Microsoft Defender for Endpoint på Linux
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
I denne artikel beskrives det, hvordan du installerer, konfigurerer, opdaterer og bruger Microsoft Defender for Endpoint på Linux.
Forsigtighed
Kørsel af andre endpoint protection-produkter, der ikke er fra Microsoft, sammen med Microsoft Defender for Endpoint på Linux, vil sandsynligvis medføre problemer med ydeevnen og uforudsigelige bivirkninger. Hvis beskyttelse af slutpunkter, der ikke er fra Microsoft, er et absolut krav i dit miljø, kan du stadig trygt drage fordel af Defender for Endpoint på Linux EDR-funktionalitet, når du har konfigureret antivirusfunktioner til at køre i passiv tilstand.
Sådan installerer du Microsoft Defender for Endpoint på Linux
Microsoft Defender for Endpoint til Linux indeholder EDR-funktioner (antimalware) og EDR (endpoint detection and response).
Forudsætninger
Adgang til Microsoft Defender-portalen
Linux-distribution ved hjælp af systemadministratoren
Bemærk!
Linux-distribution ved hjælp af systemadministrator understøtter både SystemV og Upstart.
Erfaring med Linux- og BASH-scripting på begynderniveau
Administrative rettigheder på enheden (til manuel installation)
Bemærk!
Microsoft Defender for Endpoint på Linux-agenten er uafhængig af OMS-agenten. Microsoft Defender for Endpoint er afhængig af sin egen uafhængige telemetripipeline.
Installationsvejledning
Der er flere metoder og installationsværktøjer, som du kan bruge til at installere og konfigurere Microsoft Defender for Endpoint på Linux. Før du begynder, skal du sørge for, at minimumskravene til Microsoft Defender for Endpoint er opfyldt.
Du kan bruge en af følgende metoder til at installere Microsoft Defender for Endpoint på Linux:
- Hvis du vil bruge kommandolinjeværktøjet, skal du se Manuel installation
- Hvis du vil bruge En dukke, skal du se Udrul ved hjælp af styringsværktøjet til konfiguration af dukke
- Hvis du vil bruge Ansible, skal du se Installér ved hjælp af Værktøjet til administration af konfiguration, der kan bruges
- Hvis du vil bruge Chef, skal du se Udrul ved hjælp af værktøjet til administration af chefkonfiguration
- Hvis du vil bruge Saltstack, skal du se Installér ved hjælp af Værktøjet til konfiguration af Saltstack
Hvis du oplever installationsfejl, skal du se Fejlfinding af installationsfejl i Microsoft Defender for Endpoint på Linux.
Vigtigt!
Installation af Microsoft Defender for Endpoint på en anden placering end standardinstallationsstien understøttes ikke.
Microsoft Defender for Endpoint på Linux opretter en mdatp
bruger med tilfældigt UID og GID. Hvis du vil styre UID og GID, skal du oprette en mdatp
bruger før installationen ved hjælp af shellindstillingen /usr/sbin/nologin
. Her er et eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Systemkrav
Diskplads: 2 GB
Bemærk!
Der kan være brug for yderligere 2 GB diskplads, hvis clouddiagnosticering er aktiveret til samlinger af nedbrud. Sørg for, at der er ledig diskplads i /var.
Kerner: To minimum, fire foretrukket
Bemærk!
Hvis du er i tilstanden Passiv eller RTP ON, kræves der mindst to kerner. Fire kerner foretrækkes. Hvis du aktiverer BM, kræves der mindst fire kerner.
Hukommelse: minimum 1 GB, 4 GB foretrækkes
Følgende Linux-serverdistributioner og x64 -versioner (AMD64/EM64T) og x86_64 understøttes:
- Red Hat Enterprise Linux 7.2 eller nyere
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7,2 eller nyere
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 eller nyere
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8,7 og højere
- Rocky 9,2 og højere
- Alma 8,4 og nyere
- Alma 9.2 og nyere
- Mariner 2
Bemærk!
Distributioner og versioner, der ikke udtrykkeligt er angivet, understøttes ikke (også selvom de er afledt af de officielt understøttede distributioner). Når en ny pakkeversion er udgivet, reduceres understøttelsen af de to tidligere versioner til kun teknisk support. Versioner, der er ældre end dem, der er angivet i dette afsnit, leveres kun til teknisk opgraderingssupport. Microsoft Defender Vulnerablity Management understøttes ikke på Rocky og Alma i øjeblikket. Microsoft Defender for Endpoint for alle andre understøttede distributioner og versioner er kerneversionagnostisk. Med et minimalt krav om, at kerneversionen skal være på eller større end 3.10.0-327.
Forsigtighed
Kørsel af Defender for Endpoint på Linux side om side med andre
fanotify
-baserede sikkerhedsløsninger understøttes ikke. Det kan føre til uforudsigelige resultater, herunder hængende operativsystemet. Hvis der er andre programmer på systemet, der brugerfanotify
i blokerende tilstand, vises programmer iconflicting_applications
feltet for kommandooutputtetmdatp health
. Funktionen Linux FAPolicyD brugerfanotify
blokeringstilstand og understøttes derfor ikke, når Defender for Endpoint køres i aktiv tilstand. Du kan stadig trygt drage fordel af Defender for Endpoint på Linux EDR-funktionalitet, når du har konfigureret antivirusfunktionen Realtidsbeskyttelse aktiveret til passiv tilstand.Liste over understøttede filsystemer til RTP, Hurtig, Fuld og Brugerdefineret scanning.
RTP, Hurtig, Fuld scanning Brugerdefineret scanning btrfs
Alle filsystemer, der understøttes for RTP, Hurtig og Fuld scanning ecryptfs
Efs
ext2
S3fs
ext3
Blobfuse
ext4
Lustr
fuse
glustrefs
fuseblk
Afs
jfs
sshfs
nfs
(kun v3)cifs
overlay
smb
ramfs
gcsfuse
reiserfs
sysfs
tmpfs
udf
vfat
xfs
Overvågningsstrukturen (
auditd
) skal være aktiveret, hvis du bruger overvåget som din primære hændelsesudbyder.Bemærk!
Systemhændelser, der registreres af regler, der føjes til
/etc/audit/rules.d/
, føjes tilaudit.log
(s) og kan påvirke værtsovervågning og upstream-samling. Hændelser, der tilføjes af Microsoft Defender for Endpoint på Linux, mærkes medmdatp
nøglen./opt/microsoft/mdatp/sbin/wdavdaemon kræver eksekverbar tilladelse. Du kan finde flere oplysninger under "Kontrollér, at daemon har eksekverbar tilladelse" i Fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux.
Afhængighed af ekstern pakke
Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de påkrævede afhængigheder. Der findes følgende eksterne pakkeafhængigheder for mdatp-pakken:
- Mdatp RPM-pakken kræver
glibc >= 2.17
,audit
,policycoreutils
,semanage
selinux-policy-targeted
ogmde-netfilter
- For RHEL6 kræver
audit
mdatp RPM-pakken ,policycoreutils
,libselinux
ogmde-netfilter
- For DEBIAN kræver
libc6 >= 2.23
mdatp-pakken ,uuid-runtime
,auditd
ogmde-netfilter
Mde-netfilter-pakken har også følgende pakkeafhængigheder:
- For DEBIAN kræver
libnetfilter-queue1
mde-netfilter-pakken , oglibglib2.0-0
- For RPM kræver
libmnl
mde-netfilter-pakken ,libnfnetlink
,libnetfilter_queue
ogglib2
Konfiguration af udeladelser
Når du føjer udeladelser til Microsoft Defender Antivirus, skal du være opmærksom på almindelige udelukkelsesfejl for Microsoft Defender Antivirus.
Netværksforbindelser
Sørg for, at det er muligt at oprette forbindelse fra dine enheder til Microsoft Defender for Endpoint cloudtjenester. Hvis du vil forberede dit miljø, skal du se TRIN 1: Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Defender for Endpoint på Linux kan oprette forbindelse via en proxyserver ved hjælp af følgende registreringsmetoder:
- Gennemsigtig proxy
- Manuel konfiguration af statisk proxy
Hvis en proxy eller firewall blokerer anonym trafik, skal du sørge for, at anonym trafik er tilladt i de tidligere angivne URL-adresser. For gennemsigtige proxyer kræves der ingen anden konfiguration til Defender for Endpoint. I forbindelse med statisk proxy skal du følge trinnene i Manuel konfiguration af statisk proxy.
Advarsel
PAC, WPAD og godkendte proxyer understøttes ikke. Sørg for, at der kun bruges en statisk proxy eller gennemsigtig proxy. SSL-inspektion og opfangelse af proxyer understøttes heller ikke af sikkerhedsmæssige årsager. Konfigurer en undtagelse for SSL-inspektion og din proxyserver til at overføre data direkte fra Defender for Endpoint på Linux til de relevante URL-adresser uden opfangelse. Tilføjelse af dit aflytningscertifikat til det globale lager tillader ikke opfangelse.
Du kan finde fejlfindingstrin under Fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux.
Sådan opdaterer du Microsoft Defender for Endpoint på Linux
Microsoft udgiver jævnligt softwareopdateringer for at forbedre ydeevnen, sikkerheden og levere nye funktioner. Hvis du vil opdatere Microsoft Defender for Endpoint på Linux, skal du se Installér opdateringer til Microsoft Defender for Endpoint på Linux.
Sådan konfigurerer du Microsoft Defender for Endpoint på Linux
Vejledning til, hvordan du konfigurerer produktet i virksomhedsmiljøer, er tilgængelig under Angiv indstillinger for Microsoft Defender for Endpoint på Linux.
Almindelige programmer til Microsoft Defender for Endpoint kan påvirke
Høje I/O-arbejdsbelastninger fra visse programmer kan opleve problemer med ydeevnen, når Microsoft Defender for Endpoint installeres. Sådanne programmer til udviklingsscenarier omfatter Jenkins og Jira og databasearbejdsbelastninger som OracleDB og Postgres. Hvis der er en forringelse af ydeevnen, kan du overveje at angive undtagelser for programmer, der er tillid til, og holde øje med Almindelige udeladelsesfejl for Microsoft Defender Antivirus. Hvis du vil have mere vejledning, kan du overveje at konsultere dokumentation vedrørende antivirusudeladelser fra ikke-Microsoft-programmer.
Ressourcer
- Du kan få flere oplysninger om logføring, fjernelse eller andre artikler under Ressourcer.
Relaterede artikler
- Beskyt dine slutpunkter med Defender for Clouds integrerede EDR-løsning: Microsoft Defender for Endpoint
- Forbind dine maskiner, der ikke er Azure, med Microsoft Defender til Cloud
- Slå netværksbeskyttelse til for Linux
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.