בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מתאר כיצד להתקין, לקבוע תצורה, לעדכן ולהשתמש ב- Microsoft Defender עבור נקודת קצה ב- Linux.

זהירות

הפעלת מוצרי הגנת נקודות קצה אחרים של ספקים חיצוניים לצד Microsoft Defender עבור נקודת קצה ב- Linux צפויה להוביל לבעיות ביצועים ולתוצרי לוואי בלתי צפויים. אם הגנה על נקודות קצה שאינה של Microsoft היא דרישה מוחלטת בסביבה שלך, תוכל עדיין לנצל בבטחה את היתרונות של Defender for Endpoint בפונקציונליות Linux EDR לאחר קביעת התצורה של פונקציונליות האנטי-וירוס כך שיפעלו במצב פאסיבי.

כיצד להתקין את Microsoft Defender עבור נקודת קצה ב- Linux

Microsoft Defender עבור נקודת קצה עבור Linux כולל יכולות נגד תוכנות זדוניות וזיהוי נקודות קצה ותגובה (EDR).

דרישות מוקדמות

• גישה לפורטל Microsoft Defender שלך

• הפצת Linux באמצעות מנהל המערכת המערכת

  הערה

  הפצת Linux באמצעות מנהל המערכת, למעט RHEL/CentOS 6.x תומכת הן ב- SystemV והן ב- Upstart.

• חוויה ברמת מתחילים ב- Scripting של Linux ו- BASH

• הרשאות ניהול במכשיר (במקרה של פריסה ידנית)

הערה

Microsoft Defender עבור נקודת קצה סוכן Linux אינו תלוי בסוכן OMS. Microsoft Defender עבור נקודת קצה מסתמך על צינור מדידת השימוש הבלתי תלוי שלו.

הוראות התקנה

קיימות כמה שיטות וכלי פריסה שבהם ניתן להשתמש כדי להתקין ולקבוע תצורה של Microsoft Defender עבור נקודת קצה ב- Linux.

באופן כללי, עליך לבצע את השלבים הבאים:

• ודא שיש לך מנוי Microsoft Defender עבור נקודת קצה חדש.
• פרוס Microsoft Defender עבור נקודת קצה ב- Linux באמצעות אחת משיטות הפריסה הבאות:
  • כלי שורת הפקודה:
    • פריסה ידנית
  • כלי ניהול של ספקים חיצוניים:
    • פריסה באמצעות כלי ניהול תצורה של בובות
    • פריסה באמצעות כלי ניהול תצורה ניתן להתקנה
      • Deploy using Chef configuration management tool
      • פריסה באמצעות כלי ניהול תצורה של Saltstack אם אתה נתקל בכשלים בהתקנה, ראה פתרון בעיות של כשלי התקנה ב- Microsoft Defender עבור נקודת קצה ב- Linux.

הערה

אין תמיכה בהתקנה של Microsoft Defender עבור נקודת קצה במיקום אחר שאינו נתיב ההתקנה המוגדר כברירת מחדל.

Microsoft Defender עבור נקודת קצה ב- Linux יוצר משתמש "mdatp" עם UID ו- GID אקראיים. אם ברצונך לשלוט ב- UID וב- GID, צור משתמש "mdatp" לפני ההתקנה באמצעות אפשרות המעטפת "/usr/sbin/nologin". לדוגמה: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

דרישות מערכת

• התפלגויות שרת Linux נתמכות ו- x64 (AMD64/EM64T) x86_64 נוספות:

  • Red Hat Enterprise Linux 6.7 ואילך (בגירסת Preview)

  • Red Hat Enterprise Linux 7.2 ואילך

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 ואילך (בגירסת Preview)

  • CentOS 7.2 ואילך

  • Ubuntu 16.04 LTS ואילך LTS

  • דבית 9 - 12

  • SUSE Linux Enterprise Server 12 ואילך

  • SUSE Linux Enterprise Server 15 ואילך

  • Oracle Linux 7.2 ואילך

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • פדורה 33 ומעלה

  • סלעי 8.7 ואילך

  • Alma 8.4 ואילך

  • מרינ'ר 2

    הערה

    אין תמיכה בהתפלגויות ובגירסה שאינן מפורטות באופן מפורש (גם אם הן נגזרות מההתפלגויות הנתמכות באופן רשמי). עם תמיכת RHEL 6 עבור 'סיום חיים מורחב' מגיע לסוף עד 30 ביוני, 2024; התמיכה של MDE Linux עבור RHEL 6 תפחת גם עד 30 ביוני 2024 MDE Linux גירסה 101.23082.0011 היא מהדורת MDE Linux האחרונה התומכת ב- RHEL 6.7 ואילך (לא יפוג לפני 30 ביוני 2024). מומלץ ללקוחות לתכנן שדרוגים לתשתית RHEL 6 שלהם בהתאם להדרכה של Red Hat.

• רשימה של גירסאות ליבה נתמכות

  הערה

  Microsoft Defender עבור נקודת קצה Red Hat Enterprise Linux ו- CentOS - 6.7 עד 6.10 הוא פתרון מבוסס ליבה. עליך לוודא כי גירסת הליבה נתמכת לפני עדכון לגירסת ליבה חדשה יותר. Microsoft Defender עבור נקודת קצה עבור כל ההתפלגויות והגרסאות הנתמכות האחרות הוא kernel-version-agnostic. עם דרישה מינימלית לגירסת הליבה להיות ב- 3.10.0-327 או גדול מ- 3.10.0.

  • יש fanotify להפוך את אפשרות הליבה לזמינה
  • Red Hat Enterprise Linux 6 ו- CentOS 6:
    • עבור 6.7: 2.6.32-573.* (למעט 2.6.32-573.el6.x86_64)
    • עבור 6.8: 2.6.32-642.*
    • עבור 6.9: 2.6.32-696.* (למעט 2.6.32-696.el6.x86_64)
    • עבור 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32 -754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32 -754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32 -754.29.2.el6.x86_64
      • 2.6.32 -754.3.5.el6.x86_64
      • 2.6.32 -754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32 -754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32 -754.6.3.el6.x86_64
      • 2.6.32 -754.9.1.el6.x86_64

  הערה

  לאחר פרסום גירסת חבילה חדשה, התמיכה בשתי הגירסאות הקודמות מופחתת לתמיכה טכנית בלבד. גירסאות הישנות יותר מהגרסאות המפורטות בסעיף זה מסופקות עבור תמיכה בשדרוג טכני בלבד.

  זהירות

  אין תמיכה בהפעלת Defender for Endpoint ב fanotify- Linux לצד פתרונות אבטחה מבוססי-אחרים. הוא עלול להוביל לתוצאות בלתי צפויות, כולל תלייה במערכת ההפעלה. אם יש במערכת יישומים אחרים המשתמשים fanotify במצב חסימה, אפליקציות מפורטות conflicting_applications בשדה פלט mdatp health הפקודה. התכונה FAPolicyDfanotify של Linux משתמשת במצב חסימה ולכן אינה נתמכת בעת הפעלת Defender for Endpoint במצב פעיל. עדיין תוכל לנצל את היתרונות של Defender for Endpoint בפונקציונליות Linux EDR לאחר קביעת התצורה של פונקציונליות האנטי-וירוס הגנה בזמן אמת מופעלת למצב פאסיבי.

• שטח דיסק: 2 GB

  הערה

  ייתכן שיהיה צורך בשטח דיסק נוסף של 2 GB אם אבחון ענן זמין עבור אוספי קריסות.

• /opt/microsoft/mdatp/sbin/wdavdaemon דורש הרשאת הפעלה. לקבלת מידע נוסף, ראה "ודא של- Daemon יש הרשאת הפעלה" בפתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux.

• ליבות: 2 מינימום, 4 מועדפים

• זיכרון: 1 GB לפחות, 4 מועדפים

  הערה

  ודא שיש לך שטח דיסק פנוי ב- /var.

• רשימה של מערכות קבצים נתמכות עבור RTP, סריקה מהירה, מלאה מותאמת אישית.

  RTP, מהיר, סריקה מלאה	סריקה מותאמת אישית
  תמונות מונפשות	כל מערכות הקבצים הנתמכות עבור RTP, מהיר, סריקה מלאה
  תמונות ecryptfs	Efs
  ext2	קבצי S3fs
  ext3	תות משען
  ext4	לוסטר (תות)
  הפתיל	glustrefs
  נתיך נתיך	קבצי AFs
  קבצי jfs	קבצי sshfs
  nfs (v3 בלבד)	קבצי cifs
  כיסוי	Smb
  קבצי ramfs	gcsfuse
  reiserfs	sysfs
  תמונות tmpfs
  Udf
  ערפאת תות
  תמונות xfs

לאחר הפיכת השירות לזמין, עליך לקבוע את תצורת הרשת או חומת האש כך שתאפשר חיבורים יוצאים ביניהם לבין נקודות הקצה שלך.

• מסגרת ביקורת (auditd) חייבת להיות זמינה.

  הערה

  אירועי מערכת שנלכדו על-ידי כללים /etc/audit/rules.d/ שנוספו ל audit.log- יתווספו (ים) ועשויים להשפיע על ביקורת מארחים ואיסוף במעלה הזרם. אירועים שנוספו Microsoft Defender עבור נקודת קצה- Linux יתויגו עם mdatp מפתח.

תלות בחבילה חיצונית

יחסי התלות הבאים של החבילה החיצונית קיימים עבור חבילת mdatp:

• חבילת mdatp RPM דורשת "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• עבור RHEL6, חבילת Mdatp RPM דורשת "audit", "policycoreutils", "libselinux", "mde-netfilter"
• עבור DEBIAN, חבילת mdatp דורשת "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

חבילת mde-netfilter כוללת גם את יחסי התלות הבאים של החבילה:

• עבור DEBIAN, חבילת mde-netfilter דורשת "libnetfilter-queue1", "libglib2.0-0"
• עבור RPM, חבילת mde-netfilter דורשת "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

אם ההתקנה Microsoft Defender עבור נקודת קצה נכשלת עקב שגיאות של יחסי תלות חסרים, באפשרותך להוריד באופן ידני את יחסי התלות המהווים דרישה מוקדמת.

קביעת תצורה של פריטים שאינם נכללים

בעת הוספת פריטים שאינם נכללים באנטי Microsoft Defender Antivirus, עליך לשקול שגיאות מניעה נפוצות עבור אנטי Microsoft Defender אנטי-וירוס.

חיבורי רשת

הגיליון האלקטרוני הבא הניתן להורדה מפרט את השירותים ואת כתובות ה- URL המשויכות שלהם שאליהן הרשת שלך חייבת להתחבר. עליך לוודא שאין כללי סינון חומת אש או סינון רשת שימנעו גישה לכתובות URL אלה. אם יש כלל, ייתכן שיהיה עליך ליצור כלל התרה במיוחד עבורם.

גיליון אלקטרוני של רשימת תחומים	תיאור
Microsoft Defender עבור נקודת קצה URL עבור לקוחות מסחריים	גיליון אלקטרוני של רשומות DNS ספציפיות עבור מיקומי שירות, מיקומים גיאוגרפיים ומערכת הפעלה עבור לקוחות מסחריים. הורד את הגיליון האלקטרוני כאן.
Microsoft Defender עבור נקודת קצה URL עבור Gov/GCC/DoD	גיליון אלקטרוני של רשומות DNS ספציפיות עבור מיקומי שירות, מיקומים גיאוגרפיים ומערכת הפעלה עבור לקוחות Gov/GCC/DoD. הורד את הגיליון האלקטרוני כאן.

הערה

לקבלת רשימת כתובות URL ספציפית יותר, ראה קביעת תצורה של הגדרות Proxy וקישוריות לאינטרנט.

Defender for Endpoint יכול לגלות שרת Proxy באמצעות שיטות הגילוי הבאות:

• Proxy שקוף
• תצורת Proxy סטטית ידנית

אם Proxy או חומת אש חוסמים תעבורה אנונימית, ודא שתעבורה אנונימית מותרת בכתובות ה- URL הרשומות בעבר. עבור שרתי Proxy שקופים, אין צורך בתצורה נוספת עבור Defender for Endpoint. עבור Proxy סטטי, בצע את השלבים תחת תצורת Proxy סטטית ידנית.

אזהרה

שרתי Proxy של PAC, WPAD ו- Proxy מאומתים אינם נתמכים. ודא שנעשה שימוש רק ב- Proxy סטטי או ב- Proxy שקוף.

גם שרתי Proxy של בדיקה וחיתוך של SSL אינם נתמכים מסיבות אבטחה. קבע תצורה של חריגה עבור בדיקת SSL ושרת ה- Proxy שלך כדי להעביר ישירות נתונים מ- Defender for Endpoint on Linux לכתובות ה- URL הרלוונטיות ללא יירוט. הוספת אישור החיתוך שלך לחנות הכללית לא תאפשר יירוט.

לקבלת שלבים לפתרון בעיות, ראה פתרון בעיות קישוריות בענן עבור Microsoft Defender עבור נקודת קצה ב- Linux.

כיצד לעדכן Microsoft Defender עבור נקודת קצה ב- Linux

Microsoft מפרסמת באופן קבוע עדכוני תוכנה כדי לשפר את הביצועים, האבטחה ולספק תכונות חדשות. כדי לעדכן Microsoft Defender עבור נקודת קצה ב- Linux, ראה פריסת עדכונים עבור Microsoft Defender עבור נקודת קצה ב- Linux.

כיצד להגדיר את Microsoft Defender עבור נקודת קצה ב- Linux

הדרכה לגבי אופן קביעת התצורה של המוצר בסביבות ארגוניות זמינה תחת הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux.

אפליקציות נפוצות Microsoft Defender עבור נקודת קצה להשפיע

עומסי עבודה גבוהים של פלט/פלט מיישומים מסוימים עשויים להיתקל Microsoft Defender עבור נקודת קצה בעת התקנתם. אלה כוללים אפליקציות עבור תרחישים למפתחים כגון ג'נקינס ו- Jira, ועומסי עבודה של מסדי נתונים כגון OracleDB ו- Postgres. אם אתה נתקל בירידה בביצועים, שקול להגדיר אי-הכללות עבור יישומים מהימנים, תוך התחשבות בשגיאות Microsoft Defender אנטי-וירוס נפוצות. לקבלת הדרכה נוספת, שקול לעיין בתיעוד בנוגע לפריטים שאינם נכללים באנטי-וירוס מאפליקציות של ספקים חיצוניים.

משאבים

• לקבלת מידע נוסף אודות רישום, הסרת התקנה או מאמרים אחרים, ראה משאבים.

מאמרים קשורים

• הגן על נקודות הקצה שלך באמצעות פתרון ה- EDR המשולב של Defender for Cloud: Microsoft Defender עבור נקודת קצה
• חבר את המחשבים שאינם של Azure ל- Microsoft Defender for Cloud
• הפעלת הגנת רשת עבור Linux

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.