Microsoft Defender pour point de terminaison Linux

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment installer, configurer, mettre à jour et utiliser Microsoft Defender pour point de terminaison sur Linux.

Attention

L’exécution d’autres produits de protection de point de terminaison tiers avec Microsoft Defender pour point de terminaison sur Linux est susceptible d’entraîner des problèmes de performances et des effets secondaires imprévisibles. Si la protection des points de terminaison non-Microsoft est une exigence absolue dans votre environnement, vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus pour qu’elle s’exécute en mode passif.

Comment installer Microsoft Defender pour point de terminaison sur Linux

Microsoft Defender pour point de terminaison pour Linux inclut des fonctionnalités anti-programme malveillant et de détection et réponse de point de terminaison (EDR).

Configuration requise

• Accès au portail Microsoft Defender

• Distribution Linux à l’aide du gestionnaire système systemd

  Remarque

  La distribution Linux à l’aide du gestionnaire de système, à l’exception de RHEL/CentOS 6.x, prend en charge SystemV et Upstart.

• Expérience de niveau débutant dans les scripts Linux et BASH

• Privilèges administratifs sur l’appareil (en cas de déploiement manuel)

Remarque

Microsoft Defender pour point de terminaison sur l’agent Linux est indépendant de l’agent OMS. Microsoft Defender pour point de terminaison s’appuie sur son propre pipeline de télémétrie indépendant.

Instructions d’installation

Il existe plusieurs méthodes et outils de déploiement que vous pouvez utiliser pour installer et configurer Microsoft Defender pour point de terminaison sur Linux.

En général, vous devez effectuer les étapes suivantes :

• Vérifiez que vous disposez d’un abonnement Microsoft Defender pour point de terminaison.
• Déployez Microsoft Defender pour point de terminaison sur Linux à l’aide de l’une des méthodes de déploiement suivantes :
  • L’outil en ligne de commande :
    • Déploiement manuel
  • Outils de gestion tiers :
    • Déployer à l’aide de l’outil de gestion de configuration Puppet
    • Déployer à l’aide de l’outil de gestion de configuration Ansible
      • Déployer à l’aide de l’outil de gestion de configuration Chef
      • Déployer à l’aide de l’outil de gestion de configuration Saltstack Si vous rencontrez des échecs d’installation, consultez Résolution des problèmes d’installation dans Microsoft Defender pour point de terminaison sur Linux.

Remarque

Il n’est pas possible d’installer Microsoft Defender pour point de terminaison à un autre emplacement que le chemin d’installation par défaut.

Microsoft Defender pour point de terminaison sur Linux crée un utilisateur « mdatp » avec un UID et un GID aléatoires. Si vous souhaitez contrôler l’UID et le GID, créez un utilisateur « mdatp » avant l’installation à l’aide de l’option d’interpréteur de commandes « /usr/sbin/nologin ». Par exemple : mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Configuration requise

• Distributions de serveur Linux et versions x64 (AMD64/EM64T) et x86_64 prises en charge :

  • Red Hat Enterprise Linux 6.7 ou version ultérieure (en préversion)

  • Red Hat Enterprise Linux 7.2 ou version ultérieure

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 ou version ultérieure (en préversion)

  • CentOS 7.2 ou version ultérieure

  • Ubuntu 16.04 LTS ou version ultérieure LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 ou version ultérieure

  • SUSE Linux Enterprise Server 15 ou version ultérieure

  • Oracle Linux 7.2 ou version ultérieure

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 ou version ultérieure

  • Rocky 8.7 et versions ultérieures

  • Alma 8.4 et versions ultérieures

  • Mariner 2

    Remarque

    Les distributions et les versions qui ne sont pas répertoriées explicitement ne sont pas prises en charge (même si elles sont dérivées des distributions officiellement prises en charge). Avec la prise en charge de RHEL 6 pour la « fin de vie prolongée » arrivant à échéance le 30 juin 2024 ; La prise en charge de MDE Linux pour RHEL 6 sera également déconseillée d’ici le 30 juin 2024 MDE Linux version 101.23082.0011 est la dernière version de MDE Linux prenant en charge RHEL 6.7 ou version ultérieure (n’expire pas avant le 30 juin 2024). Il est recommandé aux clients de planifier des mises à niveau vers leur infrastructure RHEL 6 conformément aux instructions de Red Hat.

• Liste des versions de noyau prises en charge

  Remarque

  Microsoft Defender pour point de terminaison sur Red Hat Enterprise Linux et CentOS - 6.7 à 6.10 est une solution basée sur le noyau. Vous devez vérifier que la version du noyau est prise en charge avant la mise à jour vers une version plus récente du noyau. Microsoft Defender pour point de terminaison pour toutes les autres distributions et versions prises en charge est indépendant du noyau de version. Avec une exigence minimale pour que la version du noyau soit supérieure ou égale à 3.10.0-327.

  • L’option fanotify de noyau doit être activée
  • Red Hat Enterprise Linux 6 et CentOS 6 :
    • Pour 6.7 : 2.6.32-573.* (sauf 2.6.32-573.el6.x86_64)
    • Pour 6.8 : 2.6.32-642.*
    • Pour 6.9 : 2.6.32-696.* (sauf 2.6.32-696.el6.x86_64)
    • Pour la version 6.10 :
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Remarque

  Une fois qu’une nouvelle version de package est publiée, la prise en charge des deux versions précédentes est réduite au support technique uniquement. Les versions antérieures à celles répertoriées dans cette section sont fournies uniquement pour la prise en charge de la mise à niveau technique.

  Attention

  L’exécution de Defender pour point de terminaison sur Linux côte à côte avec d’autres fanotifysolutions de sécurité basées sur n’est pas prise en charge. Cela peut entraîner des résultats imprévisibles, y compris la suspension du système d’exploitation. Si d’autres applications sur le système utilisent fanotify en mode bloquant, les applications sont répertoriées dans le conflicting_applications champ de la sortie de la mdatp health commande. La fonctionnalité FAPolicyD Linux utilise fanotify en mode bloquant et n’est donc pas prise en charge lors de l’exécution de Defender pour point de terminaison en mode actif. Vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus Protection en temps réel activée en mode passif.

• Espace disque : 2 Go

  Remarque

  Un espace disque supplémentaire de 2 Go peut être nécessaire si les diagnostics cloud sont activées pour les regroupements d’incidents.

• /opt/microsoft/mdatp/sbin/wdavdaemon nécessite une autorisation exécutable. Pour plus d’informations, consultez « Vérifier que le démon dispose d’une autorisation exécutable » dans Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.

• Cœurs : 2 minimum, 4 préférés

• Mémoire : 1 Go minimum, 4 préférés

  Remarque

  Vérifiez que vous disposez d’espace disque libre dans /var.

• Liste des systèmes de fichiers pris en charge pour l’analyse RTP, rapide, complète et personnalisée.

  RTP, Rapide, Analyse complète	Analyse personnalisée
  Btrfs	Tous les systèmes de fichiers pris en charge pour RTP, Rapide, Analyse complète
  Ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  Fusible	glustrefs
  fuseblk	Afs
  Jfs	Sshfs
  nfs (v3 uniquement)	Cifs
  overlay	Smb
  ramfs	gcsfuse
  Reiserfs	sysfs
  Tmpfs
  Udf
  Vfat
  Xfs

Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions sortantes entre celui-ci et vos points de terminaison.

• L’infrastructure d’audit (auditd) doit être activée.

  Remarque

  Les événements système capturés par les règles ajoutées à /etc/audit/rules.d/ s’ajoutent à audit.log(s) et peuvent affecter l’audit de l’hôte et amont collection. Les événements ajoutés par Microsoft Defender pour point de terminaison sur Linux seront marqués avec mdatp la clé.

Dépendance de package externe

Les dépendances de package externes suivantes existent pour le package mdatp :

• Le package rpm mdatp nécessite « glibc >= 2.17 », « audit », « policycoreutils », « semanage » « selinux-policy-targeted », « mde-netfilter »
• Pour RHEL6, le package RPM mdatp nécessite « audit », « policycoreutils », « libselinux », « mde-netfilter »
• Pour DEBIAN, le package mdatp nécessite « libc6 >= 2.23 », « uuid-runtime », « auditd », « mde-netfilter »

Le package mde-netfilter a également les dépendances de package suivantes :

• Pour DEBIAN, le package mde-netfilter nécessite « libnetfilter-queue1 », « libglib2.0-0 »
• Pour RPM, le package mde-netfilter nécessite « libmnl », « libnfnetlink », « libnetfilter_queue », « glib2 »

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances préalables.

Configuration des exclusions

Lorsque vous ajoutez des exclusions à Microsoft Defender Antivirus, vous devez tenir compte des erreurs d’exclusion courantes pour Microsoft Defender Antivirus.

Connexions réseau

La feuille de calcul téléchargeable suivante répertorie les services et leurs URL associées auxquelles votre réseau doit être en mesure de se connecter. Vous devez vous assurer qu’il n’existe aucune règle de pare-feu ou de filtrage réseau qui refuserait l’accès à ces URL. Si c’est le cas, vous devrez peut-être créer une règle d’autorisation spécifique pour eux.

Feuille de calcul de la liste des domaines	Description
liste d’URL Microsoft Defender pour point de terminaison pour les clients commerciaux	Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients commerciaux. Téléchargez la feuille de calcul ici.
liste d’URL Microsoft Defender pour point de terminaison pour Gov/GCC/DoD	Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients Gov/GCC/DoD. Téléchargez la feuille de calcul ici.

Remarque

Pour obtenir une liste d’URL plus spécifique, consultez Configurer les paramètres de connectivité proxy et Internet.

Defender pour point de terminaison peut découvrir un serveur proxy à l’aide des méthodes de découverte suivantes :

• Proxy transparent
• Configuration manuelle du proxy statique

Si un proxy ou un pare-feu bloque le trafic anonyme, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment. Pour les proxys transparents, aucune configuration supplémentaire n’est nécessaire pour Defender pour point de terminaison. Pour le proxy statique, suivez les étapes décrites dans Configuration manuelle du proxy statique.

Avertissement

Les proxys PAC, WPAD et authentifiés ne sont pas pris en charge. Vérifiez que seul un proxy statique ou un proxy transparent est utilisé.

L’inspection ssl et l’interception des proxys ne sont pas non plus prises en charge pour des raisons de sécurité. Configurez une exception pour l’inspection SSL et votre serveur proxy pour transmettre directement les données de Defender pour point de terminaison sur Linux aux URL appropriées sans interception. L’ajout de votre certificat d’interception au magasin global n’autorise pas l’interception.

Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux.

Guide pratique pour mettre à jour Microsoft Defender pour point de terminaison sur Linux

Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour mettre à jour Microsoft Defender pour point de terminaison sur Linux, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.

Comment configurer Microsoft Defender pour point de terminaison sur Linux

Des conseils sur la configuration du produit dans les environnements d’entreprise sont disponibles dans Définir des préférences pour Microsoft Defender pour point de terminaison sur Linux.

Les applications courantes à Microsoft Defender pour point de terminaison peuvent avoir un impact

Les charges de travail d’E/S élevées de certaines applications peuvent rencontrer des problèmes de performances lorsque Microsoft Defender pour point de terminaison est installé. Il s’agit notamment d’applications pour les scénarios de développement tels que Jenkins et Jira, ainsi que des charges de travail de base de données comme OracleDB et Postgres. En cas de dégradation des performances, envisagez de définir des exclusions pour les applications approuvées, en gardant à l’esprit les erreurs d’exclusion courantes pour Microsoft Defender antivirus. Pour obtenir des conseils supplémentaires, consultez la documentation concernant les exclusions d’antivirus d’applications tierces.

Ressources

• Pour plus d’informations sur la journalisation, la désinstallation ou d’autres articles, consultez Ressources.

Articles connexes

• Protégez vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison
• Connecter vos machines non-Azure à Microsoft Defender pour le cloud
• Activer la protection réseau pour Linux

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.