Microsoft Defender per endpoint su Linux

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo argomento descrive come installare, configurare, aggiornare e usare Microsoft Defender per endpoint in Linux.

Attenzione

L'esecuzione di altri prodotti di protezione degli endpoint di terze parti insieme a Microsoft Defender per endpoint in Linux potrebbe causare problemi di prestazioni ed effetti collaterali imprevedibili. Se la protezione degli endpoint non Microsoft è un requisito assoluto nell'ambiente, è comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus per l'esecuzione in modalità passiva.

Come installare Microsoft Defender per endpoint in Linux

Microsoft Defender per endpoint per Linux include funzionalità di rilevamento e risposta degli endpoint e antimalware.

Prerequisiti

  • Accesso al portale di Microsoft 365 Defender

  • Distribuzione linux tramite system manager

    Nota

    La distribuzione Linux tramite system manager, ad eccezione di RHEL/CentOS 6.x, supporta sia SystemV che Upstart.

  • Esperienza di livello principiante negli script Linux e BASH

  • Privilegi amministrativi nel dispositivo (in caso di distribuzione manuale)

Nota

Microsoft Defender per endpoint agente Linux è indipendente dall'agente OMS. Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.

Istruzioni di installazione

Esistono diversi metodi e strumenti di distribuzione che è possibile usare per installare e configurare Microsoft Defender per endpoint in Linux.

In generale, è necessario seguire questa procedura:

Se si verificano errori di installazione, vedere Risoluzione degli errori di installazione in Microsoft Defender per endpoint in Linux.

Nota

Non è supportato installare Microsoft Defender per endpoint in qualsiasi altro percorso diverso dal percorso di installazione predefinito.

Nota

Microsoft Defender per endpoint in Linux crea un utente "mdatp" con UID e GID casuali. Per controllare uid e GID, creare un utente "mdatp" prima dell'installazione usando l'opzione della shell "/usr/sbin/nologin". Ad esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Requisiti di sistema

Nota

Il supporto di Red Hat Enterprise Linux e CentOS da 6.7+ a 6.10+ è disponibile in anteprima.

  • Distribuzioni del server Linux supportate e versioni x64 (AMD64/EM64T) e x86_64:

    • Red Hat Enterprise Linux 6.7 o versione successiva (anteprima)

    • Red Hat Enterprise Linux 7.2 o versione successiva

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 o versione successiva (anteprima)

    • CentOS 7.2 o versione successiva

    • Ubuntu 16.04 LTS o versione successiva LTS

    • Debian 9 o versione successiva

    • SUSE Linux Enterprise Server 12 o versione successiva

    • Oracle Linux 7.2 o versione successiva

    • Oracle Linux 8.x

    • Amazon Linux 2

    • Fedora 33 o superiore

      Nota

      Le distribuzioni e la versione non elencate in modo esplicito non sono supportate,anche se derivano dalle distribuzioni supportate ufficialmente.

  • Elenco delle versioni del kernel supportate

    Nota

    Microsoft Defender per endpoint in Red Hat Enterprise Linux e CentOS - da 6.7 a 6.10 è una soluzione basata su kernel. È necessario verificare che la versione del kernel sia supportata prima di eseguire l'aggiornamento a una versione più recente del kernel. Vedere l'elenco seguente per l'elenco dei kernel supportati. Microsoft Defender per endpoint per tutte le altre distribuzioni e versioni supportate è indipendente dalla versione del kernel. Con un requisito minimo che la versione del kernel sia uguale o superiore alla 3.10.0-327.

    • L'opzione fanotify del kernel deve essere abilitata
    • Red Hat Enterprise Linux 6 e CentOS 6:
      • Per 6.7: 2.6.32-573.*

      • Per 6.8: 2.6.32-642.*

      • Per 6.9: 2.6.32-696.* (tranne 2.6.32-696.el6.x86_64)

      • Per 6.10: 2.6.32.754.2.1.el6.x86_64 alla versione 2.6.32-754.48.1:

        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

Nota

Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico.

Attenzione

L'esecuzione di Defender per endpoint in Linux affiancata ad altre fanotifysoluzioni di sicurezza basate su non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo.

  • Spazio su disco: 2 GB

    Nota

    Se la diagnostica cloud è abilitata per le raccolte di arresti anomali, potrebbe essere necessario un ulteriore spazio su disco di 2 GB.

  • /opt/microsoft/mdatp/sbin/wdavdaemon richiede l'autorizzazione eseguibile. Per altre informazioni, vedere "Verificare che il daemon disponga dell'autorizzazione eseguibile" in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

  • Core: 2 minimo, 4 preferiti

  • Memoria: 1 GB minimo, 4 preferiti

    Nota

    Assicurarsi di avere spazio libero su disco in /var.

  • La soluzione offre attualmente una protezione in tempo reale per i tipi di file system seguenti:

    • btrfs
    • ecryptfs
    • ext2
    • ext3
    • ext4
    • fuse
    • fuseblk
    • jfs
    • nfs
    • overlay
    • ramfs
    • reiserfs
    • tmpfs
    • udf
    • vfat
    • xfs

Dopo aver abilitato il servizio, potrebbe essere necessario configurare la rete o il firewall per consentire le connessioni in uscita tra il servizio e gli endpoint.

  • Il framework di controllo (auditd) deve essere abilitato.

    Nota

    Gli eventi di sistema acquisiti dalle regole aggiunte a /etc/audit/rules.d/ verranno aggiunti a audit.log(s) e potrebbero influire sul controllo host e sulla raccolta upstream. Gli eventi aggiunti da Microsoft Defender per endpoint in Linux verranno contrassegnati con mdatp la chiave.

Configurazione delle esclusioni

Quando si aggiungono esclusioni a Microsoft Defender Antivirus, è necessario tenere presente gli errori comuni di esclusione per Microsoft Defender Antivirus

Connessioni di rete

Il foglio di calcolo scaricabile seguente elenca i servizi e gli URL associati a cui la rete deve essere in grado di connettersi. È necessario assicurarsi che non siano presenti regole di filtro del firewall o di rete che neghino l'accesso a questi URL. In caso affermativo, potrebbe essere necessario creare una regola di autorizzazione specifica.



Foglio di calcolo dell'elenco dei domini Descrizione
Microsoft Defender per endpoint elenco URL per i clienti commerciali Foglio di calcolo di record DNS specifici per le località di servizio, le posizioni geografiche e il sistema operativo per i clienti commerciali.

Scaricare il foglio di calcolo qui.

Microsoft Defender per endpoint elenco URL per Gov/GCC/DoD Foglio di calcolo di record DNS specifici per località di servizio, posizioni geografiche e sistema operativo per i clienti Gov/GCC/DoD.

Scaricare il foglio di calcolo qui.

Nota

Per un elenco di URL più specifico, vedere Configurare le impostazioni di connettività proxy e Internet.

Defender per endpoint può individuare un server proxy usando i metodi di individuazione seguenti:

  • Proxy trasparente
  • Configurazione manuale del proxy statico

Se un proxy o un firewall blocca il traffico anonimo, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza. Per i proxy trasparenti, non è necessaria alcuna configurazione aggiuntiva per Defender per endpoint. Per il proxy statico, seguire la procedura descritta in Configurazione manuale del proxy statico.

Avviso

I proxy PAC, WPAD e autenticati non sono supportati. Assicurarsi che venga usato solo un proxy statico o un proxy trasparente.

Anche i proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per passare direttamente i dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non consentirà l'intercettazione.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

Come aggiornare Microsoft Defender per endpoint in Linux

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Come configurare Microsoft Defender per endpoint su Linux

Le indicazioni su come configurare il prodotto negli ambienti aziendali sono disponibili in Impostare le preferenze per Microsoft Defender per endpoint in Linux.

Le applicazioni comuni da Microsoft Defender per endpoint possono influire

I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Queste includono applicazioni per scenari di sviluppo come Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili, tenendo presenti gli errori di esclusione comuni per Microsoft Defender Antivirus. Per altre indicazioni, prendere in considerazione la documentazione di consulenza relativa alle esclusioni antivirus da applicazioni di terze parti.

Risorse

  • Per altre informazioni sulla registrazione, la disinstallazione o altri argomenti, vedere Risorse.