この記事では、Linux サーバーに Defender for Endpoint を展開およびオンボードするための前提条件を示します。
重要
複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。
既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。
ライセンス要件
Defender for Endpoint にサーバーをオンボードするには、サーバー ライセンスが必要です。 以下のオプションから選択できます。
- サーバープラン 1 またはプラン 2 のMicrosoft Defender
- サーバーのMicrosoft Defender for Endpoint
- Microsoft Defender for Business servers (中小企業のみ)
Microsoft Defender for Endpointのライセンス要件の詳細については、「Microsoft Defender for Endpoint ライセンス情報」を参照してください。
詳細なライセンス情報については、「製品使用条件: Microsoft Defender for Endpoint」を参照し、アカウント チームと協力して使用条件の詳細を確認してください。
システム要件
- CPU: 最小 1 つの CPU コア。 パフォーマンスの高いワークロードの場合は、より多くのコアを使用することをお勧めします。
- ディスク領域: 2 GB 以上。 パフォーマンスの高いワークロードの場合は、より多くのディスク領域が必要になる場合があります。
- メモリ: 1 GB 以上の RAM。 パフォーマンスの高いワークロードの場合は、より多くのメモリが必要になる場合があります。
- カスタム パスでのインストールについては、「カスタム の場所のインストールの前提条件とシステム要件」を参照してください。
注:
ワークロードに基づいてパフォーマンスチューニングが必要になる場合があります。 詳細については、「LinuxでのMicrosoft Defender for Endpointのパフォーマンスチューニング」を参照してください。
ソフトウェア要件
Linuxサーバー エンドポイントには systemd (システム マネージャー) がインストールされている必要があります。
注:
システム マネージャーを使用したLinuxディストリビューションでは、SystemV と Upstart の両方がサポートされます。 Linux エージェントのMicrosoft Defender for Endpointは、Operation Management Suite (OMS) エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリ パイプラインに依存しています。
デバイス分離機能を使用するには、次の機能を有効にする必要があります。
iptablesip6tables- 5.x より低いカーネル バージョンと 5.x カーネルからの
CONFIG_NETFILTER_XT_MATCH_OWNERのCONFIG_NETFILTER、CONFIG_IP_NF_IPTABLES、CONFIG_IP_NF_MATCH_OWNERを持つカーネルをLinuxします。
ネットワーク要件
Linuxサーバー エンドポイントは、次に記載されているエンドポイントにアクセスできる必要があります。
- Microsoft Defender for Endpoint合理化された接続 URL - 商用 (商用顧客)
- Microsoft Defender for Endpoint合理化された接続 URL - 米国政府機関環境 (米国政府機関のお客様)。
必要に応じて、 静的プロキシ検出を構成します。
警告
PAC、WPAD、認証済みプロキシはサポートされていません。 静的または透過的なプロキシのみを使用します。 セキュリティ上の理由から、SSL 検査とプロキシの傍受はサポートされていません。 SSL 検査とプロキシ サーバーの例外を構成して、Linuxの Defender for Endpoint からインターセプトなしで関連する URL への直接データ パススルーを許可します。 インターセプト証明書をグローバル ストアに追加しても、インターセプトは有効になりません。
デバイスが Defender for Endpoint クラウド サービスに接続できるかどうかを確認する
次の記事の手順 1 で説明されているように、環境を準備します 。Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成します。
次の検出方法を使用して、Linux上の Defender for Endpoint をプロキシ サーバー経由で接続します。
- 透過プロキシ
- 手動の静的プロキシ構成
プロキシまたはファイアウォールでトラフィックがブロックされている場合は、前に一覧表示した URL で匿名トラフィックを許可します。
注:
Defender for Endpoint では、透過的プロキシの構成は必要ありません。 「手動静的プロキシ構成」を参照してください。
トラブルシューティング手順については、「LinuxでのMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。
サポートされているLinuxディストリビューション
次のLinux サーバーディストリビューションがサポートされています。
| 配布 | x64 (AMD64/EM64T) | ARM64 |
|---|---|---|
| Red Hat Enterprise Linux | 7.2 以降、8.x、9.x、10.x | 8.x、9.x、10.x |
| CentOS | 7.2 以降、8.x | - |
| CentOS Stream | 8.x、9.x、10.x | 8.x、9.x、10.x |
| Ubuntu LTS | 16.04, 18.04, 20.04, 22.04,24.04 | 20.04, 22.04, 24.04 |
| Ubuntu Pro | 22.04, 24.04 | 22.04, 24.04 |
| Debian | 9–13 | 11, 12, 13 |
| SUSE Linux Enterprise Server | 12.x、15.x | 15 (SP5、SP6) |
| Oracle Linux | 7.2 以降、8.x、9.x | 8.x、9.x |
| Amazon Linux | 2, 2023 | 2, 2023 |
| Fedora | 33–42 | - |
| ロッキー Linux | 8.7+, 9.2+ | - |
| アルマ・Linux | 8.4+, 9.2+ | - |
| マリナー | 2 | - |
注:
上記で明示的に一覧表示されていないディストリビューションとバージョン、およびカスタム オペレーティング システムはサポートされていません (公式にサポートされているディストリビューションから派生している場合でも)。
Microsoft Defender for Endpointは、サポートされているすべてのディストリビューションとバージョンに依存しないカーネル バージョンです。 カーネル バージョンの最小要件は、 3.10.0-327 以降です。
警告
Linuxで他の fanotify ベースのセキュリティ ソリューションと共に Defender for Endpoint を実行することはサポートされていないため、システムハングなど、予期しない動作が発生する可能性があります。
ブロッキング モードで fanotify を使用するアプリケーションがある場合は、mdatp 正常性コマンド出力のconflicting_applications フィールドに表示されます。
ウイルス対策の適用レベルをパッシブに設定することで、Linuxの Defender for Endpoint を安全に利用できます。 「LinuxのMicrosoft Defender for Endpointでセキュリティ設定を構成する」を参照してください。
例外:ブロッキング モードでも Fanotify を使用するLinux FAPolicyD機能は、Mdatp 正常性が正常な状態を報告する場合に、RHEL および Fedora プラットフォームでアクティブ モードの Defender for Endpoint でサポートされます。 この例外は、これらのディストリビューションに固有の検証済みの互換性に基づいています。
リアルタイム保護とクイック、フル、カスタム スキャンでサポートされるファイルシステム
| リアルタイム保護とクイック/フル スキャン | カスタム スキャン |
|---|---|
btrfs |
リアルタイム保護とクイック/フル スキャンでサポートされているすべてのファイルシステムは、カスタム スキャンでもサポートされます。 addtion では、以下に示すファイルシステムもカスタム スキャンでサポートされています。 |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (v3) |
cifs |
nfs4 |
smb |
overlay |
gcsfuse |
ramfs |
sysfs |
reiserfs |
|
tmpfs |
|
udf |
|
vfat |
|
xfs |
注:
NFS v3 マウント ポイントをスキャンするには、必ず no_root_squash エクスポート オプションを設定します。 このオプションがないと、アクセス許可がないために NFS v3 のスキャンが失敗する可能性があります。
ロールと権限
- インストールには、Linux サーバー エンドポイントに対する管理者権限が必要です。
- Defender for Endpoint で割り当てられた適切なロール。 「ロールベースのアクセス制御」を参照してください。
インストール方法とツール
サポートされているLinux サーバーにMicrosoft Defender for Endpointをデプロイするために使用できる方法とツールがいくつかあります。
デプロイ ツールベースのデプロイを使用することをお勧めします。これは、オンボード プロセスを簡素化し、手動タスクを減らし、新しいインストール、アップグレード、アンインストールなど、幅広い展開シナリオをサポートするためです。 詳細については、「Microsoft Defender エンドポイント セキュリティを Defender 展開ツール (プレビュー)を使用してLinuxデバイスに展開する」を参照してください。
- デプロイ ツールベースのデプロイ (推奨)
- インストーラー スクリプト ベースのデプロイ
- Ansible ベースの展開
- Chef ベースの展開
- Puppet ベースの展開
- SaltStack ベースのデプロイ
- ゴールデン イメージ ベースのデプロイ
- カスタムの場所へのデプロイ
- 手動展開
- Defender for Cloud を使用した直接オンボード
- SAP を使用した Linux Server 上の Defender for Endpoint のガイダンス
重要
Linuxでは、Microsoft Defender for Endpointはランダムな UID 値と GID 値を持つ mdatp ユーザーを作成します。 これらの値を制御する場合は、 /usr/sbin/nologin シェル オプションを使用してインストールする前に mdatp ユーザーを作成します。
mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。
インストールの問題が発生した場合は、自己トラブルシューティング リソースを使用できます。 [ 関連コンテンツ] セクションのリンクを参照してください。
次の手順
- Linuxに Defender for Endpoint を展開する
- Linuxで Defender for Endpoint を構成する
- Linuxで Defender for Endpoint の更新プログラムを展開する
関連コンテンツ
- Microsoft Defender for Endpointセキュリティ設定管理を使用してウイルス対策Microsoft Defender管理する
- リソースのLinux
- LinuxでのMicrosoft Defender for Endpointに関するクラウド接続の問題のトラブルシューティング
- エージェントの正常性に関する問題の調査
- LinuxでのMicrosoft Defender for Endpointのイベントまたはアラートの不足に関する問題のトラブルシューティング
- LinuxでのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング
- カスタム パスにLinuxに Defender for Endpoint をインストールする