Dela via


Microsoft Defender för Endpoint för Linux

Tips

Vi är glada över att kunna dela den Microsoft Defender för Endpoint på Linux nu utökar stödet för ARM64-baserade Linux-servrar i förhandsversion! Mer information finns i Microsoft Defender för Endpoint på Linux för ARM64-baserade enheter (förhandsversion).

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I den här artikeln beskrivs hur du installerar, konfigurerar, uppdaterar och använder Microsoft Defender för Endpoint i Linux.

Försiktighet

Att köra andra slutpunktsskyddsprodukter från andra tillverkare än Microsoft tillsammans med Microsoft Defender för Endpoint på Linux leder sannolikt till prestandaproblem och oförutsägbara biverkningar. Om slutpunktsskydd från andra än Microsoft är ett absolut krav i din miljö kan du fortfarande på ett säkert sätt dra nytta av Defender för Endpoint på Linux EDR-funktioner när du har konfigurerat antivirusfunktioner för att köras i passivt läge.

Så här installerar du Microsoft Defender för Endpoint på Linux

Microsoft Defender för Endpoint för Linux innehåller funktioner för skydd mot skadlig kod och slutpunktsidentifiering och svar (EDR).

Förhandskrav

  • Åtkomst till Microsoft Defender-portalen
  • Linux-distribution med systemhanteraren
  • Erfarenhet på nybörjarnivå i Linux- och BASH-skript
  • Administratörsbehörigheter på enheten (för manuell distribution)

Obs!

Linux-distribution med systemhanteraren stöder både SystemV och Upstart. Microsoft Defender för Endpoint på Linux-agenten är oberoende av OMS-agenten. Microsoft Defender för Endpoint förlitar sig på en egen oberoende telemetripipeline.

Systemkrav

  • CPU: minst 1 CPU-kärna. För högpresterande arbetsbelastningar rekommenderas fler kärnor.

  • Diskutrymme: minst 2 GB. För högpresterande arbetsbelastningar kan mer diskutrymme behövas.

  • Minne: minst 1 GB RAM. För arbetsbelastningar med höga prestanda kan mer minne behövas.

    Obs!

    Prestandajustering kan behövas baserat på arbetsbelastningar. Se Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux.

  • Följande Linux-serverdistributioner och x64-versioner (AMD64/EM64T) stöds:

    • Red Hat Enterprise Linux 7.2 eller senare
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 eller senare
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 – 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 eller senare
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8,7 och högre
    • Rocky 9,2 och högre
    • Alma 8.4 och senare
    • Alma 9.2 och senare
    • Mariner 2
  • Följande Linux-serverdistributioner på ARM64 stöds nu i förhandsversionen:

    • Ubuntu 20.04 ARM64
    • Ubuntu 22.04 ARM64
    • Amazon Linux 2 ARM64
    • Amazon Linux 2023 ARM64

    Viktigt

    Stöd för Microsoft Defender för Endpoint på Linux för ARM64-baserade Linux-enheter finns nu som förhandsversion. Mer information finns i Microsoft Defender för Endpoint på Linux för ARM64-baserade enheter (förhandsversion).

    Obs!

    Distributioner och versioner som inte uttryckligen visas stöds inte (även om de härleds från de distributioner som stöds officiellt). När en ny paketversion har släppts begränsas stödet för de föregående två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport. Microsoft Defender – hantering av säkerhetsrisker stöds inte på Rocky och Alma för närvarande. Microsoft Defender för Endpoint för alla andra distributioner och versioner som stöds är kernelversionsagnostisk. Med ett minimalt krav på att kernelversionen ska vara på eller större än 3.10.0-327.

    Försiktighet

    Det går inte att köra Defender för Endpoint på Linux sida vid sida med andra fanotify-baserade säkerhetslösningar. Det kan leda till oförutsägbara resultat, inklusive hängande operativsystem. Om det finns andra program i systemet som använder fanotify i blockeringsläge visas program i fältet mdatp health för conflicting_applications kommandoutdata. Funktionen För Linux FAPolicyD används fanotify i blockeringsläge och stöds därför inte när Defender för Endpoint körs i aktivt läge. Du kan fortfarande på ett säkert sätt dra nytta av EDR-funktionerna i Defender för Endpoint på Linux när du har konfigurerat antivirusfunktionen Realtidsskydd aktiverat i passivt läge.

  • Lista över filsystem som stöds för RTP, Snabb, Fullständig och Anpassad genomsökning.

    RTP, snabb, fullständig genomsökning Anpassad genomsökning
    btrfs Alla filsystem som stöds för RTP, snabb och fullständig genomsökning
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (endast v3) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs
  • Granskningsramverket (auditd) måste vara aktiverat om du använder auditd som primär händelseprovider.

    Obs!

    Systemhändelser som samlas in av regler som läggs till /etc/audit/rules.d/ lägger till audit.logi (s) och kan påverka värdgranskning och uppströmssamling. Händelser som läggs till av Microsoft Defender för Endpoint i Linux kommer att taggas med mdatp nyckeln.

  • /opt/microsoft/mdatp/sbin/wdavdaemon kräver körbar behörighet. Mer information finns i "Kontrollera att daemon har körbar behörighet" i Felsöka installationsproblem för Microsoft Defender för Endpoint på Linux.

Installationsinstruktioner

Det finns flera metoder och distributionsverktyg som du kan använda för att installera och konfigurera Microsoft Defender för Endpoint på Linux. Innan du börjar kontrollerar du att minimikraven för Microsoft Defender för Endpoint är uppfyllda.

Du kan använda någon av följande metoder för att distribuera Microsoft Defender för Endpoint på Linux:

Om det uppstår installationsfel kan du läsa Felsöka installationsfel i Microsoft Defender för Endpoint på Linux.

Viktigt

Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen. Microsoft Defender för Endpoint i Linux skapar en mdatp användare med slumpmässigt UID och GID. Om du vill styra UID och GID skapar du en mdatp användare före installationen med hjälp av /usr/sbin/nologin shell-alternativet. Här är ett exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Externt paketberoende

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena. Följande externa paketberoenden finns för mdatp-paketet:

  • Mdatp RPM-paketet kräver glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetedoch mde-netfilter
  • För RHEL6 kräver auditmdatp RPM-paketet , policycoreutils, libselinuxoch mde-netfilter
  • För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtime, auditdoch mde-netfilter

Paketetmde-netfilter har också följande paketberoenden:

  • För DEBIAN kräver libnetfilter-queue1paketet mde-netfilter , och libglib2.0-0
  • För RPM kräver libmnlpaketet mde-netfilter , libnfnetlink, libnetfilter_queueoch glib2

Konfigurera undantag

När du lägger till undantag i Microsoft Defender Antivirus bör du tänka på vanliga undantagsmisstag för Microsoft Defender Antivirus.

Nätverksanslutningar

Se till att anslutningen är möjlig från dina enheter till Microsoft Defender för Endpoint molntjänster. Information om hur du förbereder din miljö finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.

Defender för Endpoint på Linux kan ansluta via en proxyserver med hjälp av följande identifieringsmetoder:

  • Transparent proxy
  • Manuell konfiguration av statisk proxy

Om en proxy eller brandvägg blockerar anonym trafik kontrollerar du att anonym trafik tillåts i de tidigare listade URL:erna. För transparenta proxyservrar behövs ingen annan konfiguration för Defender för Endpoint. För statisk proxy följer du stegen i Manuell statisk proxykonfiguration.

Varning

PAC, WPAD och autentiserade proxyservrar stöds inte. Se till att endast en statisk proxy eller transparent proxy används. SSL-inspektion och avlyssning av proxyservrar stöds inte heller av säkerhetsskäl. Konfigurera ett undantag för SSL-inspektion och proxyservern för att direkt skicka data från Defender för Endpoint på Linux till relevanta URL:er utan avlyssning. Om du lägger till avlyssningscertifikatet i det globala arkivet tillåts inte avlyssning.

Felsökningssteg finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.

Så här uppdaterar du Microsoft Defender för Endpoint i Linux

Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Information om hur du uppdaterar Microsoft Defender för Endpoint i Linux finns i Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.

Så här konfigurerar du Microsoft Defender för Endpoint i Linux

Vägledning för hur du konfigurerar produkten i företagsmiljöer finns i Ange inställningar för Microsoft Defender för Endpoint på Linux.

Vanliga program att Microsoft Defender för Endpoint kan påverka

Höga I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Endpoint installeras. Sådana program för utvecklarscenarier omfattar Jenkins och Jira samt databasarbetsbelastningar som OracleDB och Postgres. Om prestanda försämras bör du överväga att ställa in undantag för betrodda program, så att vanliga undantagsmisstag för Microsoft Defender Antivirus i åtanke. Mer vägledning finns i dokumentationen om antivirusundantag från program som inte kommer från Microsoft.

Resurser

  • Mer information om loggning, avinstallation eller andra artiklar finns i Resurser.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.