Linux 用 Microsoft Defender for Endpoint

[アーティクル]
10/24/2024

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、Linux 上でMicrosoft Defender for Endpointをインストール、構成、更新、および使用する方法について説明します。

注意

Linux でMicrosoft Defender for Endpointと共に Microsoft 以外のエンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、パッシブモードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

Linux にMicrosoft Defender for Endpointをインストールする方法

Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。

前提条件

Microsoft Defender ポータルへのアクセス
systemdシステムマネージャーを使用した Linux ディストリビューション

注:

システムマネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。
Linux および BASH スクリプトの初心者レベルのエクスペリエンス
デバイスの管理特権 (手動展開の場合)

注:

Linux エージェント上のMicrosoft Defender for Endpointは、OMS エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリパイプラインに依存しています。

インストール手順

Linux にMicrosoft Defender for Endpointをインストールして構成するために使用できる方法とデプロイツールがいくつかあります。開始する前に、Microsoft Defender for Endpointの最小要件が満たされていることを確認します。

Linux にMicrosoft Defender for Endpointをデプロイするには、次のいずれかの方法を使用できます。

コマンドラインツールを使用するには、「手動デプロイ」を参照してください。
Puppet を使用するには、「Puppet 構成管理ツールを使用してデプロイする」を参照してください。
Ansible を使用するには、「Ansible 構成管理ツールを使用したデプロイ」を参照してください。
Chef を使用するには、「Chef 構成管理ツールを使用してデプロイする」を参照してください。
Saltstack を使用するには、「Saltstack 構成管理ツールを使用したデプロイ」を参照してください。

インストールエラーが発生した場合は、「Microsoft Defender for Endpoint on Linux でのインストールエラーのトラブルシューティング」を参照してください。

重要

既定のインストールパス以外の場所へのMicrosoft Defender for Endpointのインストールはサポートされていません。 Linux 上のMicrosoft Defender for Endpointは、ランダムな UID と GID を持つmdatp ユーザーを作成します。 UID と GID を制御する場合は、/usr/sbin/nologin シェルオプションを使用してインストールする前に、mdatp ユーザーを作成します。 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。

システム要件

ディスク領域: 2 GB

注:

クラウド診断がクラッシュコレクションに対して有効になっている場合は、さらに 2 GB のディスク領域が必要になる場合があります。 /var に空きディスク領域があることを確認してください。
コア: 最小 2 つ、推奨される 4 つ

注:

パッシブまたは RTP ON モードの場合は、少なくとも 2 つのコアが必要です。 4 つのコアが推奨されます。 BM をオンにする場合は、少なくとも 4 つのコアが必要です。
メモリ: 最小 1 GB、推奨される 4 GB
次の Linux サーバーディストリビューションと x64 (AMD64/EM64T) とx86_64バージョンがサポートされています。
- Red Hat Enterprise Linux 7.2 以上
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 以上
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 以上
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- ロッキー 8.7 以上
- ロッキー 9.2 以上
- アルマ8.4以降
- アルマ9.2以降
- マリナー 2
注:

明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。新しいパッケージバージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカルサポートのみに縮小されます。このセクションに記載されているバージョンより古いバージョンは、テクニカルアップグレードサポートでのみ提供されます。 Microsoft Defender Vulnerablity Management は、現在ロッキーとアルマではサポートされていません。サポートされているすべてのディストリビューションとバージョンのMicrosoft Defender for Endpointは、カーネルバージョンに依存しません。カーネルバージョンが 3.10.0-327 以上である最小要件。

注意

Linux 上で Defender for Endpoint を他の fanotify ベースのセキュリティソリューションと並行して実行することはサポートされていません。オペレーティングシステムのハングなど、予期しない結果につながる可能性があります。 fanotifyをブロッキング・モードで使用する他のアプリケーションがシステム上にある場合は、mdatp healthコマンド出力のconflicting_applications・フィールドにアプリケーションがリストされます。 Linux FAPolicyD 機能はブロックモードで fanotify を使用するため、アクティブモードで Defender for Endpoint を実行する場合はサポートされません。ウイルス対策機能リアルタイム保護をパッシブモードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

RTP、クイック、フル、カスタムスキャンでサポートされているファイルシステムの一覧。

RTP、クイック、フルスキャン	カスタムスキャン
`btrfs`	RTP、クイック、フルスキャンでサポートされているすべてのファイルシステム
`ecryptfs`	`Efs`
`ext2`	`S3fs`
`ext3`	`Blobfuse`
`ext4`	`Lustr`
`fuse`	`glustrefs`
`fuseblk`	`Afs`
`jfs`	`sshfs`
`nfs` (v3 のみ)	`cifs`
`overlay`	`smb`
`ramfs`	`gcsfuse`
`reiserfs`	`sysfs`
`tmpfs`
`udf`
`vfat`
`xfs`

プライマリイベントプロバイダーとして auditd を使用している場合は、監査フレームワーク (auditd) を有効にする必要があります。

注:

/etc/audit/rules.d/に追加されたルールによってキャプチャされたシステムイベントは、audit.logに追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上のMicrosoft Defender for Endpointによって追加されたイベントには、mdatp キーが付けられます。
/opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。詳細については、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。

外部パッケージの依存関係

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。 mdatp パッケージには、次の外部パッケージの依存関係があります。

mdatp RPM パッケージには、 glibc >= 2.17、 audit、 policycoreutils、 semanageselinux-policy-targeted、および mde-netfilter
RHEL6 の場合、mdatp RPM パッケージには、 audit、 policycoreutils、 libselinux、および mde-netfilter
DEBIAN の場合、mdatp パッケージには、 libc6 >= 2.23、 uuid-runtime、 auditd、および mde-netfilter

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

DEBIAN の場合、mde-netfilter パッケージには libnetfilter-queue1が必要です。 libglib2.0-0
RPM の場合、mde-netfilter パッケージには、 libmnl、 libnfnetlink、 libnetfilter_queue、および glib2

除外の構成

Microsoft Defenderウイルス対策に除外を追加する場合は、Microsoft Defenderウイルス対策の一般的な除外の間違いを念頭に置く必要があります。

ネットワーク接続

デバイスからクラウドサービスへの接続が可能であることを確認Microsoft Defender for Endpoint。環境を準備するには、「手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。

Linux 上の Defender for Endpoint は、次の検出方法を使用してプロキシサーバー経由で接続できます。

透過プロキシ
手動の静的プロキシ構成

プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。透過的プロキシの場合、Defender for Endpoint に別の構成は必要ありません。静的プロキシの場合は、「手動静的プロキシ構成」の手順に従います。

警告

PAC、WPAD、および認証済みプロキシはサポートされていません。静的プロキシまたは透過的プロキシのみが使用されていることを確認します。セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシサーバーの例外を構成します。インターセプト証明書をグローバルストアに追加すると、インターセプトは許可されません。

トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。

Linux でMicrosoft Defender for Endpointを更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには、「Linux にMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。