Végponthoz készült Microsoft Defender Linuxon
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk bemutatja, hogyan telepítheti, konfigurálhatja, frissítheti és használhatja a Végponthoz készült Microsoft Defendert Linux rendszeren.
Figyelem!
Ha más, külső gyártótól származó végpontvédelmi termékeket futtat a Végponthoz készült Microsoft Defender mellett Linuxon, az valószínűleg teljesítményproblémákhoz és kiszámíthatatlan mellékhatásokhoz vezet. Ha a nem Microsoft végpontvédelem abszolút követelmény a környezetben, akkor is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a víruskereső funkciót passzív módban való futtatásra.
Végponthoz készült Microsoft Defender telepítése Linux rendszeren
A Linuxhoz készült Végponthoz készült Microsoft Defender kártevőirtó és végpontészlelési és -reagálási (EDR) képességeket tartalmaz.
Előfeltételek
Hozzáférés a Microsoft Defender portálhoz
Linux-disztribúció a systemd system manager használatával
Megjegyzés:
Linux-disztribúció a System Managerrel, kivéve az RHEL/CentOS 6.x rendszert, amely a SystemV és az Upstart használatát is támogatja.
Kezdő szintű tapasztalat Linux és BASH-szkriptek használatában
Rendszergazdai jogosultságok az eszközön (manuális üzembe helyezés esetén)
Megjegyzés:
A Végponthoz készült Microsoft Defender Linux-ügynök független az OMS-ügynöktől. A Végponthoz készült Microsoft Defender a saját független telemetriai folyamatára támaszkodik.
Telepítési utasítások
A Végponthoz készült Microsoft Defender linuxos telepítéséhez és konfigurálásához számos módszer és üzembe helyezési eszköz használható.
Általában a következő lépéseket kell elvégeznie:
- Győződjön meg arról, hogy rendelkezik Microsoft Defender for Endpoint-előfizetéssel.
- A Végponthoz készült Microsoft Defender üzembe helyezése Linux rendszeren az alábbi üzembehelyezési módszerek egyikével:
- A parancssori eszköz:
- Külső felügyeleti eszközök:
- Üzembe helyezés a Puppet konfigurációkezelő eszközével
-
Üzembe helyezés az Ansible konfigurációkezelő eszközével
- Üzembe helyezés a Chef konfigurációkezelő eszközével
- Üzembe helyezés a Saltstack konfigurációkezelő eszközével Ha bármilyen telepítési hibát tapasztal, tekintse meg a Linuxon futó Végponthoz készült Microsoft Defender telepítési hibáinak elhárítását ismertető cikket.
Megjegyzés:
A Végponthoz készült Microsoft Defender nem telepíthető az alapértelmezett telepítési útvonalon kívül más helyre.
A Végponthoz készült Microsoft Defender Linuxon egy "mdatp" felhasználót hoz létre véletlenszerű UID-vel és GID-vel. Ha szabályozni szeretné az UID-t és a GID-t, a telepítés előtt hozzon létre egy "mdatp" felhasználót a "/usr/sbin/nologin" rendszerhéj beállítással.
Például: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Rendszerkövetelmények
Támogatott Linux-kiszolgálói disztribúciók és x64 (AMD64/EM64T) és x86_64 verziók:
Red Hat Enterprise Linux 6.7 vagy újabb (előzetes verzió)
Red Hat Enterprise Linux 7.2 vagy újabb
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 vagy újabb (előzetes verzió)
CentOS 7.2 vagy újabb
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 – 12
SUSE Linux Enterprise Server 12 vagy újabb
SUSE Linux Enterprise Server 15 vagy újabb
Oracle Linux 7.2 vagy újabb
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8.7 és újabb
Rocky 9.2 és újabb
Alma 8.4 és újabb verziók
Alma 9.2 és újabb
Mariner 2
Megjegyzés:
A kifejezetten nem felsorolt disztribúciók és verziók nem támogatottak (még akkor sem, ha a hivatalosan támogatott disztribúciókból származnak). Az RHEL 6 támogatása 2024. június 30-ig megszűnik az "élettartam meghosszabbítása" érdekében; Az RHEL 6 MDE Linux-támogatása is megszűnik 2024. június 30-ig. Az MDE Linux 101.23082.0011-es verziója az RHEL 6.7-es vagy újabb verzióit támogató utolsó MDE Linux-kiadás (nem jár le 2024. június 30. előtt). Az ügyfeleknek azt javasoljuk, hogy tervezzék meg az RHEL 6-infrastruktúrára való frissítést a Red Hat útmutatásai alapján. A Microsoft Defender Vulnerablity Management jelenleg nem támogatott a Rocky és alma eszközökön.
A támogatott kernelverziók listája
Megjegyzés:
A Végponthoz készült Microsoft Defender Red Hat Enterprise Linux és CentOS rendszeren – 6.7–6.10 egy kernelalapú megoldás. Az újabb kernelverzióra való frissítés előtt ellenőriznie kell, hogy a kernel verziója támogatott-e. A Végponthoz készült Microsoft Defender az összes többi támogatott disztribúcióhoz és verzióhoz kernel-version-agnostic. Minimális követelmény, hogy a kernel verziója 3.10.0-327-nél korábbi legyen.
- A
fanotify
kernelbeállítást engedélyezni kell - Red Hat Enterprise Linux 6 és CentOS 6:
- 6.7 esetén: 2.6.32-573.* (kivéve a 2.6.32-573.el6.x86_64)
- 6.8 esetén: 2.6.32-642.*
- 6.9 esetén: 2.6.32-696.* (kivéve a 2.6.32-696.el6.x86_64)
- 6.10 esetén:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Megjegyzés:
Az új csomagverzió kiadása után az előző két verzió támogatása csak technikai támogatásra csökken. Az ebben a szakaszban felsoroltnál régebbi verziók csak technikai frissítési támogatással érhetők el.
Figyelem!
A Végponthoz készült Defender linuxos futtatása más
fanotify
-alapú biztonsági megoldásokkal együtt nem támogatott. Kiszámíthatatlan eredményekhez vezethet, például az operációs rendszer lefagyott. Ha a rendszeren más alkalmazások is használnakfanotify
blokkolási módban, az alkalmazások aconflicting_applications
parancs kimeneténekmdatp health
mezőjében jelennek meg. A Linux FAPolicyD funkció blokkolási módban működikfanotify
, ezért nem támogatott a Végponthoz készült Defender aktív módban való futtatásakor. Továbbra is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a valós idejű védelem passzív módra engedélyezett víruskereső funkcióját.- A
Lemezterület: 2 GB
Megjegyzés:
További 2 GB lemezterületre lehet szükség, ha a felhődiagnosztika engedélyezve van az összeomlási gyűjteményekhez.
A /opt/microsoft/mdatp/sbin/wdavdaemon végrehajtható engedélyt igényel. További információ: "Győződjön meg arról, hogy a démon rendelkezik végrehajtható engedéllyel", a Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása Linuxon.
Magok: 2 minimum, 4 előnyben részesített
Memória: legalább 1 GB, 4 előnyben részesített
Megjegyzés:
Győződjön meg arról, hogy szabad lemezterület van a /var fájlban.
Az RTP, a Gyors, a Teljes és az Egyéni vizsgálat támogatott fájlrendszereinek listája.
RTP, gyors, teljes vizsgálat Egyéni vizsgálat btrfs Az RTP- és a gyorsvizsgálathoz támogatott összes fájlrendszer ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr biztosíték glustrefs fuseblk Afs jfs sshfs nfs (csak v3 esetén) cifs kis terítő Smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat, hogy engedélyezze a kimenő kapcsolatokat a szolgáltatás és a végpontok között.
A naplózási keretrendszert (
auditd
) engedélyezni kell.Megjegyzés:
A hozzáadott
/etc/audit/rules.d/
szabályok által rögzített rendszeresemények hozzá lesznek adva a(z) (k)hezaudit.log
, és hatással lehetnek a gazdagép naplózására és a felsőbb rétegbeli gyűjteményre. A Végponthoz készült Microsoft Defender által a Linuxon hozzáadott események kulcsokkal lesznek felcímkézvemdatp
.
Külső csomagfüggőség
Az mdatp-csomaghoz a következő külső csomagfüggőségek léteznek:
- Az mdatp RPM-csomaghoz "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter" szükséges.
- RHEL6 esetén az mdatp RPM-csomaghoz "audit", "policycoreutils", "libselinux", "mde-netfilter" szükséges
- DEBIAN esetén az mdatp csomaghoz "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter" szükséges
Az mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:
- DEBIAN esetén az mde-netfilter csomaghoz "libnetfilter-queue1", "libglib2.0-0" szükséges
- RPM esetén az mde-netfilter csomaghoz "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2" szükséges
Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltételként szükséges függőségeket.
Kizárások konfigurálása
Amikor kivételeket ad hozzá a Microsoft Defender víruskeresőhöz, vegye figyelembe a Microsoft Defender víruskereső gyakori kizárási hibáit.
Hálózati kapcsolatok
Győződjön meg arról, hogy az eszközök és a Végponthoz készült Microsoft Defender felhőszolgáltatások közötti kapcsolat lehetséges. A környezet előkészítéséhez tekintse meg az 1. LÉPÉST: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
A Végponthoz készült Defender Linuxon a következő felderítési módszerekkel csatlakozhat proxykiszolgálón keresztül:
- Transzparens proxy
- Manuális statikus proxykonfiguráció
Ha egy proxy vagy tűzfal blokkolja a névtelen forgalmat, győződjön meg arról, hogy a névtelen forgalom engedélyezve van a korábban felsorolt URL-címeken. Transzparens proxyk esetén nincs szükség további konfigurációra a Végponthoz készült Defenderhez. Statikus proxy esetén kövesse a Manuális statikus proxykonfiguráció című cikk lépéseit.
Figyelmeztetés
A PAC, a WPAD és a hitelesített proxyk nem támogatottak. Győződjön meg arról, hogy csak statikus proxyt vagy transzparens proxyt használ.
Az SSL-ellenőrzés és a proxyk elfogása szintén biztonsági okokból nem támogatott. Konfiguráljon egy kivételt az SSL-vizsgálathoz és a proxykiszolgálóhoz, hogy közvetlenül továbbíthassa az adatokat a Végponthoz készült Defenderből a Megfelelő URL-címekre elfogás nélkül. Az elfogási tanúsítvány globális tárolóhoz való hozzáadása nem teszi lehetővé az elfogást.
A hibaelhárítási lépésekért lásd: A Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása Linuxon.
Végponthoz készült Microsoft Defender frissítése Linuxon
A Microsoft rendszeresen tesz közzé szoftverfrissítéseket a teljesítmény, a biztonság és az új funkciók biztosítása érdekében. A Végponthoz készült Microsoft Defender linuxos frissítéséhez tekintse meg a Végponthoz készült Microsoft Defender frissítéseinek linuxos telepítésével kapcsolatos cikket.
Végponthoz készült Microsoft Defender konfigurálása Linuxon
A termék vállalati környezetekben való konfigurálásához a Végponthoz készült Microsoft Defender beállításainak megadása Linuxon című témakörben talál útmutatást.
A Végponthoz készült Microsoft Defender gyakori alkalmazásai hatással lehetnek a
Bizonyos alkalmazások magas I/O-terhelése teljesítményproblémákat tapasztalhat a Végponthoz készült Microsoft Defender telepítésekor. Ezek közé tartoznak az olyan fejlesztői forgatókönyvekhez készült alkalmazások, mint a Jenkins és a Jira, valamint az olyan adatbázis-számítási feladatok, mint az OracleDB és a Postgres. Ha teljesítménycsökkenést tapasztal, fontolja meg a megbízható alkalmazások kizárásának beállítását, szem előtt tartva a Microsoft Defender víruskereső gyakori kizárási hibáit . További útmutatásért tekintse meg a külső alkalmazásokból származó víruskeresők kizárásával kapcsolatos tanácsadási dokumentációt.
Források
- A naplózással, eltávolítással és egyéb cikkekkel kapcsolatos további információkért lásd: Erőforrások.
Kapcsolódó cikkek
- Végpontok védelme a Felhőhöz készült Defender integrált EDR-megoldásával: Végponthoz készült Microsoft Defender
- Nem Azure-beli gépek csatlakoztatása a Felhőhöz készült Microsoft Defenderhez
- Hálózati védelem bekapcsolása Linuxon
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: