Végponthoz készült Microsoft Defender Linuxon
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Ez a cikk ismerteti, hogyan telepítheti, konfigurálhatja, frissítheti és használhatja a Végponthoz készült Microsoft Defender Linux rendszeren.
Figyelem!
A linuxos Végponthoz készült Microsoft Defender mellett más, külső gyártótól származó végpontvédelmi termékek futtatása valószínűleg teljesítményproblémákhoz és kiszámíthatatlan mellékhatásokhoz vezet. Ha a nem Microsoft végpontvédelem abszolút követelmény a környezetben, akkor is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a víruskereső funkciót passzív módban való futtatásra.
A Végponthoz készült Microsoft Defender telepítése Linux rendszeren
A linuxos Végponthoz készült Microsoft Defender kártevőirtó és végpontészlelési és -reagálási (EDR) képességeket tartalmaz.
Előfeltételek
Hozzáférés a Microsoft Defender portálhoz
Linux-disztribúció a systemd system manager használatával
Megjegyzés:
Linux-disztribúció a System Managerrel, kivéve az RHEL/CentOS 6.x rendszert, amely a SystemV és az Upstart használatát is támogatja.
Kezdő szintű tapasztalat Linux és BASH-szkriptek használatában
Rendszergazdai jogosultságok az eszközön (manuális üzembe helyezéshez)
Megjegyzés:
Végponthoz készült Microsoft Defender Linux-ügynök független az OMS-ügynöktől. Végponthoz készült Microsoft Defender a saját független telemetriai folyamatára támaszkodik.
Telepítési utasítások
A linuxos Végponthoz készült Microsoft Defender telepítéséhez és konfigurálásához számos módszer és üzembe helyezési eszköz használható.
Általában a következő lépéseket kell elvégeznie:
- Győződjön meg arról, hogy rendelkezik Végponthoz készült Microsoft Defender előfizetéssel.
- Helyezze üzembe a Végponthoz készült Microsoft Defender Linux rendszeren az alábbi üzembehelyezési módszerek egyikével:
- A parancssori eszköz:
- Külső felügyeleti eszközök:
- Üzembe helyezés a Puppet konfigurációkezelő eszközével
-
Üzembe helyezés az Ansible konfigurációkezelő eszközével
- Üzembe helyezés a Chef konfigurációkezelő eszközével
- Üzembe helyezés a Saltstack konfigurációkezelő eszközével Ha bármilyen telepítési hibát tapasztal, tekintse meg a linuxos Végponthoz készült Microsoft Defender telepítési hibáinak elhárítását ismertető cikket.
Megjegyzés:
A Végponthoz készült Microsoft Defender az alapértelmezett telepítési útvonalon kívül más helyre nem telepíthető.
Végponthoz készült Microsoft Defender Linuxon véletlenszerű UID-vel és GID-vel rendelkező felhasználót mdatp
hoz létre. Ha szabályozni szeretné az UID-t és a GID-t, hozzon létre egy felhasználót mdatp
a telepítés előtt a /usr/sbin/nologin
rendszerhéj beállítással. Íme egy példa: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Rendszerkövetelmények
- Lemezterület: 2 GB
Megjegyzés:
További 2 GB lemezterületre lehet szükség, ha a felhődiagnosztika engedélyezve van az összeomlási gyűjteményekhez. Győződjön meg arról, hogy szabad lemezterület van a /var fájlban.
- Magok: 2 minimum, 4 előnyben részesített
Megjegyzés:
Ha passzív vagy RTP BE módban van, legalább 2 magot használ, és 4 magot előnyben részesít. Ha bekapcsolja a BM-et, legalább 4 mag szükséges.
Memória: legalább 1 GB, 4 előnyben részesített
A támogatott Linux-kiszolgálói disztribúciók, valamint az x64 (AMD64/EM64T) és x86_64 verziók listája:
Red Hat Enterprise Linux 6.7 vagy újabb (előzetes verzió)
Red Hat Enterprise Linux 7.2 vagy újabb
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 vagy újabb (előzetes verzió)
CentOS 7.2 vagy újabb
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Ubuntu 24.04 LTS
Debian 9 – 12
SUSE Linux Enterprise Server 12 vagy újabb
SUSE Linux Enterprise Server 15 vagy újabb
Oracle Linux 7.2 vagy újabb
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8.7 és újabb
Rocky 9.2 és újabb
Alma 8.4 és újabb verziók
Alma 9.2 és újabb
Mariner 2
Megjegyzés:
A kifejezetten nem felsorolt disztribúciók és verziók nem támogatottak (még akkor sem, ha a hivatalosan támogatott disztribúciókból származnak). Az RHEL 6 támogatása 2024. június 30-ig megszűnik az "élettartam meghosszabbítása" érdekében; A Végponthoz készült Defender linuxos támogatása az RHEL 6-hoz szintén 2024. június 30-ig megszűnik, a Végponthoz készült Defender Linux-verzióban
101.23082.0011
az RHEL 6.7-es vagy újabb verzióit támogató utolsó Végponthoz készült Defender kiadás (nem jár le 2024. június 30. előtt). Az ügyfeleknek azt javasoljuk, hogy tervezzék meg az RHEL 6-infrastruktúrára való frissítést a Red Hat útmutatásai alapján. Microsoft Defender Vulnerablity Management jelenleg nem támogatott a Rocky és alma.
A támogatott kernelverziók listája
Megjegyzés:
A Végponthoz készült Microsoft Defender a Red Hat Enterprise Linux és CentOS rendszeren – 6.7–6.10 egy kernelalapú megoldás. Az újabb kernelverzióra való frissítés előtt ellenőriznie kell, hogy a kernel verziója támogatott-e. Végponthoz készült Microsoft Defender az összes többi támogatott disztribúció és verzió esetében kernelverziófüggetlen. Minimális követelmény, hogy a kernel verziója 3.10.0-327-nél korábbi legyen.
A
fanotify
kernelbeállítást engedélyezni kellRed Hat Enterprise Linux 6 és CentOS 6:
- 6.7 esetén: 2.6.32-573.* (kivéve a 2.6.32-573.el6.x86_64)
- 6.8 esetén: 2.6.32-642.*
- 6.9 esetén: 2.6.32-696.* (kivéve a 2.6.32-696.el6.x86_64)
- 6.10 esetén:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Megjegyzés:
Az új csomagverzió kiadása után az előző két verzió támogatása csak technikai támogatásra csökken. Az ebben a szakaszban felsoroltnál régebbi verziók csak technikai frissítési támogatással érhetők el.
Figyelem!
A Végponthoz készült Defender linuxos futtatása más
fanotify
-alapú biztonsági megoldásokkal együtt nem támogatott. Kiszámíthatatlan eredményekhez vezethet, például az operációs rendszer lefagyott. Ha a rendszeren más alkalmazások is használnakfanotify
blokkolási módban, az alkalmazások aconflicting_applications
parancs kimeneténekmdatp health
mezőjében jelennek meg. A Linux FAPolicyD funkció blokkolási módban működikfanotify
, ezért nem támogatott a Végponthoz készült Defender aktív módban való futtatásakor. Továbbra is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a valós idejű védelem passzív módra engedélyezett víruskereső funkcióját.Az RTP, a Gyors, a Teljes és az Egyéni vizsgálat támogatott fájlrendszereinek listája.
RTP, gyors, teljes vizsgálat Egyéni vizsgálat btrfs Az RTP- és a gyorsvizsgálathoz támogatott összes fájlrendszer ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr biztosíték glustrefs fuseblk Afs jfs sshfs nfs (csak v3 esetén) cifs kis terítő Smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat, hogy engedélyezze a kimenő kapcsolatokat a szolgáltatás és a végpontok között.
A naplózási keretrendszert (
auditd
) engedélyezni kell.Megjegyzés:
A hozzáadott
/etc/audit/rules.d/
szabályok által rögzített rendszeresemények hozzá lesznek adva a(z) (k)hezaudit.log
, és hatással lehetnek a gazdagép naplózására és a felsőbb rétegbeli gyűjteményre. A linuxos Végponthoz készült Microsoft Defender által hozzáadott események kulcsokkal lesznek felcímkézvemdatp
.A /opt/microsoft/mdatp/sbin/wdavdaemon végrehajtható engedélyt igényel. További információ: "Győződjön meg arról, hogy a démon rendelkezik végrehajtható engedéllyel", a Linux Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása című témakörben.
Külső csomagfüggőség
Az mdatp-csomaghoz a következő külső csomagfüggőségek léteznek:
- Az mdatp RPM-csomaghoz ,
glibc >= 2.17
audit
, , ,semanage
selinux-policy-targeted
policycoreutils
mde-netfilter
- RHEL6 esetén az mdatp RPM-csomaghoz ,
audit
,policycoreutils
libselinux
mde-netfilter
- DEBIAN esetén az mdatp csomaghoz ,
libc6 >= 2.23
uuid-runtime
, ,auditd
mde-netfilter
Az mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:
- DEBIAN esetén az mde-netfilter csomag a következőt igényli
libnetfilter-queue1
: ,libglib2.0-0
- RPM esetén az mde-netfilter csomaghoz ,
libmnl
,libnfnetlink
,libnetfilter_queue
glib2
Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltételként szükséges függőségeket.
Kizárások konfigurálása
Amikor kizárásokat ad hozzá Microsoft Defender víruskeresőhöz, vegye figyelembe a Microsoft Defender víruskereső gyakori kizárási hibáit.
Hálózati kapcsolatok
Győződjön meg arról, hogy az eszközökről lehetséges a kapcsolat Végponthoz készült Microsoft Defender felhőszolgáltatásokhoz. A környezet előkészítéséhez tekintse meg az 1. LÉPÉST: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához.
A Végponthoz készült Defender Linuxon a következő felderítési módszerekkel csatlakozhat proxykiszolgálón keresztül:
- Transzparens proxy
- Manuális statikus proxykonfiguráció
Ha egy proxy vagy tűzfal blokkolja a névtelen forgalmat, győződjön meg arról, hogy a névtelen forgalom engedélyezve van a korábban felsorolt URL-címeken. Transzparens proxyk esetén nincs szükség további konfigurációra a Végponthoz készült Defenderhez. Statikus proxy esetén kövesse a Manuális statikus proxykonfiguráció című cikk lépéseit.
Figyelmeztetés
A PAC, a WPAD és a hitelesített proxyk nem támogatottak. Győződjön meg arról, hogy csak statikus proxyt vagy transzparens proxyt használ.
Az SSL-ellenőrzés és a proxyk elfogása szintén biztonsági okokból nem támogatott. Konfiguráljon egy kivételt az SSL-vizsgálathoz és a proxykiszolgálóhoz, hogy közvetlenül továbbíthassa az adatokat a Végponthoz készült Defenderből a Megfelelő URL-címekre elfogás nélkül. Az elfogási tanúsítvány globális tárolóhoz való hozzáadása nem teszi lehetővé az elfogást.
A hibaelhárítási lépésekért lásd: A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása.
Végponthoz készült Microsoft Defender frissítése Linuxon
A Microsoft rendszeresen tesz közzé szoftverfrissítéseket a teljesítmény, a biztonság és az új funkciók biztosítása érdekében. A linuxos Végponthoz készült Microsoft Defender frissítéséhez tekintse meg a Frissítések telepítése a linuxos Végponthoz készült Microsoft Defender-hez című cikket.
Végponthoz készült Microsoft Defender konfigurálása Linuxon
A termék vállalati környezetekben való konfigurálásával kapcsolatos útmutatást a Linuxon futó Végponthoz készült Microsoft Defender beállításainak megadása című témakörben talál.
A Végponthoz készült Microsoft Defender általános alkalmazásai hatással lehetnek
Bizonyos alkalmazások magas I/O-terhelése teljesítményproblémákat tapasztalhat Végponthoz készült Microsoft Defender telepítésekor. Ezek közé tartoznak az olyan fejlesztői forgatókönyvekhez készült alkalmazások, mint a Jenkins és a Jira, valamint az olyan adatbázis-számítási feladatok, mint az OracleDB és a Postgres. Ha teljesítménycsökkenést tapasztal, fontolja meg a megbízható alkalmazások kizárásának beállítását, és tartsa szem előtt a Microsoft Defender víruskereső gyakori kizárási hibáit. További útmutatásért tekintse meg a külső alkalmazásokból származó víruskeresők kizárásával kapcsolatos tanácsadási dokumentációt.
Források
- A naplózással, eltávolítással és egyéb cikkekkel kapcsolatos további információkért lásd: Erőforrások.
Kapcsolódó cikkek
- Végpontok védelme a Defender for Cloud integrált EDR-megoldásával: Végponthoz készült Microsoft Defender
- Nem Azure-beli gépek csatlakoztatása a Microsoft Defender for Cloudhoz
- Hálózati védelem bekapcsolása Linuxon
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.