Linux 用 Microsoft Defender for Endpoint

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

Defender for Endpoint では、Ubuntu、RHEL、Debian、SUSE Linux、Amazon Linux、Oracle Linux上の ARM64 ベースのLinux サーバーがサポートされています。 AMD64 デバイスでサポートされているすべての製品機能が、ARM64 ベースのLinux サーバーでサポートされるようになりました。

LinuxのMicrosoft Defender for Endpointとは

Microsoft Defender for Endpointは、組織が高度な脅威を防止、検出、調査、対応できるように設計された包括的なエンタープライズ エンドポイント セキュリティ プラットフォームです。 Windows および Mac クライアント コンピューター、Windows サーバー、Linux サーバー、iOS および Android モバイル デバイスなど、さまざまなデバイスを保護します。

次の表では、Linuxでの Defender for Endpoint の機能について説明します。

カテゴリ	説明
ポスチャ管理	Linux上の Defender for Endpoint は、監視とリスクベースの脆弱性管理とインテリジェントな優先順位付け、修復、追跡を組み合わせて、Linux サーバーを効果的に管理およびセキュリティで保護します。 1 つのウィンドウ オブ グラス エクスペリエンスにより、セキュリティ チームは、organizationの露出スコア、推奨事項、修復、インベントリなどを包括的に確認できます。
脅威に対する保護	Linuxの Defender for Endpoint には、ローカル & クラウドベースの機械学習モデル、動作分析、ヒューリスティックを使用した次世代のウイルス対策保護が含まれています。 クラウド保護は、ほぼ瞬時に検出され、新たに生じる脅威のブロックを提供します。 定期的なセキュリティ インテリジェンスと製品更新プログラムを使用して、専用の継続的な保護を提供します。 また、顧客の IP ベースと URL ベースの侵害インジケーターのポリシーを調査して定義することもできます。
エンドポイントの検出および応答	Linux上の Defender for Endpoint では、AI と高度な分析を使用して、リアルタイムに近い脅威を検出して対応します。 Microsoft Defender ポータルには、Microsoft Defender スイートとorganizationのデバイス全体の検出を表示するための中心的な場所があります。 高度なハンティングを使用して生データを表示し、ネットワーク イベントに関するより多くの洞察を得ることができます。 応答アクションを使用すると、セキュリティ アラートに対して迅速かつ迅速に対処できます。
管理と運用の合理化	Linux上の Defender for Endpoint は、さまざまなLinuxディストリビューションにわたって幅広い範囲をカバーしながら、セキュリティ チームの運用を容易にします。 Microsoft Defender ポータルでセキュリティ設定を管理し、更新サイクルを事前に計画すると同時に、オフラインとマルチクラウドのオプションを使用して、Linux サーバーをサポートできます。
エンタープライズ レベルのスケール、パフォーマンス、信頼性	LinuxのMicrosoft Defender for Endpointは、カーネル モジュールなしで動作し、運用安定性のために eBPF を統合する豊富なセンサー フレームワークで、安定した耐久性のあるパフォーマンスを保証します。 Defender for Endpoint は、大規模なMicrosoft Defender スイートとシームレスに統合され、API 統合、SIEM コネクタ、Power BI サポート、ロールベースのアクセス制御 (RBAC)、MSPP サポートを通じて拡張性を提供します。

サーバー ライセンス

Defender for Endpoint にサーバーをオンボードするには、サーバー ライセンスが必要です。 以下のオプションから選択できます。

• サーバープラン 1 またはプラン 2 のMicrosoft Defender
• サーバーのMicrosoft Defender for Endpoint
• Microsoft Defender for Business servers (中小企業のみ)

Microsoft Defender for Endpointのライセンス要件の詳細については、「Microsoft Defender for Endpoint ライセンス情報」を参照してください。

詳細なライセンス情報については、「製品使用条件: Microsoft Defender for Endpoint」を参照し、アカウント チームと協力して使用条件の詳細を確認してください。

Linuxでの Defender for Endpoint のポリシーの展開と構成

LinuxにMicrosoft Defender for Endpointをデプロイするために使用できる方法とツールがいくつかあります。 Linuxの Defender for Endpoint の前提条件を満たしていることを確認します。

注:

デプロイ ツールベースのデプロイを使用することをお勧めします。これは、オンボード プロセスを簡素化し、手動タスクを減らし、新しいインストール、アップグレード、アンインストールなど、幅広い展開シナリオをサポートするためです。 詳細については、 ドキュメント を参照してください。

• デプロイ ツールベースのデプロイ (推奨)
• インストーラー スクリプト ベースのデプロイ
• Ansible ベースの展開
• Chef ベースの展開
• Puppet ベースの展開
• SaltStack ベースのデプロイ
• ゴールデン イメージ ベースのデプロイ
• カスタムの場所へのデプロイ
• 手動展開
• Defender for Cloud を使用した直接オンボード
• SAP を使用したLinux Server 上の Defender for Endpoint のデプロイ ガイダンス

重要

Linuxでは、Microsoft Defender for Endpointはランダムな UID 値と GID 値を持つ mdatp ユーザーを作成します。 これらの値を制御する場合は、/usr/sbin/nologin シェル オプションを使用してインストールする前に mdatp ユーザーを作成します。 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。

インストールの問題が発生した場合は、自己トラブルシューティング リソースを使用できます。 「 関連項目」 セクションのリンクを参照してください。

Linuxで Defender for Endpoint のポリシーを構成する

Linuxで Defender for Endpoint を構成するには、次の 2 つのオプションからポリシーを構成できます。

• Defender for Endpoint セキュリティ設定管理に登録し、Microsoft Defender ポータルを使用してポリシーを構成および管理します。
• json ファイルを使用する構成プロファイルを設定します。

詳細については、「Linuxで Defender for Endpoint のセキュリティ設定とポリシーを構成する」を参照してください。

ソフトウェア更新プログラム

Microsoft は、パフォーマンスの向上、セキュリティの向上、新機能の提供を行うために、Linuxに Defender for Endpoint 用のソフトウェア更新プログラムを公開しています。 ソフトウェア更新プログラムは、テストと検証に続いて、毎月リリースされます。 場合によっては、リリース間に 30 日以上かかる場合があります。 詳細については、「Linuxの Defender for Endpoint の新機能」を参照してください。

Linuxの Defender for Endpoint の各バージョンは、9 か月後に自動的に期限切れに設定されます。 利用可能な拡張機能と修正プログラムを取得できるように、現在のバージョンを使用することをお勧めします。 詳細については、「LinuxにMicrosoft Defender for Endpointの更新プログラムを展開する方法」を参照してください。

デバイス正常性レポート

Device Health レポートには、ウイルス対策モード、スキャン結果、プラットフォームのバージョン、ウイルス対策エンジンのバージョン、セキュリティ インテリジェンスのバージョンなどの詳細など、Linux サーバーのウイルス対策状態に関する情報が表示されます。

この情報には、ポータルまたは API を使用してアクセスできます。 詳細については、次の記事を参照してください。

• Microsoft Defender for Endpointのデバイス正常性レポート
• Microsoft Defender ウイルス対策エクスポート デバイス ウイルス対策の正常性の詳細 API メソッドとプロパティ

応答アクションとライブ応答

セキュリティ運用チームは、デバイスにリモート接続し、ウイルス対策スキャンの実行、デバイスの分離、調査パッケージの収集など、さまざまな応答アクションを実行できます。

さらに、リモート シェル接続にライブ応答を使用して、詳細な調査作業を実行できます。 詳細については、次の記事を参照してください。

• デバイスの対応措置を講じる
• ライブ応答を使用してデバイス上のエンティティを調査する

プライバシー

Microsoft は、Linuxで Defender for Endpoint を使用しているときにデータを収集および使用する方法について選択するために必要な情報と制御を提供することにコミットしています。

詳細については、「LinuxのMicrosoft Defender for Endpointのプライバシー」を参照してください。

Defender for Endpoint が影響を与える一般的なアプリケーション

特定のアプリケーションからの高い I/O ワークロードでは、Defender for Endpoint がインストールされている場合にパフォーマンスの問題が発生する可能性があります。 このような開発者シナリオのアプリケーションには、Jenkins と Jira、OracleDB や Postgres などのデータベース ワークロードが含まれます。

パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定することを検討してください。 次の記事をご覧ください。

• Linuxでの Defender for Endpoint の除外の構成と検証
• Microsoft Defender ウイルス対策に関する一般的な除外の間違いを確認する

Microsoft 以外のアプリケーションを使用している場合は、ウイルス対策の除外に関するドキュメントも参照してください。

次の手順

• Linuxでの Defender for Endpoint の前提条件を確認する
• Linuxに Defender for Endpoint を展開する
• Linuxで Defender for Endpoint を構成する
• Linuxで Defender for Endpoint の更新プログラムを展開する

関連項目

• Microsoft Defender for Endpointセキュリティ設定管理を使用してウイルス対策Microsoft Defender管理する
• リソースのLinux
• LinuxでのMicrosoft Defender for Endpointに関するクラウド接続の問題のトラブルシューティング
• エージェントの正常性に関する問題の調査
• LinuxでのMicrosoft Defender for Endpointのイベントまたはアラートの不足に関する問題のトラブルシューティング
• LinuxでのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング