Végponthoz készült Microsoft Defender Linuxon

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Ez a témakör azt ismerteti, hogyan telepítheti, konfigurálhatja, frissítheti és használhatja a Végponthoz készült Microsoft Defender Linux rendszeren.

Figyelem!

A linuxos Végponthoz készült Microsoft Defender mellett más, külső gyártótól származó végpontvédelmi termékek futtatása valószínűleg teljesítményproblémákhoz és kiszámíthatatlan mellékhatásokhoz vezet. Ha a nem Microsoft végpontvédelem abszolút követelmény a környezetben, akkor is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a víruskereső funkciót passzív módban való futtatásra.

A Végponthoz készült Microsoft Defender telepítése Linux rendszeren

A linuxos Végponthoz készült Microsoft Defender kártevőirtó és végpontészlelési és -reagálási (EDR) képességeket tartalmaz.

Előfeltételek

  • Hozzáférés a Microsoft Defender portálhoz

  • Linux-disztribúció a systemd system manager használatával

    Megjegyzés:

    Linux-disztribúció a System Managerrel, kivéve az RHEL/CentOS 6.x rendszert, amely a SystemV és az Upstart használatát is támogatja.

  • Kezdő szintű tapasztalat Linux és BASH-szkriptek használatában

  • Rendszergazdai jogosultságok az eszközön (manuális üzembe helyezés esetén)

Megjegyzés:

Végponthoz készült Microsoft Defender Linux-ügynök független az OMS-ügynöktől. Végponthoz készült Microsoft Defender a saját független telemetriai folyamatára támaszkodik.

Telepítési utasítások

A linuxos Végponthoz készült Microsoft Defender telepítéséhez és konfigurálásához számos módszer és üzembe helyezési eszköz használható.

Általában a következő lépéseket kell elvégeznie:

Megjegyzés:

A Végponthoz készült Microsoft Defender az alapértelmezett telepítési útvonalon kívül más helyre nem telepíthető.

Végponthoz készült Microsoft Defender Linuxon egy "mdatp" felhasználót hoz létre véletlenszerű UID-vel és GID-vel. Ha szabályozni szeretné az UID-t és a GID-t, a telepítés előtt hozzon létre egy "mdatp" felhasználót a "/usr/sbin/nologin" rendszerhéj beállítással. Például: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Rendszerkövetelmények

  • Támogatott Linux-kiszolgálói disztribúciók és x64 (AMD64/EM64T) és x86_64 verziók:

    • Red Hat Enterprise Linux 6.7 vagy újabb (előzetes verzió)

    • Red Hat Enterprise Linux 7.2 vagy újabb

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 vagy újabb (előzetes verzió)

    • CentOS 7.2 vagy újabb

    • Ubuntu 16.04 LTS vagy újabb LTS

    • Debian 9 – 12

    • SUSE Linux Enterprise Server 12 vagy újabb

    • Oracle Linux 7.2 vagy újabb

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 vagy újabb

    • Rocky 8.7 és újabb

    • Alma 8.4 és újabb verziók

    • Mariner 2

      Megjegyzés:

      A kifejezetten nem felsorolt disztribúciók és verziók nem támogatottak (még akkor sem, ha a hivatalosan támogatott disztribúciókból származnak). Az RHEL 6 támogatása 2024. június 30-ig megszűnik az "élettartam meghosszabbítása" érdekében; Az RHEL 6 MDE Linux-támogatása is megszűnik 2024. június 30-ig. Az MDE Linux 101.23082.0011-es verziója az RHEL 6.7-es vagy újabb verzióit támogató utolsó MDE Linux-kiadás (nem jár le 2024. június 30. előtt). Az ügyfeleknek azt javasoljuk, hogy tervezzék meg az RHEL 6-infrastruktúrára való frissítést a Red Hat útmutatásai alapján.

  • A támogatott kernelverziók listája

    Megjegyzés:

    A Végponthoz készült Microsoft Defender a Red Hat Enterprise Linux és CentOS rendszeren – 6.7–6.10 egy kernelalapú megoldás. Az újabb kernelverzióra való frissítés előtt ellenőriznie kell, hogy a kernel verziója támogatott-e. Végponthoz készült Microsoft Defender az összes többi támogatott disztribúció és verzió esetében kernelverziófüggetlen. Minimális követelmény, hogy a kernel verziója 3.10.0-327-nél korábbi legyen.

    • A fanotify kernelbeállítást engedélyezni kell
    • Red Hat Enterprise Linux 6 és CentOS 6:
      • 6.7 esetén: 2.6.32-573.* (kivéve a 2.6.32-573.el6.x86_64)
      • 6.8 esetén: 2.6.32-642.*
      • 6.9 esetén: 2.6.32-696.* (kivéve a 2.6.32-696.el6.x86_64)
      • 6.10 esetén:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Megjegyzés:

    Az új csomagverzió kiadása után az előző két verzió támogatása csak technikai támogatásra csökken. Az ebben a szakaszban felsoroltnál régebbi verziók csak technikai frissítési támogatással érhetők el.

    Figyelem!

    A Végponthoz készült Defender linuxos futtatása más fanotify-alapú biztonsági megoldásokkal együtt nem támogatott. Kiszámíthatatlan eredményekhez vezethet, például az operációs rendszer lefagyott. Ha a rendszeren más alkalmazások is használnak fanotify blokkolási módban, az alkalmazások a conflicting_applications parancs kimenetének mdatp health mezőjében jelennek meg. A Linux FAPolicyD funkció blokkolási módban működik fanotify , ezért nem támogatott a Végponthoz készült Defender aktív módban való futtatásakor. Továbbra is biztonságosan kihasználhatja a Végponthoz készült Defendert Linux EDR-en, miután konfigurálta a valós idejű védelem passzív módra engedélyezett víruskereső funkcióját.

  • Lemezterület: 2 GB

    Megjegyzés:

    További 2 GB lemezterületre lehet szükség, ha a felhődiagnosztika engedélyezve van az összeomlási gyűjteményekhez.

  • A /opt/microsoft/mdatp/sbin/wdavdaemon végrehajtható engedélyt igényel. További információ: "Győződjön meg arról, hogy a démon rendelkezik végrehajtható engedéllyel", a Linux Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása című témakörben.

  • Magok: 2 minimum, 4 előnyben részesített

  • Memória: legalább 1 GB, 4 előnyben részesített

    Megjegyzés:

    Győződjön meg arról, hogy szabad lemezterület van a /var fájlban.

  • Az RTP, a Gyors, a Teljes és az Egyéni vizsgálat támogatott fájlrendszereinek listája.

    RTP, gyors, teljes vizsgálat Egyéni vizsgálat
    Btrfs Az RTP- és a gyorsvizsgálathoz támogatott összes fájlrendszer
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    Biztosíték glustrefs
    fuseblk Afs
    jfs Sshfs
    nfs (csak v3 esetén) Cifs
    Overlay Smb
    ramfs gcsfuse
    Reiserfs sysfs
    tmpfs
    Udf
    vfat
    Xfs

A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat, hogy engedélyezze a kimenő kapcsolatokat a szolgáltatás és a végpontok között.

  • A naplózási keretrendszert (auditd) engedélyezni kell.

    Megjegyzés:

    A hozzáadott /etc/audit/rules.d/ szabályok által rögzített rendszeresemények hozzá lesznek adva a(z) (k)hez audit.log, és hatással lehetnek a gazdagép naplózására és a felsőbb rétegbeli gyűjteményre. A linuxos Végponthoz készült Microsoft Defender által hozzáadott események kulcsokkal lesznek felcímkézvemdatp.

Külső csomagfüggőség

Az mdatp-csomaghoz a következő külső csomagfüggőségek léteznek:

  • Az mdatp RPM-csomaghoz "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter" szükséges.
  • RHEL6 esetén az mdatp RPM-csomaghoz "audit", "policycoreutils", "libselinux", "mde-netfilter" szükséges
  • DEBIAN esetén az mdatp csomaghoz "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter" szükséges

Az mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:

  • DEBIAN esetén az mde-netfilter csomaghoz "libnetfilter-queue1", "libglib2.0-0" szükséges
  • RPM esetén az mde-netfilter csomaghoz "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2" szükséges

Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltételként szükséges függőségeket.

Kizárások konfigurálása

Amikor kizárásokat ad hozzá Microsoft Defender víruskeresőhöz, vegye figyelembe a Microsoft Defender víruskereső gyakori kizárási hibáit.

Hálózati kapcsolatok

Az alábbi letölthető táblázat felsorolja azokat a szolgáltatásokat és a hozzájuk tartozó URL-címeket, amelyekhez a hálózatnak csatlakoznia kell. Győződjön meg arról, hogy nincsenek olyan tűzfal- vagy hálózatszűrési szabályok, amelyek megtagadnák a hozzáférést ezekhez az URL-címekhez. Ha vannak ilyenek, előfordulhat, hogy kifejezetten hozzájuk kell létrehoznia egy engedélyezési szabályt.

Tartománylista táblázata Leírás
Végponthoz készült Microsoft Defender kereskedelmi ügyfelek URL-listájának A szolgáltatáshelyek, földrajzi helyek és operációs rendszer meghatározott DNS-rekordjainak táblázata a kereskedelmi ügyfelek számára.

Töltse le a számolótáblát itt.
A Gov/GCC/DoD URL-listájának Végponthoz készült Microsoft Defender A gov/GCC/DoD-ügyfelek számára a szolgáltatáshelyek, a földrajzi helyek és az operációs rendszer meghatározott DNS-rekordjainak táblázata.

Töltse le a számolótáblát itt.

Megjegyzés:

Pontosabb URL-címlistáért lásd: Proxy- és internetkapcsolat beállításainak konfigurálása.

A Végponthoz készült Defender a következő felderítési módszerekkel képes felderíteni a proxykiszolgálót:

  • Transzparens proxy
  • Manuális statikus proxykonfiguráció

Ha egy proxy vagy tűzfal blokkolja a névtelen forgalmat, győződjön meg arról, hogy a névtelen forgalom engedélyezve van a korábban felsorolt URL-címeken. Transzparens proxyk esetén nincs szükség további konfigurációra a Végponthoz készült Defenderhez. Statikus proxy esetén kövesse a Manuális statikus proxykonfiguráció című cikk lépéseit.

Figyelmeztetés

A PAC, a WPAD és a hitelesített proxyk nem támogatottak. Győződjön meg arról, hogy csak statikus proxyt vagy transzparens proxyt használ.

Az SSL-ellenőrzés és a proxyk elfogása szintén biztonsági okokból nem támogatott. Konfiguráljon egy kivételt az SSL-vizsgálathoz és a proxykiszolgálóhoz, hogy közvetlenül továbbíthassa az adatokat a Végponthoz készült Defenderből a Megfelelő URL-címekre elfogás nélkül. Az elfogási tanúsítvány globális tárolóhoz való hozzáadása nem teszi lehetővé az elfogást.

A hibaelhárítási lépésekért lásd: A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása.

Végponthoz készült Microsoft Defender frissítése Linuxon

A Microsoft rendszeresen tesz közzé szoftverfrissítéseket a teljesítmény, a biztonság és az új funkciók biztosítása érdekében. A linuxos Végponthoz készült Microsoft Defender frissítéséhez tekintse meg a Frissítések telepítése a linuxos Végponthoz készült Microsoft Defender-hez című cikket.

Végponthoz készült Microsoft Defender konfigurálása Linuxon

A termék vállalati környezetekben való konfigurálásával kapcsolatos útmutatást a Linuxon futó Végponthoz készült Microsoft Defender beállításainak megadása című témakörben talál.

A Végponthoz készült Microsoft Defender általános alkalmazásai hatással lehetnek

Bizonyos alkalmazások magas I/O-terhelése teljesítményproblémákat tapasztalhat Végponthoz készült Microsoft Defender telepítésekor. Ezek közé tartoznak az olyan fejlesztői forgatókönyvekhez készült alkalmazások, mint a Jenkins és a Jira, valamint az olyan adatbázis-számítási feladatok, mint az OracleDB és a Postgres. Ha teljesítménycsökkenést tapasztal, fontolja meg a megbízható alkalmazások kizárásának beállítását, és tartsa szem előtt a Microsoft Defender víruskereső gyakori kizárási hibáit. További útmutatásért tekintse meg a külső alkalmazásokból származó víruskeresők kizárásával kapcsolatos tanácsadási dokumentációt.

Források

  • A naplózással, eltávolítással vagy más témakörökkal kapcsolatos további információkért lásd: Erőforrások.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.