次の方法で共有


Linux 用 Microsoft Defender for Endpoint

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、Linux 上の Microsoft Defender for Endpoint をインストール、構成、更新、および使用する方法について説明します。

注意

Linux 上で Microsoft Defender for Endpoint と共に他のサード パーティ製エンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、 パッシブ モードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

Linux に Microsoft Defender for Endpoint をインストールする方法

Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。

前提条件

  • Microsoft Defender ポータルへのアクセス

  • systemd システム マネージャーを使用した Linux ディストリビューション

    注:

    RHEL/CentOS 6.x を除く、システム マネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。

  • Linux および BASH スクリプトの初心者レベルのエクスペリエンス

  • デバイスの管理特権 (手動展開の場合)

注:

Microsoft Defender for Endpoint on Linux エージェントは OMS エージェントとは独立しています。 Microsoft Defender for Endpoint は、独自の独立したテレメトリ パイプラインに依存しています。

インストール手順

Linux 上の Microsoft Defender for Endpoint のインストールと構成に使用できる方法と展開ツールがいくつかあります。

一般に、次の手順を実行する必要があります。

注:

既定のインストール パス以外の場所に Microsoft Defender for Endpoint をインストールすることはサポートされていません。

Linux 上の Microsoft Defender for Endpoint は、ランダムな UID と GID を持つ "mdatp" ユーザーを作成します。 UID と GID を制御する場合は、インストール前に "/usr/sbin/nologin" シェル オプションを使用して "mdatp" ユーザーを作成します。 例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin

システム要件

  • サポートされている Linux サーバーディストリビューションと x64 (AMD64/EM64T) および x86_64 バージョン:

    • Red Hat Enterprise Linux 6.7 以降 (プレビュー段階)

    • Red Hat Enterprise Linux 7.2 以降

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 以降 (プレビュー段階)

    • CentOS 7.2 以降

    • Ubuntu 16.04 LTS

    • Ubuntu 18.04 LTS

    • Ubuntu 20.04 LTS

    • Ubuntu 22.04 LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12 以降

    • SUSE Linux Enterprise Server 15 以降

    • Oracle Linux 7.2 以降

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 以上

    • ロッキー 8.7 以上

    • アルマ8.4以降

    • マリナー 2

      注:

      明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。 RHEL 6 では、2024 年 6 月 30 日までに「延長された寿命」のサポートが終了します。RHEL 6 の MDE Linux サポートも、2024 年 6 月 30 日までに非推奨となる予定です。MDE Linux バージョン 101.23082.0011 は、RHEL 6.7 以降をサポートする最後の MDE Linux リリースです (2024 年 6 月 30 日までに期限切れになりません)。 お客様は、Red Hat のガイダンスに沿った RHEL 6 インフラストラクチャへのアップグレードを計画することをお勧めします。

      Microsoft Defender Vulnerablity Management は、現在アルマではサポートされていません。

  • サポートされているカーネル バージョンの一覧

    注:

    Red Hat Enterprise Linux と CentOS 上の Microsoft Defender for Endpoint - 6.7 から 6.10 はカーネル ベースのソリューションです。 新しいカーネル バージョンに更新する前に、カーネル バージョンがサポートされていることを確認する必要があります。 他のすべてのサポートされているディストリビューションとバージョンの Microsoft Defender for Endpoint は、カーネル バージョンに依存しません。 カーネル バージョンが 3.10.0-327 以上である最小要件。

    • カーネル オプションを fanotify 有効にする必要があります
    • Red Hat Enterprise Linux 6 と CentOS 6:
      • 6.7: 2.6.32-573.* (2.6.32-573.el6.x86_64を除く)
      • 6.8 の場合: 2.6.32-642.*
      • 6.9: 2.6.32-696.* (2.6.32-696.el6.x86_64を除く)
      • 6.10 の場合:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    注:

    新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。

    注意

    Linux 上で Defender for Endpoint を他 fanotifyのベースのセキュリティ ソリューションと並行して実行することはサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。 システム上に、ブロッキング・モードで使用 fanotify する他のアプリケーションがある場合は、コマンド出力のフィールドに conflicting_applications アプリケーションが mdatp health リストされます。 Linux FAPolicyD 機能はブロック モードで使用 fanotify されるため、アクティブ モードで Defender for Endpoint を実行する場合はサポートされません。 ウイルス対策機能リアルタイム保護を パッシブ モードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

  • ディスク領域: 2 GB

    注:

    クラウド診断がクラッシュ コレクションに対して有効になっている場合は、さらに 2 GB のディスク領域が必要になる場合があります。

  • /opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。 詳細については、「 Linux 上の Microsoft Defender for Endpoint のインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。

  • コア数: 最小 2 個、優先 4 個

  • メモリ: 最小 1 GB、推奨 4

    注:

    /var に空きディスク領域があることを確認してください。

  • RTP、クイック、フル、カスタム スキャンでサポートされているファイルシステムの一覧。

    RTP、クイック、フル スキャン カスタム スキャン
    Btrfs RTP、クイック、フル スキャンでサポートされているすべてのファイルシステム
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    ヒューズ glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs (v3 のみ) Cifs
    overlay Smb
    ramfs gcsfuse
    Reiserfs Sysfs
    Tmpfs
    Udf
    Vfat
    Xfs

サービスを有効にしたら、ネットワークまたはファイアウォールを構成して、サービスとエンドポイント間の送信接続を許可する必要があります。

  • 監査フレームワーク (auditd) を有効にする必要があります。

    注:

    /etc/audit/rules.d/ 追加されたルールによってキャプチャされたシステム イベントは に audit.log追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上の Microsoft Defender for Endpoint によって追加されたイベントには、キーでタグが付 mdatp けられます。

外部パッケージの依存関係

mdatp パッケージには、次の外部パッケージの依存関係があります。

  • mdatp RPM パッケージには、"glibc >= 2.17"、"audit"、"policycoreutils"、"semanage" "selinux-policy-targeted"、"mde-netfilter" が必要です。
  • RHEL6 の場合、mdatp RPM パッケージには "audit"、"policycoreutils"、"libselinux"、"mde-netfilter" が必要です
  • DEBIAN の場合、mdatp パッケージには "libc6 >= 2.23"、"uuid-runtime"、"auditd"、"mde-netfilter" が必要です

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

  • DEBIAN の場合、mde-netfilter パッケージには "libnetfilter-queue1"、"libglib2.0-0" が必要です
  • RPM の場合、mde-netfilter パッケージには "libmnl"、"libnfnetlink"、"libnetfilter_queue"、"glib2" が必要です

依存関係エラーが見つからないために Microsoft Defender for Endpoint のインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

除外の構成

Microsoft Defender ウイルス対策に除外を追加する場合は、 Microsoft Defender ウイルス対策の一般的な除外ミスに留意する必要があります。

ネットワーク接続

デバイスから Microsoft Defender for Endpoint クラウド サービスへの接続が可能であることを確認します。 環境を準備するには、「 手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。

Linux 上の Defender for Endpoint は、次の検出方法を使用してプロキシ サーバー経由で接続できます。

  • 透過プロキシ
  • 手動の静的プロキシ構成

プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。 透過的なプロキシの場合、Defender for Endpoint に追加の構成は必要ありません。 静的プロキシの場合は、「 手動静的プロキシ構成」の手順に従います。

警告

PAC、WPAD、および認証済みプロキシはサポートされていません。 静的プロキシまたは透過的プロキシのみが使用されていることを確認します。

セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。 インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシ サーバーの例外を構成します。 インターセプト証明書をグローバル ストアに追加すると、インターセプトは許可されません。

トラブルシューティング手順については、「 Linux 上の Microsoft Defender for Endpoint のクラウド接続に関する問題のトラブルシューティング」を参照してください。

Linux 上の Microsoft Defender for Endpoint を更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux 上の Microsoft Defender for Endpoint を更新するには、「Linux 上の Microsoft Defender for Endpoint の更新プログラムを展開する」を参照してください。

Linux 用 Microsoft Defender for Endpoint の構成方法

エンタープライズ環境で製品を構成する方法のガイダンスについては、「 Linux 上の Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。

Microsoft Defender for Endpoint への一般的なアプリケーションが影響を与える可能性がある

特定のアプリケーションからの高い I/O ワークロードでは、Microsoft Defender for Endpoint がインストールされている場合にパフォーマンスの問題が発生する可能性があります。 これには、Jenkins や Jira などの開発者シナリオのアプリケーションや、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、 Microsoft Defender ウイルス対策の一般的な除外の間違い を念頭に置いて、信頼されたアプリケーションの除外を設定することを検討してください。 その他のガイダンスについては、サード パーティ製アプリケーションからのウイルス対策の除外に関するコンサルティング ドキュメントを検討してください。

リソース

  • ログ記録、アンインストール、またはその他の記事の詳細については、「 リソース」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。