Microsoft Defender for Endpoint Linuxissa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan, miten voit asentaa, määrittää, päivittää ja käyttää Microsoft Defender for Endpoint Linuxissa.

Varoitus

Muiden kolmannen osapuolen päätepisteiden suojaustuotteiden suorittaminen Microsoft Defender for Endpoint rinnalla Linuxissa johtaa todennäköisesti suorituskykyongelmiin ja arvaamattomiin sivuvaikutuksiin. Jos muu kuin Microsoftin päätepistesuojaus on ehdoton vaatimus ympäristössäsi, voit silti turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa määritettyäsi virustentorjuntatoiminnon suoritettavaksi passiivitilassa.

Microsoft Defender for Endpoint asentaminen Linuxiin

linux-Microsoft Defender for Endpoint sisältää haittaohjelmien torjunta- ja päätepisteiden tunnistamis- ja vastausominaisuudet (EDR).

Ennakkovaatimukset

• Microsoft Defender portaalin käyttö

• Linux-jakelu systemd system managerin avulla

  Huomautus

  Linux-jakelu järjestelmänhallinnan avulla, lukuun ottamatta RHEL/CentOS 6.x:ää, tukee sekä SystemV:tä että Upstartia.

• Aloittelijatason käyttökokemus Linuxissa ja BASH-komentosarjoissa

• Järjestelmänvalvojan oikeudet laitteessa (manuaalisen käyttöönoton tapauksessa)

Huomautus

Microsoft Defender for Endpoint Linux-agentissa on riippumaton OMS-agentista. Microsoft Defender for Endpoint luottaa omaan riippumattomaan telemetriaputkeensa.

Asennusohjeet

Voit asentaa ja määrittää Microsoft Defender for Endpoint Linuxissa useilla menetelmillä ja käyttöönottotyökaluilla.

Yleensä sinun on suoritettava seuraavat vaiheet:

• Varmista, että sinulla on Microsoft Defender for Endpoint tilaus.
• Ota Microsoft Defender for Endpoint käyttöön Linuxissa käyttämällä jotakin seuraavista käyttöönottotavoista:
  • Komentorivityökalu:
    • Manuaalinen käyttöönotto
  • Kolmannen osapuolen hallintatyökalut:
    • Käyttöönotto nukkemääritysten hallintatyökalun avulla
    • Käyttöönotto Ansible-määritysten hallintatyökalun avulla
      • Käyttöönotto Chefin määritysten hallintatyökalun avulla
      • Käyttöönotto Saltstackin määritysten hallintatyökalun avulla Jos asennusvirheitä ilmenee, katso asennusvirheiden vianmääritys Microsoft Defender for Endpoint Linuxissa.

Huomautus

Microsoft Defender for Endpoint asentamista muuhun sijaintiin kuin oletusasennuspolkuun ei tueta.

Microsoft Defender for Endpoint Linuxissa luo mdatp-käyttäjän, jolla on satunnainen UID ja GID. Jos haluat hallita UID: tä ja GID: tä, luo mdatp-käyttäjä ennen asennusta käyttämällä komentoliittymävaihtoehtoa /usr/sbin/nologin. Esimerkki: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Järjestelmävaatimukset

• Tuetut Linux-palvelinjakelut ja x64 (AMD64/EM64T) ja x86_64 versiot:

  • Red Hat Enterprise Linux 6.7 tai uudempi (esikatselussa)

  • Red Hat Enterprise Linux 7.2 tai uudempi

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 tai uudempi (esikatselussa)

  • CentOS 7.2 tai uudempi

  • Ubuntu 16,04 LTS tai uudempi LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 tai uudempi

  • SUSE Linux Enterprise Server 15 tai uudempi

  • Oracle Linux 7.2 tai uudempi

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 tai uudempi

  • Rocky 8.7 ja uudempi

  • Alma 8.4 ja uudemmat

  • Mariner 2

    Huomautus

    Jakeluja ja versioita, joita ei ole nimenomaisesti lueteltu, ei tueta (vaikka ne johdetaan virallisesti tuetuista jakaumista). RHEL 6 -tuki "elinkaaren pidentämiseksi" päättyy 30.6.2024 mennessä; MDE Linux-tuki RHEL 6:lle poistetaan myös 30.6.2024 MDE Linux-versio 101.23082.0011 on viimeinen MDE Linux-julkaisu, joka tukee RHEL 6.7-versiota tai uudempia versioita (ei vanhene ennen 30.6.2024). Asiakkaita kehotetaan suunnittelemaan päivitykset RHEL 6 -infrastruktuuriinsa Red Hatin ohjeiden mukaisesti.

• Luettelo tuetuista ydinversioista

  Huomautus

  Red Hat Enterprise Linuxin ja CentOS:n Microsoft Defender for Endpoint – 6,7–6,10 on ytimeen perustuva ratkaisu. Sinun on varmistettava, että ydinversiota tuetaan, ennen kuin päivität uudemman ytimen versioon. kaikkien muiden tuettujen jakelujen ja versioiden Microsoft Defender for Endpoint on kernel-version-agnostic. Ytimen version vähimmäisvaatimus on vähintään 3.10.0-327.

  • fanotify Ytimen asetuksen on oltava käytössä
  • Red Hat Enterprise Linux 6 ja CentOS 6:
    • 6.7:lle: 2.6.32-573.* (paitsi 2.6.32-573.el6.x86_64)
    • Kohteelle 6.8: 2.6.32-642.*
    • 6.9:lle: 2.6.32-696.* (lukuun ottamatta 2.6.32-696.el6.x86_64)
    • 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Huomautus

  Kun uusi pakettiversio on julkaistu, kahden edellisen version tuki on rajoitettu vain tekniseen tukeen. Versiot, jotka ovat vanhempia kuin tässä osiossa luetellut versiot, tarjotaan vain teknistä päivitystukea varten.

  Varoitus

  Defender for Endpointin suorittamista Linuxissa rinnakkain muiden fanotifysuojausratkaisujen kanssa ei tueta. Se voi johtaa arvaamattomiin tuloksiin, kuten käyttöjärjestelmän ripustamiseen. Jos järjestelmässä on muita sovelluksia, jotka käyttävät fanotify estotilassa, sovellukset luetellaan conflicting_applications komentotulosteen mdatp health kentässä. Linuxin FAPolicyD-ominaisuutta käytetään fanotify estotilassa, joten sitä ei tueta, kun Defender for Endpoint suoritetaan aktiivisessa tilassa. Voit edelleen turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon reaaliaikaisen suojauksen käytössä passiivitilaan.

• Levytila: 2 Gt

  Huomautus

  Saatat tarvita vielä 2 Gigatavua levytilaa, jos kaatumiskokoelmien pilvidiagnostiikka on käytössä.

• /opt/microsoft/mdatp/sbin/wdavdaemon edellyttää suoritettavan tiedoston käyttöoikeutta. Lisätietoja on kohdassa "Varmista, että daemonin suoritusoikeudet" kohdassa Microsoft Defender for Endpoint Linuxin asennusongelmien vianmääritys.

• Ytimet: vähintään 2, 4 suositeltavaa

• Muisti: vähintään 1 Gt, 4 suositeltavaa

  Huomautus

  Varmista, että /var-tiedostossa on vapaata levytilaa.

• Luettelo tuetuista tiedostojärjestelmistä RTP:tä, pikatarkistusta, täyttä tarkistusta ja mukautettua tarkistusta varten.

  RTP, Nopea, Täysi tarkistus	Mukautettu tarkistus
  Btrfs	Kaikki tiedostojärjestelmät, joita RTP, Nopea ja Täysi tarkistus tukevat
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  Sulake	glustrefs
  fuseblk	Afs
  Jfs	Sshfs
  nfs (vain v3)	Cifs
  Peitto	Smb
  ramfs	gcsfuse
  Reiserfs	Sysfs
  tmpfs
  Udf
  vfat
  Xfs

Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan lähtevät yhteydet sen ja päätepisteiden välillä.

• Valvontakehys (auditd) on otettava käyttöön.

  Huomautus

  Järjestelmätapahtumat, jotka on otettu käyttöön lisätyillä /etc/audit/rules.d/ säännöillä, lisätään kohteeseen audit.log(s) ja ne saattavat vaikuttaa isäntien valvontaan ja ylätason kokoelmaan. Tapahtumat, jotka Microsoft Defender for Endpoint on Lisännyt Linuxissa, merkitään mdatp avaimella.

Ulkoisen paketin riippuvuus

Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:

• Mdatp RPM -paketti edellyttää "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• RHEL6:lle mdatp RPM -paketti edellyttää "audit", "policycoreutils", "libselinux", "mde-netfilter"
• DEBIAN-kohteelle mdatp-paketti vaatii "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:

• DEBIAN-kohteelle mde-netfilter-paketti edellyttää "libnetfilter-queue1", "libglib2.0-0"
• RPM:n mde-netfilter-paketti edellyttää "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata riippuvuudet manuaalisesti.

Poissulkemisten määrittäminen

Kun lisäät poissulkemisia Microsoft Defender virustentorjuntaan, muista Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet.

Verkkoyhteydet

Varmista, että yhteydet ovat mahdollisia laitteissasi Microsoft Defender for Endpoint pilvipalveluihin. Valmistele ympäristösi katsomalla vaihetta 1: Verkkoympäristön määrittäminen, jotta yhteys Defender for Endpoint -palveluun voidaan varmistaa.

Defender for Endpoint on Linux voi muodostaa yhteyden välityspalvelimen kautta seuraavilla etsintämenetelmillä:

• Läpinäkyvä välityspalvelin
• Manuaalinen staattisen välityspalvelimen määritys

Jos välityspalvelin tai palomuuri estää anonyymin liikenteen, varmista, että anonyymi liikenne on sallittu aiemmin luetelluissa URL-osoitteissa. Läpinäkyvät välityssovellukset eivät vaadi lisämäärityksiä Defenderin päätepisteelle. Jos kyseessä on staattinen välityspalvelin, noudata manuaalisen staattisen välityspalvelimen määrityksen ohjeita.

Varoitus

PAC:tä, WPAD:ia ja todennettuja välityslehtiä ei tueta. Varmista, että käytössä on vain staattinen välityspalvelin tai läpinäkyvä välityspalvelin.

SSL-tarkastusta ja välitysvälitysvälitysten pysäyttämistä ei myöskään tueta turvallisuussyistä. Määritä poikkeus SSL-tarkastusta ja välityspalvelinta varten, jotta voit suoraan välittää tietoja Linuxin Defender for Endpointista asianmukaisiin URL-osoitteisiin ilman sieppausta. Sieppausvarmenteen lisääminen yleiseen säilöön ei salli sieppausta.

Lisätietoja vianmäärityksestä on artikkelissa Linux-Microsoft Defender for Endpoint pilvipalveluun liittyvien yhteysongelmien vianmääritys.

Microsoft Defender for Endpoint päivittäminen Linuxissa

Microsoft julkaisee säännöllisesti ohjelmistopäivityksiä suorituskyvyn ja suojauksen parantamiseksi ja uusien ominaisuuksien toimittamiseksi. Jos haluat päivittää Microsoft Defender for Endpoint Linuxissa, katso Microsoft Defender for Endpoint päivitysten käyttöönotto Linuxissa.

Microsoft Defender for Endpointin määrittäminen Linuxissa

Ohjeita tuotteen määrittämiseen yritysympäristössä on kohdassa Määritä asetukset Microsoft Defender for Endpoint Linuxissa.

Microsoft Defender for Endpoint yhteiset sovellukset voivat vaikuttaa

Tiettyjen sovellusten suurilla I/O-kuormituksilla voi ilmetä suorituskykyongelmia, kun Microsoft Defender for Endpoint asennetaan. Näitä ovat esimerkiksi sovellukset kehittäjäskenaarioita varten, kuten Jenkins ja Jira, sekä tietokannan kuormituksia, kuten OracleDB ja Postgres. Jos suorituskyky heikkenee, harkitse poissulkemisten määrittämistä luotetuille sovelluksille pitäen Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet mielessä. Katso lisäohjeita konsultointidokumentaatiosta, joka koskee kolmannen osapuolen sovelluksista pois jätettyjä virustentorjuntaa.

Resurssit

• Lisätietoja kirjaamisesta, asennuksen poistamisesta tai muista artikkeleista on kohdassa Resurssit.

Aiheeseen liittyviä artikkeleita

• Suojaa päätepisteet Defender for Cloudin integroidulla EDR-ratkaisulla: Microsoft Defender for Endpoint
• Muiden kuin Azure-koneiden yhdistäminen Microsoft Defender for Cloudiin
• Linuxin verkkosuojauksen ottaminen käyttöön

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.