Microsoft Defender for endepunkt på Linux

Tips

Vi er glade for å kunne dele Microsoft Defender for endepunkt på Linux utvider nå støtten for ARM64-baserte Linux-servere i forhåndsversjon! Hvis du vil ha mer informasjon, kan du se Microsoft Defender for endepunkt på Linux for ARM64-baserte enheter (forhåndsversjon).

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du installerer, konfigurerer, oppdaterer og bruker Microsoft Defender for endepunkt på Linux.

Forsiktig!

Hvis du kjører andre ikke-Microsoft-endepunktbeskyttelsesprodukter sammen med Microsoft Defender for endepunkt på Linux, vil det sannsynligvis føre til ytelsesproblemer og uforutsigbare bivirkninger. Hvis beskyttelse uten Microsoft-endepunkt er et absolutt krav i miljøet ditt, kan du likevel trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter at du har konfigurert antivirusfunksjonalitet til å kjøre i passiv modus.

Slik installerer du Microsoft Defender for endepunkt på Linux

Microsoft Defender for endepunkt for Linux inkluderer funksjoner for anti-malware og gjenkjenning av endepunkt og respons (EDR).

Forutsetninger

• Tilgang til Microsoft Defender-portalen
• Linux-distribusjon ved hjelp av systemansvarlig for systemet
• Erfaring på nybegynnernivå i Linux- og BASH-skripting
• Administrative rettigheter på enheten (for manuell distribusjon)

Obs!

Linux-distribusjon ved hjelp av systemansvarlig støtter både SystemV og Upstart. Microsoft Defender for endepunkt på Linux-agenten er uavhengig av Operation Management Suite (OMS)-agenten. Microsoft Defender for endepunkt er avhengig av sin egen uavhengige telemetrisamlebånd.

Systemkrav

• CPU: Minimum 1 CPU-kjerne. For arbeidsbelastninger med høy ytelse anbefales flere kjerner.

• Diskplass: Minimum 2 GB. For arbeidsbelastninger med høy ytelse kan det være nødvendig med mer diskplass.

• Minne: Minimum 1 GB RAM. For arbeidsbelastninger med høy ytelse kan det være nødvendig med mer minne.

  Obs!

  Ytelsesjustering kan være nødvendig basert på arbeidsbelastninger. Se Feilsøke ytelsesproblemer for Microsoft Defender for endepunkt på Linux.

• Følgende Linux-serverdistribusjoner og x64-versjoner (AMD64/EM64T) støttes:

  • Red Hat Enterprise Linux 7.2 eller nyere
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 eller nyere
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 til 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 eller nyere
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8,7 og høyere
  • Rocky 9.2 og høyere
  • Alma 8,4 og nyere
  • Alma 9.2 og nyere
  • Mariner 2

• Følgende Linux-serverdistribusjoner på ARM64 støttes nå i forhåndsversjon:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Viktig

  Støtte for Microsoft Defender for endepunkt på Linux for ARM64-baserte Linux-enheter er nå i forhåndsversjon. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for endepunkt på Linux for ARM64-baserte enheter (forhåndsversjon).

  Obs!

  Arbeidsstasjonsversjonene av disse distribusjonene støttes ikke. Distribusjoner og versjoner som ikke er eksplisitt oppført, støttes ikke (selv om de er avledet fra offisielt støttede distribusjoner). Etter at en ny pakkeversjon er utgitt, reduseres støtte for de to foregående versjonene bare til teknisk støtte. Versjoner som er eldre enn de som er oppført i denne delen, er bare tilgjengelige for støtte for teknisk oppgradering. For øyeblikket støttes ikke Rocky- og Alma-distribusjoner i Microsoft Defender Vulnerability Management. Microsoft Defender for endepunkt for alle andre støttede distribusjoner og versjoner er kjerneversjonsagnostisk. Det minimale kravet for at kjerneversjonen skal være 3.10.0-327 eller nyere.

  Forsiktig!

  Å kjøre Defender for endepunkt på Linux side ved side med andre fanotify-baserte sikkerhetsløsninger støttes ikke. Det kan føre til uforutsigbare resultater, inkludert å henge operativsystemet. Hvis det finnes andre programmer på systemet som brukes fanotify i blokkeringsmodus, er programmer oppført i conflicting_applications feltet for mdatp health kommandoutdataene. Linux FAPolicyD-funksjonen bruker fanotify i blokkeringsmodus, og støttes derfor ikke når du kjører Defender for endepunkt i aktiv modus. Du kan fortsatt trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter konfigurering av antivirusfunksjonaliteten Sanntidsbeskyttelse aktivert til passiv modus.

• Liste over støttede filsystemer for RTP, Hurtig, Fullstendig og Egendefinert skanning.

RTP, hurtig, fullstendig skanning	Egendefinert skanning
btrfs	Alle filsystemer som støttes for RTP, Hurtig, Fullstendig skanning
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
fuse	glustrefs
fuseblk	Afs
jfs	sshfs
nfs (bare v3)	cifs
overlay	smb
ramfs	gcsfuse
reiserfs	sysfs
tmpfs
udf
vfat
xfs

Obs!

Fra og med versjon 101.24082.0004støtter Auditd ikke Defender for Endpoint på Linux lenger hendelsesleverandøren. Vi går helt over til den mer effektive, utvidede eBPF-teknologien (Berkeley Packet Filter). Hvis eBPF ikke støttes på maskinene dine, eller hvis det finnes spesifikke krav for å forbli på overvåket, og maskinene bruker Defender for Endpoint på Linux versjon 101.24072.0001 eller lavere, må audit framework (auditd) være aktivert på systemet. Hvis du bruker Auditd, kan systemhendelser som registreres av regler som legges til /etc/audit/rules.d/ i audit.log(e) og påvirke vertsovervåking og oppstrøms samling. Hendelser som legges til av Microsoft Defender for endepunkt på Linux, er merket med mdatp nøkkelen.

• /opt/microsoft/mdatp/sbin/wdavdaemon krever kjørbar tillatelse. Hvis du vil ha mer informasjon, kan du se «Sikre at daemonen har kjørbar tillatelse» i Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

Installasjonsinstruksjoner

Det finnes flere metoder og distribusjonsverktøy som du kan bruke til å installere og konfigurere Microsoft Defender for endepunkt på Linux. Før du begynner, må du kontrollere at minimumskravene for Microsoft Defender for endepunkt er oppfylt.

Du kan bruke én av følgende metoder til å distribuere Microsoft Defender for endepunkt på Linux:

• Hvis du vil bruke kommandolinjeverktøyet, kan du se Manuell distribusjon
• Hvis du vil bruke dukken, kan du se Distribuer ved hjelp av verktøyet for konfigurasjonsbehandling for marionett
• Hvis du vil bruke Ansible, kan du se Distribuer ved hjelp av verktøy for ansible konfigurasjonsadministrasjon
• Hvis du vil bruke Chef, kan du se Distribuer ved hjelp av verktøyet for konfigurasjonsbehandling for Chef
• Hvis du vil bruke Saltstack, kan du se Deploy using Saltstack configuration management tool
• Hvis du vil installere på ARM64-baserte Linux-servere, kan du se Microsoft Defender for endepunkt på Linux for ARM64-baserte enheter (forhåndsversjon).

Hvis du opplever installasjonsfeil, kan du se Feilsøke installasjonsfeil i Microsoft Defender for endepunkt på Linux.

Viktig

Installering av Microsoft Defender for endepunkt et annet sted enn standard installasjonsbane støttes ikke. Microsoft Defender for endepunkt på Linux oppretter en mdatp bruker med tilfeldig UID og GID. Hvis du vil kontrollere UID og GID, oppretter du en mdatp bruker før installasjon ved hjelp av skallalternativet /usr/sbin/nologin . Her er et eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Avhengighet av ekstern pakke

Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned forutsetningsavhengighetene manuelt. Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:

• Mdatp RPM-pakken krever glibc >= 2.17, policycoreutils, selinux-policy-targetedog mde-netfilter
• For RHEL6 krever policycoreutilsmdatp RPM-pakken , libselinuxog mde-netfilter
• Mdatp-pakken krever libc6 >= 2.23, uuid-runtimeog for DEBIAN mde-netfilter

Obs!

Fra og med versjonen 101.24082.0004støtter Auditd ikke Defender for Endpoint på Linux lenger hendelsesleverandøren. Vi går helt over til den mer effektive eBPF-teknologien. Hvis eBPF ikke støttes på maskinene dine, eller hvis det finnes spesifikke krav for å forbli på overvåket, og maskinene bruker Defender for Endpoint på Linux-versjonen 101.24072.0001 eller eldre, finnes følgende ekstra avhengighet av den reviderte pakken for mdatp:

• Mdatp RPM-pakken krever audit, semanage.
• Mdatp-pakken krever auditdfor DEBIAN.
• For Mariner krever auditmdatp-pakken .

Pakkenmde-netfilter har også følgende pakkeavhengigheter:

• For DEBIAN krever libnetfilter-queue1mde-netfilter-pakken , og libglib2.0-0
• For RPM krever libmnlmde-netfilter-pakken , , libnfnetlinklibnetfilter_queueogglib2

Konfigurering av utelatelser

Når du legger til unntak i Microsoft Defender Antivirus, bør du være oppmerksom på vanlige utelatelsesfeil for Microsoft Defender Antivirus.

Nettverkstilkoblinger

Sørg for at tilkobling er mulig fra enhetene dine for å Microsoft Defender for endepunkt skytjenester. Hvis du vil klargjøre miljøet, kan du se TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.

Defender for Endpoint på Linux kan koble til via en proxy-server ved hjelp av følgende søkemetoder:

• Gjennomsiktig proxy
• Manuell statisk proxy-konfigurasjon

Hvis en proxy eller brannmur blokkerer anonym trafikk, må du kontrollere at anonym trafikk er tillatt i nettadressene som er oppført tidligere. For gjennomsiktige proxyer er det ikke nødvendig med en annen konfigurasjon for Defender for Endpoint. Følg trinnene i Manuell statisk proxy-konfigurasjon for statisk proxy for statisk proxy.

Advarsel

PAC, WPAD og godkjente proxyer støttes ikke. Kontroller at bare en statisk proxy eller gjennomsiktig proxy brukes. SSL-inspeksjon og skjæringsproxyer støttes heller ikke av sikkerhetsårsaker. Konfigurer et unntak for SSL-inspeksjon og proxy-serveren for direkte overføring av data fra Defender for Endpoint på Linux til de relevante nettadressene uten avskjæring. Hvis du legger til avskjæringssertifikatet i det globale lageret, tillates det ikke avskjæring.

Hvis du vil ha informasjon om feilsøkingstrinn, kan du se Feilsøke problemer med skytilkobling for Microsoft Defender for endepunkt på Linux.

Slik oppdaterer du Microsoft Defender for endepunkt på Linux

Microsoft publiserer jevnlig programvareoppdateringer for å forbedre ytelsen, sikkerheten og levere nye funksjoner. Hvis du vil oppdatere Microsoft Defender for endepunkt på Linux, kan du se Distribuer oppdateringer for Microsoft Defender for endepunkt på Linux.

Slik konfigurerer du Microsoft Defender for endepunkt på Linux

Veiledning for hvordan du konfigurerer produktet i bedriftsmiljøer, er tilgjengelig i angi innstillinger for Microsoft Defender for endepunkt på Linux.

Vanlige programmer å Microsoft Defender for endepunkt kan påvirke

Høye I/U-arbeidsbelastninger fra enkelte programmer kan oppleve ytelsesproblemer når Microsoft Defender for endepunkt er installert. Slike programmer for utviklerscenarioer inkluderer Jenkins og Jira, og databasearbeidsbelastninger som OracleDB og Postgres. Hvis du opplever ytelsesreduksjon, bør du vurdere å angi utelatelser for klarerte programmer, og beholde vanlige utelatelsesfeil for Microsoft Defender Antivirus i tankene. Hvis du vil ha mer veiledning, kan du vurdere å konsultere dokumentasjon om antivirusutelukkelser fra programmer som ikke er fra Microsoft.

Ressurser

• Hvis du vil ha mer informasjon om logging, avinstallasjon eller andre artikler, kan du se Ressurser.

Relaterte artikler

• Beskytt endepunktene med Defender for Skyens integrerte EDR-løsning: Microsoft Defender for endepunkt
• Koble ikke-Azure-maskiner til Microsoft Defender for Sky
• Slå på nettverksbeskyttelse for Linux

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.