שתף באמצעות

בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux

  • מאמר

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מתאר כיצד להתקין, לקבוע תצורה, לעדכן ולהשתמש ב- Microsoft Defender עבור נקודת קצה ב- Linux.

זהירות

הפעלת מוצרי הגנה אחרים של נקודות קצה של ספקים חיצוניים לצד Microsoft Defender for Endpoint ב- Linux צפויה להוביל לבעיות ביצועים ולתוצרי לוואי בלתי צפויים. אם הגנה על נקודות קצה שאינה של Microsoft היא דרישה מוחלטת בסביבה שלך, תוכל עדיין לנצל בבטחה את היתרונות של Defender for Endpoint בפונקציונליות Linux EDR לאחר קביעת התצורה של פונקציונליות האנטי-וירוס כך שיפעלו במצב פאסיבי.

כיצד להתקין את Microsoft Defender עבור נקודת קצה ב- Linux

Microsoft Defender עבור נקודת קצה עבור Linux כולל יכולות זיהוי ותגובה (EDR) נגד תוכנות זדוניות וזיהוי נקודות קצה (EDR).

דרישות מוקדמות

  • גישה לפורטל Microsoft Defender

  • הפצת Linux באמצעות מנהל המערכת המערכת

    הערה

    הפצת Linux באמצעות מנהל המערכת, למעט RHEL/CentOS 6.x תומכת הן ב- SystemV והן ב- Upstart.

  • חוויה ברמת מתחילים ב- Scripting של Linux ו- BASH

  • הרשאות ניהול במכשיר (במקרה של פריסה ידנית)

הערה

Microsoft Defender עבור נקודת קצה בסוכן Linux אינו תלוי בסוכן OMS. Microsoft Defender for Endpoint מסתמך על קו צינור מדידת השימוש הבלתי תלוי שלה.

הוראות התקנה

קיימות כמה שיטות וכלי פריסה שבהם ניתן להשתמש כדי להתקין ולהגדיר את Microsoft Defender עבור נקודת קצה ב- Linux.

באופן כללי, עליך לבצע את השלבים הבאים:

הערה

אין תמיכה בהתקנת Microsoft Defender for Endpoint בכל מיקום אחר שאינו נתיב ההתקנה המוגדר כברירת מחדל.

Microsoft Defender עבור נקודת קצה ב- Linux יוצר משתמש "mdatp" עם UID ו- GID אקראיים. אם ברצונך לשלוט ב- UID וב- GID, צור משתמש "mdatp" לפני ההתקנה באמצעות אפשרות המעטפת "/usr/sbin/nologin". לדוגמה: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

דרישות מערכת

  • התפלגויות שרת Linux נתמכות ו- x64 (AMD64/EM64T) x86_64 נוספות:

    • Red Hat Enterprise Linux 6.7 ואילך (בגירסת Preview)

    • Red Hat Enterprise Linux 7.2 ואילך

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 ואילך (בגירסת Preview)

    • CentOS 7.2 ואילך

    • אובונטו 16.04 LTS

    • אובונטו 18.04 LTS

    • אובונטו 20.04 LTS

    • אובונטו 22.04 LTS

    • דבית 9 - 12

    • SUSE Linux Enterprise Server 12 ואילך

    • SUSE Linux Enterprise Server 15 ואילך

    • Oracle Linux 7.2 ואילך

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • פדורה 33-38

    • סלעי 8.7 ואילך

    • סלעי 9.2 ואילך

    • Alma 8.4 ואילך

    • Alma 9.2 ואילך

    • מרינ'ר 2

      הערה

      אין תמיכה בהתפלגויות ובגירסה שאינן מפורטות באופן מפורש (גם אם הן נגזרות מההתפלגויות הנתמכות באופן רשמי). עם תמיכת RHEL 6 עבור 'סיום חיים מורחב' מגיע לסוף עד 30 ביוני, 2024; התמיכה ב- MDE Linux עבור RHEL 6 תפחת גם ב- 30 ביוני 2024, MDE Linux גירסה 101.23082.0011 היא מהדורת MDE Linux האחרונה התומכת ב- RHEL 6.7 ואילך (לא פג לפני 30 ביוני 2024). מומלץ ללקוחות לתכנן שדרוגים לתשתית RHEL 6 שלהם בהתאם להדרכה של Red Hat. ניהול פגיעויות של Microsoft Defender אינו נתמך בשלב זה ב- Rocky ו- Alma.

  • רשימה של גירסאות ליבה נתמכות

    הערה

    Microsoft Defender עבור נקודת קצה ב- Red Hat Enterprise Linux וב- CentOS - 6.7 עד 6.10 הוא פתרון מבוסס ליבה. עליך לוודא כי גירסת הליבה נתמכת לפני עדכון לגירסת ליבה חדשה יותר. Microsoft Defender עבור נקודת קצה עבור כל ההתפלגויות והגרסאות הנתמכות האחרות הוא kernel-version-agnostic. עם דרישה מינימלית לגירסת הליבה להיות ב- 3.10.0-327 או גדול מ- 3.10.0.

    • יש fanotify להפוך את אפשרות הליבה לזמינה
    • Red Hat Enterprise Linux 6 ו- CentOS 6:
      • עבור 6.7: 2.6.32-573.* (למעט 2.6.32-573.el6.x86_64)
      • עבור 6.8: 2.6.32-642.*
      • עבור 6.9: 2.6.32-696.* (למעט 2.6.32-696.el6.x86_64)
      • עבור 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32 -754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32 -754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32 -754.29.2.el6.x86_64
        • 2.6.32 -754.3.5.el6.x86_64
        • 2.6.32 -754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32 -754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32 -754.6.3.el6.x86_64
        • 2.6.32 -754.9.1.el6.x86_64

    הערה

    לאחר פרסום גירסת חבילה חדשה, התמיכה בשתי הגירסאות הקודמות מופחתת לתמיכה טכנית בלבד. גירסאות הישנות יותר מהגרסאות המפורטות בסעיף זה מסופקות עבור תמיכה בשדרוג טכני בלבד.

    זהירות

    אין תמיכה בהפעלת Defender for Endpoint ב fanotify- Linux לצד פתרונות אבטחה מבוססי-אחרים. הוא עלול להוביל לתוצאות בלתי צפויות, כולל תלייה במערכת ההפעלה. אם יש במערכת יישומים אחרים המשתמשים fanotify במצב חסימה, אפליקציות מפורטות conflicting_applications בשדה פלט mdatp health הפקודה. התכונה FAPolicyDfanotify של Linux משתמשת במצב חסימה ולכן אינה נתמכת בעת הפעלת Defender for Endpoint במצב פעיל. עדיין תוכל לנצל את היתרונות של Defender for Endpoint בפונקציונליות Linux EDR לאחר קביעת התצורה של פונקציונליות האנטי-וירוס הגנה בזמן אמת מופעלת למצב פאסיבי.

  • שטח דיסק: 2 GB

    הערה

    ייתכן שיהיה צורך בשטח דיסק נוסף של 2 GB אם אבחון ענן זמין עבור אוספי קריסות.

  • /opt/microsoft/mdatp/sbin/wdavdaemon דורש הרשאת הפעלה. לקבלת מידע נוסף, ראה "ודא של- Daemon יש הרשאת הפעלה" בפתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux.

  • ליבות: 2 מינימום, 4 מועדפים

  • זיכרון: 1 GB לפחות, 4 מועדפים

    הערה

    ודא שיש לך שטח דיסק פנוי ב- /var.

  • רשימה של מערכות קבצים נתמכות עבור RTP, סריקה מהירה, מלאה מותאמת אישית.

    RTP, מהיר, סריקה מלאה סריקה מותאמת אישית
    תמונות מונפשות כל מערכות הקבצים הנתמכות עבור RTP, מהיר, סריקה מלאה
    תמונות ecryptfs Efs (מ- Efs)
    ext2 קבצי S3fs
    ext3 תות משען
    ext4 לוסטר (תות)
    הפתיל glustrefs
    נתיך נתיך קבצי AFs
    קבצי jfs קבצי sshfs
    nfs (v3 בלבד) קבצי cifs
    כיסוי smb
    קבצי ramfs gcsfuse
    reiserfs sysfs
    תמונות tmpfs
    udf
    ערפאת תות
    תמונות xfs

לאחר הפיכת השירות לזמין, עליך לקבוע את תצורת הרשת או חומת האש כך שתאפשר חיבורים יוצאים ביניהם לבין נקודות הקצה שלך.

  • מסגרת ביקורת (auditd) חייבת להיות זמינה.

    הערה

    אירועי מערכת שנלכדו על-ידי כללים /etc/audit/rules.d/ שנוספו ל audit.log- יתווספו (ים) ועשויים להשפיע על ביקורת מארחים ואיסוף במעלה הזרם. אירועים שנוספו על-ידי Microsoft Defender עבור נקודת קצה ב- Linux יתויגו עם mdatp מפתח.

תלות בחבילה חיצונית

יחסי התלות הבאים של החבילה החיצונית קיימים עבור חבילת mdatp:

  • חבילת mdatp RPM דורשת "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • עבור RHEL6, חבילת Mdatp RPM דורשת "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • עבור DEBIAN, חבילת mdatp דורשת "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

חבילת mde-netfilter כוללת גם את יחסי התלות הבאים של החבילה:

  • עבור DEBIAN, חבילת mde-netfilter דורשת "libnetfilter-queue1", "libglib2.0-0"
  • עבור RPM, חבילת mde-netfilter דורשת "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

אם התקנת Microsoft Defender for Endpoint נכשלת עקב שגיאות של יחסי תלות חסרים, באפשרותך להוריד באופן ידני את יחסי התלות המהווים דרישה מוקדמת.

קביעת תצורה של פריטים שאינם נכללים

בעת הוספת פריטים שאינם נכללים באנטי-וירוס של Microsoft Defender, עליך לשקול שגיאות מניעה נפוצות עבור האנטי-וירוס של Microsoft Defender.

חיבורי רשת

ודא שהקישוריות אפשרית מהמכשירים שלך אל שירותי הענן של Microsoft Defender for Endpoint. כדי להכין את הסביבה שלך, עיין בשלב 1: קבע את תצורת סביבת הרשת שלך כדי להבטיח קישוריות עם שירות Defender for Endpoint.

Defender for Endpoint on Linux יכול להתחבר דרך שרת Proxy באמצעות שיטות הגילוי הבאות:

  • Proxy שקוף
  • תצורת Proxy סטטית ידנית

אם Proxy או חומת אש חוסמים תעבורה אנונימית, ודא שתעבורה אנונימית מותרת בכתובות ה- URL הרשומות בעבר. עבור שרתי Proxy שקופים, אין צורך בתצורה נוספת עבור Defender for Endpoint. עבור Proxy סטטי, בצע את השלבים תחת תצורת Proxy סטטית ידנית.

אזהרה

שרתי Proxy של PAC, WPAD ו- Proxy מאומתים אינם נתמכים. ודא שנעשה שימוש רק ב- Proxy סטטי או ב- Proxy שקוף.

גם שרתי Proxy של בדיקה וחיתוך של SSL אינם נתמכים מסיבות אבטחה. קבע תצורה של חריגה עבור בדיקת SSL ושרת ה- Proxy שלך כדי להעביר ישירות נתונים מ- Defender for Endpoint on Linux לכתובות ה- URL הרלוונטיות ללא יירוט. הוספת אישור החיתוך שלך לחנות הכללית לא תאפשר יירוט.

לקבלת שלבים לפתרון בעיות, ראה פתרון בעיות קישוריות בענן עבור Microsoft Defender עבור נקודת קצה ב- Linux.

כיצד לעדכן את Microsoft Defender עבור נקודת קצה ב- Linux

Microsoft מפרסמת באופן קבוע עדכוני תוכנה כדי לשפר את הביצועים, האבטחה ולספק תכונות חדשות. כדי לעדכן את Microsoft Defender עבור נקודת קצה ב- Linux, עיין בנושא פריסת עדכונים עבור Microsoft Defender עבור נקודת קצה ב- Linux.

כיצד להגדיר את Microsoft Defender עבור נקודת קצה ב- Linux

הדרכה לגבי אופן קביעת התצורה של המוצר בסביבות ארגוניות זמינה תחת הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux.

אפליקציות נפוצות של Microsoft Defender עבור נקודת קצה עשויות להשפיע

עומסי עבודה גבוהים של פלט/פלט מיישומים מסוימים עשויים להיתקל בבעיות ביצועים בעת התקנת Microsoft Defender for Endpoint. אלה כוללים אפליקציות עבור תרחישים למפתחים כגון ג'נקינס ו- Jira, ועומסי עבודה של מסדי נתונים כגון OracleDB ו- Postgres. אם אתה נתקל בירידה בביצועים, שקול להגדיר אי-הכללות עבור אפליקציות מהימנות, תוך התחשבות בשגיאות אי-הכללה נפוצות עבור האנטי-וירוס של Microsoft Defender . לקבלת הדרכה נוספת, שקול לעיין בתיעוד בנוגע לפריטים שאינם נכללים באנטי-וירוס מאפליקציות של ספקים חיצוניים.

משאבים

  • לקבלת מידע נוסף אודות רישום, הסרת התקנה או מאמרים אחרים, ראה משאבים.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.