17
、audit
、policycoreutils
、semanage
selinux-policy-targeted
、およびmde-netfilter
- RHEL6 の場合、mdatp RPM パッケージには、
audit
、policycoreutils
、libselinux
、およびmde-netfilter
- DEBIAN の場合、mdatp パッケージには、
libc6 >= 2.23
、uuid-runtime
、auditd
、およびmde-netfilter
mde-netfilter
パッケージには、次のパッケージの依存関係もあります。
- DEBIAN の場合、mde-netfilter パッケージには
libnetfilter-queue1
が必要です。libglib2.0-0
- RPM の場合、mde-netfilter パッケージには、
libmnl
、libnfnetlink
、libnetfilter_queue
、およびglib2
除外の構成
Microsoft Defenderウイルス対策に除外を追加する場合は、Microsoft Defenderウイルス対策の一般的な除外の間違いを念頭に置く必要があります。
ネットワーク接続
デバイスからクラウド サービスへの接続が可能であることを確認Microsoft Defender for Endpoint。 環境を準備するには、「 手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。
Linux 上の Defender for Endpoint は、次の検出方法を使用してプロキシ サーバー経由で接続できます。
- 透過プロキシ
- 手動の静的プロキシ構成
プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。 透過的プロキシの場合、Defender for Endpoint に別の構成は必要ありません。 静的プロキシの場合は、「 手動静的プロキシ構成」の手順に従います。
警告
PAC、WPAD、および認証済みプロキシはサポートされていません。 静的プロキシまたは透過的プロキシのみが使用されていることを確認します。 セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。 インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシ サーバーの例外を構成します。 インターセプト証明書をグローバル ストアに追加すると、インターセプトは許可されません。
トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。
Linux でMicrosoft Defender for Endpointを更新する方法
Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには、「Linux にMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。
Linux 用 Microsoft Defender for Endpoint の構成方法
エンタープライズ環境で製品を構成する方法のガイダンスについては、「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。
Microsoft Defender for Endpointする一般的なアプリケーションが影響を与える可能性がある
特定のアプリケーションの I/O ワークロードが高い場合、Microsoft Defender for Endpointのインストール時にパフォーマンスの問題が発生する可能性があります。 このような開発者シナリオのアプリケーションには、Jenkins と Jira、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定し、Microsoft Defenderウイルス対策に関する一般的な除外の間違いを念頭に置いて検討してください。 詳細なガイダンスについては、Microsoft 以外のアプリケーションからのウイルス対策の除外に関するコンサルティング ドキュメントを検討してください。
リソース
- ログ記録、アンインストール、またはその他の記事の詳細については、「 リソース」を参照してください。
関連記事
- Defender for Cloud の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint
- Azure 以外のマシンを Microsoft Defender for Cloud に接続する
- Linux のネットワーク保護を有効にする
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。