Delen via

Microsoft Defender voor Eindpunt op Linux

  • Artikel

Tip

We zijn verheugd om te delen dat Microsoft Defender voor Eindpunt op Linux nu de ondersteuning voor OP ARM64 gebaseerde Linux-servers in preview uitbreidt. Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor meer informatie.

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt op Linux installeert, configureert, bijwerkt en gebruikt.

Voorzichtigheid

Het uitvoeren van andere niet-Microsoft endpoint protection-producten naast Microsoft Defender voor Eindpunt op Linux leidt waarschijnlijk tot prestatieproblemen en onvoorspelbare bijwerkingen. Als niet-Microsoft Endpoint Protection een absolute vereiste is in uw omgeving, kunt u nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit hebt geconfigureerd voor uitvoering in de passieve modus.

Microsoft Defender voor Eindpunt installeren in Linux

Microsoft Defender voor Eindpunt voor Linux bevat mogelijkheden voor antimalware en eindpuntdetectie en -respons (EDR).

Vereisten

  • Toegang tot de Microsoft Defender-portal
  • Linux-distributie met behulp van systemdsystem manager
  • Ervaring op beginnersniveau in Linux- en BASH-scripting
  • Beheerdersbevoegdheden op het apparaat (voor handmatige implementatie)

Opmerking

Linux-distributie met behulp van systeembeheerder ondersteunt zowel SystemV als Upstart. Microsoft Defender voor Eindpunt op Linux-agent is onafhankelijk van de OMS-agent. Microsoft Defender voor Eindpunt is afhankelijk van een eigen onafhankelijke telemetriepijplijn.

Systeemvereisten

  • CPU: minimaal 1 CPU-kern. Voor workloads met hoge prestaties worden meer kernen aanbevolen.

  • Schijfruimte: minimaal 2 GB. Voor workloads met hoge prestaties is mogelijk meer schijfruimte nodig.

  • Geheugen: minimaal 1 GB RAM-geheugen. Voor workloads met hoge prestaties is mogelijk meer geheugen nodig.

    Opmerking

    Het kan nodig zijn om de prestaties af te stemmen op basis van workloads. Zie Prestatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux.

  • De volgende Linux-serverdistributies en x64-versies (AMD64/EM64T) worden ondersteund:

    • Red Hat Enterprise Linux 7.2 of hoger
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 of hoger
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 of hoger
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8.7 en hoger
    • Rocky 9.2 en hoger
    • Alma 8.4 en hoger
    • Alma 9.2 en hoger
    • Mariner 2

  • De volgende Linux-serverdistributies op ARM64 worden nu ondersteund in preview:

    • Ubuntu 20.04 ARM64
    • Ubuntu 22.04 ARM64
    • Amazon Linux 2 ARM64
    • Amazon Linux 2023 ARM64

    Belangrijk

    Ondersteuning voor Microsoft Defender voor Eindpunt op Linux voor Op ARM64 gebaseerde Linux-apparaten is nu beschikbaar als preview-versie. Zie Microsoft Defender voor Eindpunt op Linux voor ARM64-apparaten (preview) voor meer informatie.

    Opmerking

    De werkstationversies van deze distributies worden niet ondersteund. Distributies en versies die niet expliciet worden vermeld, worden niet ondersteund (zelfs als ze zijn afgeleid van de officieel ondersteunde distributies). Nadat een nieuwe pakketversie is uitgebracht, wordt de ondersteuning voor de vorige twee versies beperkt tot alleen technische ondersteuning. Versies die ouder zijn dan de versies die in deze sectie worden vermeld, zijn alleen beschikbaar voor technische upgrade-ondersteuning. Momenteel worden Rocky- en Alma-distributies niet ondersteund in Microsoft Defender Vulnerability Management. Microsoft Defender voor Eindpunt voor alle andere ondersteunde distributies en versies is agnostisch voor kernelversies. De minimale vereiste voor de kernelversie of 3.10.0-327 hoger.

    Voorzichtigheid

    Het uitvoeren van Defender voor Eindpunt op Linux naast andere fanotifybeveiligingsoplossingen wordt niet ondersteund. Dit kan leiden tot onvoorspelbare resultaten, waaronder het vasthangen van het besturingssysteem. Als er andere toepassingen op het systeem zijn die in de blokkeringsmodus worden gebruikt fanotify , worden toepassingen vermeld in het conflicting_applications veld van de mdatp health opdrachtuitvoer. De Linux FAPolicyD-functie gebruikt fanotify in de blokkeringsmodus en wordt daarom niet ondersteund bij het uitvoeren van Defender voor Eindpunt in de actieve modus. U kunt nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit real-timebeveiliging hebt geconfigureerd in de passieve modus.

  • Lijst met ondersteunde bestandssystemen voor RTP, Snel, Volledig en Aangepaste scan.

    RTP, snel, volledige scan Aangepaste scan
    btrfs Alle bestandssystemen die worden ondersteund voor RTP, Quick, Full Scan
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (alleen v3) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs

    Opmerking

    Vanaf versie 101.24082.0004ondersteunt Defender voor Eindpunt in Linux de Auditd gebeurtenisprovider niet meer. We gaan volledig over op de efficiëntere eBPF-technologie. Als eBPF niet wordt ondersteund op uw computers, of als er specifieke vereisten zijn om gecontroleerd te blijven en uw machines Defender voor Eindpunt op Linux-versie 101.24072.0001 of lager gebruiken, moet auditframework (auditd) zijn ingeschakeld op uw systeem. Als u Auditd gebruikt, kunnen systeemgebeurtenissen die zijn vastgelegd door regels die zijn toegevoegd aan /etc/audit/rules.d/ toevoegingen aan audit.log(en) van invloed zijn op hostcontrole en upstreamverzameling. Gebeurtenissen die door Microsoft Defender voor Eindpunt in Linux zijn toegevoegd, worden gelabeld met de mdatp sleutel.

  • /opt/microsoft/mdatp/sbin/wdavdaemon vereist uitvoerbare machtiging. Zie 'Controleren of de daemon uitvoerbare machtiging heeft' in Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux voor meer informatie.

Installatie-instructies

Er zijn verschillende methoden en implementatiehulpprogramma's die u kunt gebruiken om Microsoft Defender voor Eindpunt op Linux te installeren en te configureren. Voordat u begint, moet u ervoor zorgen dat aan de minimumvereisten voor Microsoft Defender voor Eindpunt wordt voldaan.

U kunt een van de volgende methoden gebruiken om Microsoft Defender voor Eindpunt in Linux te implementeren:

Als u installatiefouten ondervindt, raadpleegt u Installatiefouten oplossen in Microsoft Defender voor Eindpunt op Linux.

Belangrijk

Het installeren van Microsoft Defender voor Eindpunt op een andere locatie dan het standaardinstallatiepad wordt niet ondersteund. Microsoft Defender voor Eindpunt in Linux maakt een mdatp gebruiker met willekeurige UID en GID. Als u de UID en GID wilt beheren, maakt u een mdatp gebruiker vóór de installatie met behulp van de /usr/sbin/nologin shell-optie. Hier volgt een voorbeeld: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Afhankelijkheid van extern pakket

Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden. De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:

  • Het rpm-pakket mdatp vereist glibc >= 2.17, policycoreutils, selinux-policy-targeteden mde-netfilter
  • Voor RHEL6 vereist policycoreutilshet rpm-pakket mdatp , libselinuxen mde-netfilter
  • Voor DEBIAN vereist libc6 >= 2.23het mdatp-pakket , uuid-runtimeen mde-netfilter

Opmerking

Vanaf versie 101.24082.0004biedt Defender voor Eindpunt in Linux geen ondersteuning meer voor de Auditd gebeurtenisprovider. We gaan volledig over op de efficiëntere eBPF-technologie. Als eBPF niet wordt ondersteund op uw computers of als er specifieke vereisten zijn om gecontroleerd te blijven en uw machines Defender voor Eindpunt gebruiken op Linux-versie 101.24072.0001 of ouder, bestaat de volgende aanvullende afhankelijkheid van het gecontroleerde pakket voor mdatp:

  • Voor het rpm-pakket mdatp is , semanagevereistaudit.
  • Voor DEBIAN vereist auditdhet mdatp-pakket .
  • Voor Mariner is voor het mdatp-pakket vereist audit.

Hetmde-netfilter pakket heeft ook de volgende pakketafhankelijkheden:

  • Voor DEBIAN vereist libnetfilter-queue1het mde-netfilter-pakket , en libglib2.0-0
  • Voor RPM vereist libmnlhet pakket mde-netfilter , libnfnetlink, libnetfilter_queueen glib2

Uitsluitingen configureren

Wanneer u uitsluitingen toevoegt aan Microsoft Defender Antivirus, moet u rekening houden met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus.

Netwerkverbindingen

Zorg ervoor dat connectiviteit tussen uw apparaten en Microsoft Defender voor Eindpunt cloudservices mogelijk is. Als u uw omgeving wilt voorbereiden, raadpleegt u STAP 1: Uw netwerkomgeving configureren om verbinding te maken met de Defender for Endpoint-service.

Defender voor Eindpunt op Linux kan verbinding maken via een proxyserver met behulp van de volgende detectiemethoden:

  • Transparante proxy
  • Handmatige configuratie van statische proxy

Als een proxy of firewall anoniem verkeer blokkeert, controleert u of anoniem verkeer is toegestaan in de eerder vermelde URL's. Voor transparante proxy's is er geen andere configuratie nodig voor Defender voor Eindpunt. Voor statische proxy volgt u de stappen in Handmatige configuratie van statische proxy.

Waarschuwing

PAC, WPAD en geverifieerde proxy's worden niet ondersteund. Zorg ervoor dat alleen een statische proxy of transparante proxy wordt gebruikt. SSL-inspectie en het onderscheppen van proxy's worden ook om veiligheidsredenen niet ondersteund. Configureer een uitzondering voor SSL-inspectie en uw proxyserver om gegevens van Defender voor Eindpunt op Linux rechtstreeks door te geven aan de relevante URL's zonder interceptie. Als u uw interceptiecertificaat toevoegt aan het globale archief, is onderschepping niet toegestaan.

Zie Problemen met cloudconnectiviteit oplossen voor Microsoft Defender voor Eindpunt in Linux voor probleemoplossingsstappen.

Microsoft Defender voor Eindpunt bijwerken in Linux

Microsoft publiceert regelmatig software-updates om de prestaties en beveiliging te verbeteren en nieuwe functies te leveren. Als u Microsoft Defender voor Eindpunt in Linux wilt bijwerken, raadpleegt u Updates implementeren voor Microsoft Defender voor Eindpunt op Linux.

Microsoft Defender voor Eindpunt configureren in Linux

Richtlijnen voor het configureren van het product in bedrijfsomgevingen vindt u in Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux.

Algemene toepassingen om te Microsoft Defender voor Eindpunt kunnen van invloed zijn

Hoge I/O-workloads van bepaalde toepassingen kunnen prestatieproblemen ondervinden wanneer Microsoft Defender voor Eindpunt wordt geïnstalleerd. Dergelijke toepassingen voor scenario's voor ontwikkelaars omvatten Jenkins en Jira, en databaseworkloads zoals OracleDB en Postgres. Als de prestaties afnemen, kunt u uitsluitingen instellen voor vertrouwde toepassingen, waarbij u rekening houdt met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus. Raadpleeg documentatie over antivirusuitsluitingen van niet-Microsoft-toepassingen voor meer hulp.

Middelen

  • Zie Resources voor meer informatie over logboekregistratie, verwijdering of andere artikelen.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.