Linee guida avanzate per la distribuzione per Microsoft Defender per endpoint in Linux

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2

Questo articolo fornisce indicazioni avanzate sulla distribuzione per Microsoft Defender per endpoint in Linux. Viene visualizzato un breve riepilogo dei passaggi di distribuzione, vengono fornite informazioni sui requisiti di sistema e quindi vengono illustrati i passaggi di distribuzione effettivi. Si apprenderà anche come verificare che il dispositivo sia stato caricato correttamente.

Per informazioni sulle funzionalità di Microsoft Defender per endpoint, vedere Funzionalità avanzate Microsoft Defender per endpoint.

Per altre informazioni su altri modi per distribuire Microsoft Defender per endpoint in Linux, vedere:

• Distribuzione manuale
• Distribuzione basata su puppet
• Distribuzione basata su ansible
• Distribuire Defender per Endpoint su Linux con Chef

Riepilogo della distribuzione

Informazioni sulle linee guida generali su una distribuzione tipica Microsoft Defender per endpoint in Linux. L'applicabilità di alcuni passaggi è determinata dai requisiti dell'ambiente Linux.

1. Preparare l'ambiente di rete.

2. Acquisire i dati sulle prestazioni dall'endpoint.

   Nota

   Valutare la possibilità di eseguire gli elementi facoltativi seguenti, anche se non sono Microsoft Defender per endpoint specifici, tendono a migliorare le prestazioni nei sistemi Linux.

3. (Facoltativo) Verificare la presenza di errori del file system 'fsck' (simile a chkdsk).

4. (Facoltativo) Aggiornare i driver del sottosistema di archiviazione.

5. (Facoltativo) Aggiornare i driver della scheda di interfaccia di rete.

6. Verificare che i requisiti di sistema e le raccomandazioni per le risorse siano soddisfatti.

7. Aggiungere la soluzione esistente all'elenco di esclusione per Microsoft Defender Antivirus.

8. Esaminare i punti importanti sulle esclusioni.

9. Create device Gruppi.

10. Configurare Microsoft Defender per endpoint nelle impostazioni antimalware Linux.

11. Scaricare il pacchetto di onboarding Microsoft Defender per endpoint in Linux dal portale di Microsoft Defender.

12. Usare Ansible, Puppet o Chef per gestire Microsoft Defender per endpoint in Linux.

13. Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

14. Controllare le statistiche sull'utilizzo delle risorse e segnalare l'utilizzo della pre-distribuzione rispetto alla post-distribuzione.

15. Verificare la comunicazione con Microsoft Defender per endpoint back-end.

16. Analizzare i problemi di integrità dell'agente.

17. Verificare di essere in grado di ottenere "Platform Aggiornamenti" (aggiornamenti dell'agente).

18. Verificare di essere in grado di ottenere "Security Intelligence Aggiornamenti" (firme/aggiornamenti delle definizioni).

19. Rilevamenti di test.

20. Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux.

21. Risoluzione dei problemi relativi all'utilizzo elevato della CPU da parte di ISV, app Linux o script.

22. Disinstallare la soluzione non Microsoft.

1. Preparare l'ambiente di rete

Aggiungere gli URL e/o gli indirizzi IP Microsoft Defender per endpoint all'elenco consentito e impedire il controllo SSL del traffico.

Connettività di rete di Microsoft Defender per endpoint

Seguire questa procedura per verificare la connettività di rete di Microsoft Defender per endpoint:

1. Vedere Passaggio 1: Consentire le destinazioni per il traffico Microsoft Defender per endpoint consentito per il traffico Microsoft Defender per endpoint.

2. Se i server Linux si trovano dietro un proxy, impostare le impostazioni proxy. Per altre informazioni, vedere Configurare le impostazioni proxy.

3. Verificare che il traffico non venga controllato dall'ispezione SSL (ispezione TLS). Si tratta del problema più comune relativo alla rete durante la configurazione dell'endpoint Microsoft Defender. Vedere Verificare che l'ispezione SSL non venga eseguita sul traffico di rete.

Nota

• È generalmente consigliabile che il traffico per Defender per endpoint non venga controllato dall'ispezione SSL (ispezione TLS). Questo vale per tutti i sistemi operativi supportati (Windows, Linux e MacOS).
• Per consentire la connettività al set consolidato di URL o indirizzi IP, assicurarsi che i dispositivi eseguano le versioni più recenti dei componenti. Per altre informazioni, vedere Onboarding devices using streamlined connectivity for Microsoft Defender per endpoint (Onboarding devices using streamlined connectivity for Microsoft Defender per endpoint).

Per altre informazioni, vedere Risolvere i problemi di connettività cloud.

Passaggio 1: Consentire le destinazioni per il traffico Microsoft Defender per endpoint

1. Passare al PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint per trovare le destinazioni pertinenti che devono essere accessibili ai dispositivi all'interno dell'ambiente di rete
2. Configurare firewall,proxy/rete per consentire gli URL e/o gli indirizzi IP pertinenti

Passaggio 2: Configurare le impostazioni proxy

Se i server Linux si trovano dietro un proxy, usare le indicazioni sulle impostazioni seguenti.

Nella tabella seguente sono elencate le impostazioni proxy supportate:

Supportato	Non supportato
Proxy trasparente	Proxy autoconfig (PAC, un tipo di proxy autenticato)
Configurazione manuale del proxy statico	Protocollo di individuazione automatica del proxy Web (WPAD, un tipo di proxy autenticato)

• Connessioni di rete
• Profilo di configurazione completo
• Configurazione manuale del proxy statico
• Risoluzione dei problemi di connettività nello scenario proxy statico

Passaggio 3: Verificare che l'ispezione SSL non venga eseguita sul traffico di rete

Per evitare attacchi man-in-the-middle, tutto il traffico ospitato di Microsoft Azure usa l'aggiunta di certificati. Di conseguenza, le ispezioni SSL da parte dei principali sistemi firewall non sono consentite. È necessario ignorare l'ispezione SSL per gli URL di Microsoft Defender per endpoint.

Risolvere i problemi di connettività cloud

Per altre informazioni, vedere Risoluzione dei problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

2. Acquisire i dati sulle prestazioni dall'endpoint

Acquisire i dati sulle prestazioni dagli endpoint in cui è installato Defender per endpoint. Ciò include la disponibilità di spazio su disco in tutte le partizioni montate, l'utilizzo della memoria, l'elenco dei processi e l'utilizzo della CPU (aggregazione tra tutti i core).

3. (Facoltativo) Verificare la presenza di errori del file system 'fsck' (simile a chkdsk)

Qualsiasi file system potrebbe finire per essere danneggiato, quindi prima di installare qualsiasi nuovo software, sarebbe bene installarlo in un file system integro.

4. (Facoltativo) Aggiornare i driver del sottosistema di archiviazione

Il driver o il firmware più recente in un sottosistema di archiviazione potrebbe essere utile per le prestazioni e/o l'affidabilità.

5. (Facoltativo) Aggiornare i driver della scheda di interfaccia di rete

Un driver/firmware più recente in una scheda di interfaccia di rete o un software di teaming della scheda di interfaccia di rete potrebbe aiutare a ottenere prestazioni e/o affidabilità.

6. Verificare che i requisiti di sistema e le raccomandazioni per le risorse siano soddisfatti

La sezione seguente fornisce informazioni sulle versioni di Linux supportate e consigli per le risorse.

Per un elenco dettagliato delle distribuzioni Linux supportate, vedere Requisiti di sistema.

Risorsa	Consiglio
Spazio su disco	Minimo: 2 GB NOTA: potrebbe essere necessario più spazio su disco se la diagnostica cloud è abilitata per le raccolte di arresti anomali.
RAM	1 GB È preferibile 4 GB
CPU	Se il sistema Linux esegue un solo vcpu, è consigliabile aumentarlo a due vcpu Sono preferiti 4 core

Versione sistema operativo	Driver filtro kernel	Commenti
RHEL 7.x, RHEL 8.x e RHEL 9.x	Nessun driver di filtro del kernel, l'opzione fanotify kernel deve essere abilitata	simile a Gestione filtri (fltmgr, accessibile tramite fltmc.exe) in Windows
RHEL 6.x	Driver del kernel TALPA

7. Aggiungere la soluzione esistente all'elenco di esclusione per Microsoft Defender Antivirus

Questo passaggio del processo di installazione prevede l'aggiunta di Defender per endpoint all'elenco di esclusione per la soluzione di protezione degli endpoint esistente e per qualsiasi altro prodotto di sicurezza usato dall'organizzazione. È possibile scegliere tra diversi metodi per aggiungere le esclusioni a Microsoft Defender Antivirus.

Consiglio

Per informazioni sulla configurazione delle esclusioni, vedere la documentazione del provider di soluzioni.

• La possibilità di eseguire Microsoft Defender per endpoint in Linux insieme a un prodotto antimalware non Microsoft dipende dai dettagli di implementazione di tale prodotto. Se l'altro prodotto antimalware usa fanotify, deve essere disinstallato per eliminare gli effetti collaterali di prestazioni e stabilità risultanti dall'esecuzione di due agenti in conflitto.

• Per verificare se è presente un antimalware non Microsoft che esegue FANotify, è possibile eseguire mdatp health, quindi controllare il risultato:

  

  In "conflicting_applications", se viene visualizzato un risultato diverso da "non disponibile", disinstallare l'antimalware non Microsoft.

• Se non si disinstalla il prodotto antimalware non Microsoft, è possibile che si verifichino comportamenti imprevisti, ad esempio problemi di prestazioni, problemi di stabilità come sistemi sospesi o panico del kernel.

• Per identificare i Microsoft Defender per endpoint nei processi e nei percorsi Linux che devono essere esclusi nel prodotto antimalware non Microsoft, eseguire systemctl status -l mdatp.

  Escludere i processi seguenti dal prodotto antimalware non Microsoft:

  wdavdaemon
crashpad_handler
mdatp_audis_plugin
telemetryd_v2
  

  Escludere i percorsi seguenti dal prodotto antimalware non Microsoft:

  /opt/microsoft/mdatp/
/var/opt/microsoft/mdatp/
/etc/opt/microsoft/mdatp/
  

8. Tenere presenti i seguenti punti sulle esclusioni

Quando si aggiungono esclusioni alle analisi di Microsoft Defender Antivirus, è necessario aggiungere esclusioni di percorso ed elaborazione.

Nota

• Le esclusioni antivirus si applicano al motore antivirus.
• Gli indicatori consentono/bloccano l'applicazione al motore antivirus.

Tenere presente quanto segue:

• Le esclusioni di percorso escludono file specifici e qualsiasi accesso a tali file.
• Le esclusioni dei processi escludono qualsiasi processo tocchi, ma non escludono il processo stesso.
• Elencare le esclusioni del processo usando il percorso completo e non solo in base al nome. Il metodo di solo nome è meno sicuro.
• Se si elenca ogni eseguibile sia come esclusione di percorso che come esclusione del processo, il processo e gli elementi toccati vengono esclusi.

Consiglio

Esaminare "Errori comuni da evitare durante la definizione delle esclusioni", in particolare Posizioni cartelle ed Elabora le sezioni per le piattaforme Linux e macOS.

9. Create gruppi di dispositivi

Configurare gruppi di dispositivi, raccolte di dispositivi e unità organizzative Gruppi di dispositivi, raccolte di dispositivi e unità organizzative consentono al team di sicurezza di gestire e assegnare i criteri di sicurezza in modo efficiente ed efficace. La tabella seguente descrive ognuno di questi gruppi e come configurarli. L'organizzazione potrebbe non usare tutti e tre i tipi di raccolta.

Tipo di raccolta	Soluzione
I gruppi di dispositivi (in precedenza denominati gruppi di computer) consentono al team delle operazioni di sicurezza di configurare le funzionalità di sicurezza, ad esempio l'analisi automatizzata e la correzione. I gruppi di dispositivi sono utili anche per assegnare l'accesso a tali dispositivi in modo che il team delle operazioni di sicurezza possa eseguire azioni correttive, se necessario. I gruppi di dispositivi vengono creati mentre l'attacco è stato rilevato e arrestato, gli avvisi, ad esempio un "avviso di accesso iniziale", sono stati attivati e visualizzati nel portale di Microsoft Defender.	1. Passare al portale di Microsoft Defender (https://security.microsoft.com). 2. Nel riquadro di spostamento a sinistra scegliere Impostazioni>Endpoint>Autorizzazioni>Gruppi di dispositivi. 3. Scegliere + Aggiungi gruppo di dispositivi. 4. Specificare un nome e una descrizione per il gruppo di dispositivi. 5. Nell'elenco Livello di automazione selezionare un'opzione. È consigliabile completare la correzione automatica delle minacce. Per altre informazioni sui vari livelli di automazione, vedere Come vengono risolte le minacce. 6. Specificare le condizioni per una regola corrispondente per determinare quali dispositivi appartengono al gruppo di dispositivi. Ad esempio, è possibile scegliere un dominio, versioni del sistema operativo o anche usare i tag del dispositivo. 7. Nella scheda Accesso utente specificare i ruoli che devono avere accesso ai dispositivi inclusi nel gruppo di dispositivi. 8. Scegliere Fine.
Le raccolte di dispositivi consentono al team delle operazioni di sicurezza di gestire le applicazioni, distribuire le impostazioni di conformità o installare gli aggiornamenti software nei dispositivi dell'organizzazione. Le raccolte di dispositivi vengono create usando Configuration Manager.	Seguire i passaggi descritti in Create una raccolta.
Le unità organizzative consentono di raggruppare logicamente oggetti come account utente, account del servizio o account computer. È quindi possibile assegnare gli amministratori a unità organizzative specifiche e applicare criteri di gruppo per applicare le impostazioni di configurazione di destinazione. Le unità organizzative sono definite in Microsoft Entra Domain Services.	Seguire i passaggi descritti in Create un'unità organizzativa in un dominio gestito Microsoft Entra Domain Services.

10. Configurare Microsoft Defender per endpoint nelle impostazioni antimalware Linux

Prima di iniziare:

• Se si usa già un prodotto antimalware non Microsoft per i server Linux, è consigliabile copiare le esclusioni esistenti in Microsoft Defender per endpoint in Linux.

• Se non si usa un prodotto antimalware non Microsoft per i server Linux, ottenere un elenco di tutte le applicazioni Linux e controllare le esclusioni nel sito Web dei fornitori.

• Se si esegue un prodotto antimalware non Microsoft, aggiungere i processi/percorsi all'elenco di esclusione antivirus del Microsoft Defender per endpoint. Per altre informazioni, vedere la documentazione antimalware non Microsoft o contattare il supporto tecnico.

• Se si esegue il test in un computer, è possibile usare una riga di comando per configurare le esclusioni:

  • Configurare dalla riga di comando.
  • Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in Linux.

• Se si esegue il test in più computer, usare il file seguente mdatp_managed.json . Se si proviene da Windows, ad esempio un "criterio di gruppo" per Defender per endpoint in Linux.

  È possibile modificare il file in base alle proprie esigenze:

      {
     "antivirusEngine":{
        "enforcementLevel":"real_time",
        "scanAfterDefinitionUpdate":true,
        "scanArchives":true,
        "maximumOnDemandScanThreads":1,
        "exclusionsMergePolicy":"merge",
        "exclusions":[
           {
              "$type":"excludedPath",
              "isDirectory":false,
              "path":"/var/log/system.log"
           },
           {
              "$type":"excludedPath",
              "isDirectory":true,
              "path":"/home"
           },
           {
              "$type":"excludedFileExtension",
              "extension":"pdf"
           },
           {
              "$type":"excludedFileName",
              "name":"cat"
           }
        ],
        "allowedThreats":[
           "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
        ],
        "disallowedThreatActions":[
           "allow",
           "restore"
        ],
        "threatTypeSettingsMergePolicy":"merge",
        "threatTypeSettings":[
           {
              "key":"potentially_unwanted_application",
              "value":"block"
           },
           {
              "key":"archive_bomb",
              "value":"audit"
           }
        ]
     },
     "cloudService":{
        "enabled":true,
        "diagnosticLevel":"optional",
        "automaticSampleSubmissionConsent":"safe",
        "automaticDefinitionUpdateEnabled":true
        "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
     }
  }
  

  Raccomandazioni:

         {
      "antivirusEngine":{
         "enforcementLevel":"real_time",
         "scanAfterDefinitionUpdate":true,
         "scanArchives":true,
         "maximumOnDemandScanThreads":1,
         "exclusionsMergePolicy":"merge",
         "exclusions":[
            {
               "$type":"excludedPath",
               "isDirectory":false,
               "path":"/var/log/system.log"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/proc"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/sys"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/dev"
            },
            {
               "$type":"excludedFileExtension",
               "extension":""
            },
            {
               "$type":"excludedFileName",
               "name":""
            }
         ],
         "allowedThreats":[
            ""
         ],
         "disallowedThreatActions":[
            "allow",
            "restore"
         ],
         "threatTypeSettingsMergePolicy":"merge",
         "threatTypeSettings":[
            {
               "key":"potentially_unwanted_application",
               "value":"block"
            },
            {
               "key":"archive_bomb",
               "value":"audit"
            }
         ]
      },
      "cloudService":{
         "enabled":true,
         "diagnosticLevel":"optional",
         "automaticSampleSubmissionConsent":"safe",
         "automaticDefinitionUpdateEnabled":true
         "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
      }
  }
  

Nota

In Linux (e macOS) supportiamo i percorsi in cui inizia con un carattere jolly.

La tabella seguente descrive le impostazioni consigliate come parte del mdatp_managed.json file:

Impostazioni	Commenti
exclusionsMergePolicy impostato su admin_only	Impedisce all'amministratore locale di aggiungere le esclusioni locali tramite bash (prompt dei comandi).
disallowedThreatActions impostato su allow and restore	Impedisce all'amministratore locale di ripristinare un elemento in quarantena tramite bash (prompt dei comandi).
threatTypeSettingsMergePolicy impostato su admin_only	Impedisce all'amministratore locale di aggiungere falsi positivi o true positive non validi per i tipi di minaccia (tramite bash (prompt dei comandi).

• Salvare l'impostazione come mdatp_managed.json file.
• Copiare l'impostazione in questo percorso /etc/opt/microsoft/mdatp/managed/. Per altre informazioni, vedere Impostare le preferenze per Microsoft Defender per endpoint in Linux.
• Aggiungere i processi e i percorsi antimalware non Microsoft all'elenco di esclusione dal passaggio precedente.
• Verificare di aver aggiunto le esclusioni correnti dalla soluzione antimalware non Microsoft al passaggio precedente.

Applicazioni che Microsoft Defender per endpoint possono influire

Carichi di lavoro di I/O elevati, ad esempio Postgres, OracleDB, Jira e Jenkins, potrebbero richiedere altre esclusioni, a seconda della quantità di attività che viene elaborata (e monitorata da Defender per endpoint). È consigliabile seguire le indicazioni dei provider di applicazioni non Microsoft per le esclusioni se si verifica una riduzione delle prestazioni dopo l'installazione di Defender per endpoint. Tenere presente anche gli errori di esclusione comuni per Microsoft Defender Antivirus.

Se si verifica una riduzione delle prestazioni, vedere le risorse seguenti:

• Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.
• Risolvere i problemi di prestazioni auditD con Microsoft Defender per endpoint in Linux.

11. Scaricare il pacchetto di onboarding Microsoft Defender per endpoint in Linux

Per altre informazioni, vedere scaricare il pacchetto di onboarding dal portale di Microsoft Defender.

Nota

Questo download registra Microsoft Defender per endpoint in Linux per inviare i dati all'istanza di Microsoft Defender per endpoint.

Dopo aver scaricato questo pacchetto, è possibile seguire le istruzioni di installazione manuale o usare una piattaforma di gestione Linux per distribuire e gestire Defender per endpoint in Linux.

12. Esempi di Ansible, Puppet e Chef per gestire Microsoft Defender per endpoint in Linux

Defender per endpoint in Linux è progettato per consentire a quasi tutte le soluzioni di gestione di distribuire e gestire facilmente le impostazioni di Defender per endpoint in Linux. Alcune piattaforme di gestione Linux comuni sono Ansible, Puppet e Chef. I documenti seguenti contengono esempi su come configurare queste piattaforme di gestione per distribuire e configurare Defender per endpoint in Linux.

Distribuire Microsoft Defender per endpoint in Linux con Puppet

Distribuire Microsoft Defender per endpoint in Linux con Ansible

Distribuire Microsoft Defender per endpoint in Linux con Chef

Nota

I riavvii NON sono necessari dopo l'installazione o l'aggiornamento Microsoft Defender per endpoint in Linux, tranne quando si esegue auditD in modalità non modificabile.

Recapitare l'impostazione cronjob delle analisi pianificate

Pianificare un'analisi antivirus usando Anacron in Microsoft Defender per endpoint in Linux. Per altre informazioni, vedere Pianificare un'analisi antivirus con Anacron in Microsoft Defender per endpoint in Linux.

Aggiornare Microsoft Defender per endpoint nelle impostazioni cronjob dell'agente Linux

Pianificare un aggiornamento del Microsoft Defender per endpoint in Linux. Per altre informazioni, vedere Pianificare un aggiornamento del Microsoft Defender per endpoint in Linux.

13. Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux

Informazioni su come risolvere i problemi che possono verificarsi durante l'installazione in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

14. Controllare le statistiche di utilizzo delle risorse

Controllare le statistiche sulle prestazioni e confrontarlo con l'utilizzo della pre-distribuzione rispetto alla post-distribuzione.

15. Verificare la comunicazione con Microsoft Defender per endpoint back-end

Per verificare la comunicazione Microsoft Defender per endpoint in Linux con il cloud con le impostazioni di rete correnti, eseguire il test di connettività seguente dalla riga di comando:

mdatp connectivity test

Nell'immagine seguente viene visualizzato l'output previsto dal test:

Per altre informazioni, vedere Convalida della connettività.

16. Analizzare i problemi di integrità dell'agente

Analizzare i problemi di integrità dell'agente in base ai valori restituiti quando si esegue il mdatp health comando. Per altre informazioni, vedere Analizzare i problemi di integrità dell'agente.

17. Verificare di essere in grado di ottenere gli aggiornamenti della piattaforma (aggiornamenti dell'agente)

Per verificare Microsoft Defender per endpoint aggiornamenti della piattaforma Linux, eseguire la riga di comando seguente:

sudo yum update mdatp

o

apt-get update mdatp

a seconda della gestione pacchetti.

Per altre informazioni, vedere Device health and Microsoft Defender antimalware health report (Integrità dei dispositivi e Microsoft Defender report sull'integrità antimalware).

Per trovare la versione più recente del canale Broad, vedere Novità di Microsoft Defender per endpoint in Linux.

Come aggiornare Microsoft Defender per endpoint in Linux

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux. Per altre informazioni, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Nota

Se si dispone di Redhat's Satellite (simile a WSUS in Windows), è possibile ottenere i pacchetti aggiornati da esso.

Consiglio

Automatizzare l'aggiornamento dell'agente in base a una pianificazione mensile (consigliata) usando un processo Cron. Per altre informazioni, vedere Pianificare un aggiornamento del Microsoft Defender per endpoint in Linux.

Endpoint non Windows

Con macOS e Linux, è possibile usare un paio di sistemi ed eseguirne l'esecuzione nel canale Beta.

Nota

Idealmente, è consigliabile includere uno di ogni tipo di sistema Linux in esecuzione nel canale Anteprima in modo da poter individuare problemi di compatibilità, prestazioni e affidabilità prima che la compilazione entri nel canale Corrente.

La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in beta sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da Anteprima e infine da Current.

Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per l'uso della versione beta o dell'anteprima.

Avviso

Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo per usare il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.

18. Verificare di essere in grado di ottenere gli aggiornamenti dell'intelligence di sicurezza (firme/aggiornamenti delle definizioni)

Per verificare Microsoft Defender per endpoint nelle firme/aggiornamenti delle definizioni di Linux, eseguire la riga di comando seguente:

mdatp definitions update

Per altre informazioni, vedere Creazione di report sull'integrità dei dispositivi per Microsoft Defender antimalware.

19. Rilevamenti di test

Per assicurarsi che il dispositivo sia correttamente caricato e segnalato al servizio, eseguire il test di rilevamento seguente:

• Aprire una finestra terminale ed eseguire il comando seguente per eseguire un test di rilevamento antimalware:

  curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
  

• È possibile eseguire test di rilevamento aggiuntivi sui file ZIP usando uno dei comandi seguenti:

  curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
  curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
  

  Nota

  Se i rilevamenti non vengono visualizzati, è possibile che tu abbia impostato "allowedThreats" per consentire le preferenze tramite Ansible o Puppet.

• Rilevamento di endpoint e risposta (EDR), vedere Esperienza Microsoft Defender per endpoint tramite attacchi simulati. Se il rilevamento non viene visualizzato, potrebbe essere presente un evento o avvisi mancanti nel portale. Per altre informazioni, vedere Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux.

• Per altre informazioni sugli invii unificati in Microsoft Defender XDR e sulla possibilità di inviare falsi positivi e falsi negativi tramite il portale, vedere Invii unificati in Microsoft Defender XDR ora disponibili a livello generale- Microsoft Tech Community.

20. Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux

Per altre informazioni, vedere Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux.

21. Risolvere i problemi relativi all'utilizzo elevato della CPU da parte di ISV, app Linux o script

Se si osserva che gli ISV di terze parti, le app Linux sviluppate internamente o gli script hanno un utilizzo elevato della CPU, seguire questa procedura per analizzare la causa.

1. Identificare il thread o il processo che causa il sintomo.
2. Applicare ulteriori passaggi di diagnostica in base al processo identificato per risolvere il problema.

Passaggio 1: Identificare il Microsoft Defender per endpoint nel thread Linux che causa il sintomo

Usare le sintassi seguenti per identificare il processo che causa il sovraccarico della CPU:

• Per ottenere Microsoft Defender per endpoint ID processo che causa il problema, eseguire:

  sudo top -c
  

• Per altre informazioni sul processo Microsoft Defender per endpoint, eseguire:

  sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
  

• Per identificare l'ID thread Microsoft Defender per endpoint specifico che causa il massimo utilizzo della CPU all'interno del processo, eseguire:

  sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
  

  

Nella tabella seguente sono elencati i processi che potrebbero causare un utilizzo elevato della CPU:

Nome processo	Componente usato	MDE motore usato
wdavdaemon	FANotify	Antivirus & EDR
wdavdaemon unprivileged		Motore antivirus
wdavdaemon edr		Motore EDR
mdatp_audisp_plugin	framework di controllo (controllato)	Inserimento del log di controllo

Passaggio 2: Applicare ulteriori passaggi di diagnostica in base al processo identificato

Ora che è stato identificato il processo che causa l'utilizzo elevato della CPU, usare le indicazioni diagnostiche corrispondenti nella sezione seguente.

Ad esempio, nel passaggio precedente è wdavdaemon unprivileged stato identificato come processo che causava un utilizzo elevato della CPU. In base al risultato, è possibile applicare le indicazioni per controllare il processo wdavdaemon senza privilegi.

Usare la tabella seguente per risolvere i problemi di utilizzo elevato della CPU:

Nome processo	Componente usato	Microsoft Defender per endpoint motore usato	Procedura
wdavdaemon	FANotify	Antivirus & EDR	- Scaricare ed eseguire Microsoft Defender per endpoint Analizzatore client. Per altre informazioni, vedere Eseguire l'analizzatore client in macOS o Linux. - Raccogliere i dati di diagnostica usando lo strumento Analizzatore client. - Aprire un caso di supporto CSS con Microsoft. Per altre informazioni, vedere Caso di supporto per la sicurezza CSS.
wdavdaemon unprivileged	N/D	Motore antivirus	Il diagramma seguente illustra il flusso di lavoro e i passaggi necessari per aggiungere esclusioni antivirus. Linee guida generali per la risoluzione dei problemi - Se sono presenti app/script interni o un'app/script di terze parti legittima che viene contrassegnata, i ricercatori di sicurezza Microsoft analizzano i file sospetti per determinare se si tratta di minacce, applicazioni indesiderate o file normali. Inviare file che si ritiene siano malware o file che si ritiene siano stati erroneamente classificati come malware usando l'esperienza di invio unificato (per altre informazioni, vedere Esperienza di invio unificato) o Invii di file. - Vedere risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux. - Scaricare ed eseguire Microsoft Defender per endpoint Analizzatore client. Per altre informazioni, vedere Eseguire l'analizzatore client in macOS o Linux. - Raccogliere i dati di diagnostica usando lo strumento Analizzatore client. - Aprire un caso di supporto CSS con Microsoft. Per altre informazioni, vedere Caso di supporto per la sicurezza CSS.
wdavdaemon edr	N/D	Motore EDR	Il diagramma seguente illustra il flusso di lavoro e i passaggi per risolvere i problemi di wdavedaemon_edr processo. Linee guida generali per la risoluzione dei problemi - Se sono presenti app/script interni o un'app/script di terze parti legittima che viene contrassegnata, i ricercatori di sicurezza Microsoft analizzano i file sospetti per determinare se si tratta di minacce, applicazioni indesiderate o file normali. Inviare file che si ritiene siano malware o file che si ritiene siano erroneamente classificati come malware usando l'esperienza di invio unificato (per altre informazioni, vedere Esperienza di invio unificato) o Invii di file. - Vedere risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux. - Scaricare ed eseguire Microsoft Defender per endpoint Analizzatore client. Per altre informazioni, vedere Eseguire l'analizzatore client in macOS o Linux. - Raccogliere i dati di diagnostica usando lo strumento Analizzatore client. - Aprire un caso di supporto CSS con Microsoft. Per altre informazioni, vedere Caso di supporto per la sicurezza CSS.
mdatp_audisp_plugin	Framework di controllo	Inserimento del log di controllo	Vedere Risolvere i problemi di prestazioni auditD con Microsoft Defender per endpoint in Linux.

22. Disinstallare la soluzione non Microsoft

Se a questo punto si dispone di:

• È stato caricato i dispositivi dell'organizzazione in Defender per endpoint e
• Microsoft Defender Antivirus è installato e abilitato,

Il passaggio successivo consiste quindi nel disinstallare la soluzione antivirus, antimalware ed endpoint protection non Microsoft. Quando si disinstalla la soluzione non Microsoft, assicurarsi di aggiornare la configurazione per passare dalla modalità passiva a attiva se si imposta Defender per endpoint sulla modalità passiva durante l'installazione o la configurazione.

Risorse di diagnostica e risoluzione dei problemi

• Risolvere i problemi di installazione di Microsoft Defender per endpoint in Linux.
• Identificare dove trovare i log dettagliati per i problemi di installazione.
• Procedura di risoluzione dei problemi per gli ambienti senza proxy o con proxy trasparente.
• Procedura di risoluzione dei problemi per gli ambienti con proxy statico.
• Raccogliere informazioni di diagnostica.
• Disinstallare Defender per endpoint in Linux.
• Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.
• Risolvere i problemi di prestazioni auditD con Microsoft Defender per endpoint in Linux.

Funzionalità avanzate di Microsoft Defender per endpoint

• Funzionalità avanzate del motore antimalware in Linux e macOS

• Aumentare la protezione del patrimonio Linux con il monitoraggio del comportamento

  Nota

  La funzionalità di monitoraggio del comportamento integra le funzionalità avanzate basate sul contenuto esistenti, tuttavia è consigliabile valutare attentamente questa funzionalità nell'ambiente prima di distribuirla a livello generale, poiché l'abilitazione del monitoraggio comportamentale usa più risorse e può causare problemi di prestazioni.

• Invii unificati in Microsoft Defender XDR

• Introduzione alla nuova esperienza di eliminazione degli avvisi

• Annuncio della risposta in tempo reale per macOS e Linux

Riferimenti

• Aggiungere un tag o un ID gruppo

• Privacy per Microsoft Defender per endpoint in Linux

• Novità di Microsoft Defender per endpoint in Linux

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.