Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie

Porada

Z przyjemnością udostępnimy tę Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux rozszerzamy teraz obsługę serwerów z systemem Linux opartych na usłudze ARM64 w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla urządzeń opartych na usłudze ARM64 (wersja zapoznawcza).

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tym artykule opisano sposób instalowania, konfigurowania, aktualizowania i używania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Uwaga

Uruchamianie innych produktów ochrony punktów końcowych innych niż Microsoft wraz z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux może prowadzić do problemów z wydajnością i nieprzewidywalnych skutków ubocznych. Jeśli ochrona punktów końcowych innych niż Microsoft jest absolutnym wymaganiem w twoim środowisku, nadal możesz bezpiecznie korzystać z funkcji defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej do uruchamiania w trybie pasywnym.

Jak zainstalować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux obejmuje funkcje ochrony przed złośliwym oprogramowaniem oraz wykrywania i reagowania na punkty końcowe (EDR).

Wymagania wstępne

• Dostęp do portalu Microsoft Defender
• Dystrybucja systemu Linux przy użyciu systemowegomenedżera systemu
• Środowisko dla początkujących w zakresie skryptów bash i systemu Linux
• Uprawnienia administracyjne na urządzeniu (do wdrożenia ręcznego)

Uwaga

Dystrybucja systemu Linux przy użyciu menedżera systemu obsługuje zarówno systemV, jak i upstart. Ochrona punktu końcowego w usłudze Microsoft Defender agenta systemu Linux jest niezależny od agenta pakietu Operation Management Suite (OMS). Ochrona punktu końcowego w usłudze Microsoft Defender opiera się na własnym niezależnym potoku telemetrii.

Wymagania systemowe

• Procesor CPU: minimalna liczba rdzeni procesora CPU: 1. W przypadku obciążeń o wysokiej wydajności zaleca się korzystanie z większej liczby rdzeni.

• Miejsce na dysku: minimum 2 GB. W przypadku obciążeń o wysokiej wydajności może być potrzebne więcej miejsca na dysku.

• Pamięć: minimum 1 GB pamięci RAM. W przypadku obciążeń o wysokiej wydajności może być potrzebna większa ilość pamięci.

  Uwaga

  Dostrajanie wydajności może być wymagane na podstawie obciążeń. Zobacz Rozwiązywanie problemów z wydajnością Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

• Obsługiwane są następujące dystrybucje serwera z systemem Linux i wersje x64 (AMD64/EM64T):

  • Red Hat Enterprise Linux 7.2 lub nowszy
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 lub nowszy
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 – 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 lub nowszy
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 i nowsze
  • Rocky 9.2 i nowsze
  • Alma 8.4 i nowsze
  • Alma 9.2 i nowsze
  • Marynarz 2

• Następujące dystrybucje serwerów systemu Linux w usłudze ARM64 są teraz obsługiwane w wersji zapoznawczej:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Ważna

  Obsługa Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla urządzeń z systemem Linux opartych na usłudze ARM64 jest teraz dostępna w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla urządzeń opartych na usłudze ARM64 (wersja zapoznawcza).

  Uwaga

  Wersje stacji roboczej tych dystrybucji nie są obsługiwane. Dystrybucje i wersje, które nie są jawnie wymienione, nie są obsługiwane (nawet jeśli pochodzą z oficjalnie obsługiwanych dystrybucji). Po wydaniu nowej wersji pakietu obsługa dwóch poprzednich wersji jest ograniczona tylko do pomocy technicznej. Wersje starsze niż wymienione w tej sekcji są udostępniane tylko do obsługi uaktualnień technicznych. Obecnie dystrybucje Rocky'ego i Almy nie są obsługiwane w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Ochrona punktu końcowego w usłudze Microsoft Defender dla wszystkich innych obsługiwanych dystrybucji i wersji jest niezależne od wersji jądra. Minimalne wymaganie, aby wersja jądra była 3.10.0-327 lub nowsza.

  Uwaga

  Uruchamianie usługi Defender for Endpoint w systemie Linux obok innych fanotifyrozwiązań zabezpieczeń opartych na systemie nie jest obsługiwane. Może to prowadzić do nieprzewidywalnych wyników, w tym zawieszenia systemu operacyjnego. Jeśli w systemie znajdują się inne aplikacje używane fanotify w trybie blokowania, aplikacje są wyświetlane w conflicting_applications polu danych wyjściowych mdatp health polecenia. Funkcja FAPolicyD systemu Linux jest używana fanotify w trybie blokowania i dlatego nie jest obsługiwana podczas uruchamiania usługi Defender for Endpoint w trybie aktywnym. Nadal możesz bezpiecznie korzystać z funkcji usługi Defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej Ochrona w czasie rzeczywistym włączona w trybie pasywnym.

• Lista obsługiwanych systemów plików na potrzeby skanowania rtp, szybkiego, pełnego i niestandardowego.

RTP, szybkie, pełne skanowanie	Skanowanie niestandardowe
btrfs	Wszystkie systemy plików obsługiwane dla rtp, szybkie, pełne skanowanie
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
fuse	glustrefs
fuseblk	Afs
jfs	sshfs
nfs (tylko wersja 3)	cifs
overlay	smb
ramfs	gcsfuse
reiserfs	sysfs
tmpfs
udf
vfat
xfs

Uwaga

Począwszy od wersji 101.24082.0004, usługa Defender dla punktu końcowego w systemie Linux nie obsługuje Auditd już dostawcy zdarzeń. Całkowicie przechodzimy do bardziej wydajnej rozszerzonej technologii Filtr pakietów Berkeley (eBPF). Jeśli platforma eBPF nie jest obsługiwana na maszynach lub jeśli istnieją określone wymagania dotyczące pozostawania w inspekcji, a maszyny używają usługi Defender for Endpoint w wersji systemu Linux lub niższej 101.24072.0001 , w systemie musi być włączona struktura inspekcji (auditd). Jeśli używasz inspekcji, zdarzenia systemowe przechwytywane przez reguły dodane do dodawania do /etc/audit/rules.d/audit.log(s) i mogą mieć wpływ na inspekcję hosta i kolekcję nadrzędną. Zdarzenia dodane przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux są oznaczane za pomocą kluczamdatp.

• /opt/microsoft/mdatp/sbin/wdavdaemon wymaga uprawnień wykonywalnych. Aby uzyskać więcej informacji, zobacz "Upewnij się, że demon ma uprawnienie do wykonywalnego" w temacie Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Instrukcje instalacji

Istnieje kilka metod i narzędzi wdrażania, których można użyć do instalowania i konfigurowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Przed rozpoczęciem upewnij się, że zostały spełnione minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender.

Do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux można użyć jednej z następujących metod:

• Aby użyć narzędzia wiersza polecenia, zobacz Ręczne wdrażanie
• Aby użyć platformy Puppet, zobacz Deploy using Puppet configuration management tool (Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją platformy Puppet)
• Aby użyć rozwiązania Ansible, zobacz Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją rozwiązania Ansible
• Aby korzystać z programu Chef, zobacz Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją programu Chef
• Aby użyć narzędzia Saltstack, zobacz Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją rozwiązania Saltstack
• Aby zainstalować na serwerach z systemem Linux opartych na usłudze ARM64, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla urządzeń opartych na usłudze ARM64 (wersja zapoznawcza).

Jeśli wystąpią błędy instalacji, zobacz Rozwiązywanie problemów z błędami instalacji w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Ważna

Instalowanie Ochrona punktu końcowego w usłudze Microsoft Defender w dowolnej lokalizacji innej niż domyślna ścieżka instalacji nie jest obsługiwane. Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux tworzy użytkownika z losowym identyfikatorem mdatp UID i identyfikatorem GID. Jeśli chcesz kontrolować identyfikator użytkownika i identyfikator GID, utwórz użytkownika przed instalacją mdatp przy użyciu opcji powłoki /usr/sbin/nologin . Oto przykład: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Zależność pakietu zewnętrznego

Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych. Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:

• Pakiet MDATP RPM wymagaglibc >= 2.17, , policycoreutilsselinux-policy-targeted, imde-netfilter
• W przypadku RHEL6 pakiet RPM mdatp wymaga policycoreutils, libselinuxi mde-netfilter
• W przypadku debiana pakiet mdatp wymaga libc6 >= 2.23, uuid-runtimei mde-netfilter

Uwaga

Począwszy od wersji 101.24082.0004, usługa Defender dla punktu końcowego w systemie Linux nie obsługuje Auditd już dostawcy zdarzeń. Całkowicie przechodzimy na bardziej wydajną technologię eBPF. Jeśli platforma eBPF nie jest obsługiwana na maszynach lub jeśli istnieją określone wymagania dotyczące zachowania inspekcji, a maszyny korzystają z usługi Defender for Endpoint w wersji systemu Linux lub starszej 101.24072.0001 , istnieje następująca dodatkowa zależność od pakietu z inspekcją dla mdatp:

• Pakiet MDATP RPM wymaga audit, semanage.
• W przypadku debiana pakiet mdatp wymaga polecenia auditd.
• W przypadku programu Mariner pakiet mdatp wymaga polecenia audit.

Pakietmde-netfilter ma również następujące zależności pakietów:

• W przypadku debiana pakiet mde-netfilter wymaga , libnetfilter-queue1i libglib2.0-0
• W przypadku modułu RPM pakiet mde-netfilter wymaga libmnl, libnfnetlink, libnetfilter_queuei glib2

Konfigurowanie wykluczeń

Podczas dodawania wykluczeń do programu antywirusowego Microsoft Defender należy pamiętać o typowych błędach wykluczania dla programu antywirusowego Microsoft Defender.

Połączenia sieciowe

Upewnij się, że na urządzeniach jest możliwa łączność z usługami w chmurze Ochrona punktu końcowego w usłudze Microsoft Defender. Aby przygotować środowisko, zobacz KROK 1: Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint.

Usługa Defender for Endpoint w systemie Linux może łączyć się za pośrednictwem serwera proxy przy użyciu następujących metod odnajdywania:

• Przezroczysty serwer proxy
• Ręczna konfiguracja statycznego serwera proxy

Jeśli serwer proxy lub zapora blokują ruch anonimowy, upewnij się, że ruch anonimowy jest dozwolony we wcześniej wymienionych adresach URL. W przypadku przezroczystych serwerów proxy nie jest wymagana żadna inna konfiguracja dla usługi Defender for Endpoint. W przypadku statycznego serwera proxy wykonaj kroki opisane w temacie Ręczna konfiguracja statycznego serwera proxy.

Ostrzeżenie

Serwery proxy PAC, WPAD i uwierzytelnione nie są obsługiwane. Upewnij się, że jest używany tylko statyczny serwer proxy lub przezroczysty serwer proxy. Inspekcja protokołu SSL i przechwytywanie serwerów proxy również nie są obsługiwane ze względów bezpieczeństwa. Skonfiguruj wyjątek inspekcji protokołu SSL i serwera proxy w celu bezpośredniego przekazywania danych z usługi Defender for Endpoint w systemie Linux do odpowiednich adresów URL bez przechwytywania. Dodanie certyfikatu przechwytywania do magazynu globalnego nie pozwoli na przechwycenie.

Aby uzyskać instrukcje rozwiązywania problemów, zobacz Rozwiązywanie problemów z łącznością w chmurze dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Jak zaktualizować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Firma Microsoft regularnie publikuje aktualizacje oprogramowania w celu zwiększenia wydajności, bezpieczeństwa i dostarczania nowych funkcji. Aby zaktualizować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, zapoznaj się z tematem Wdrażanie aktualizacji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Konfigurowanie ochrony punktu końcowego w usłudze Microsoft Defender na Linuxie

Wskazówki dotyczące konfigurowania produktu w środowiskach przedsiębiorstwa są dostępne w temacie Ustawianie preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Typowe aplikacje do Ochrona punktu końcowego w usłudze Microsoft Defender mogą mieć wpływ

Wysokie obciążenia we/wy z niektórych aplikacji mogą występować problemy z wydajnością podczas instalowania Ochrona punktu końcowego w usłudze Microsoft Defender. Takie aplikacje dla scenariuszy deweloperskich obejmują usługi Jenkins i Jira oraz obciążenia baz danych, takie jak OracleDB i Postgres. Jeśli występuje spadek wydajności, rozważ ustawienie wykluczeń dla zaufanych aplikacji, pamiętając o typowych błędach wykluczania dla programu antywirusowego Microsoft Defender. Aby uzyskać więcej wskazówek, rozważ zapoznanie się z dokumentacją dotyczącą wykluczeń antywirusowych z aplikacji innych niż Microsoft.

Zasoby

• Aby uzyskać więcej informacji na temat rejestrowania, odinstalowywania lub innych artykułów, zobacz Zasoby.

Artykuły pokrewne

• Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Defender for Cloud: Ochrona punktu końcowego w usłudze Microsoft Defender
• Łączenie maszyn spoza platformy Azure z usługą Microsoft Defender for Cloud
• Włączanie ochrony sieci dla systemu Linux

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.