Microsoft Defender pour point de terminaison Linux
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article explique comment installer, configurer, mettre à jour et utiliser Microsoft Defender pour point de terminaison sur Linux.
Attention
L’exécution d’autres produits de protection de point de terminaison tiers avec Microsoft Defender pour point de terminaison sur Linux est susceptible d’entraîner des problèmes de performances et des effets secondaires imprévisibles. Si la protection des points de terminaison non-Microsoft est une exigence absolue dans votre environnement, vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus pour qu’elle s’exécute en mode passif.
Comment installer Microsoft Defender pour point de terminaison sur Linux
Microsoft Defender pour point de terminaison pour Linux inclut des fonctionnalités anti-programme malveillant et de détection et réponse de point de terminaison (EDR).
Configuration requise
Accès au portail Microsoft Defender
Distribution Linux à l’aide du gestionnaire système systemd
Remarque
La distribution Linux à l’aide du gestionnaire de système, à l’exception de RHEL/CentOS 6.x, prend en charge SystemV et Upstart.
Expérience de niveau débutant dans les scripts Linux et BASH
Privilèges d’administration sur l’appareil (pour le déploiement manuel)
Remarque
Microsoft Defender pour point de terminaison sur l’agent Linux est indépendant de l’agent OMS. Microsoft Defender pour point de terminaison s’appuie sur son propre pipeline de télémétrie indépendant.
Instructions d’installation
Il existe plusieurs méthodes et outils de déploiement que vous pouvez utiliser pour installer et configurer Microsoft Defender pour point de terminaison sur Linux.
En général, vous devez effectuer les étapes suivantes :
- Vérifiez que vous disposez d’un abonnement Microsoft Defender pour point de terminaison.
- Déployez Microsoft Defender pour point de terminaison sur Linux à l’aide de l’une des méthodes de déploiement suivantes :
- L’outil en ligne de commande :
- Outils de gestion tiers :
- Déployer à l’aide de l’outil de gestion de configuration Puppet
-
Déployer à l’aide de l’outil de gestion de configuration Ansible
- Déployer à l’aide de l’outil de gestion de configuration Chef
- Déployer à l’aide de l’outil de gestion de configuration Saltstack Si vous rencontrez des échecs d’installation, consultez Résolution des problèmes d’installation dans Microsoft Defender pour point de terminaison sur Linux.
Remarque
Il n’est pas possible d’installer Microsoft Defender pour point de terminaison à un autre emplacement que le chemin d’installation par défaut.
Microsoft Defender pour point de terminaison sur Linux crée un utilisateur avec un mdatp
UID et un GID aléatoires. Si vous souhaitez contrôler l’UID et le GID, créez un mdatp
utilisateur avant l’installation à l’aide de l’option /usr/sbin/nologin
shell. Voici un exemple : mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Configuration requise
- Espace disque : 2 Go
Remarque
Un espace disque supplémentaire de 2 Go peut être nécessaire si les diagnostics cloud sont activées pour les regroupements d’incidents. Vérifiez que vous disposez d’espace disque libre dans /var.
- Cœurs : 2 minimum, 4 préférés
Remarque
Si vous êtes en mode Passif ou RTP ON, 2 cœurs sont minimum et 4 cœurs sont préférés. Si vous activez bm, un minimum de 4 cœurs est requis.
Mémoire : 1 Go minimum, 4 préférés
Liste des distributions de serveur Linux et des versions x64 (AMD64/EM64T) et x86_64 prises en charge :
Red Hat Enterprise Linux 6.7 ou version ultérieure (en préversion)
Red Hat Enterprise Linux 7.2 ou version ultérieure
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 ou version ultérieure (en préversion)
CentOS 7.2 ou version ultérieure
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Ubuntu 24.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 ou version ultérieure
SUSE Linux Enterprise Server 15 ou version ultérieure
Oracle Linux 7.2 ou version ultérieure
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8.7 et versions ultérieures
Rocky 9.2 et versions ultérieures
Alma 8.4 et versions ultérieures
Alma 9.2 et versions ultérieures
Mariner 2
Remarque
Les distributions et les versions qui ne sont pas répertoriées explicitement ne sont pas prises en charge (même si elles sont dérivées des distributions officiellement prises en charge). Avec la prise en charge de RHEL 6 pour la « fin de vie prolongée » arrivant à échéance le 30 juin 2024 ; La prise en charge de Defender pour point de terminaison sur Linux pour RHEL 6 sera également déconseillée d’ici le 30 juin 2024 Defender pour point de terminaison sur Linux est la dernière version
101.23082.0011
de Defender pour point de terminaison sur Linux prenant en charge RHEL 6.7 ou versions ultérieures (n’expire pas avant le 30 juin 2024). Il est recommandé aux clients de planifier des mises à niveau vers leur infrastructure RHEL 6 conformément aux instructions de Red Hat. Microsoft Defender Gestion de vulnerablity n’est actuellement pas pris en charge sur Rocky et Alma.
Liste des versions de noyau prises en charge
Remarque
Microsoft Defender pour point de terminaison sur Red Hat Enterprise Linux et CentOS - 6.7 à 6.10 est une solution basée sur le noyau. Vous devez vérifier que la version du noyau est prise en charge avant la mise à jour vers une version plus récente du noyau. Microsoft Defender pour point de terminaison pour toutes les autres distributions et versions prises en charge est indépendant du noyau de version. Avec une exigence minimale pour que la version du noyau soit supérieure ou égale à 3.10.0-327.
L’option
fanotify
de noyau doit être activéeRed Hat Enterprise Linux 6 et CentOS 6 :
- Pour 6.7 : 2.6.32-573.* (sauf 2.6.32-573.el6.x86_64)
- Pour 6.8 : 2.6.32-642.*
- Pour 6.9 : 2.6.32-696.* (sauf 2.6.32-696.el6.x86_64)
- Pour la version 6.10 :
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Remarque
Une fois qu’une nouvelle version de package est publiée, la prise en charge des deux versions précédentes est réduite au support technique uniquement. Les versions antérieures à celles répertoriées dans cette section sont fournies uniquement pour la prise en charge de la mise à niveau technique.
Attention
L’exécution de Defender pour point de terminaison sur Linux côte à côte avec d’autres
fanotify
solutions de sécurité basées sur n’est pas prise en charge. Cela peut entraîner des résultats imprévisibles, y compris la suspension du système d’exploitation. Si d’autres applications sur le système utilisentfanotify
en mode bloquant, les applications sont répertoriées dans leconflicting_applications
champ de la sortie de lamdatp health
commande. La fonctionnalité FAPolicyD Linux utilisefanotify
en mode bloquant et n’est donc pas prise en charge lors de l’exécution de Defender pour point de terminaison en mode actif. Vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus Protection en temps réel activée en mode passif.Liste des systèmes de fichiers pris en charge pour l’analyse RTP, rapide, complète et personnalisée.
RTP, Rapide, Analyse complète Analyse personnalisée btrfs Tous les systèmes de fichiers pris en charge pour RTP, Rapide, Analyse complète ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr fusible glustrefs fuseblk Afs Jfs sshfs nfs (v3 uniquement) cifs overlay Smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions sortantes entre celui-ci et vos points de terminaison.
L’infrastructure d’audit (
auditd
) doit être activée.Remarque
Les événements système capturés par les règles ajoutées à
/etc/audit/rules.d/
s’ajoutent àaudit.log
(s) et peuvent affecter l’audit de l’hôte et amont collection. Les événements ajoutés par Microsoft Defender pour point de terminaison sur Linux seront marqués avecmdatp
la clé./opt/microsoft/mdatp/sbin/wdavdaemon nécessite une autorisation exécutable. Pour plus d’informations, consultez « Vérifier que le démon dispose d’une autorisation exécutable » dans Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.
Dépendance de package externe
Les dépendances de package externes suivantes existent pour le package mdatp :
- Le package mdatp RPM nécessite
glibc >= 2.17
,audit
,policycoreutils
,semanage
selinux-policy-targeted
,mde-netfilter
- Pour RHEL6, le package RPM mdatp nécessite
audit
,policycoreutils
,libselinux
,mde-netfilter
- Pour DEBIAN, le package mdatp nécessite
libc6 >= 2.23
,uuid-runtime
,auditd
,mde-netfilter
Le package mde-netfilter a également les dépendances de package suivantes :
- Pour DEBIAN, le package mde-netfilter nécessite
libnetfilter-queue1
,libglib2.0-0
- Pour rpm, le package mde-netfilter nécessite
libmnl
,libnfnetlink
,libnetfilter_queue
,glib2
Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances préalables.
Configuration des exclusions
Lorsque vous ajoutez des exclusions à Microsoft Defender Antivirus, vous devez tenir compte des erreurs d’exclusion courantes pour Microsoft Defender Antivirus.
Connexions réseau
Assurez-vous que la connectivité est possible entre vos appareils et Microsoft Defender pour point de terminaison services cloud. Pour préparer votre environnement, reportez-vous à l’ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.
Defender pour point de terminaison sur Linux peut se connecter via un serveur proxy à l’aide des méthodes de découverte suivantes :
- Proxy transparent
- Configuration manuelle du proxy statique
Si un proxy ou un pare-feu bloque le trafic anonyme, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment. Pour les proxys transparents, aucune configuration supplémentaire n’est nécessaire pour Defender pour point de terminaison. Pour le proxy statique, suivez les étapes décrites dans Configuration manuelle du proxy statique.
Avertissement
Les proxys PAC, WPAD et authentifiés ne sont pas pris en charge. Vérifiez que seul un proxy statique ou un proxy transparent est utilisé.
L’inspection ssl et l’interception des proxys ne sont pas non plus prises en charge pour des raisons de sécurité. Configurez une exception pour l’inspection SSL et votre serveur proxy pour transmettre directement les données de Defender pour point de terminaison sur Linux aux URL appropriées sans interception. L’ajout de votre certificat d’interception au magasin global n’autorise pas l’interception.
Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux.
Guide pratique pour mettre à jour Microsoft Defender pour point de terminaison sur Linux
Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour mettre à jour Microsoft Defender pour point de terminaison sur Linux, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.
Comment configurer Microsoft Defender pour point de terminaison sur Linux
Des conseils sur la configuration du produit dans les environnements d’entreprise sont disponibles dans Définir des préférences pour Microsoft Defender pour point de terminaison sur Linux.
Les applications courantes à Microsoft Defender pour point de terminaison peuvent avoir un impact
Les charges de travail d’E/S élevées de certaines applications peuvent rencontrer des problèmes de performances lorsque Microsoft Defender pour point de terminaison est installé. Il s’agit notamment d’applications pour les scénarios de développement tels que Jenkins et Jira, ainsi que des charges de travail de base de données comme OracleDB et Postgres. En cas de dégradation des performances, envisagez de définir des exclusions pour les applications approuvées, en gardant à l’esprit les erreurs d’exclusion courantes pour Microsoft Defender antivirus. Pour obtenir des conseils supplémentaires, consultez la documentation concernant les exclusions d’antivirus d’applications tierces.
Ressources
- Pour plus d’informations sur la journalisation, la désinstallation ou d’autres articles, consultez Ressources.
Articles connexes
- Protégez vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison
- Connecter vos machines non-Azure à Microsoft Defender pour le cloud
- Activer la protection réseau pour Linux
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.