Microsoft Defender voor Eindpunt op Linux
Tip
We zijn verheugd om te delen dat Microsoft Defender voor Eindpunt op Linux nu de ondersteuning voor OP ARM64 gebaseerde Linux-servers in preview uitbreidt. Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor meer informatie.
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt op Linux installeert, configureert, bijwerkt en gebruikt.
Voorzichtigheid
Het uitvoeren van andere niet-Microsoft endpoint protection-producten naast Microsoft Defender voor Eindpunt op Linux leidt waarschijnlijk tot prestatieproblemen en onvoorspelbare bijwerkingen. Als niet-Microsoft Endpoint Protection een absolute vereiste is in uw omgeving, kunt u nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit hebt geconfigureerd voor uitvoering in de passieve modus.
Microsoft Defender voor Eindpunt installeren in Linux
Microsoft Defender voor Eindpunt voor Linux bevat mogelijkheden voor antimalware en eindpuntdetectie en -respons (EDR).
Vereisten
- Toegang tot de Microsoft Defender-portal
- Linux-distributie met behulp van systemdsystem manager
- Ervaring op beginnersniveau in Linux- en BASH-scripting
- Beheerdersbevoegdheden op het apparaat (voor handmatige implementatie)
Opmerking
Linux-distributie met behulp van systeembeheerder ondersteunt zowel SystemV als Upstart. Microsoft Defender voor Eindpunt op Linux-agent is onafhankelijk van de OMS-agent (Operation Management Suite). Microsoft Defender voor Eindpunt is afhankelijk van een eigen onafhankelijke telemetriepijplijn.
Systeemvereisten
CPU: minimaal 1 CPU-kern. Voor workloads met hoge prestaties worden meer kernen aanbevolen.
Schijfruimte: minimaal 2 GB. Voor workloads met hoge prestaties is mogelijk meer schijfruimte nodig.
Geheugen: minimaal 1 GB RAM-geheugen. Voor workloads met hoge prestaties is mogelijk meer geheugen nodig.
Opmerking
Het kan nodig zijn om de prestaties af te stemmen op basis van workloads. Zie Prestatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux.
De volgende Linux-serverdistributies en x64-versies (AMD64/EM64T) worden ondersteund:
Red Hat Enterprise Linux 7.2 of hoger
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 7.2 of hoger, met uitzondering van CentOS-Stream
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Ubuntu 24.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12.x
SUSE Linux Enterprise Server 15.x
Oracle Linux 7.2 of hoger
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8.7 en hoger
Rocky 9.2 en hoger
Alma 8.4 en hoger
Alma 9.2 en hoger
Mariner 2
De volgende Linux-serverdistributies op ARM64 worden nu ondersteund in preview:
Ubuntu 20.04 ARM64
Ubuntu 22.04 ARM64
Ubuntu 24.04 ARM64
Amazon Linux 2 ARM64
Amazon Linux 2023 ARM64
RHEL 8.x ARM64
RHEL 9.x ARM64
Oracle Linux 8.x ARM64
Oracle Linux 9.x ARM64
SUSE Linux Enterprise Server 15 (SP5, SP6) ARM64
Belangrijk
Ondersteuning voor Microsoft Defender voor Eindpunt op Linux voor Op ARM64 gebaseerde Linux-apparaten is nu beschikbaar als preview-versie. Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor meer informatie.
Opmerking
De werkstationversies van deze distributies worden niet ondersteund. Distributies en versies die niet expliciet worden vermeld, worden niet ondersteund (zelfs als ze zijn afgeleid van de officieel ondersteunde distributies). Nadat een nieuwe pakketversie is uitgebracht, wordt de ondersteuning voor de vorige twee versies beperkt tot alleen technische ondersteuning. Versies die ouder zijn dan de versies die in deze sectie worden vermeld, zijn alleen beschikbaar voor technische upgrade-ondersteuning. Momenteel worden Rocky- en Alma-distributies niet ondersteund in Microsoft Defender Vulnerability Management. Microsoft Defender voor Eindpunt voor alle andere ondersteunde distributies en versies is agnostisch voor kernelversies. De minimale vereiste voor de kernelversie of
3.10.0-327hoger.Voorzichtigheid
Het uitvoeren van Defender voor Eindpunt op Linux naast andere
fanotifybeveiligingsoplossingen wordt niet ondersteund. Dit kan leiden tot onvoorspelbare resultaten, waaronder het vasthangen van het besturingssysteem. Als er andere toepassingen op het systeem zijn die in de blokkeringsmodus worden gebruiktfanotify, worden toepassingen vermeld in hetconflicting_applicationsveld van demdatp healthopdrachtuitvoer. De Linux FAPolicyD-functie gebruiktfanotifyin de blokkeringsmodus en wordt daarom niet ondersteund bij het uitvoeren van Defender voor Eindpunt in de actieve modus. U kunt nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit real-timebeveiliging hebt geconfigureerd in de passieve modus.Lijst met ondersteunde bestandssystemen voor RTP, Snel, Volledig en Aangepaste scan.
| RTP, snel, volledige scan | Aangepaste scan |
|---|---|
btrfs |
Alle bestandssystemen die worden ondersteund voor RTP, Quick, Full Scan |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (alleen v3) |
cifs |
overlay |
smb |
ramfs |
gcsfuse |
reiserfs |
sysfs |
tmpfs |
|
udf |
|
vfat |
|
xfs |
Opmerking
Als u NFS v3-koppelpunten grondig wilt scannen, moet u de no_root_squash exportoptie op deze koppelpunten instellen. Zonder deze optie kan het scannen van NFS v3 mogelijk mislukken vanwege een gebrek aan machtigingen.
Opmerking
Vanaf versie 101.24082.0004ondersteunt Defender voor Eindpunt in Linux de Auditd gebeurtenisprovider niet meer. We gaan volledig over op de efficiëntere eBPF-technologie (Extended Berkeley Packet Filter).
Als eBPF niet wordt ondersteund op uw computers, of als er specifieke vereisten zijn om gecontroleerd te blijven en uw machines Defender voor Eindpunt op Linux-versie 101.24072.0001 of lager gebruiken, moet auditframework (auditd) zijn ingeschakeld op uw systeem.
Als u Auditd gebruikt, kunnen systeemgebeurtenissen die zijn vastgelegd door regels die zijn toegevoegd aan /etc/audit/rules.d/ toevoegingen aan audit.log(en) van invloed zijn op hostcontrole en upstreamverzameling. Gebeurtenissen die door Microsoft Defender voor Eindpunt in Linux zijn toegevoegd, worden gelabeld met de mdatp sleutel.
-
/opt/microsoft/mdatp/sbin/wdavdaemonvereist uitvoerbare machtiging. Zie 'Controleren of de daemon uitvoerbare machtiging heeft' in Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux voor meer informatie.
Installatie-instructies
Er zijn verschillende methoden en implementatiehulpprogramma's die u kunt gebruiken om Microsoft Defender voor Eindpunt op Linux te installeren en te configureren. Voordat u begint, moet u ervoor zorgen dat aan de minimumvereisten voor Microsoft Defender voor Eindpunt wordt voldaan.
U kunt een van de volgende methoden gebruiken om Microsoft Defender voor Eindpunt in Linux te implementeren:
- Zie Handmatige implementatie als u het opdrachtregelprogramma wilt gebruiken
- Zie Deploy using Puppet configuration management tool (Deploy using Puppet configuration management tool) als u Puppet wilt gebruiken
- Zie Implementeren met ansible-hulpprogramma voor configuratiebeheer als u Ansible wilt gebruiken
- Als u Chef wilt gebruiken, raadpleegt u Implementeren met chef-configuratiebeheerprogramma
- Zie Deploy using Saltstack configuration management tool (Implementeren met saltstack-configuratiebeheerprogramma) als u Saltstack wilt gebruiken
- Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor installatie op Linux-servers op basis van ARM64.
Als u installatiefouten ondervindt, raadpleegt u Installatiefouten oplossen in Microsoft Defender voor Eindpunt op Linux.
Belangrijk
Het installeren van Microsoft Defender voor Eindpunt op een andere locatie dan het standaardinstallatiepad wordt niet ondersteund.
Microsoft Defender voor Eindpunt in Linux maakt een mdatp gebruiker met willekeurige UID en GID. Als u de UID en GID wilt beheren, maakt u een mdatp gebruiker vóór de installatie met behulp van de /usr/sbin/nologin shell-optie. Hier volgt een voorbeeld: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.
Afhankelijkheid van extern pakket
Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden. De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:
- Het rpm-pakket mdatp vereist
glibc >= 2.17,policycoreutils,selinux-policy-targetedenmde-netfilter - Voor RHEL6 vereist
policycoreutilshet rpm-pakket mdatp ,libselinuxenmde-netfilter - Voor DEBIAN vereist
libc6 >= 2.23het mdatp-pakket ,uuid-runtimeenmde-netfilter
Opmerking
Vanaf versie 101.24082.0004biedt Defender voor Eindpunt in Linux geen ondersteuning meer voor de Auditd gebeurtenisprovider. We gaan volledig over op de efficiëntere eBPF-technologie.
Als eBPF niet wordt ondersteund op uw computers of als er specifieke vereisten zijn om gecontroleerd te blijven en uw machines Defender voor Eindpunt gebruiken op Linux-versie 101.24072.0001 of ouder, bestaat de volgende aanvullende afhankelijkheid van het gecontroleerde pakket voor mdatp:
- Voor het rpm-pakket mdatp is ,
semanagevereistaudit. - Voor DEBIAN vereist
auditdhet mdatp-pakket . - Voor Mariner is voor het mdatp-pakket vereist
audit.
Het mde-netfilter pakket heeft ook de volgende pakketafhankelijkheden:
- Voor DEBIAN vereist
libnetfilter-queue1het mde-netfilter-pakket , enlibglib2.0-0 - Voor RPM vereist
libmnlhet pakket mde-netfilter ,libnfnetlink,libnetfilter_queueenglib2
Uitsluitingen configureren
Wanneer u uitsluitingen toevoegt aan Microsoft Defender Antivirus, moet u rekening houden met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus.
Netwerkverbindingen
Zorg ervoor dat connectiviteit tussen uw apparaten en Microsoft Defender voor Eindpunt cloudservices mogelijk is. Als u uw omgeving wilt voorbereiden, raadpleegt u STAP 1: Uw netwerkomgeving configureren om verbinding te maken met de Defender for Endpoint-service.
Defender voor Eindpunt op Linux kan verbinding maken via een proxyserver met behulp van de volgende detectiemethoden:
- Transparante proxy
- Handmatige configuratie van statische proxy
Als een proxy of firewall anoniem verkeer blokkeert, controleert u of anoniem verkeer is toegestaan in de eerder vermelde URL's. Voor transparante proxy's is er geen andere configuratie nodig voor Defender voor Eindpunt. Voor statische proxy volgt u de stappen in Handmatige configuratie van statische proxy.
Waarschuwing
PAC, WPAD en geverifieerde proxy's worden niet ondersteund. Zorg ervoor dat alleen een statische proxy of transparante proxy wordt gebruikt. SSL-inspectie en het onderscheppen van proxy's worden ook om veiligheidsredenen niet ondersteund. Configureer een uitzondering voor SSL-inspectie en uw proxyserver om gegevens van Defender voor Eindpunt op Linux rechtstreeks door te geven aan de relevante URL's zonder interceptie. Als u uw interceptiecertificaat toevoegt aan het globale archief, is onderschepping niet toegestaan.
Zie Problemen met cloudconnectiviteit oplossen voor Microsoft Defender voor Eindpunt in Linux voor probleemoplossingsstappen.
Microsoft Defender voor Eindpunt bijwerken in Linux
Microsoft publiceert regelmatig software-updates om de prestaties en beveiliging te verbeteren en nieuwe functies te leveren. Als u Microsoft Defender voor Eindpunt in Linux wilt bijwerken, raadpleegt u Updates implementeren voor Microsoft Defender voor Eindpunt op Linux.
Microsoft Defender voor Eindpunt configureren in Linux
Richtlijnen voor het configureren van het product in bedrijfsomgevingen vindt u in Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux.
Algemene toepassingen om te Microsoft Defender voor Eindpunt kunnen van invloed zijn
Hoge I/O-workloads van bepaalde toepassingen kunnen prestatieproblemen ondervinden wanneer Microsoft Defender voor Eindpunt wordt geïnstalleerd. Dergelijke toepassingen voor scenario's voor ontwikkelaars omvatten Jenkins en Jira, en databaseworkloads zoals OracleDB en Postgres. Als de prestaties afnemen, kunt u uitsluitingen instellen voor vertrouwde toepassingen, waarbij u rekening houdt met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus. Raadpleeg documentatie over antivirusuitsluitingen van niet-Microsoft-toepassingen voor meer hulp.
Middelen
- Zie Resources voor meer informatie over logboekregistratie, verwijdering of andere artikelen.
Verwante artikelen
- Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Defender for Cloud: Microsoft Defender voor Eindpunt
- Uw niet-Azure-machines verbinden met Microsoft Defender voor cloud
- Netwerkbeveiliging inschakelen voor Linux
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.