Microsoft Defender per endpoint su Linux
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Questo articolo descrive come installare, configurare, aggiornare e usare Microsoft Defender per endpoint in Linux.
Attenzione
L'esecuzione di altri prodotti di protezione degli endpoint di terze parti insieme a Microsoft Defender per endpoint in Linux potrebbe causare problemi di prestazioni ed effetti collaterali imprevedibili. Se la protezione degli endpoint non Microsoft è un requisito assoluto nell'ambiente, è comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus per l'esecuzione in modalità passiva.
Come installare Microsoft Defender per endpoint in Linux
Microsoft Defender per endpoint per Linux include funzionalità di rilevamento e risposta di endpoint e antimalware.
Prerequisiti
Accesso al portale di Microsoft Defender
Distribuzione linux tramite system manager
Nota
La distribuzione Linux tramite system manager, ad eccezione di RHEL/CentOS 6.x, supporta sia SystemV che Upstart.
Esperienza di livello principiante negli script Linux e BASH
Privilegi amministrativi nel dispositivo (in caso di distribuzione manuale)
Nota
Microsoft Defender per endpoint agente Linux è indipendente dall'agente OMS. Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.
Istruzioni di installazione
Esistono diversi metodi e strumenti di distribuzione che è possibile usare per installare e configurare Microsoft Defender per endpoint in Linux.
In generale, è necessario seguire questa procedura:
- Assicurarsi di avere una sottoscrizione Microsoft Defender per endpoint.
- Distribuire Microsoft Defender per endpoint in Linux usando uno dei metodi di distribuzione seguenti:
- Lo strumento da riga di comando:
- Strumenti di gestione di terze parti:
Nota
Non è supportato installare Microsoft Defender per endpoint in qualsiasi altro percorso diverso dal percorso di installazione predefinito.
Microsoft Defender per endpoint in Linux crea un utente "mdatp" con UID e GID casuali. Per controllare uid e GID, creare un utente "mdatp" prima dell'installazione usando l'opzione della shell "/usr/sbin/nologin".
Ad esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Requisiti di sistema
Distribuzioni del server Linux supportate e versioni x64 (AMD64/EM64T) e x86_64:
Red Hat Enterprise Linux 6.7 o versione successiva (in anteprima)
Red Hat Enterprise Linux 7.2 o versione successiva
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 o versione successiva (in anteprima)
CentOS 7.2 o versione successiva
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 o versione successiva
SUSE Linux Enterprise Server 15 o versione successiva
Oracle Linux 7.2 o versione successiva
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 o superiore
Rocky 8.7 e versioni successive
Alma 8.4 e versioni successive
Mariner 2
Nota
Le distribuzioni e la versione non elencate in modo esplicito non sono supportate,anche se derivano dalle distribuzioni supportate ufficialmente. Con il supporto di RHEL 6 per "fine vita estesa" che termineranno entro il 30 giugno 2024; MDE supporto linux per RHEL 6 sarà deprecato anche entro il 30 giugno 2024 MDE linux versione 101.23082.0011 è l'ultima versione MDE Linux che supporta RHEL 6.7 o versioni successive (non scade prima del 30 giugno 2024). È consigliabile pianificare gli aggiornamenti all'infrastruttura RHEL 6 in linea con le indicazioni fornite da Red Hat.
Elenco delle versioni del kernel supportate
Nota
Microsoft Defender per endpoint in Red Hat Enterprise Linux e CentOS - da 6.7 a 6.10 è una soluzione basata su kernel. È necessario verificare che la versione del kernel sia supportata prima di eseguire l'aggiornamento a una versione più recente del kernel. Microsoft Defender per endpoint per tutte le altre distribuzioni e versioni supportate è indipendente dalla versione del kernel. Con un requisito minimo che la versione del kernel sia uguale o maggiore di 3.10.0-327.
- L'opzione
fanotify
del kernel deve essere abilitata - Red Hat Enterprise Linux 6 e CentOS 6:
- Per 6.7: 2.6.32-573.* (tranne 2.6.32-573.el6.x86_64)
- Per 6.8: 2.6.32-642.*
- Per 6.9: 2.6.32-696.* (tranne 2.6.32-696.el6.x86_64)
- Per 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Nota
Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico.
Attenzione
L'esecuzione di Defender per endpoint in Linux affiancata ad altre
fanotify
soluzioni di sicurezza basate su non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usanofanotify
in modalità di blocco, leconflicting_applications
applicazioni vengono elencate nel campo dell'output delmdatp health
comando. La funzionalità FAPolicyD di Linux usafanotify
in modalità di blocco ed è pertanto non supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva.- L'opzione
Spazio su disco: 2 GB
Nota
Se la diagnostica cloud è abilitata per le raccolte di arresti anomali, potrebbe essere necessario un ulteriore spazio su disco di 2 GB.
/opt/microsoft/mdatp/sbin/wdavdaemon richiede l'autorizzazione eseguibile. Per altre informazioni, vedere "Verificare che il daemon disponga dell'autorizzazione eseguibile" in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.
Core: 2 minimo, 4 preferiti
Memoria: 1 GB minimo, 4 preferiti
Nota
Assicurarsi di avere spazio libero su disco in /var.
Elenco dei file system supportati per l'analisi RTP, rapida, completa e personalizzata.
RTP, veloce, analisi completa Analisi personalizzata Btrfs Tutti i file system supportati per RTP, Quick, Full Scan ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Fusibile glustrefs fuseblk Afs Jfs Sshfs nfs (solo v3) Cifs Sovrapposizione Smb ramfs gcsfuse Reiserfs Sysfs Tmpfs Udf Vfat Xfs
Dopo aver abilitato il servizio, è necessario configurare la rete o il firewall per consentire le connessioni in uscita tra il servizio e gli endpoint.
Il framework di controllo (
auditd
) deve essere abilitato.Nota
Gli eventi di sistema acquisiti dalle regole aggiunte a
/etc/audit/rules.d/
verranno aggiunti aaudit.log
(s) e potrebbero influire sul controllo host e sulla raccolta upstream. Gli eventi aggiunti da Microsoft Defender per endpoint in Linux verranno contrassegnati conmdatp
la chiave.
Dipendenza del pacchetto esterno
Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:
- Il pacchetto RPM mdatp richiede "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- Per RHEL6 il pacchetto RPM mdatp richiede "audit", "policycoreutils", "libselinux", "mde-netfilter"
- Per DEBIAN il pacchetto mdatp richiede "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Il pacchetto mde-netfilter presenta anche le dipendenze del pacchetto seguenti:
- Per DEBIAN il pacchetto mde-netfilter richiede "libnetfilter-queue1", "libglib2.0-0"
- Per RPM il pacchetto mde-netfilter richiede "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze necessarie.
Configurazione delle esclusioni
Quando si aggiungono esclusioni a Microsoft Defender Antivirus, è consigliabile tenere presente gli errori di esclusione comuni per Microsoft Defender Antivirus.
Connessioni di rete
Assicurarsi che la connettività sia possibile dai dispositivi ai servizi cloud Microsoft Defender per endpoint. Per preparare l'ambiente, fare riferimento al PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
Defender per endpoint in Linux può connettersi tramite un server proxy usando i metodi di individuazione seguenti:
- Proxy trasparente
- Configurazione manuale del proxy statico
Se un proxy o un firewall blocca il traffico anonimo, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza. Per i proxy trasparenti, non è necessaria alcuna configurazione aggiuntiva per Defender per endpoint. Per il proxy statico, seguire la procedura descritta in Configurazione manuale del proxy statico.
Avviso
I proxy PAC, WPAD e autenticati non sono supportati. Assicurarsi che venga usato solo un proxy statico o un proxy trasparente.
Anche i proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per passare direttamente i dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non consentirà l'intercettazione.
Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.
Come aggiornare Microsoft Defender per endpoint in Linux
Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.
Come configurare Microsoft Defender per endpoint su Linux
Le indicazioni su come configurare il prodotto negli ambienti aziendali sono disponibili in Impostare le preferenze per Microsoft Defender per endpoint in Linux.
Le applicazioni comuni da Microsoft Defender per endpoint possono influire
I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Queste includono applicazioni per scenari di sviluppo come Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili, tenendo presenti gli errori di esclusione comuni per Microsoft Defender Antivirus. Per altre indicazioni, prendere in considerazione la documentazione di consulenza relativa alle esclusioni antivirus da applicazioni di terze parti.
Risorse
- Per altre informazioni sulla registrazione, la disinstallazione o altri articoli, vedere Risorse.
Articoli correlati
- Proteggere gli endpoint con la soluzione EDR integrata di Defender per cloud: Microsoft Defender per endpoint
- Connettere i computer non Azure a Microsoft Defender per il cloud
- Attivare la protezione di rete per Linux
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per