Microsoft Defender för Endpoint för Linux

Artikel
03/20/2025

Gäller för:

Microsoft Defender för Endpoint för servrar
Microsoft Defender för serverplan 1 eller plan 2

Tips

Vi är glada över att kunna dela med oss av det Microsoft Defender för Endpoint på Linux nu utökar stödet till Arm64-baserade Linux-servrar i förhandsversion. Mer information finns i Microsoft Defender för Endpoint på Linux för Arm64-baserade enheter (förhandsversion).

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Vad är Microsoft Defender för Endpoint i Linux?

Microsoft Defender för Endpoint är en omfattande säkerhetsplattform för företagsslutpunkter som utformats för att hjälpa organisationer att förhindra, identifiera, undersöka och reagera på avancerade hot. Det skyddar ett brett utbud av enheter, inklusive Windows- och Mac-klientdatorer, Windows- och Linux-servrar samt mobila iOS- och Android-enheter.

I följande tabell beskrivs funktionerna i Defender för Endpoint:

Kategori	Beskrivning
Hantering av hållning	Defender för Endpoint kombinerar tillgångsidentifiering & övervakning, riskbaserad sårbarhetshantering med intelligent prioritering, reparation och spårning för att effektivt hantera och skydda dina Linux-servrar. Med en enda fönsterruta får säkerhetsteamet en omfattande överblick över organisationens exponeringspoäng, rekommendationer, reparation, inventeringar med mera.
Skydd mot hot	Defender för Endpoint innehåller nästa generations antivirusskydd med hjälp av lokala & molnbaserade maskininlärningsmodeller, beteendeanalys och heuristik. Molnskydd ger nästan omedelbar identifiering och blockering av nya/nya hot. Du får ett dedikerat, kontinuerligt skydd med regelbunden säkerhetsinformation och produktuppdateringar. Du kan också undersöka och definiera principer för kundens IP- och URL-baserade indikatorer för kompromisser.
Identifiering och svar av slutpunkt	Defender för Endpoint använder AI och avancerad analys för att identifiera och svara på hot nära realtid. I Microsoft Defender-portalen har du en central plats för att visa identifieringar i Microsoft Defender sviten och organisationens enheter. Du kan använda avancerad jakt för att visa rådata och få mer inblick i dina nätverkshändelser. Svarsåtgärder är tillgängliga för att agera snabbt och smidigt på säkerhetsaviseringar.
Effektiv hantering och drift	Defender för Endpoint erbjuder bred täckning över en bredd av Linux-distributioner samtidigt som åtgärder blir enklare för ditt säkerhetsteam. Du kan hantera dina säkerhetsprinciper och inställningar i Microsoft Defender-portalen och planera dina uppdateringscykler i förväg, samtidigt som du stöder dina Linux-servrar där de finns, med offline- och flermolnsalternativ.
Skalning, prestanda och tillförlitlighet i företagsklass	Microsoft Defender för Endpoint säkerställer stabil och hållbar prestanda med ett omfattande sensorramverk som fungerar utan kernelmoduler och integrerar eBPF för driftsstabilitet. Defender för Endpoint integreras sömlöst med den större Microsoft Defender sviten, vilket ger utökningsbarhet via API-integrering, SIEM-anslutningsappar, Power BI-stöd, rollbaserad åtkomstkontroll (RBAC) och MSPP-stöd.

Serverlicenser

För att distribuera Defender för Endpoint på servrar krävs serverlicenser. Du kan välja bland följande alternativ:

Microsoft Defender för serverplan 1 eller plan 2 som en del av Defender för molnet (rekommenderas), eller
Microsoft Defender för Endpoint för servrar

Se Produktvillkor: Microsoft Defender för Endpoint

Distribuera och konfigurera principer för Defender för Endpoint i Linux

Det finns flera metoder och verktyg som du kan använda för att distribuera Microsoft Defender för Endpoint på Linux:

Skriptbaserad distribution för installationsprogram
Ansible-baserad distribution
Chef-baserad distribution
Puppet-baserad distribution
SaltStack-baserad distribution
Manuell distribution
Direkt registrering med Defender för molnet
För Arm64-baserade Linux-servrar, se Microsoft Defender för Endpoint på Linux för Arm64-baserade enheter (förhandsversion)
Information om Linux Server med SAP finns i Distributionsvägledning för Defender för Endpoint på Linux Server med SAP

Viktigt

Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen. I Linux skapar Microsoft Defender för Endpoint en mdatp-användare med slumpmässiga UID- och GID-värden. Om du vill styra dessa värden skapar du en mdatp-användare före installationen med alternativet /usr/sbin/nologin shell. Här är ett exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Felsöka installationsproblem

Om du får problem med installationen följer du dessa steg för självfelsökning:

Information om hur du hittar loggen som genereras automatiskt när ett installationsfel inträffar finns i Problem med logginstallation.
Information om vanliga installationsproblem finns i Installationsproblem.
Om enhetens hälsa är falseläser du Hälsoproblem med Defender för Endpoint-agenten.
Information om problem med produktprestanda finns i Felsöka prestandaproblem.
Information om proxy- och anslutningsproblem finns i Felsöka problem med molnanslutning.

Om du vill få support från Microsoft öppnar du ett supportärende och anger loggfilerna som skapats med hjälp av klientanalyseraren.

Konfigurera principer för Defender för Endpoint i Linux

Om du vill konfigurera Defender för Endpoint i Linux kan du välja mellan två alternativ för att konfigurera principer:

Registrera dig för hantering av säkerhetsinställningar i Defender för Endpoint och använd Microsoft Defender-portalen för att konfigurera och hantera dina principer
Konfigurera en konfigurationsprofil som använder en json-fil

Mer information finns i Konfigurera säkerhetsinställningar och principer för Defender för Endpoint på Linux.

Programuppdateringar

Microsoft publicerar programuppdateringar för Defender för Endpoint i Linux för att förbättra prestanda, förbättra säkerheten och leverera nya funktioner. Programuppdateringar släpps varje månad efter testning och verifiering. Ibland kan det ta mer än 30 dagar mellan versioner. Mer information finns i Nyheter i Defender för Endpoint på Linux

Varje version av Defender för Endpoint i Linux kommer att upphöra automatiskt efter nio månader. Vi rekommenderar att du använder aktuella versioner så att du får tillgängliga förbättringar och korrigeringar. Mer information finns i Så här distribuerar du uppdateringar för Microsoft Defender för Endpoint i Linux

Hälsorapportering för enheter

Rapporten Device Health innehåller information om antivirusstatus för Linux-servrar, inklusive information som antivirusläge, genomsökningsresultat, plattformsversion, antivirusmotorversion och säkerhetsinformationsversion.

Du kan komma åt den här informationen antingen via portalen eller via API. Mer information finns i följande artiklar:

Svarsåtgärder och livesvar

Säkerhetsåtgärdsteamet kan fjärransluta till en enhet och köra olika svarsåtgärder, till exempel köra en antivirusgenomsökning, isolera enheten och samla in undersökningspaket.

Dessutom kan de använda live-svar för en fjärrgränssnittsanslutning för att utföra djupgående utredningsarbete. Mer information finns i följande artiklar:

Sekretess

Microsoft strävar efter att ge dig den information och de kontroller du behöver för att göra val om hur dina data samlas in och används när du använder Defender för Endpoint i Linux.

Mer information finns i Sekretess för Microsoft Defender för Endpoint i Linux.

Vanliga program som Påverkar Defender för Endpoint

Höga I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Endpoint installeras. Sådana program för utvecklarscenarier omfattar Jenkins och Jira samt databasarbetsbelastningar som OracleDB och Postgres. Om du ser prestandaförsämring kan du överväga att ange undantag för betrodda program. Se följande artiklar:

Om du använder program som inte kommer från Microsoft kan du även läsa deras dokumentation om antivirusundantag.

Nästa steg

Se även