Partager via

Microsoft Defender pour point de terminaison Linux

  • Article

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment installer, configurer, mettre à jour et utiliser Microsoft Defender pour point de terminaison sur Linux.

Attention

L’exécution d’autres produits de protection de point de terminaison non-Microsoft avec Microsoft Defender pour point de terminaison sur Linux est susceptible d’entraîner des problèmes de performances et des effets secondaires imprévisibles. Si la protection des points de terminaison non-Microsoft est une exigence absolue dans votre environnement, vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus pour qu’elle s’exécute en mode passif.

Comment installer Microsoft Defender pour point de terminaison sur Linux

Microsoft Defender pour point de terminaison pour Linux inclut des fonctionnalités anti-programme malveillant et de détection et réponse de point de terminaison (EDR).

Configuration requise

  • Accès au portail Microsoft Defender

  • Distribution Linux à l’aide du gestionnaire système systemd

    Remarque

    La distribution Linux à l’aide du gestionnaire de système prend en charge SystemV et Upstart.

  • Expérience de niveau débutant dans les scripts Linux et BASH

  • Privilèges d’administration sur l’appareil (pour le déploiement manuel)

Remarque

Microsoft Defender pour point de terminaison sur l’agent Linux est indépendant de l’agent OMS. Microsoft Defender pour point de terminaison s’appuie sur son propre pipeline de télémétrie indépendant.

Instructions d’installation

Il existe plusieurs méthodes et outils de déploiement que vous pouvez utiliser pour installer et configurer Microsoft Defender pour point de terminaison sur Linux. Avant de commencer, assurez-vous que la configuration minimale requise pour Microsoft Defender pour point de terminaison est remplie.

Vous pouvez utiliser l’une des méthodes suivantes pour déployer Microsoft Defender pour point de terminaison sur Linux :

Si vous rencontrez des échecs d’installation, consultez Résolution des problèmes d’installation dans Microsoft Defender pour point de terminaison sur Linux.

Importante

L’installation de Microsoft Defender pour point de terminaison à un emplacement autre que le chemin d’installation par défaut n’est pas prise en charge. Microsoft Defender pour point de terminaison sur Linux crée un utilisateur avec un mdatp UID et un GID aléatoires. Si vous souhaitez contrôler l’UID et le GID, créez un mdatp utilisateur avant l’installation à l’aide de l’option /usr/sbin/nologin shell. Voici un exemple : mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Configuration requise

  • Espace disque : 2 Go

    Remarque

    Un espace disque supplémentaire de 2 Go peut être nécessaire si les diagnostics cloud sont activées pour les regroupements d’incidents. Vérifiez que vous disposez d’espace disque libre dans /var.

  • Cœurs : Deux minimum, quatre préférés

    Remarque

    Si vous êtes en mode Passif ou RTP ON, au moins deux cœurs sont requis. Quatre cœurs sont préférés. Si vous activez bm, au moins quatre cœurs sont nécessaires.

  • Mémoire : 1 Go minimum, 4 Go préférés

  • Les distributions de serveur Linux et les versions x64 (AMD64/EM64T) et x86_64 suivantes sont prises en charge :

    • Red Hat Enterprise Linux 7.2 ou version ultérieure
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 ou version ultérieure
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 ou version ultérieure
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8.7 et versions ultérieures
    • Rocky 9.2 et versions ultérieures
    • Alma 8.4 et versions ultérieures
    • Alma 9.2 et versions ultérieures
    • Mariner 2

    Remarque

    Les distributions et les versions qui ne sont pas répertoriées explicitement ne sont pas prises en charge (même si elles sont dérivées des distributions officiellement prises en charge). Une fois qu’une nouvelle version de package est publiée, la prise en charge des deux versions précédentes est réduite au support technique uniquement. Les versions antérieures à celles répertoriées dans cette section sont fournies uniquement pour la prise en charge de la mise à niveau technique. Microsoft Defender Gestion de vulnerablity n’est actuellement pas pris en charge sur Rocky et Alma. Microsoft Defender pour point de terminaison pour toutes les autres distributions et versions prises en charge est indépendant du noyau de version. Avec une exigence minimale pour que la version du noyau soit supérieure ou égale à 3.10.0-327.

    Attention

    L’exécution de Defender pour point de terminaison sur Linux côte à côte avec d’autres fanotifysolutions de sécurité basées sur n’est pas prise en charge. Cela peut entraîner des résultats imprévisibles, y compris la suspension du système d’exploitation. Si d’autres applications sur le système utilisent fanotify en mode bloquant, les applications sont répertoriées dans le conflicting_applications champ de la sortie de la mdatp health commande. La fonctionnalité FAPolicyD Linux utilise fanotify en mode bloquant et n’est donc pas prise en charge lors de l’exécution de Defender pour point de terminaison en mode actif. Vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus Protection en temps réel activée en mode passif.

  • Liste des systèmes de fichiers pris en charge pour l’analyse RTP, rapide, complète et personnalisée.

    RTP, Rapide, Analyse complète Analyse personnalisée
    btrfs Tous les systèmes de fichiers pris en charge pour RTP, Rapide, Analyse complète
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (v3 uniquement) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs

  • L’infrastructure d’audit (auditd) doit être activée si vous utilisez auditd comme fournisseur d’événements principal.

    Remarque

    Les événements système capturés par les règles ajoutées à /etc/audit/rules.d/ s’ajoutent à audit.log(s) et peuvent affecter l’audit de l’hôte et amont collection. Les événements ajoutés par Microsoft Defender pour point de terminaison sur Linux seront marqués avec mdatp la clé.

  • /opt/microsoft/mdatp/sbin/wdavdaemon nécessite une autorisation exécutable. Pour plus d’informations, consultez « Vérifier que le démon dispose d’une autorisation exécutable » dans Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.

Dépendance de package externe

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises. Les dépendances de package externes suivantes existent pour le package mdatp :

  • Le package mdatp RPM nécessite glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetedet mde-netfilter
  • Pour RHEL6, le package RPM mdatp nécessite audit, policycoreutils, libselinuxet mde-netfilter
  • Pour DEBIAN, le package mdatp nécessite libc6 >= 2.23, uuid-runtime, auditdet mde-netfilter

Le package mde-netfilter a également les dépendances de package suivantes :

  • Pour DEBIAN, le package mde-netfilter nécessite libnetfilter-queue1, et libglib2.0-0
  • Pour rpm, le package mde-netfilter nécessite libmnl, libnfnetlink, libnetfilter_queueet glib2

Configuration des exclusions

Lorsque vous ajoutez des exclusions à Microsoft Defender Antivirus, vous devez tenir compte des erreurs d’exclusion courantes pour Microsoft Defender Antivirus.

Connexions réseau

Assurez-vous que la connectivité est possible entre vos appareils et Microsoft Defender pour point de terminaison services cloud. Pour préparer votre environnement, consultez ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.

Defender pour point de terminaison sur Linux peut se connecter via un serveur proxy à l’aide des méthodes de découverte suivantes :

  • Proxy transparent
  • Configuration manuelle du proxy statique

Si un proxy ou un pare-feu bloque le trafic anonyme, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment. Pour les proxys transparents, aucune autre configuration n’est nécessaire pour Defender pour point de terminaison. Pour le proxy statique, suivez les étapes décrites dans Configuration manuelle du proxy statique.

Avertissement

Les proxys PAC, WPAD et authentifiés ne sont pas pris en charge. Vérifiez que seul un proxy statique ou un proxy transparent est utilisé. L’inspection ssl et l’interception des proxys ne sont pas non plus prises en charge pour des raisons de sécurité. Configurez une exception pour l’inspection SSL et votre serveur proxy pour transmettre directement les données de Defender pour point de terminaison sur Linux aux URL appropriées sans interception. L’ajout de votre certificat d’interception au magasin global n’autorise pas l’interception.

Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux.

Guide pratique pour mettre à jour Microsoft Defender pour point de terminaison sur Linux

Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour mettre à jour Microsoft Defender pour point de terminaison sur Linux, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.

Comment configurer Microsoft Defender pour point de terminaison sur Linux

Des conseils sur la configuration du produit dans les environnements d’entreprise sont disponibles dans Définir des préférences pour Microsoft Defender pour point de terminaison sur Linux.

Les applications courantes à Microsoft Defender pour point de terminaison peuvent avoir un impact

Les charges de travail d’E/S élevées de certaines applications peuvent rencontrer des problèmes de performances lorsque Microsoft Defender pour point de terminaison est installé. Ces applications pour les scénarios de développement incluent Jenkins et Jira, ainsi que des charges de travail de base de données comme OracleDB et Postgres. En cas de dégradation des performances, envisagez de définir des exclusions pour les applications approuvées, en gardant à l’esprit les erreurs d’exclusion courantes pour Microsoft Defender antivirus. Pour plus d’informations, consultez la documentation concernant les exclusions d’antivirus des applications non-Microsoft.

Ressources

  • Pour plus d’informations sur la journalisation, la désinstallation ou d’autres articles, consultez Ressources.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.