Microsoft Defender pour point de terminaison Linux
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article explique comment installer, configurer, mettre à jour et utiliser Microsoft Defender pour point de terminaison sur Linux.
Attention
L’exécution d’autres produits de protection de point de terminaison tiers avec Microsoft Defender pour point de terminaison sur Linux est susceptible d’entraîner des problèmes de performances et des effets secondaires imprévisibles. Si la protection des points de terminaison non-Microsoft est une exigence absolue dans votre environnement, vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus pour qu’elle s’exécute en mode passif.
Guide pratique pour installer Microsoft Defender pour point de terminaison sur Linux
Microsoft Defender pour point de terminaison pour Linux inclut des fonctionnalités anti-programme malveillant et de détection et réponse de point de terminaison (EDR).
Configuration requise
Accès au portail Microsoft Defender
Distribution Linux à l’aide du gestionnaire système systemd
Notes
La distribution Linux à l’aide du gestionnaire de système, à l’exception de RHEL/CentOS 6.x, prend en charge SystemV et Upstart.
Expérience de niveau débutant dans les scripts Linux et BASH
Privilèges administratifs sur l’appareil (en cas de déploiement manuel)
Notes
L’agent Microsoft Defender pour point de terminaison sur Linux est indépendant de l’agent OMS. Microsoft Defender pour point de terminaison s’appuie sur son propre pipeline de télémétrie indépendant.
Instructions d’installation
Il existe plusieurs méthodes et outils de déploiement que vous pouvez utiliser pour installer et configurer Microsoft Defender pour point de terminaison sur Linux.
En général, vous devez effectuer les étapes suivantes :
- Vérifiez que vous disposez d’un abonnement Microsoft Defender pour point de terminaison.
- Déployez Microsoft Defender pour point de terminaison sur Linux à l’aide de l’une des méthodes de déploiement suivantes :
- L’outil en ligne de commande :
- Outils de gestion tiers :
- Déployer à l’aide de l’outil de gestion de configuration Puppet
-
Déployer à l’aide de l’outil de gestion de configuration Ansible
- Déployer à l’aide de l’outil de gestion de configuration Chef
- Déployer à l’aide de l’outil de gestion de configuration Saltstack Si vous rencontrez des échecs d’installation, consultez Résolution des problèmes d’installation dans Microsoft Defender pour point de terminaison sur Linux.
Notes
L’installation de Microsoft Defender pour point de terminaison n’est pas prise en charge à un autre emplacement que le chemin d’installation par défaut.
Microsoft Defender pour point de terminaison sur Linux crée un utilisateur « mdatp » avec un UID et un GID aléatoires. Si vous souhaitez contrôler l’UID et le GID, créez un utilisateur « mdatp » avant l’installation à l’aide de l’option d’interpréteur de commandes « /usr/sbin/nologin ».
Par exemple : mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Configuration requise
Distributions de serveur Linux et versions x64 (AMD64/EM64T) et x86_64 prises en charge :
Red Hat Enterprise Linux 6.7 ou version ultérieure (en préversion)
Red Hat Enterprise Linux 7.2 ou version ultérieure
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 ou version ultérieure (en préversion)
CentOS 7.2 ou version ultérieure
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 ou version ultérieure
SUSE Linux Enterprise Server 15 ou version ultérieure
Oracle Linux 7.2 ou version ultérieure
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8.7 et versions ultérieures
Rocky 9.2 et versions ultérieures
Alma 8.4 et versions ultérieures
Alma 9.2 et versions ultérieures
Mariner 2
Notes
Les distributions et les versions qui ne sont pas répertoriées explicitement ne sont pas prises en charge (même si elles sont dérivées des distributions officiellement prises en charge). Avec la prise en charge de RHEL 6 pour la « fin de vie prolongée » arrivant à échéance le 30 juin 2024 ; La prise en charge de MDE Linux pour RHEL 6 sera également déconseillée d’ici le 30 juin 2024 MDE Linux version 101.23082.0011 est la dernière version de MDE Linux prenant en charge RHEL 6.7 ou version ultérieure (n’expire pas avant le 30 juin 2024). Il est recommandé aux clients de planifier des mises à niveau vers leur infrastructure RHEL 6 conformément aux instructions de Red Hat. Microsoft Defender Vulnerablity Management n’est actuellement pas pris en charge sur Rocky et Alma.
Liste des versions de noyau prises en charge
Notes
Microsoft Defender pour point de terminaison sur Red Hat Enterprise Linux et CentOS - 6.7 à 6.10 est une solution basée sur le noyau. Vous devez vérifier que la version du noyau est prise en charge avant la mise à jour vers une version plus récente du noyau. Microsoft Defender pour point de terminaison pour toutes les autres distributions et versions prises en charge est indépendant de la version du noyau. Avec une exigence minimale pour que la version du noyau soit supérieure ou égale à 3.10.0-327.
- L’option
fanotify
de noyau doit être activée - Red Hat Enterprise Linux 6 et CentOS 6 :
- Pour 6.7 : 2.6.32-573.* (sauf 2.6.32-573.el6.x86_64)
- Pour 6.8 : 2.6.32-642.*
- Pour 6.9 : 2.6.32-696.* (sauf 2.6.32-696.el6.x86_64)
- Pour la version 6.10 :
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Notes
Une fois qu’une nouvelle version de package est publiée, la prise en charge des deux versions précédentes est réduite au support technique uniquement. Les versions antérieures à celles répertoriées dans cette section sont fournies uniquement pour la prise en charge de la mise à niveau technique.
Attention
L’exécution de Defender pour point de terminaison sur Linux côte à côte avec d’autres
fanotify
solutions de sécurité basées sur n’est pas prise en charge. Cela peut entraîner des résultats imprévisibles, y compris la suspension du système d’exploitation. Si d’autres applications sur le système utilisentfanotify
en mode bloquant, les applications sont répertoriées dans leconflicting_applications
champ de la sortie de lamdatp health
commande. La fonctionnalité FAPolicyD Linux utilisefanotify
en mode bloquant et n’est donc pas prise en charge lors de l’exécution de Defender pour point de terminaison en mode actif. Vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus Protection en temps réel activée en mode passif.- L’option
Espace disque : 2 Go
Notes
Un espace disque supplémentaire de 2 Go peut être nécessaire si les diagnostics cloud sont activés pour les regroupements d’incidents.
/opt/microsoft/mdatp/sbin/wdavdaemon nécessite une autorisation exécutable. Pour plus d’informations, consultez « Vérifier que le démon dispose d’une autorisation exécutable » dans Résoudre les problèmes d’installation de Microsoft Defender pour point de terminaison sur Linux.
Cœurs : 2 minimum, 4 préférés
Mémoire : 1 Go minimum, 4 préférés
Notes
Vérifiez que vous disposez d’espace disque libre dans /var.
Liste des systèmes de fichiers pris en charge pour l’analyse RTP, rapide, complète et personnalisée.
RTP, Rapide, Analyse complète Analyse personnalisée btrfs Tous les systèmes de fichiers pris en charge pour RTP, Rapide, Analyse complète ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr fusible glustrefs fuseblk Afs Jfs sshfs nfs (v3 uniquement) cifs overlay Smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions sortantes entre celui-ci et vos points de terminaison.
L’infrastructure d’audit (
auditd
) doit être activée.Notes
Les événements système capturés par les règles ajoutées à
/etc/audit/rules.d/
s’ajoutent àaudit.log
(s) et peuvent affecter l’audit de l’hôte et la collecte en amont. Les événements ajoutés par Microsoft Defender pour point de terminaison sur Linux seront marqués avecmdatp
la clé.
Dépendance de package externe
Les dépendances de package externes suivantes existent pour le package mdatp :
- Le package rpm mdatp nécessite « glibc >= 2.17 », « audit », « policycoreutils », « semanage » « selinux-policy-targeted », « mde-netfilter »
- Pour RHEL6, le package RPM mdatp nécessite « audit », « policycoreutils », « libselinux », « mde-netfilter »
- Pour DEBIAN, le package mdatp nécessite « libc6 >= 2.23 », « uuid-runtime », « auditd », « mde-netfilter »
Le package mde-netfilter a également les dépendances de package suivantes :
- Pour DEBIAN, le package mde-netfilter nécessite « libnetfilter-queue1 », « libglib2.0-0 »
- Pour RPM, le package mde-netfilter nécessite « libmnl », « libnfnetlink », « libnetfilter_queue », « glib2 »
Si l’installation de Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises.
Configuration des exclusions
Lorsque vous ajoutez des exclusions à l’Antivirus Microsoft Defender, vous devez tenir compte des erreurs d’exclusion courantes pour l’Antivirus Microsoft Defender.
Connexions réseau
Assurez-vous que la connectivité est possible entre vos appareils et les services cloud Microsoft Defender pour point de terminaison. Pour préparer votre environnement, reportez-vous à l’ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.
Defender pour point de terminaison sur Linux peut se connecter via un serveur proxy à l’aide des méthodes de découverte suivantes :
- Proxy transparent
- Configuration manuelle du proxy statique
Si un proxy ou un pare-feu bloque le trafic anonyme, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment. Pour les proxys transparents, aucune configuration supplémentaire n’est nécessaire pour Defender pour point de terminaison. Pour le proxy statique, suivez les étapes décrites dans Configuration manuelle du proxy statique.
Avertissement
Les proxys PAC, WPAD et authentifiés ne sont pas pris en charge. Vérifiez que seul un proxy statique ou un proxy transparent est utilisé.
L’inspection ssl et l’interception des proxys ne sont pas non plus prises en charge pour des raisons de sécurité. Configurez une exception pour l’inspection SSL et votre serveur proxy pour transmettre directement les données de Defender pour point de terminaison sur Linux aux URL appropriées sans interception. L’ajout de votre certificat d’interception au magasin global n’autorise pas l’interception.
Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux.
Guide pratique pour mettre à jour Microsoft Defender pour point de terminaison sur Linux
Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour mettre à jour Microsoft Defender pour point de terminaison sur Linux, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.
Comment configurer Microsoft Defender pour point de terminaison sur Linux
Des conseils sur la configuration du produit dans les environnements d’entreprise sont disponibles dans Définir des préférences pour Microsoft Defender pour point de terminaison sur Linux.
Les applications courantes vers Microsoft Defender pour point de terminaison peuvent avoir un impact
Les charges de travail d’E/S élevées de certaines applications peuvent rencontrer des problèmes de performances lors de l’installation de Microsoft Defender pour point de terminaison. Il s’agit notamment d’applications pour les scénarios de développement tels que Jenkins et Jira, ainsi que des charges de travail de base de données comme OracleDB et Postgres. En cas de dégradation des performances, envisagez de définir des exclusions pour les applications approuvées, en gardant à l’esprit les erreurs d’exclusion courantes pour l’antivirus Microsoft Defender . Pour obtenir des conseils supplémentaires, consultez la documentation concernant les exclusions d’antivirus d’applications tierces.
Ressources
- Pour plus d’informations sur la journalisation, la désinstallation ou d’autres articles, consultez Ressources.
Articles connexes
- Protéger vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison
- Connecter vos machines non-Azure à Microsoft Defender pour le cloud
- Activer la protection réseau pour Linux
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour