Végponthoz készült Microsoft Defender Linuxon

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk ismerteti, hogyan telepítheti, konfigurálhatja, frissítheti és használhatja a Végponthoz készült Microsoft Defender Linux rendszeren.

Figyelem!

A linuxos Végponthoz készült Microsoft Defender mellett más, nem Microsoft végpontvédelmi termékek futtatása valószínűleg teljesítményproblémákhoz és kiszámíthatatlan mellékhatásokhoz vezet. Ha a környezetben abszolút követelmény a nem Microsoft-végpontvédelem, akkor is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a víruskereső funkciót passzív módban való futtatásra.

A Végponthoz készült Microsoft Defender telepítése Linux rendszeren

A linuxos Végponthoz készült Microsoft Defender kártevőirtó és végpontészlelési és -reagálási (EDR) képességeket tartalmaz.

Előfeltételek

• Hozzáférés a Microsoft Defender portálhoz

• Linux-disztribúció a systemd system managerhasználatával

  Megjegyzés:

  A System Managert használó Linux-disztribúció a SystemV és az Upstart használatát is támogatja.

• Kezdő szintű tapasztalat Linux és BASH-szkriptek használatában

• Rendszergazdai jogosultságok az eszközön (manuális üzembe helyezéshez)

Megjegyzés:

Végponthoz készült Microsoft Defender Linux-ügynök független az OMS-ügynöktől. Végponthoz készült Microsoft Defender a saját független telemetriai folyamatára támaszkodik.

Telepítési utasítások

A linuxos Végponthoz készült Microsoft Defender telepítéséhez és konfigurálásához számos módszer és üzembe helyezési eszköz használható. Mielőtt hozzákezdene, győződjön meg arról, hogy a Végponthoz készült Microsoft Defender minimális követelményei teljesülnek.

Az alábbi módszerek egyikével helyezheti üzembe a Végponthoz készült Microsoft Defender Linux rendszeren:

• A parancssori eszköz használatához lásd: Manuális üzembe helyezés
• A Puppet használatához lásd: Üzembe helyezés a Puppet konfigurációkezelő eszközével
• Az Ansible használatához lásd: Üzembe helyezés az Ansible konfigurációkezelő eszközével
• A Chef használatához lásd: Üzembe helyezés a Chef konfigurációkezelő eszközével
• A Saltstack használatához lásd: Üzembe helyezés a Saltstack konfigurációkezelő eszközével

Ha bármilyen telepítési hibát tapasztal, tekintse meg a linuxos Végponthoz készült Microsoft Defender telepítési hibáinak elhárítását ismertető cikket.

Fontos

A Végponthoz készült Microsoft Defender telepítése az alapértelmezett telepítési útvonaltól eltérő helyre nem támogatott. Végponthoz készült Microsoft Defender Linuxon véletlenszerű UID-vel és GID-vel rendelkező felhasználót mdatp hoz létre. Ha szabályozni szeretné az UID-t és a GID-t, hozzon létre egy felhasználót mdatp a telepítés előtt a /usr/sbin/nologin rendszerhéj beállítással. Íme egy példa: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Rendszerkövetelmények

• Lemezterület: 2 GB

  Megjegyzés:

  További 2 GB lemezterületre lehet szükség, ha a felhődiagnosztika engedélyezve van az összeomlási gyűjteményekhez. Győződjön meg arról, hogy szabad lemezterület van a /var fájlban.

• Magok: Két minimális, négy előnyben részesített

  Megjegyzés:

  Ha passzív vagy RTP BE módban van, legalább két mag szükséges. Négy magot előnyben részesítünk. Ha bekapcsolja a BM-et, legalább négy mag szükséges.

• Memória: legalább 1 GB, előnyben részesített 4 GB

• A következő Linux-kiszolgálói disztribúciók és az x64 (AMD64/EM64T) és x86_64 verziók támogatottak:

  • Red Hat Enterprise Linux 7.2 vagy újabb
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 vagy újabb
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 – 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 vagy újabb
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 és újabb
  • Rocky 9.2 és újabb
  • Alma 8.4 és újabb verziók
  • Alma 9.2 és újabb
  • Mariner 2

  Megjegyzés:

  A kifejezetten nem felsorolt disztribúciók és verziók nem támogatottak (még akkor sem, ha a hivatalosan támogatott disztribúciókból származnak). Az új csomagverzió kiadása után az előző két verzió támogatása csak technikai támogatásra csökken. Az ebben a szakaszban felsoroltnál régebbi verziók csak technikai frissítési támogatással érhetők el. Microsoft Defender Vulnerablity Management jelenleg nem támogatott a Rocky és alma. Végponthoz készült Microsoft Defender az összes többi támogatott disztribúció és verzió esetében kernelverziófüggetlen. Minimális követelmény, hogy a kernel verziója 3.10.0-327-nél korábbi legyen.

  Figyelem!

  A Végponthoz készült Defender linuxos futtatása más fanotify-alapú biztonsági megoldásokkal együtt nem támogatott. Kiszámíthatatlan eredményekhez vezethet, például az operációs rendszer lefagyott. Ha a rendszeren más alkalmazások is használnak fanotify blokkolási módban, az alkalmazások a conflicting_applications parancs kimenetének mdatp health mezőjében jelennek meg. A Linux FAPolicyD funkció blokkolási módban működik fanotify , ezért nem támogatott a Végponthoz készült Defender aktív módban való futtatásakor. Továbbra is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a valós idejű védelem passzív módra engedélyezett víruskereső funkcióját.

• Az RTP, a Gyors, a Teljes és az Egyéni vizsgálat támogatott fájlrendszereinek listája.

  RTP, gyors, teljes vizsgálat	Egyéni vizsgálat
  btrfs	Az RTP- és a gyorsvizsgálathoz támogatott összes fájlrendszer
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  fuse	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (csak v3)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

• A naplózási keretrendszert (auditd) engedélyezni kell, ha a naplózást elsődleges eseményszolgáltatóként használja.

  Megjegyzés:

  A hozzáadott /etc/audit/rules.d/ szabályok által rögzített rendszeresemények hozzá lesznek adva a(z) (k)hez audit.log, és hatással lehetnek a gazdagép naplózására és a felsőbb rétegbeli gyűjteményre. A linuxos Végponthoz készült Microsoft Defender által hozzáadott események kulcsokkal lesznek felcímkézvemdatp.

• A /opt/microsoft/mdatp/sbin/wdavdaemon végrehajtható engedélyt igényel. További információ: "Győződjön meg arról, hogy a démon rendelkezik végrehajtható engedéllyel", a Linux Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása című témakörben.

Külső csomagfüggőség

Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltétel-függőségeket. Az mdatp-csomaghoz a következő külső csomagfüggőségek léteznek:

• Az mdatp RPM-csomaghoz , audit, , policycoreutilsselinux-policy-targetedsemanageés szükséges glibc >= 2.17mde-netfilter
• RHEL6 esetén az mdatp RPM-csomaghoz audit, policycoreutils, és libselinuxszükséges mde-netfilter
• DEBIAN esetén az mdatp csomaghoz libc6 >= 2.23, uuid-runtime, auditdés szükséges mde-netfilter

Az mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:

• DEBIAN esetén az mde-netfilter csomaghoz a és a szükséges libnetfilter-queue1libglib2.0-0
• RPM esetén az mde-netfilter csomaghoz , libmnllibnfnetlink, és libnetfilter_queueszükségesglib2

Kizárások konfigurálása

Amikor kizárásokat ad hozzá Microsoft Defender víruskeresőhöz, vegye figyelembe a Microsoft Defender víruskereső gyakori kizárási hibáit.

Hálózati kapcsolatok

Győződjön meg arról, hogy az eszközökről lehetséges a kapcsolat Végponthoz készült Microsoft Defender felhőszolgáltatásokhoz. A környezet előkészítéséhez lásd: 1. LÉPÉS: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.

A Végponthoz készült Defender Linuxon a következő felderítési módszerekkel csatlakozhat proxykiszolgálón keresztül:

• Transzparens proxy
• Manuális statikus proxykonfiguráció

Ha egy proxy vagy tűzfal blokkolja a névtelen forgalmat, győződjön meg arról, hogy a névtelen forgalom engedélyezve van a korábban felsorolt URL-címeken. Transzparens proxyk esetén nincs szükség másik konfigurációra a Végponthoz készült Defenderhez. Statikus proxy esetén kövesse a Manuális statikus proxykonfiguráció című cikk lépéseit.

Figyelmeztetés

A PAC, a WPAD és a hitelesített proxyk nem támogatottak. Győződjön meg arról, hogy csak statikus proxyt vagy transzparens proxyt használ. Az SSL-ellenőrzés és a proxyk elfogása szintén biztonsági okokból nem támogatott. Konfiguráljon egy kivételt az SSL-vizsgálathoz és a proxykiszolgálóhoz, hogy közvetlenül továbbíthassa az adatokat a Végponthoz készült Defenderből a Megfelelő URL-címekre elfogás nélkül. Az elfogási tanúsítvány globális tárolóhoz való hozzáadása nem teszi lehetővé az elfogást.

A hibaelhárítási lépésekért lásd: A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása.

Végponthoz készült Microsoft Defender frissítése Linuxon

A Microsoft rendszeresen tesz közzé szoftverfrissítéseket a teljesítmény, a biztonság és az új funkciók biztosítása érdekében. A linuxos Végponthoz készült Microsoft Defender frissítéséhez tekintse meg a Frissítések telepítése a linuxos Végponthoz készült Microsoft Defender-hez című cikket.

Végponthoz készült Microsoft Defender konfigurálása Linuxon

A termék vállalati környezetekben való konfigurálásával kapcsolatos útmutatást a Linuxon futó Végponthoz készült Microsoft Defender beállításainak megadása című témakörben talál.

A Végponthoz készült Microsoft Defender általános alkalmazásai hatással lehetnek

Bizonyos alkalmazások magas I/O-terhelése teljesítményproblémákat tapasztalhat Végponthoz készült Microsoft Defender telepítésekor. A fejlesztői forgatókönyvekhez hasonló alkalmazások például a Jenkins és a Jira, valamint az olyan adatbázis-számítási feladatok, mint az OracleDB és a Postgres. Ha teljesítménycsökkenést tapasztal, fontolja meg a megbízható alkalmazások kizárásának beállítását, és tartsa szem előtt a Microsoft Defender víruskereső gyakori kizárási hibáit. További útmutatásért tekintse meg a nem Microsoft-alkalmazásokból származó víruskeresők kizárásával kapcsolatos tanácsadási dokumentációt.

Források

• A naplózással, eltávolítással és egyéb cikkekkel kapcsolatos további információkért lásd: Erőforrások.

Kapcsolódó cikkek

• Végpontok védelme a Defender for Cloud integrált EDR-megoldásával: Végponthoz készült Microsoft Defender
• Nem Azure-beli gépek csatlakoztatása a Microsoft Defender for Cloudhoz
• Hálózati védelem bekapcsolása Linuxon

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.