Microsoft Defender for Endpoint på Linux

  • Artikel

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I denne artikel beskrives det, hvordan du installerer, konfigurerer, opdaterer og bruger Microsoft Defender for Endpoint på Linux.

Forsigtighed

Kørsel af andre tredjepartsbeskyttelsesprodukter til slutpunkter sammen med Microsoft Defender for Endpoint på Linux vil sandsynligvis medføre problemer med ydeevnen og uforudsigelige bivirkninger. Hvis beskyttelse af slutpunkter, der ikke er fra Microsoft, er et absolut krav i dit miljø, kan du stadig trygt drage fordel af Defender for Endpoint på Linux EDR-funktionaliteten, når du har konfigureret antivirusfunktionen til at køre i passiv tilstand.

Sådan installerer du Microsoft Defender for Endpoint på Linux

Microsoft Defender for Endpoint til Linux indeholder EDR-funktioner (antimalware) og EDR (endpoint detection and response).

Forudsætninger

  • Adgang til Microsoft Defender-portalen

  • Linux-distribution ved hjælp af systemadministratoren

    Bemærk!

    Linux-distribution ved hjælp af systemadministrator med undtagelse af RHEL/CentOS 6.x understøtter både SystemV og Upstart.

  • Erfaring med Linux- og BASH-scripting på begynderniveau

  • Administrative rettigheder på enheden (i tilfælde af manuel installation)

Bemærk!

Microsoft Defender for Endpoint på Linux-agenten er uafhængig af OMS-agenten. Microsoft Defender for Endpoint er afhængig af sin egen uafhængige telemetripipeline.

Installationsvejledning

Der er flere metoder og installationsværktøjer, som du kan bruge til at installere og konfigurere Microsoft Defender for Endpoint på Linux.

Generelt skal du gøre følgende:

Bemærk!

Det understøttes ikke at installere Microsoft Defender for Endpoint på andre placeringer end standardinstallationsstien.

Microsoft Defender for Endpoint på Linux opretter en "mdatp"-bruger med tilfældigt UID og GID. Hvis du vil styre UID og GID, skal du oprette en "mdatp"-bruger før installationen ved hjælp af shellindstillingen "/usr/sbin/nologin". For eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Systemkrav

  • Understøttede Linux-serverdistributioner og x64-versioner (AMD64/EM64T) og x86_64 versioner:

    • Red Hat Enterprise Linux 6.7 eller nyere (prøveversion)

    • Red Hat Enterprise Linux 7.2 eller nyere

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6,7 eller nyere (prøveversion)

    • CentOS 7,2 eller nyere

    • Ubuntu 16.04 LTS eller højere LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12 eller nyere

    • SUSE Linux Enterprise Server 15 eller nyere

    • Oracle Linux 7.2 eller nyere

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 eller nyere

    • Rocky 8,7 og højere

    • Alma 8,4 og nyere

    • Mariner 2

      Bemærk!

      Distributioner og versioner, der ikke udtrykkeligt er angivet, understøttes ikke (også selvom de er afledt af de officielt understøttede distributioner). Med RHEL 6-understøttelse af "forlænget levetid" ophører den 30. juni 2024; MDE Linux-understøttelse af RHEL 6 frarådes også den 30. juni 2024 MDE Linux version 101.23082.0011 er den sidste MDE Linux-version, der understøtter RHEL 6.7 eller nyere versioner (udløber ikke før den 30. juni 2024). Kunderne rådes til at planlægge opgraderinger til deres RHEL 6-infrastruktur i overensstemmelse med vejledningen fra Red Hat.

  • Liste over understøttede kerneversioner

    Bemærk!

    Microsoft Defender for Endpoint på Red Hat Enterprise Linux og CentOS – 6,7 til 6.10 er en kernebaseret løsning. Du skal bekræfte, at kerneversionen understøttes, før du opdaterer til en nyere kerneversion. Microsoft Defender for Endpoint for alle andre understøttede distributioner og versioner er kerneversionagnostisk. Med et minimalt krav om, at kerneversionen skal være på eller større end 3.10.0-327.

    • Kerneindstillingen fanotify skal være aktiveret
    • Red Hat Enterprise Linux 6 og CentOS 6:
      • For 6.7: 2.6.32-573.* (undtagen 2.6.32-573.el6.x86_64)
      • For 6.8: 2.6.32-642.*
      • For 6.9: 2.6.32-696.* (undtagen 2.6.32-696.el6.x86_64)
      • For 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32 754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32 754.15.3.el6.x86_64
        • 2.6.32 754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32 754.2.1.el6.x86_64
        • 2.6.32 754.22.1.el6.x86_64
        • 2.6.32 754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32 754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32 754.28.1.el6.x86_64
        • 2.6.32 754.29.1.el6.x86_64
        • 2.6.32 754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32 754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32 754.39.1.el6.x86_64
        • 2.6.32 754.41.2.el6.x86_64
        • 2.6.32 754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32 754.48.1.el6.x86_64
        • 2.6.32 754.49.1.el6.x86_64
        • 2.6.32 754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Bemærk!

    Når en ny pakkeversion er udgivet, reduceres understøttelsen af de to tidligere versioner til kun teknisk support. Versioner, der er ældre end dem, der er angivet i dette afsnit, leveres kun til teknisk opgraderingssupport.

    Forsigtighed

    Kørsel af Defender for Endpoint på Linux side om side med andre fanotify-baserede sikkerhedsløsninger understøttes ikke. Det kan føre til uforudsigelige resultater, herunder hængende operativsystemet. Hvis der er andre programmer på systemet, der bruger fanotify i blokerende tilstand, vises programmer i conflicting_applications feltet for kommandooutputtet mdatp health . Funktionen Linux FAPolicyD bruger fanotify blokeringstilstand og understøttes derfor ikke, når Defender for Endpoint køres i aktiv tilstand. Du kan stadig trygt drage fordel af Defender for Endpoint på Linux EDR-funktionalitet, når du har konfigureret antivirusfunktionen Realtidsbeskyttelse aktiveret til passiv tilstand.

  • Diskplads: 2 GB

    Bemærk!

    Der kan være brug for yderligere 2 GB diskplads, hvis clouddiagnosticering er aktiveret til samlinger af nedbrud.

  • /opt/microsoft/mdatp/sbin/wdavdaemon kræver eksekverbar tilladelse. Du kan finde flere oplysninger under "Kontrollér, at daemon har eksekverbar tilladelse" i Fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux.

  • Kerner: 2 minimum, 4 foretrækkes

  • Hukommelse: minimum 1 GB, 4 foretrækkes

    Bemærk!

    Sørg for, at der er ledig diskplads i /var.

  • Liste over understøttede filsystemer til RTP, Hurtig, Fuld og Brugerdefineret scanning.

    RTP, Hurtig, Fuld scanning Brugerdefineret scanning
    Btrfs Alle filsystemer, der understøttes for RTP, Hurtig og Fuld scanning
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lyst
    Sikring glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs (kun v3) Cifs
    Overlay Smb
    ramfs gcsfuse
    Reiserfs sysfs
    Tmpfs
    Udf
    Vfat
    Xfs

Når du har aktiveret tjenesten, skal du konfigurere dit netværk eller din firewall for at tillade udgående forbindelser mellem den og dine slutpunkter.

  • Overvågningsstrukturen (auditd) skal aktiveres.

    Bemærk!

    Systemhændelser, der registreres af regler, der føjes til /etc/audit/rules.d/ , føjes til audit.log(s) og kan påvirke værtsovervågning og upstream-samling. Hændelser, der tilføjes af Microsoft Defender for Endpoint på Linux, mærkes med mdatp nøglen.

Afhængighed af ekstern pakke

Der findes følgende eksterne pakkeafhængigheder for mdatp-pakken:

  • Mdatp RPM-pakken kræver "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • For RHEL6 kræver mdatp RPM-pakken "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • For DEBIAN kræver mdatp-pakken "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Mde-netfilter-pakken har også følgende pakkeafhængigheder:

  • For DEBIAN kræver mde-netfilter-pakken "libnetfilter-queue1", "libglib2.0-0"
  • For RPM kræver mde-netfilter-pakken "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de nødvendige afhængigheder.

Konfiguration af udeladelser

Når du føjer udeladelser til Microsoft Defender Antivirus, skal du være opmærksom på almindelige udelukkelsesfejl for Microsoft Defender Antivirus.

Netværksforbindelser

Følgende regneark, der kan downloades, viser de tjenester og deres tilknyttede URL-adresser, som dit netværk skal kunne oprette forbindelse til. Du skal sikre, at der ikke er nogen regler for firewall- eller netværksfiltrering, der vil nægte adgang til disse URL-adresser. Hvis der er, skal du muligvis oprette en tilladelsesregel specifikt for dem.

Regneark med domæneliste Beskrivelse
Microsoft Defender for Endpoint URL-adresseliste til kommercielle kunder Regneark med specifikke DNS-poster for tjenesteplaceringer, geografiske placeringer og OPERATIVSYSTEM til kommercielle kunder.

Download regnearket her.
Microsoft Defender for Endpoint URL-adresseliste for Gov/GCC/DoD Regneark med specifikke DNS-poster for tjenesteplaceringer, geografiske placeringer og OS for Gov/GCC/DoD-kunder.

Download regnearket her.

Bemærk!

Du kan se en mere specifik URL-liste under Konfigurer indstillinger for proxy- og internetforbindelse.

Defender for Endpoint kan finde en proxyserver ved hjælp af følgende registreringsmetoder:

  • Gennemsigtig proxy
  • Manuel konfiguration af statisk proxy

Hvis en proxy eller firewall blokerer anonym trafik, skal du sørge for, at anonym trafik er tilladt i de tidligere angivne URL-adresser. For gennemsigtige proxyer er der ikke behov for yderligere konfiguration for Defender for Endpoint. I forbindelse med statisk proxy skal du følge trinnene i Manuel konfiguration af statisk proxy.

Advarsel

PAC, WPAD og godkendte proxyer understøttes ikke. Sørg for, at der kun bruges en statisk proxy eller gennemsigtig proxy.

SSL-inspektion og opfangelse af proxyer understøttes heller ikke af sikkerhedsmæssige årsager. Konfigurer en undtagelse for SSL-inspektion og din proxyserver til at overføre data direkte fra Defender for Endpoint på Linux til de relevante URL-adresser uden opfangelse. Tilføjelse af dit aflytningscertifikat til det globale lager tillader ikke opfangelse.

Du kan finde fejlfindingstrin under Fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux.

Sådan opdaterer du Microsoft Defender for Endpoint på Linux

Microsoft udgiver jævnligt softwareopdateringer for at forbedre ydeevnen, sikkerheden og levere nye funktioner. Hvis du vil opdatere Microsoft Defender for Endpoint på Linux, skal du se Installér opdateringer til Microsoft Defender for Endpoint på Linux.

Sådan konfigurerer du Microsoft Defender for Endpoint på Linux

Vejledning til, hvordan du konfigurerer produktet i virksomhedsmiljøer, er tilgængelig under Angiv indstillinger for Microsoft Defender for Endpoint på Linux.

Almindelige programmer til Microsoft Defender for Endpoint kan påvirke

Høje I/O-arbejdsbelastninger fra visse programmer kan opleve problemer med ydeevnen, når Microsoft Defender for Endpoint installeres. Disse omfatter programmer til udviklerscenarier, f.eks. Jenkins og Jira, og databasearbejdsbelastninger som OracleDB og Postgres. Hvis der er en forringelse af ydeevnen, kan du overveje at angive undtagelser for programmer, der er tillid til, og holde øje med Almindelige udeladelsesfejl for Microsoft Defender Antivirus. Hvis du vil have yderligere vejledning, kan du overveje at konsultere dokumentation vedrørende antivirusudeladelser fra tredjepartsprogrammer.

Ressourcer

  • Du kan få flere oplysninger om logføring, fjernelse eller andre artikler under Ressourcer.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.