Microsoft Defender for Endpoint v systému Linux
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tento článek popisuje, jak nainstalovat, nakonfigurovat, aktualizovat a používat Microsoft Defender for Endpoint v Linuxu.
Upozornění
Spouštění dalších produktů ochrany koncových bodů třetích stran společně s Microsoft Defenderem for Endpoint v Linuxu může vést k problémům s výkonem a nepředvídatelným vedlejším účinkům. Pokud je ochrana koncových bodů jiného než Microsoftu ve vašem prostředí absolutním požadavkem, můžete i po konfiguraci antivirové funkce pro spuštění v pasivním režimu bezpečně využívat funkce Defenderu for Endpoint v Linuxu EDR.
Jak nainstalovat Microsoft Defender for Endpoint v Linuxu
Microsoft Defender for Endpoint for Linux zahrnuje antimalwarové funkce a funkce detekce a odezvy koncových bodů (EDR).
Požadavky
Přístup k portálu Microsoft Defender
Distribuce Linuxu pomocí systemd systemd system manageru
Poznámka
Distribuce Linuxu pomocí správce systému s výjimkou RHEL/CentOS 6.x podporuje SystemV i Upstart.
Zkušenosti na úrovni začátečníka se skriptováním v Linuxu a BASH
Oprávnění správce na zařízení (v případě ručního nasazení)
Poznámka
Agent Microsoft Defender for Endpoint v Linuxu je nezávislý na agentu OMS. Microsoft Defender for Endpoint spoléhá na vlastní nezávislý kanál telemetrie.
Pokyny k instalaci
Existuje několik metod a nástrojů pro nasazení, které můžete použít k instalaci a konfiguraci Microsoft Defenderu for Endpoint v Linuxu.
Obecně je potřeba provést následující kroky:
- Ujistěte se, že máte předplatné Microsoft Defenderu for Endpoint.
- Nasaďte Microsoft Defender for Endpoint v Linuxu pomocí jedné z následujících metod nasazení:
- Nástroj příkazového řádku:
- Nástroje pro správu třetích stran:
- Nasazení pomocí nástroje pro správu konfigurace Puppetu
- Nasazení pomocí nástroje pro správu konfigurace Ansible
- Nasazení pomocí nástroje pro správu konfigurace Chef
- Nasazení pomocí nástroje pro správu konfigurace Saltstack Pokud dojde k nějakým selháním instalace, přečtěte si téma Řešení potíží se selháními instalace v Microsoft Defenderu for Endpoint v Linuxu.
Poznámka
Instalace programu Microsoft Defender for Endpoint není podporovaná v jiném umístění než ve výchozí instalační cestě.
Microsoft Defender for Endpoint v Linuxu vytvoří uživatele mdatp s náhodným UID a GID. Pokud chcete řídit UID a GID, vytvořte uživatele mdatp před instalací pomocí možnosti prostředí /usr/sbin/nologin.
Příklad: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Požadavky na systém
Podporované linuxové serverové distribuce a verze x64 (AMD64/EM64T) a x86_64:
Red Hat Enterprise Linux 6.7 nebo novější (Ve verzi Preview)
Red Hat Enterprise Linux 7.2 nebo novější
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 nebo novější (Ve verzi Preview)
CentOS 7.2 nebo novější
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 nebo novější
SUSE Linux Enterprise Server 15 nebo novější
Oracle Linux 7.2 nebo novější
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 nebo novější
Rocky 8.7 a novější
Alma 8.4 a novější
Mariňák 2
Poznámka
Distribuce a verze, které nejsou explicitně uvedené, nejsou podporovány (i když jsou odvozeny ze oficiálně podporovaných distribucí). Podpora RHEL 6 pro "prodloužený konec životnosti" skončí do 30. června 2024; Podpora MDE Linux pro RHEL 6 bude také vyřazena do 30. června 2024 MDE Linux verze 101.23082.0011 je poslední verze MDE Linuxu podporující RHEL 6.7 nebo vyšší (platnost vyprší před 30. června 2024). Zákazníkům se doporučuje naplánovat upgrady infrastruktury RHEL 6 v souladu s pokyny společnosti Red Hat.
Správa Vulnerablity v programu Microsoft Defender není v současné době v Alma podporována.
Seznam podporovaných verzí jádra
Poznámka
Microsoft Defender for Endpoint v Red Hat Enterprise Linuxu a CentOS – 6.7 až 6.10 je řešení založené na jádru. Před aktualizací na novější verzi jádra je nutné ověřit, zda je verze jádra podporována. Microsoft Defender for Endpoint pro všechny ostatní podporované distribuce a verze je nezávislý na verzi jádra. S minimálním požadavkem, aby verze jádra byla na nebo vyšší než 3.10.0-327.
- Musí být povolená
fanotify
možnost jádra. - Red Hat Enterprise Linux 6 a CentOS 6:
- Pro verzi 6.7: 2.6.32-573.* (kromě 2.6.32-573.el6.x86_64)
- Pro verzi 6.8: 2.6.32-642.*
- Pro verzi 6.9: 2.6.32-696.* (kromě 2.6.32-696.el6.x86_64)
- Pro verzi 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Poznámka
Po vydání nové verze balíčku se podpora předchozích dvou verzí omezí pouze na technickou podporu. Verze starší než ty, které jsou uvedené v této části, jsou k dispozici pouze pro technickou podporu upgradu.
Upozornění
Spuštění Defenderu for Endpoint v Linuxu společně s jinými
fanotify
řešeními zabezpečení se nepodporuje. Může to vést k nepředvídatelným výsledkům, včetně zablokujícího operačního systému. Pokud v systému existují nějaké jiné aplikace, které používajífanotify
režim blokování, jsou aplikace uvedeny vconflicting_applications
poli výstupumdatp health
příkazu. Funkce FAPolicyD v Linuxu se používáfanotify
v režimu blokování, a proto se nepodporuje při spuštění Defenderu for Endpoint v aktivním režimu. I po konfiguraci antivirové funkce Ochrana v reálném čase Povolena do pasivního režimu můžete bezpečně využívat funkce Defender for Endpoint v Linuxu EDR.- Musí být povolená
Místo na disku: 2 GB
Poznámka
Pokud je pro kolekce chyb povolená cloudová diagnostika, může být potřeba další 2 GB místa na disku.
/opt/microsoft/mdatp/sbin/wdavdaemon vyžaduje oprávnění spustitelného souboru. Další informace najdete v tématu "Ujistěte se, že démon má oprávnění ke spustitelnému souboru" v tématu Řešení potíží s instalací microsoft defenderu for Endpoint v Linuxu.
Jádra: minimálně 2, 4 upřednostňované
Paměť: minimálně 1 GB, upřednostňované 4
Poznámka
Ujistěte se, že máte volné místo na disku v souboru /var.
Seznam podporovaných systémů souborů pro rtp, rychlé, úplné a vlastní prohledávání
RTP, rychlá, úplná kontrola Vlastní kontrola btrfs Všechny podporované systémy souborů pro rtp, rychlé a úplné prohledávání ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Pojistka glustrefy fuseblk Afs Jfs Sshfs nfs (jenom v3) Cifs Překrytí Smb ramfs gcsfuse Reiserfs sysfs tmpfs Udf Vfat Xfs
Po povolení služby musíte nakonfigurovat síť nebo bránu firewall tak, aby umožňovaly odchozí připojení mezi ní a vašimi koncovými body.
Musí být povolená architektura auditování (
auditd
).Poznámka
Systémové události zachycené pravidly přidanými do se budou přidávat
/etc/audit/rules.d/
doaudit.log
(s) a můžou mít vliv na auditování hostitele a upstreamové shromažďování. Události přidané microsoft defenderem for Endpoint v Linuxu se označímdatp
klíčem.
Závislost externího balíčku
Pro balíček mdatp existují následující závislosti externích balíčků:
- Balíček mdatp RPM vyžaduje glibc >= 2.17, audit, policycoreutils, semanage, selinux-policy-targeted, mde-netfilter.
- Pro RHEL6 vyžaduje balíček mdatp RPM "audit", "policycoreutils", "libselinux", "mde-netfilter".
- Pro DEBIAN balíček mdatp vyžaduje "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Balíček mde-netfilter má také následující závislosti balíčků:
- Pro DEBIAN balíček mde-netfilter vyžaduje "libnetfilter-queue1", "libglib2.0-0"
- Pro RPM vyžaduje balíček mde-netfilter "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2".
Pokud se instalace Microsoft Defenderu for Endpoint nezdaří kvůli chybám chybějících závislostí, můžete požadované závislosti stáhnout ručně.
Konfigurace vyloučení
Při přidávání vyloučení do antivirové ochrany v programu Microsoft Defender byste měli mít na paměti běžné chyby vyloučení antivirové ochrany v programu Microsoft Defender.
Síťová připojení
Ujistěte se, že je z vašich zařízení možné připojení ke cloudovým službám Microsoft Defenderu for Endpoint. Při přípravě prostředí si projděte krok 1: Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint.
Defender for Endpoint v Linuxu se může připojit přes proxy server pomocí následujících metod zjišťování:
- Transparentní proxy server
- Ruční konfigurace statického proxy serveru
Pokud proxy server nebo brána firewall blokují anonymní provoz, ujistěte se, že je v dříve uvedených adresách URL povolený anonymní provoz. U transparentních proxy serverů není potřeba žádná další konfigurace defenderu for Endpoint. V případě statického proxy serveru postupujte podle kroků v tématu Ruční konfigurace statického proxy serveru.
Upozornění
Pac, WPAD a ověřené proxy servery se nepodporují. Ujistěte se, že se používá jenom statický proxy server nebo transparentní proxy server.
Z bezpečnostních důvodů se také nepodporuje kontrola SSL a zachytávání proxy serverů. Nakonfigurujte výjimku pro kontrolu SSL a proxy server tak, aby přímo předával data z Defenderu for Endpoint v Linuxu příslušným adresám URL bez zachycování. Přidání certifikátu pro zachytávání do globálního úložiště nepovolí zachycování.
Postup řešení potíží najdete v tématu Řešení potíží s připojením ke cloudu pro Microsoft Defender for Endpoint v Linuxu.
Jak aktualizovat Microsoft Defender for Endpoint v Linuxu
Společnost Microsoft pravidelně publikuje aktualizace softwaru, aby zlepšila výkon, zabezpečení a poskytovala nové funkce. Pokud chcete aktualizovat Microsoft Defender for Endpoint v Linuxu, přečtěte si téma Nasazení aktualizací pro Microsoft Defender for Endpoint v Linuxu.
Jak nakonfigurovat Microsoft Defender for Endpoint v systému Linux
Pokyny ke konfiguraci produktu v podnikových prostředích najdete v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v Linuxu.
Běžné aplikace pro Microsoft Defender for Endpoint můžou mít vliv
Vysoké vstupně-výstupní úlohy z určitých aplikací můžou při instalaci Microsoft Defenderu for Endpoint docházet k problémům s výkonem. Patří sem aplikace pro vývojářské scénáře, jako je Jenkins a Jira, a databázové úlohy, jako jsou OracleDB a Postgres. Pokud dochází ke snížení výkonu, zvažte nastavení vyloučení pro důvěryhodné aplikace a mějte na paměti běžné chyby vyloučení pro Antivirovou ochranu v programu Microsoft Defender . Další pokyny najdete v dokumentaci týkající se vyloučení antivirového softwaru z aplikací třetích stran.
Zdroje
- Další informace o protokolování, odinstalaci nebo jiných článcích najdete v tématu Zdroje informací.
Související články
- Ochrana koncových bodů pomocí integrovaného řešení EDR v Defenderu for Cloud: Microsoft Defender for Endpoint
- Připojení počítačů mimo Azure k Microsoft Defenderu for Cloud
- Zapnutí ochrany sítě pro Linux
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro