Microsoft Defender for Endpoint Linuxissa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa kuvataan, miten voit asentaa, määrittää, päivittää ja käyttää Microsoft Defender for Endpoint Linuxissa.
Varoitus
Muiden kolmannen osapuolen päätepisteiden suojaustuotteiden suorittaminen Microsoft Defender for Endpoint rinnalla Linuxissa johtaa todennäköisesti suorituskykyongelmiin ja arvaamattomiin sivuvaikutuksiin. Jos muu kuin Microsoftin päätepistesuojaus on ehdoton vaatimus ympäristössäsi, voit silti turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa määritettyäsi virustentorjuntatoiminnon suoritettavaksi passiivitilassa.
Microsoft Defender for Endpoint asentaminen Linuxiin
linux-Microsoft Defender for Endpoint sisältää haittaohjelmien torjunta- ja päätepisteiden tunnistamis- ja vastausominaisuudet (EDR).
Ennakkovaatimukset
Microsoft Defender portaalin käyttö
Linux-jakelu systemd system managerin avulla
Huomautus
Linux-jakelu järjestelmänhallinnan avulla, lukuun ottamatta RHEL/CentOS 6.x:ää, tukee sekä SystemV:tä että Upstartia.
Aloittelijatason käyttökokemus Linuxissa ja BASH-komentosarjoissa
Järjestelmänvalvojan oikeudet laitteessa (manuaalisen käyttöönoton tapauksessa)
Huomautus
Microsoft Defender for Endpoint Linux-agentissa on riippumaton OMS-agentista. Microsoft Defender for Endpoint luottaa omaan riippumattomaan telemetriaputkeensa.
Asennusohjeet
Voit asentaa ja määrittää Microsoft Defender for Endpoint Linuxissa useilla menetelmillä ja käyttöönottotyökaluilla.
Yleensä sinun on suoritettava seuraavat vaiheet:
- Varmista, että sinulla on Microsoft Defender for Endpoint tilaus.
- Ota Microsoft Defender for Endpoint käyttöön Linuxissa käyttämällä jotakin seuraavista käyttöönottotavoista:
- Komentorivityökalu:
- Kolmannen osapuolen hallintatyökalut:
Huomautus
Microsoft Defender for Endpoint asentamista muuhun sijaintiin kuin oletusasennuspolkuun ei tueta.
Microsoft Defender for Endpoint Linuxissa luo mdatp-käyttäjän, jolla on satunnainen UID ja GID. Jos haluat hallita UID: tä ja GID: tä, luo mdatp-käyttäjä ennen asennusta käyttämällä komentoliittymävaihtoehtoa /usr/sbin/nologin.
Esimerkki: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Järjestelmävaatimukset
Tuetut Linux-palvelinjakelut ja x64 (AMD64/EM64T) ja x86_64 versiot:
Red Hat Enterprise Linux 6.7 tai uudempi (esikatselussa)
Red Hat Enterprise Linux 7.2 tai uudempi
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 tai uudempi (esikatselussa)
CentOS 7.2 tai uudempi
Ubuntu 16,04 LTS tai uudempi LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 tai uudempi
SUSE Linux Enterprise Server 15 tai uudempi
Oracle Linux 7.2 tai uudempi
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 tai uudempi
Rocky 8.7 ja uudempi
Alma 8.4 ja uudemmat
Mariner 2
Huomautus
Jakeluja ja versioita, joita ei ole nimenomaisesti lueteltu, ei tueta (vaikka ne johdetaan virallisesti tuetuista jakaumista). RHEL 6 -tuki "elinkaaren pidentämiseksi" päättyy 30.6.2024 mennessä; MDE Linux-tuki RHEL 6:lle poistetaan myös 30.6.2024 MDE Linux-versio 101.23082.0011 on viimeinen MDE Linux-julkaisu, joka tukee RHEL 6.7-versiota tai uudempia versioita (ei vanhene ennen 30.6.2024). Asiakkaita kehotetaan suunnittelemaan päivitykset RHEL 6 -infrastruktuuriinsa Red Hatin ohjeiden mukaisesti.
Luettelo tuetuista ydinversioista
Huomautus
Red Hat Enterprise Linuxin ja CentOS:n Microsoft Defender for Endpoint – 6,7–6,10 on ytimeen perustuva ratkaisu. Sinun on varmistettava, että ydinversiota tuetaan, ennen kuin päivität uudemman ytimen versioon. kaikkien muiden tuettujen jakelujen ja versioiden Microsoft Defender for Endpoint on kernel-version-agnostic. Ytimen version vähimmäisvaatimus on vähintään 3.10.0-327.
fanotify
Ytimen asetuksen on oltava käytössä- Red Hat Enterprise Linux 6 ja CentOS 6:
- 6.7:lle: 2.6.32-573.* (paitsi 2.6.32-573.el6.x86_64)
- Kohteelle 6.8: 2.6.32-642.*
- 6.9:lle: 2.6.32-696.* (lukuun ottamatta 2.6.32-696.el6.x86_64)
- 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Huomautus
Kun uusi pakettiversio on julkaistu, kahden edellisen version tuki on rajoitettu vain tekniseen tukeen. Versiot, jotka ovat vanhempia kuin tässä osiossa luetellut versiot, tarjotaan vain teknistä päivitystukea varten.
Varoitus
Defender for Endpointin suorittamista Linuxissa rinnakkain muiden
fanotify
suojausratkaisujen kanssa ei tueta. Se voi johtaa arvaamattomiin tuloksiin, kuten käyttöjärjestelmän ripustamiseen. Jos järjestelmässä on muita sovelluksia, jotka käyttävätfanotify
estotilassa, sovellukset luetellaanconflicting_applications
komentotulosteenmdatp health
kentässä. Linuxin FAPolicyD-ominaisuutta käytetäänfanotify
estotilassa, joten sitä ei tueta, kun Defender for Endpoint suoritetaan aktiivisessa tilassa. Voit edelleen turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon reaaliaikaisen suojauksen käytössä passiivitilaan.Levytila: 2 Gt
Huomautus
Saatat tarvita vielä 2 Gigatavua levytilaa, jos kaatumiskokoelmien pilvidiagnostiikka on käytössä.
/opt/microsoft/mdatp/sbin/wdavdaemon edellyttää suoritettavan tiedoston käyttöoikeutta. Lisätietoja on kohdassa "Varmista, että daemonin suoritusoikeudet" kohdassa Microsoft Defender for Endpoint Linuxin asennusongelmien vianmääritys.
Ytimet: vähintään 2, 4 suositeltavaa
Muisti: vähintään 1 Gt, 4 suositeltavaa
Huomautus
Varmista, että /var-tiedostossa on vapaata levytilaa.
Luettelo tuetuista tiedostojärjestelmistä RTP:tä, pikatarkistusta, täyttä tarkistusta ja mukautettua tarkistusta varten.
RTP, Nopea, Täysi tarkistus Mukautettu tarkistus Btrfs Kaikki tiedostojärjestelmät, joita RTP, Nopea ja Täysi tarkistus tukevat ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Sulake glustrefs fuseblk Afs Jfs Sshfs nfs (vain v3) Cifs Peitto Smb ramfs gcsfuse Reiserfs Sysfs tmpfs Udf vfat Xfs
Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan lähtevät yhteydet sen ja päätepisteiden välillä.
Valvontakehys (
auditd
) on otettava käyttöön.Huomautus
Järjestelmätapahtumat, jotka on otettu käyttöön lisätyillä
/etc/audit/rules.d/
säännöillä, lisätään kohteeseenaudit.log
(s) ja ne saattavat vaikuttaa isäntien valvontaan ja ylätason kokoelmaan. Tapahtumat, jotka Microsoft Defender for Endpoint on Lisännyt Linuxissa, merkitäänmdatp
avaimella.
Ulkoisen paketin riippuvuus
Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:
- Mdatp RPM -paketti edellyttää "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- RHEL6:lle mdatp RPM -paketti edellyttää "audit", "policycoreutils", "libselinux", "mde-netfilter"
- DEBIAN-kohteelle mdatp-paketti vaatii "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:
- DEBIAN-kohteelle mde-netfilter-paketti edellyttää "libnetfilter-queue1", "libglib2.0-0"
- RPM:n mde-netfilter-paketti edellyttää "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata riippuvuudet manuaalisesti.
Poissulkemisten määrittäminen
Kun lisäät poissulkemisia Microsoft Defender virustentorjuntaan, muista Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet.
Verkkoyhteydet
Varmista, että yhteydet ovat mahdollisia laitteissasi Microsoft Defender for Endpoint pilvipalveluihin. Valmistele ympäristösi katsomalla vaihetta 1: Verkkoympäristön määrittäminen, jotta yhteys Defender for Endpoint -palveluun voidaan varmistaa.
Defender for Endpoint on Linux voi muodostaa yhteyden välityspalvelimen kautta seuraavilla etsintämenetelmillä:
- Läpinäkyvä välityspalvelin
- Manuaalinen staattisen välityspalvelimen määritys
Jos välityspalvelin tai palomuuri estää anonyymin liikenteen, varmista, että anonyymi liikenne on sallittu aiemmin luetelluissa URL-osoitteissa. Läpinäkyvät välityssovellukset eivät vaadi lisämäärityksiä Defenderin päätepisteelle. Jos kyseessä on staattinen välityspalvelin, noudata manuaalisen staattisen välityspalvelimen määrityksen ohjeita.
Varoitus
PAC:tä, WPAD:ia ja todennettuja välityslehtiä ei tueta. Varmista, että käytössä on vain staattinen välityspalvelin tai läpinäkyvä välityspalvelin.
SSL-tarkastusta ja välitysvälitysvälitysten pysäyttämistä ei myöskään tueta turvallisuussyistä. Määritä poikkeus SSL-tarkastusta ja välityspalvelinta varten, jotta voit suoraan välittää tietoja Linuxin Defender for Endpointista asianmukaisiin URL-osoitteisiin ilman sieppausta. Sieppausvarmenteen lisääminen yleiseen säilöön ei salli sieppausta.
Lisätietoja vianmäärityksestä on artikkelissa Linux-Microsoft Defender for Endpoint pilvipalveluun liittyvien yhteysongelmien vianmääritys.
Microsoft Defender for Endpoint päivittäminen Linuxissa
Microsoft julkaisee säännöllisesti ohjelmistopäivityksiä suorituskyvyn ja suojauksen parantamiseksi ja uusien ominaisuuksien toimittamiseksi. Jos haluat päivittää Microsoft Defender for Endpoint Linuxissa, katso Microsoft Defender for Endpoint päivitysten käyttöönotto Linuxissa.
Microsoft Defender for Endpointin määrittäminen Linuxissa
Ohjeita tuotteen määrittämiseen yritysympäristössä on kohdassa Määritä asetukset Microsoft Defender for Endpoint Linuxissa.
Microsoft Defender for Endpoint yhteiset sovellukset voivat vaikuttaa
Tiettyjen sovellusten suurilla I/O-kuormituksilla voi ilmetä suorituskykyongelmia, kun Microsoft Defender for Endpoint asennetaan. Näitä ovat esimerkiksi sovellukset kehittäjäskenaarioita varten, kuten Jenkins ja Jira, sekä tietokannan kuormituksia, kuten OracleDB ja Postgres. Jos suorituskyky heikkenee, harkitse poissulkemisten määrittämistä luotetuille sovelluksille pitäen Microsoft Defender virustentorjuntaa koskevat yleiset poissulkemisvirheet mielessä. Katso lisäohjeita konsultointidokumentaatiosta, joka koskee kolmannen osapuolen sovelluksista pois jätettyjä virustentorjuntaa.
Resurssit
- Lisätietoja kirjaamisesta, asennuksen poistamisesta tai muista artikkeleista on kohdassa Resurssit.
Aiheeseen liittyviä artikkeleita
- Suojaa päätepisteet Defender for Cloudin integroidulla EDR-ratkaisulla: Microsoft Defender for Endpoint
- Muiden kuin Azure-koneiden yhdistäminen Microsoft Defender for Cloudiin
- Linuxin verkkosuojauksen ottaminen käyttöön
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle