다음을 통해 공유

엔드포인트용 Microsoft Defender(Linux용)

  • 아티클

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

이 문서에서는 Linux에서 엔드포인트용 Microsoft Defender 설치, 구성, 업데이트 및 사용하는 방법을 설명합니다.

주의

Linux에서 엔드포인트용 Microsoft Defender 함께 다른 타사 엔드포인트 보호 제품을 실행하면 성능 문제와 예측할 수 없는 부작용이 발생할 수 있습니다. 비 Microsoft 엔드포인트 보호가 사용자 환경에서 절대 요구 사항인 경우 수동 모드에서 실행되도록 바이러스 백신 기능을 구성한 후에도 Linux EDR의 엔드포인트용 Defender 기능을 안전하게 활용할 수 있습니다.

Linux에 엔드포인트용 Microsoft Defender 설치하는 방법

Linux용 엔드포인트용 Microsoft Defender 맬웨어 방지 및 EDR(엔드포인트 검색 및 응답) 기능이 포함됩니다.

필수 구성 요소

  • Microsoft Defender 포털에 대한 액세스

  • 시스템 시스템관리자를 사용한 Linux 배포

    참고

    시스템 관리자를 사용하는 Linux 배포는 SystemV 및 Upstart를 모두 지원합니다.

  • Linux 및 BASH 스크립팅의 초급 수준 환경

  • 디바이스의 관리 권한(수동 배포용)

참고

Linux 에이전트의 엔드포인트용 Microsoft Defender OMS 에이전트와 독립적입니다. 엔드포인트용 Microsoft Defender 자체 독립 원격 분석 파이프라인을 사용합니다.

설치 지침

Linux에서 엔드포인트용 Microsoft Defender 설치하고 구성하는 데 사용할 수 있는 몇 가지 방법 및 배포 도구가 있습니다. 시작하기 전에 엔드포인트용 Microsoft Defender 대한 최소 요구 사항이 충족되는지 확인합니다.

다음 방법 중 하나를 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포할 수 있습니다.

설치 오류가 발생하는 경우 Linux의 엔드포인트용 Microsoft Defender 설치 오류 문제 해결을 참조하세요.

중요

기본 설치 경로 이외의 위치에 엔드포인트용 Microsoft Defender 설치하는 것은 지원되지 않습니다. Linux의 엔드포인트용 Microsoft Defender 임의의 UID 및 GID를 mdatp 사용하여 사용자를 만듭니다. UID 및 GID를 제어하려면 셸 옵션을 사용하여 /usr/sbin/nologin 설치하기 전에 사용자를 만듭니 mdatp 다. 예를 들면 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin다음과 같습니다.

시스템 요구 사항

  • 디스크 공간: 2GB

    참고

    크래시 컬렉션에 클라우드 진단 사용하도록 설정된 경우 추가로 2GB 디스크 공간이 필요할 수 있습니다. /var에 사용 가능한 디스크 공간이 있는지 확인하세요.

  • 코어: 최소 2개, 기본 설정 4개

    참고

    수동 또는 RTP ON 모드인 경우 두 개 이상의 코어가 필요합니다. 4개의 코어가 선호됩니다. BM을 켜는 경우 4개 이상의 코어가 필요합니다.

  • 메모리: 최소 1GB, 기본 설정 4GB

  • 다음 Linux 서버 배포 및 x64(AMD64/EM64T) 및 x86_64 버전이 지원됩니다.

    • Red Hat Enterprise Linux 7.2 이상
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 이상
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 이상
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • 페도라 33-38
    • Rocky 8.7 이상
    • Rocky 9.2 이상
    • 앨마 8.4 이상
    • 앨마 9.2 이상
    • 마리너 2

    참고

    명시적으로 나열되지 않은 배포판 및 버전은 지원되지 않습니다(공식적으로 지원되는 배포판에서 파생된 경우에도). 새 패키지 버전이 릴리스되면 이전 두 버전에 대한 지원이 기술 지원으로만 축소됩니다. 이 섹션에 나열된 버전보다 오래된 버전은 기술 업그레이드 지원을 위해 제공됩니다. Microsoft Defender 취약 관리는 현재 록키와 앨마에서 지원되지 않습니다. 지원되는 다른 모든 배포판 및 버전에 대한 엔드포인트용 Microsoft Defender 커널 버전에 구애받지 않습니다. 커널 버전이 3.10.0-327보다 크거나 커널 버전에 대한 요구 사항을 최소화합니다.

    주의

    다른 fanotify기반 보안 솔루션과 함께 Linux에서 엔드포인트용 Defender를 실행하는 것은 지원되지 않습니다. 운영 체제 중단을 포함하여 예측할 수 없는 결과가 발생할 수 있습니다. 시스템에 차단 모드에서 사용하는 fanotify 다른 애플리케이션이 있는 경우 애플리케이션은 명령 출력 필드에 mdatp health 나열 conflicting_applications 됩니다. Linux FAPolicyD 기능은 차단 모드에서 를 사용 fanotify 하므로 활성 모드에서 엔드포인트용 Defender를 실행할 때 지원되지 않습니다. 바이러스 백신 기능 실시간 보호를 수동 모드로 사용하도록 설정한 후에도 Linux EDR의 엔드포인트용 Defender 기능을 안전하게 활용할 수 있습니다.

  • RTP, 빠른, 전체 및 사용자 지정 검사에 대해 지원되는 파일 시스템 목록입니다.

    RTP, 빠른, 전체 검사 사용자 지정 검사
    btrfs RTP, 빠른, 전체 검사에 지원되는 모든 파일 시스템
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (v3에만 해당) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs

  • 감사를 기본 이벤트 공급자로 사용하는 경우 감사 프레임워크(auditd)를 사용하도록 설정해야 합니다.

    참고

    에 추가 /etc/audit/rules.d/ 된 규칙에 의해 캡처된 시스템 이벤트는 에 추가audit.log되고 호스트 감사 및 업스트림 컬렉션에 영향을 줄 수 있습니다. linux에서 엔드포인트용 Microsoft Defender 추가한 이벤트에는 키로 mdatp 태그가 지정됩니다.

  • /opt/microsoft/mdatp/sbin/wdavdaemon에는 실행 가능한 권한이 필요합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 설치 문제 해결의 "디먼에 실행 권한이 있는지 확인"을 참조하세요.

외부 패키지 종속성

종속성 오류 누락으로 인해 엔드포인트용 Microsoft Defender 설치가 실패하는 경우 필수 구성 요소 종속성을 수동으로 다운로드할 수 있습니다. mdatp 패키지에 대한 다음 외부 패키지 종속성이 있습니다.

  • mdatp RPM 패키지에는 glibc >= 2.17, , audit, policycoreutilssemanageselinux-policy-targeted및 가 필요합니다.mde-netfilter
  • RHEL6의 경우 mdatp RPM 패키지에는 audit, , policycoreutilslibselinux및 가 필요합니다.mde-netfilter
  • DEBIAN의 경우 mdatp 패키지에는 libc6 >= 2.23, , uuid-runtimeauditd및 가 필요합니다.mde-netfilter

mde-netfilter 패키지에는 다음 패키지 종속성도 있습니다.

  • DEBIAN의 경우 mde-netfilter 패키지에는 , 및 가 libnetfilter-queue1필요합니다. libglib2.0-0
  • RPM의 경우 mde-netfilter 패키지에는 libmnl, , libnfnetlinklibnetfilter_queue및 가 필요합니다.glib2

제외 구성

Microsoft Defender 바이러스 백신에 제외를 추가할 때는 Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수를 염두에 두어야 합니다.

네트워크 연결

디바이스에서 엔드포인트용 Microsoft Defender 클라우드 서비스로의 연결이 가능한지 확인합니다. 환경을 준비하려면 1단계: 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.

Linux의 엔드포인트용 Defender는 다음 검색 방법을 사용하여 프록시 서버를 통해 연결할 수 있습니다.

  • 투명한 프록시
  • 수동 정적 프록시 구성

프록시 또는 방화벽이 익명 트래픽을 차단하는 경우 이전에 나열된 URL에서 익명 트래픽이 허용되는지 확인합니다. 투명한 프록시의 경우 엔드포인트용 Defender에 다른 구성이 필요하지 않습니다. 정적 프록시의 경우 수동 정적 프록시 구성의 단계를 수행합니다.

경고

PAC, WPAD 및 인증된 프록시는 지원되지 않습니다. 정적 프록시 또는 투명 프록시만 사용되고 있는지 확인합니다. SSL 검사 및 가로채는 프록시도 보안상의 이유로 지원되지 않습니다. 가로채기 없이 Linux의 엔드포인트용 Defender에서 관련 URL로 데이터를 직접 전달하도록 SSL 검사 및 프록시 서버에 대한 예외를 구성합니다. 가로채기 인증서를 전역 저장소에 추가해도 가로채기가 허용되지 않습니다.

문제 해결 단계는 Linux의 엔드포인트용 Microsoft Defender 대한 클라우드 연결 문제 해결을 참조하세요.

Linux에서 엔드포인트용 Microsoft Defender 업데이트하는 방법

Microsoft는 성능, 보안을 개선하고 새로운 기능을 제공하기 위해 소프트웨어 업데이트를 정기적으로 게시합니다. Linux에서 엔드포인트용 Microsoft Defender 업데이트하려면 Linux에서 엔드포인트용 Microsoft Defender 대한 업데이트 배포를 참조하세요.

Linux에서 엔드포인트용 Microsoft Defender를 구성하는 방법

엔터프라이즈 환경에서 제품을 구성하는 방법에 대한 지침은 Linux의 엔드포인트용 Microsoft Defender 대한 기본 설정 설정에서 확인할 수 있습니다.

엔드포인트용 Microsoft Defender 일반적인 애플리케이션이 영향을 미칠 수 있습니다.

특정 애플리케이션의 높은 I/O 워크로드는 엔드포인트용 Microsoft Defender 설치될 때 성능 문제가 발생할 수 있습니다. 개발자 시나리오에 대한 이러한 애플리케이션에는 Jenkins 및 Jira, OracleDB 및 Postgres와 같은 데이터베이스 워크로드가 포함됩니다. 성능 저하가 발생하는 경우 Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수를 염두에 두고 신뢰할 수 있는 애플리케이션에 대한 제외를 설정하는 것이 좋습니다. 자세한 지침은 비 Microsoft 애플리케이션에서 바이러스 백신 제외와 관련된 컨설팅 설명서를 고려하세요.

리소스

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.