Végponthoz készült Microsoft Defender Linuxon
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk ismerteti, hogyan telepítheti, konfigurálhatja, frissítheti és használhatja a Végponthoz készült Microsoft Defender Linux rendszeren.
Figyelem!
A linuxos Végponthoz készült Microsoft Defender mellett más, külső gyártótól származó végpontvédelmi termékek futtatása valószínűleg teljesítményproblémákhoz és kiszámíthatatlan mellékhatásokhoz vezet. Ha a nem Microsoft végpontvédelem abszolút követelmény a környezetben, akkor is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a víruskereső funkciót passzív módban való futtatásra.
A Végponthoz készült Microsoft Defender telepítése Linux rendszeren
A linuxos Végponthoz készült Microsoft Defender kártevőirtó és végpontészlelési és -reagálási (EDR) képességeket tartalmaz.
Előfeltételek
Hozzáférés a Microsoft Defender portálhoz
Linux-disztribúció a systemd system manager használatával
Megjegyzés:
Linux-disztribúció a System Managerrel, kivéve az RHEL/CentOS 6.x rendszert, amely a SystemV és az Upstart használatát is támogatja.
Kezdő szintű tapasztalat Linux és BASH-szkriptek használatában
Rendszergazdai jogosultságok az eszközön (manuális üzembe helyezés esetén)
Megjegyzés:
Végponthoz készült Microsoft Defender Linux-ügynök független az OMS-ügynöktől. Végponthoz készült Microsoft Defender a saját független telemetriai folyamatára támaszkodik.
Telepítési utasítások
A linuxos Végponthoz készült Microsoft Defender telepítéséhez és konfigurálásához számos módszer és üzembe helyezési eszköz használható.
Általában a következő lépéseket kell elvégeznie:
- Győződjön meg arról, hogy rendelkezik Végponthoz készült Microsoft Defender előfizetéssel.
- Helyezze üzembe a Végponthoz készült Microsoft Defender Linux rendszeren az alábbi üzembehelyezési módszerek egyikével:
- A parancssori eszköz:
- Külső felügyeleti eszközök:
- Üzembe helyezés a Puppet konfigurációkezelő eszközével
- Üzembe helyezés az Ansible konfigurációkezelő eszközével
- Üzembe helyezés a Chef konfigurációkezelő eszközével
- Üzembe helyezés a Saltstack konfigurációkezelő eszközével Ha bármilyen telepítési hibát tapasztal, tekintse meg a linuxos Végponthoz készült Microsoft Defender telepítési hibáinak elhárítását ismertető cikket.
Megjegyzés:
A Végponthoz készült Microsoft Defender az alapértelmezett telepítési útvonalon kívül más helyre nem telepíthető.
Végponthoz készült Microsoft Defender Linuxon egy "mdatp" felhasználót hoz létre véletlenszerű UID-vel és GID-vel. Ha szabályozni szeretné az UID-t és a GID-t, a telepítés előtt hozzon létre egy "mdatp" felhasználót a "/usr/sbin/nologin" rendszerhéj beállítással.
Például: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Rendszerkövetelmények
Támogatott Linux-kiszolgálói disztribúciók és x64 (AMD64/EM64T) és x86_64 verziók:
Red Hat Enterprise Linux 6.7 vagy újabb (előzetes verzió)
Red Hat Enterprise Linux 7.2 vagy újabb
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 vagy újabb (előzetes verzió)
CentOS 7.2 vagy újabb
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 – 12
SUSE Linux Enterprise Server 12 vagy újabb
SUSE Linux Enterprise Server 15 vagy újabb
Oracle Linux 7.2 vagy újabb
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 vagy újabb
Rocky 8.7 és újabb
Alma 8.4 és újabb verziók
Mariner 2
Megjegyzés:
A kifejezetten nem felsorolt disztribúciók és verziók nem támogatottak (még akkor sem, ha a hivatalosan támogatott disztribúciókból származnak). Az RHEL 6 támogatása 2024. június 30-ig megszűnik az "élettartam meghosszabbítása" érdekében; MDE RHEL 6 Linux-támogatása 2024. június 30-án megszűnik, MDE Linux 101.23082.0011-es verziója az RHEL 6.7-es vagy újabb verzióit támogató utolsó MDE Linux-kiadás (nem jár le 2024. június 30. előtt). Az ügyfeleknek azt javasoljuk, hogy tervezzék meg az RHEL 6-infrastruktúrára való frissítést a Red Hat útmutatásai alapján.
A támogatott kernelverziók listája
Megjegyzés:
A Végponthoz készült Microsoft Defender a Red Hat Enterprise Linux és CentOS rendszeren – 6.7–6.10 egy kernelalapú megoldás. Az újabb kernelverzióra való frissítés előtt ellenőriznie kell, hogy a kernel verziója támogatott-e. Végponthoz készült Microsoft Defender az összes többi támogatott disztribúció és verzió esetében kernelverziófüggetlen. Minimális követelmény, hogy a kernel verziója 3.10.0-327-nél korábbi legyen.
- A
fanotify
kernelbeállítást engedélyezni kell - Red Hat Enterprise Linux 6 és CentOS 6:
- 6.7 esetén: 2.6.32-573.* (kivéve a 2.6.32-573.el6.x86_64)
- 6.8 esetén: 2.6.32-642.*
- 6.9 esetén: 2.6.32-696.* (kivéve a 2.6.32-696.el6.x86_64)
- 6.10 esetén:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Megjegyzés:
Az új csomagverzió kiadása után az előző két verzió támogatása csak technikai támogatásra csökken. Az ebben a szakaszban felsoroltnál régebbi verziók csak technikai frissítési támogatással érhetők el.
Figyelem!
A Végponthoz készült Defender linuxos futtatása más
fanotify
-alapú biztonsági megoldásokkal együtt nem támogatott. Kiszámíthatatlan eredményekhez vezethet, például az operációs rendszer lefagyott. Ha a rendszeren más alkalmazások is használnakfanotify
blokkolási módban, az alkalmazások aconflicting_applications
parancs kimeneténekmdatp health
mezőjében jelennek meg. A Linux FAPolicyD funkció blokkolási módban működikfanotify
, ezért nem támogatott a Végponthoz készült Defender aktív módban való futtatásakor. Továbbra is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a valós idejű védelem passzív módra engedélyezett víruskereső funkcióját.- A
Lemezterület: 2 GB
Megjegyzés:
További 2 GB lemezterületre lehet szükség, ha a felhődiagnosztika engedélyezve van az összeomlási gyűjteményekhez.
A /opt/microsoft/mdatp/sbin/wdavdaemon végrehajtható engedélyt igényel. További információ: "Győződjön meg arról, hogy a démon rendelkezik végrehajtható engedéllyel", a Linux Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása című témakörben.
Magok: 2 minimum, 4 előnyben részesített
Memória: legalább 1 GB, 4 előnyben részesített
Megjegyzés:
Győződjön meg arról, hogy szabad lemezterület van a /var fájlban.
Az RTP, a Gyors, a Teljes és az Egyéni vizsgálat támogatott fájlrendszereinek listája.
RTP, gyors, teljes vizsgálat Egyéni vizsgálat Btrfs Az RTP- és a gyorsvizsgálathoz támogatott összes fájlrendszer ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Biztosíték glustrefs fuseblk Afs jfs Sshfs nfs (csak v3 esetén) Cifs Overlay Smb ramfs gcsfuse Reiserfs sysfs tmpfs Udf vfat Xfs
A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat, hogy engedélyezze a kimenő kapcsolatokat a szolgáltatás és a végpontok között.
A naplózási keretrendszert (
auditd
) engedélyezni kell.Megjegyzés:
A hozzáadott
/etc/audit/rules.d/
szabályok által rögzített rendszeresemények hozzá lesznek adva a(z) (k)hezaudit.log
, és hatással lehetnek a gazdagép naplózására és a felsőbb rétegbeli gyűjteményre. A linuxos Végponthoz készült Microsoft Defender által hozzáadott események kulcsokkal lesznek felcímkézvemdatp
.
Külső csomagfüggőség
Az mdatp-csomaghoz a következő külső csomagfüggőségek léteznek:
- Az mdatp RPM-csomaghoz "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter" szükséges.
- RHEL6 esetén az mdatp RPM-csomaghoz "audit", "policycoreutils", "libselinux", "mde-netfilter" szükséges
- DEBIAN esetén az mdatp csomaghoz "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter" szükséges
Az mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:
- DEBIAN esetén az mde-netfilter csomaghoz "libnetfilter-queue1", "libglib2.0-0" szükséges
- RPM esetén az mde-netfilter csomaghoz "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2" szükséges
Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltételként szükséges függőségeket.
Kizárások konfigurálása
Amikor kizárásokat ad hozzá Microsoft Defender víruskeresőhöz, vegye figyelembe a Microsoft Defender víruskereső gyakori kizárási hibáit.
Hálózati kapcsolatok
Győződjön meg arról, hogy az eszközökről lehetséges a kapcsolat Végponthoz készült Microsoft Defender felhőszolgáltatásokhoz. A környezet előkészítéséhez tekintse meg az 1. LÉPÉST: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
A Végponthoz készült Defender Linuxon a következő felderítési módszerekkel csatlakozhat proxykiszolgálón keresztül:
- Transzparens proxy
- Manuális statikus proxykonfiguráció
Ha egy proxy vagy tűzfal blokkolja a névtelen forgalmat, győződjön meg arról, hogy a névtelen forgalom engedélyezve van a korábban felsorolt URL-címeken. Transzparens proxyk esetén nincs szükség további konfigurációra a Végponthoz készült Defenderhez. Statikus proxy esetén kövesse a Manuális statikus proxykonfiguráció című cikk lépéseit.
Figyelmeztetés
A PAC, a WPAD és a hitelesített proxyk nem támogatottak. Győződjön meg arról, hogy csak statikus proxyt vagy transzparens proxyt használ.
Az SSL-ellenőrzés és a proxyk elfogása szintén biztonsági okokból nem támogatott. Konfiguráljon egy kivételt az SSL-vizsgálathoz és a proxykiszolgálóhoz, hogy közvetlenül továbbíthassa az adatokat a Végponthoz készült Defenderből a Megfelelő URL-címekre elfogás nélkül. Az elfogási tanúsítvány globális tárolóhoz való hozzáadása nem teszi lehetővé az elfogást.
A hibaelhárítási lépésekért lásd: A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása.
Végponthoz készült Microsoft Defender frissítése Linuxon
A Microsoft rendszeresen tesz közzé szoftverfrissítéseket a teljesítmény, a biztonság és az új funkciók biztosítása érdekében. A linuxos Végponthoz készült Microsoft Defender frissítéséhez tekintse meg a Frissítések telepítése a linuxos Végponthoz készült Microsoft Defender-hez című cikket.
Végponthoz készült Microsoft Defender konfigurálása Linuxon
A termék vállalati környezetekben való konfigurálásával kapcsolatos útmutatást a Linuxon futó Végponthoz készült Microsoft Defender beállításainak megadása című témakörben talál.
A Végponthoz készült Microsoft Defender általános alkalmazásai hatással lehetnek
Bizonyos alkalmazások magas I/O-terhelése teljesítményproblémákat tapasztalhat Végponthoz készült Microsoft Defender telepítésekor. Ezek közé tartoznak az olyan fejlesztői forgatókönyvekhez készült alkalmazások, mint a Jenkins és a Jira, valamint az olyan adatbázis-számítási feladatok, mint az OracleDB és a Postgres. Ha teljesítménycsökkenést tapasztal, fontolja meg a megbízható alkalmazások kizárásának beállítását, és tartsa szem előtt a Microsoft Defender víruskereső gyakori kizárási hibáit. További útmutatásért tekintse meg a külső alkalmazásokból származó víruskeresők kizárásával kapcsolatos tanácsadási dokumentációt.
Források
- A naplózással, eltávolítással és egyéb cikkekkel kapcsolatos további információkért lásd: Erőforrások.
Kapcsolódó cikkek
- Végpontok védelme a Defender for Cloud integrált EDR-megoldásával: Végponthoz készült Microsoft Defender
- Nem Azure-beli gépek csatlakoztatása a Microsoft Defender for Cloudhoz
- Hálózati védelem bekapcsolása Linuxon
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: