Linux 版 Microsoft Defender for Endpoint
适用于:
- 服务器的Microsoft Defender for Endpoint
- 服务器计划 1 或计划 2 的Microsoft Defender
提示
我们很高兴地分享 Linux 上的Microsoft Defender for Endpoint现在以预览版的形式将支持扩展到基于 Arm64 的 Linux 服务器。 有关详细信息,请参阅 Linux for Arm64 设备上的Microsoft Defender for Endpoint (预览版) 。
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
Linux 上的Microsoft Defender for Endpoint是什么?
Microsoft Defender for Endpoint是一个全面的企业终结点安全平台,旨在帮助组织预防、检测、调查和响应高级威胁。 它保护各种设备,包括 Windows 和 Mac 客户端计算机、Windows 和 Linux 服务器,以及 iOS 和 Android 移动设备。
下表描述了 Linux 上的 Defender for Endpoint 中的功能:
| 类别 | 说明 |
|---|---|
| 态势管理 | Linux 上的 Defender for Endpoint 将监视和基于风险的漏洞管理与智能优先级、修正和跟踪相结合,以帮助有效地管理和保护 Linux 服务器。 借助单一管理平台体验,安全团队可以全面了解组织的曝光分数、建议、修正、清单等。 |
| 威胁防护 | Linux 上的 Defender for Endpoint 包括使用本地 & 基于云的机器学习模型、行为分析和启发式的下一代防病毒保护。 云保护提供近乎即时的检测和阻止新的/新出现的威胁。 你可以通过定期的安全智能和产品更新获得专用的持续保护。 还可以调查并定义基于客户 IP 和 URL 的泄露指标的策略。 |
| 终结点检测和响应 | Linux 上的 Defender for Endpoint 使用 AI 和高级分析来近乎实时地检测和响应威胁。 在Microsoft Defender门户中,有一个中心位置,用于查看跨Microsoft Defender套件和组织设备的检测。 可以使用高级搜寻来查看原始数据并深入了解网络事件。 响应作可用于快速、敏捷地处理安全警报。 |
| 简化的管理和作 | Linux 上的 Defender for Endpoint 提供广泛的 Linux 发行版覆盖范围,同时使安全团队的作更加轻松。 可以在 Microsoft Defender 门户中管理安全设置,并提前计划更新周期,同时使用脱机和多云选项支持 Linux 服务器。 |
| 企业级规模、性能和可靠性 | Linux 上的Microsoft Defender for Endpoint通过丰富的传感器框架确保稳定和持久的性能,该框架在没有内核模块的情况下运行,并集成了 eBPF 以确保作稳定性。 Defender for Endpoint 与更大的 Microsoft Defender 套件无缝集成,通过 API 集成、SIEM 连接器、Power BI 支持、基于角色的访问控制 (RBAC) 和 MSPP 支持提供扩展性。 |
服务器许可证
若要将服务器载入 Defender for Endpoint,需要服务器许可证。 可以从以下选项中进行选择:
- 服务器计划 1 或计划 2 的Microsoft Defender
- 服务器的Microsoft Defender for Endpoint
- 仅面向中小企业的Microsoft Defender 商业版服务器 ()
有关Microsoft Defender for Endpoint许可要求的更多详细信息,请参阅Microsoft Defender for Endpoint许可信息。
有关详细的许可信息,请参阅产品条款:Microsoft Defender for Endpoint并与你的帐户团队协作,了解有关条款和条件的详细信息。
在 Linux 上为 Defender for Endpoint 部署和配置策略
可以使用多种方法和工具在 Linux 上部署Microsoft Defender for Endpoint。 请确保满足 Linux 上的 Defender for Endpoint 的先决条件。
- 基于安装程序脚本的部署
- 基于 Ansible 的部署
- 基于 Chef 的部署
- 基于模型的部署
- 基于 SaltStack 的部署
- 手动部署
- 使用 Defender for Cloud 直接载入
- 基于 arm64 的设备上的 Linux 上的 Defender for Endpoint 部署指南 (预览版)
- 使用 SAP 在 Linux Server 上使用 Defender for Endpoint 的部署指南
重要
不支持在默认安装路径以外的任何位置安装Microsoft Defender for Endpoint。 在 Linux 上,Microsoft Defender for Endpoint使用随机 UID 和 GID 值创建 mdatp 用户。 如果要控制这些值,请在安装前使用 /usr/sbin/nologin shell 选项创建 mdatp 用户。 下面是一个示例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。
如果遇到任何安装问题,可以使用自我故障排除资源。 请参阅另 请参阅 部分中的链接。
在 Linux 上为 Defender for Endpoint 配置策略
若要在 Linux 上配置 Defender for Endpoint,可以从两个选项中进行选择来配置策略:
- 注册 Defender for Endpoint 安全设置管理,并使用 Microsoft Defender 门户配置和管理策略
- 设置使用 json 文件的配置文件
有关详细信息,请参阅 为 Linux 上的 Defender for Endpoint 配置安全设置和策略。
软件更新
Microsoft发布适用于 Linux 上的 Defender for Endpoint 的软件更新,以提高性能、提高安全性并提供新功能。 软件更新在测试和验证之后每月发布一次。 有时,两次发布可能需要超过 30 天的时间。 有关详细信息,请参阅 Linux 上的 Defender for Endpoint 中的新增功能
Linux 上的每个 Defender for Endpoint 版本都设置为在 9 个月后自动过期。 建议使用当前版本,以便获得可用的增强功能和修补程序。 有关详细信息,请参阅如何在 Linux 上部署Microsoft Defender for Endpoint的更新
设备运行状况报告
设备运行状况报告提供有关 Linux 服务器的防病毒状态的信息,包括防病毒模式、扫描结果、平台版本、防病毒引擎版本和安全智能版本等详细信息。
可以通过门户或 API 访问此信息。 有关详细信息,请参阅以下文章:
响应作和实时响应
安全运营团队可以远程连接到设备并执行各种响应作,例如运行防病毒扫描、隔离设备以及收集调查包。
此外,他们可以使用远程 shell 连接的实时响应来执行深入的调查工作。 有关详细信息,请参阅以下文章:
隐私
Microsoft致力于为你提供在 Linux 上使用 Defender for Endpoint 时选择数据收集和使用方式所需的信息和控件。
有关详细信息,请参阅 Linux 上Microsoft Defender for Endpoint的隐私。
Defender for Endpoint 影响的常见应用程序
安装 Defender for Endpoint 时,来自某些应用程序的高 I/O 工作负载可能会遇到性能问题。 此类适用于开发人员方案的应用程序包括 Jenkins 和 Jira,以及 OracleDB 和 Postgres 等数据库工作负载。
如果看到性能下降,请考虑为受信任的应用程序设置排除项。 另请参阅以下文章:
如果使用非Microsoft应用程序,另请参阅其有关防病毒排除的文档。
后续步骤
- 查看 Linux 上的 Defender for Endpoint 的先决条件
- 在 Linux 上部署 Defender for Endpoint
- 在 Linux 上配置 Defender for Endpoint
- 在 Linux 上部署 Defender for Endpoint 的更新
另请参阅
- 使用Microsoft Defender for Endpoint安全设置管理来管理Microsoft Defender防病毒
- Linux 资源
- 排查 Linux 上Microsoft Defender for Endpoint的云连接问题
- 调查代理运行状况问题
- 排查 Linux 上Microsoft Defender for Endpoint缺少事件或警报问题
- 排查 Linux 上Microsoft Defender for Endpoint的性能问题
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区