Linux 用 Microsoft Defender for Endpoint

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

このトピックでは、Linux でMicrosoft Defender for Endpointをインストール、構成、更新、および使用する方法について説明します。

注意

Linux でMicrosoft Defender for Endpointと共に他のサード パーティ製エンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、 パッシブ モードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

Linux にMicrosoft Defender for Endpointをインストールする方法

Linux 用Microsoft Defender for Endpointには、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。

前提条件

  • Microsoft 365 Defender ポータルへのアクセス

  • systemd システム マネージャーを使用した Linux ディストリビューション

    注:

    RHEL/CentOS 6.x を除く、システム マネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。

  • Linux および BASH スクリプトの初心者レベルのエクスペリエンス

  • デバイスの管理特権 (手動展開の場合)

注:

Linux エージェント上のMicrosoft Defender for Endpointは、OMS エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリ パイプラインに依存しています。

インストール手順

Linux にMicrosoft Defender for Endpointをインストールして構成するために使用できる方法とデプロイ ツールがいくつかあります。

一般に、次の手順を実行する必要があります。

インストールエラーが発生した場合は、「linux 上のMicrosoft Defender for Endpointでのインストールエラーのトラブルシューティング」を参照してください。

注:

既定のインストール パス以外の場所にMicrosoft Defender for Endpointをインストールすることはサポートされていません。

Linux 上のMicrosoft Defender for Endpointは、ランダムな UID と GID を持つ "mdatp" ユーザーを作成します。 UID と GID を制御する場合は、インストール前に "/usr/sbin/nologin" シェル オプションを使用して "mdatp" ユーザーを作成します。 (例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin)。

システム要件

注:

Red Hat Enterprise Linux と CentOS 6.7 以降から 6.10 以降のサポートはプレビュー段階です。

  • サポートされている Linux サーバーディストリビューションと x64 (AMD64/EM64T) とx86_64バージョン:

    • Red Hat Enterprise Linux 6.7 以降 (プレビュー)

    • Red Hat Enterprise Linux 7.2 以降

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 以降 (プレビュー)

    • CentOS 7.2 以降

    • Ubuntu 16.04 LTS 以上の LTS

    • Debian 9 以上

    • SUSE Linux Enterprise Server 12 以降

    • Oracle Linux 7.2 以降

    • Oracle Linux 8.x

    • Amazon Linux 2

    • Fedora 33 以上

      注:

      明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。

  • サポートされているカーネル バージョンの一覧

    注:

    Red Hat Enterprise Linux と CentOS 上のMicrosoft Defender for Endpoint - 6.7 から 6.10 はカーネル ベースのソリューションです。 新しいカーネル バージョンに更新する前に、カーネル バージョンがサポートされていることを確認する必要があります。 サポートされているカーネルの一覧については、以下の一覧を参照してください。 サポートされているすべてのディストリビューションとバージョンのMicrosoft Defender for Endpointは、カーネル バージョンに依存しません。 カーネル バージョンが 3.10.0-327 以上である最小要件。

    • カーネル オプションを fanotify 有効にする必要があります
    • Red Hat Enterprise Linux 6 と CentOS 6:
      • 6.7 の場合: 2.6.32-573.*
      • 6.8 の場合: 2.6.32-642.*
      • 6.9: 2.6.32-696.* (2.6.32-696.el6.x86_64を除く)
      • 6.10 の場合: 2.6.32.754.2.1.el6.x86_64 2.6.32-754.48.1:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    注:

    新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。

    注意

    Linux 上で Defender for Endpoint を他 fanotifyのベースのセキュリティ ソリューションと並行して実行することはサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。

  • ディスク領域: 2 GB

    注:

    クラウド 診断がクラッシュ コレクションに対して有効になっている場合は、さらに 2 GB のディスク領域が必要になる場合があります。

  • /opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。 詳細については、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。

  • コア数: 最小 2 個、優先 4 個

  • メモリ: 最小 1 GB、推奨 4

    注:

    /var に空きディスク領域があることを確認してください。

  • このソリューションは現在、次の種類のファイル システムに対してリアルタイム保護を提供します。

    • btrfs
    • ecryptfs
    • ext2
    • ext3
    • ext4
    • fuse
    • fuseblk
    • jfs
    • nfs (v3 only)
    • overlay
    • ramfs
    • reiserfs
    • tmpfs
    • udf
    • vfat
    • xfs

サービスを有効にした後、ネットワークまたはファイアウォールを構成して、サービスとエンドポイント間の送信接続を許可する必要がある場合があります。

  • 監査フレームワーク (auditd) を有効にする必要があります。

    注:

    /etc/audit/rules.d/ 追加されたルールによってキャプチャされたシステム イベントは に audit.log追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上のMicrosoft Defender for Endpointによって追加されたイベントには、キーでタグが付mdatpけられます。

外部パッケージの依存関係

mdatp パッケージには、次の外部パッケージの依存関係があります。

  • mdatp RPM パッケージには、"glibc >= 2.17"、"audit"、"policycoreutils"、"semanage" "selinux-policy-targeted"、"mde-netfilter" が必要です。
  • RHEL6 の場合、mdatp RPM パッケージには "audit"、"policycoreutils"、"libselinux"、"mde-netfilter" が必要です
  • DEBIAN の場合、mdatp パッケージには "libc6 >= 2.23"、"uuid-runtime"、"auditd"、"mde-netfilter" が必要です

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

  • DEBIAN の場合、mde-netfilter パッケージには "libnetfilter-queue1"、"libglib2.0-0" が必要です
  • RPM の場合、mde-netfilter パッケージには "libmnl"、"libnfnetlink"、"libnetfilter_queue"、"glib2" が必要です

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

除外の構成

Microsoft Defenderウイルス対策に除外を追加する場合は、Microsoft Defenderウイルス対策の一般的な除外の間違いに留意する必要があります

ネットワーク接続

次のダウンロード可能なスプレッドシートには、ネットワークが接続できる必要があるサービスとその関連 URL が一覧表示されます。 これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認する必要があります。 ある場合は、特に 許可 ルールを作成する必要があります。

ドメイン リストのスプレッドシート 説明
商用顧客向けの Microsoft Defender for Endpoint の URL リスト 商用顧客向けサービスの場所、地理的な場所、OS に関する特定の DNS レコードのスプレッドシート。

ここにスプレッドシートをダウンロードします。
Gov/GCC/DoD 向けの Microsoft Defender for Endpoint の URL リスト Gov/GCC/DoD のお客様向けのサービスの場所、地理的な場所、OS の特定の DNS レコードのスプレッドシート。

ここにスプレッドシートをダウンロードします。

注:

より具体的な URL の一覧については、「 プロキシとインターネット接続の設定を構成する」を参照してください。

Defender for Endpoint では、次の検出方法を使用してプロキシ サーバーを検出できます。

  • 透過プロキシ
  • 手動の静的プロキシ構成

プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。 透過的なプロキシの場合、Defender for Endpoint に追加の構成は必要ありません。 静的プロキシの場合は、「 手動静的プロキシ構成」の手順に従います。

警告

PAC、WPAD、および認証済みプロキシはサポートされていません。 静的プロキシまたは透過的プロキシのみが使用されていることを確認します。

セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。 インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシ サーバーの例外を構成します。 インターセプト証明書をグローバル ストアに追加すると、インターセプトは許可されません。

トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。

Linux でMicrosoft Defender for Endpointを更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには、「Linux にMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。

Linux 用 Microsoft Defender for Endpoint の構成方法

エンタープライズ環境で製品を構成する方法のガイダンスについては、「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

Microsoft Defender for Endpointする一般的なアプリケーションが影響を与える可能性がある

特定のアプリケーションの I/O ワークロードが高い場合、Microsoft Defender for Endpointのインストール時にパフォーマンスの問題が発生する可能性があります。 これには、Jenkins や Jira などの開発者シナリオのアプリケーションや、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定し、Microsoft Defenderウイルス対策に関する一般的な除外の間違いを念頭に置いて検討してください。 その他のガイダンスについては、サード パーティ製アプリケーションからのウイルス対策の除外に関するコンサルティング ドキュメントを検討してください。

リソース

  • ログ記録、アンインストール、またはその他のトピックの詳細については、「 リソース」を参照してください。