Condividi tramite

Prerequisiti per Microsoft Defender per endpoint in Linux

  • Articolo

Consiglio

Microsoft Defender per endpoint in Linux estende ora il supporto per i server Linux basati su Arm64 in disponibilità generale.

Questo articolo elenca i requisiti hardware e software per Defender per endpoint in Linux. Per altre informazioni su Defender per endpoint in Linux, ad esempio gli elementi inclusi in questa offerta, vedere gli articoli seguenti:

Requisiti di licenza

Per eseguire l'onboarding dei server in Defender per endpoint, sono necessarie licenze server. È possibile scegliere uno dei seguenti comandi:

Per informazioni più dettagliate sui requisiti di licenza per Microsoft Defender per endpoint, vedere Microsoft Defender per endpoint informazioni sulle licenze.

Per informazioni dettagliate sulle licenze, vedere Condizioni del prodotto: Microsoft Defender per endpoint e collaborare con il team dell'account per altre informazioni sui termini e le condizioni.

Requisiti di sistema

  • CPU: minimo un core CPU. Per carichi di lavoro a prestazioni elevate, sono consigliati più core.
  • Spazio su disco: minimo 2 GB. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessario più spazio su disco.
  • Memoria: almeno 1 GB di RAM. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessaria una maggiore quantità di memoria.

Nota

L'ottimizzazione delle prestazioni potrebbe essere necessaria in base ai carichi di lavoro. Per altre informazioni, vedere Ottimizzazione delle prestazioni per Microsoft Defender per endpoint in Linux

Requisiti software

  • Gli endpoint server Linux devono essere in grado di accedere *.endpoint.security.microsoft.coma . Se necessario, configurare l'individuazione del proxy statico.
  • Gli endpoint server Linux devono avere systemd (system manager) installato.
  • I privilegi amministrativi nell'endpoint server Linux sono necessari per l'installazione.
  • Ruolo appropriato assegnato in Defender per endpoint. Vedere Controllo degli accessi in base al ruolo.

Nota

Le distribuzioni Linux che usano System Manager supportano sia SystemV che Upstart. L'agente Microsoft Defender per endpoint in Linux è indipendente dall'agente di Operation Management Suite (OMS). Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.

Distribuzioni Linux supportate

Sono supportate le seguenti distribuzioni del server Linux e le versioni x64 (AMD64/EM64T):

  • Red Hat Enterprise Linux 7.2 o versione successiva
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 o versione successiva, escluso CentOS Stream
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 o versione successiva
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 e versioni successive
  • Rocky 9.2 e versioni successive
  • Alma 8.4 e versioni successive
  • Alma 9.2 e versioni successive
  • Mariner 2

Le distribuzioni del server Linux seguenti in ARM64 sono ora disponibili a livello generale:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Ubuntu 24.04 ARM64
  • Debian 11, 12 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64
  • RHEL 8.x ARM64
  • RHEL 9.x ARM64
  • Oracle Linux 8.x ARM64
  • Oracle Linux 9.x ARM64
  • SUSE Linux Enterprise Server 15 (SP5, SP6) ARM64

Nota

Le versioni desktop e workstation di queste distribuzioni sono distribuzioni non supportate e le versioni che non sono elencate in modo esplicito non sono supportate (anche se derivano dalle distribuzioni supportate ufficialmente). Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico. Attualmente, le distribuzioni Rocky e Alma non sono supportate in Gestione delle vulnerabilità di Microsoft Defender. Tuttavia, Microsoft Defender per endpoint è indipendente dalla versione del kernel per tutte le altre distribuzioni e versioni supportate. Il requisito minimo per la versione del kernel è 3.10.0-327 o versione successiva.

Avviso

L'esecuzione di Defender per endpoint in Linux con altre soluzioni di sicurezza basate su fanotify non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usano fanotify in modalità di blocco, le applicazioni sono elencate nel campo conflicting_applications dell'output del comando di integrità mdatp. La funzionalità FAPolicyD di Linux usa fanotify in modalità di blocco e pertanto non è supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva. Vedere Livello di imposizione per Microsoft Defender Antivirus.

File system supportati per la protezione in tempo reale e analisi rapide, complete e personalizzate

Protezione in tempo reale e analisi rapide/complete Analisi personalizzate
btrfs Tutti i file system sono supportati per la protezione in tempo reale e analisi rapide/complete
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (solo v3) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

Nota

I punti di montaggio NFS v3 devono essere analizzati accuratamente e devono impostare l'opzione no_root_squash di esportazione su questi punti di montaggio. Senza questa opzione, l'analisi di NFS v3 potrebbe avere esito negativo a causa della mancanza di autorizzazioni.

Verificare che i dispositivi possano connettersi ai servizi cloud di Defender per endpoint

  1. Preparare l'ambiente, come descritto nel passaggio 1 dell'articolo Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.

  2. Connettere Defender per endpoint in Linux tramite un server proxy usando i metodi di individuazione seguenti:

  3. Consentire il traffico anonimo negli URL elencati in precedenza, se un proxy o un firewall blocca il traffico.

Nota

La configurazione per i proxy trasparenti non è necessaria per Defender per endpoint. Vedere Configurazione manuale del proxy statico.

Avviso

Pac, WPAD e proxy autenticati non sono supportati. Usare solo proxy statici o trasparenti. I proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per consentire il pass-through diretto dei dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non abilita l'intercettazione.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux

Dipendenza del pacchetto esterno

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti. Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

  • Il pacchetto RPM mdatp richiede glibc >= 2.17, policycoreutils, selinux-policy-targetede mde-netfilter.
  • Per RHEL6 il pacchetto RPM mdatp richiede policycoreutils, libselinuxe mde-netfilter.
  • Per DEBIAN il pacchetto mdatp richiede libc6 >= 2.23, uuid-runtimee mde-netfilter.

Nota

A partire dalla versione 101.24082.0004, Defender per endpoint in Linux non supporta più il Auditd provider di eventi. Stiamo passando completamente alla tecnologia eBPF più efficiente. Se eBPF non è supportato nei computer o se sono presenti requisiti specifici da mantenere in Auditd e i computer usano Defender per endpoint nella versione 101.24072.0001 linux o meno recente, esiste la dipendenza aggiuntiva seguente dal pacchetto controllato per mdatp:

  • Il pacchetto RPM mdatp richiede audit, semanage.
  • Per DEBIAN, il pacchetto mdatp richiede auditd.
  • Per Mariner, il pacchetto mdatp richiede audit.

Il mde-netfilter pacchetto presenta anche le dipendenze del pacchetto seguenti:

  • Per DEBIAN, il pacchetto mde-netfilter richiede libnetfilter-queue1 e libglib2.0-0
  • Per RPM, il pacchetto mde-netfilter richiede libmnl, libnfnetlink, libnetfilter_queuee glib2

Istruzioni di installazione

Esistono diversi metodi e strumenti che è possibile usare per distribuire Microsoft Defender per endpoint in Linux (applicabile ai server AMD64 e ARM64 Linux):

Importante

L'installazione di Microsoft Defender per endpoint in qualsiasi percorso diverso dal percorso di installazione predefinito non è supportata. In Linux Microsoft Defender per endpoint crea un utente mdatp con valori UID e GID casuali. Per controllare questi valori, creare un utente mdatp prima dell'installazione usando l'opzione della /usr/sbin/nologin shell. Ecco un esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Se si verificano problemi di installazione, sono disponibili risorse per la risoluzione automatica dei problemi. Vedere i collegamenti nella sezione Vedere anche .

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Engage con la community microsoft security nella community tecnica: Microsoft Defender per endpoint Tech Community