Del via


Avansert distribusjonsveiledning for Microsoft Defender for endepunkt på Linux

Denne artikkelen gir avansert distribusjonsveiledning for Microsoft Defender for endepunkt på Linux. Du får et kort sammendrag av distribusjonstrinnene, finner ut mer om systemkravene, og deretter veiledes du gjennom de faktiske distribusjonstrinnene. Du vil også lære hvordan du bekrefter at enheten er riktig pålastet.

Hvis du vil ha informasjon om Microsoft Defender for endepunkt funksjoner, kan du se Avanserte Microsoft Defender for endepunkt funksjoner.

Hvis du vil lære om andre måter å distribuere Microsoft Defender for endepunkt på Linux på, kan du se:

Distribusjonssammendrag

Finn ut mer om den generelle veiledningen om en typisk Microsoft Defender for endepunkt på Linux-distribusjon. Anvendeligheten av noen trinn bestemmes av kravene i Linux-miljøet.

  1. Klargjør nettverksmiljøet.

  2. Registrere ytelsesdata fra endepunktet.

    Obs!

    Vurder å gjøre følgende valgfrie elementer, selv om de ikke er Microsoft Defender for endepunkt spesifikke, har de en tendens til å forbedre ytelsen i Linux-systemer.

  3. (Valgfritt) Se etter filsystemfeil 'fsck' (beslektet med chkdsk).

  4. (Valgfritt) Oppdater drivere for delsystem for lagring.

  5. (Valgfritt) Oppdater nic-drivere.

  6. Bekreft at systemkrav og ressursanbefalinger er oppfylt.

  7. Legg til den eksisterende løsningen i utelatelseslisten for Microsoft Defender Antivirus.

  8. Se gjennom viktige punkter om utelatelser.

  9. Opprett enhet Grupper.

  10. Konfigurer Microsoft Defender for endepunkt på innstillinger for beskyttelse mot skadelig programvare for Linux.

  11. Last ned Microsoft Defender for endepunkt på Linux-pålastingspakken fra Microsoft Defender-portalen.

  12. Bruk Ansible, Puppet eller Chef til å administrere Microsoft Defender for endepunkt på Linux.

  13. Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

  14. Kontroller statistikk for ressursutnyttelse og rapporter om forhåndsutnyttelse sammenlignet med etter distribusjon.

  15. Kontroller kommunikasjon med Microsoft Defender for endepunkt serverdel.

  16. Undersøk problemer med agenttilstand.

  17. Kontroller at du får «Plattform Oppdateringer» (agentoppdateringer).

  18. Kontroller at du får «Security Intelligence Oppdateringer» (signaturer/definisjonsoppdateringer).

  19. Testregistreringer.

  20. Feilsøke manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux.

  21. Feilsøke høy prosessorutnyttelse av UAVHENGIGE programvareleverandører, Linux-apper eller skript.

  22. Avinstaller løsningen som ikke er fra Microsoft.

1. Klargjøre nettverksmiljøet

Legg til Microsoft Defender for endepunkt url-adresser og/eller IP-adresser i den tillatte listen, og hindre trafikk fra å bli kontrollert av SSL.

Nettverkstilkobling for Microsoft Defender for endepunkt

Bruk følgende fremgangsmåte for å kontrollere nettverkstilkoblingen til Microsoft Defender for endepunkt:

  1. Se trinn 1: Tillat mål for Microsoft Defender for endepunkt trafikk som er tillatt for Microsoft Defender for endepunkt trafikk.

  2. Hvis Linux-serverne er bak en proxy, angir du proxy-innstillingene. Hvis du vil ha mer informasjon, kan du se Konfigurere proxy-innstillinger.

  3. Kontroller at trafikken ikke undersøkes av SSL-inspeksjon (TLS-inspeksjon). Dette er det vanligste nettverksrelaterte problemet når du konfigurerer Microsoft Defender endepunkt, se Kontrollere at SSL-inspeksjon ikke utføres på nettverkstrafikken.

Obs!

Hvis du vil ha mer informasjon , kan du se Feilsøke problemer med skytilkobling.

Trinn 1: Tillat mål for Microsoft Defender for endepunkt trafikk

  1. Gå til TRINN 1: Konfigurer nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten for å finne de relevante målene som må være tilgjengelige for enheter i nettverksmiljøet
  2. Konfigurer brannmuren/proxyen/nettverket slik at de relevante nettadressene og/eller IP-adressene tillates

Trinn 2: Konfigurere proxy-innstillinger

Hvis Linux-serverne er bak en proxy, kan du bruke følgende innstillingsveiledning.

Tabellen nedenfor viser de støttede proxy-innstillingene:

Støttes Støttes ikke
Gjennomsiktig proxy Proxy-autokonfigurasjon (PAC, en type godkjent proxy)
Manuell statisk proxy-konfigurasjon Nettproxy-autosøkprotokoll (WPAD, en type godkjent proxy)

Trinn 3: Kontroller at SSL-inspeksjon ikke utføres på nettverkstrafikken

For å forhindre angrep i midten bruker all Microsoft Azure-vertstrafikk sertifikat festing. Som et resultat er SSL-inspeksjoner av store brannmursystemer ikke tillatt. Du må hoppe over SSL-inspeksjon for Microsoft Defender for endepunkt nettadresser. Hvis du vil ha mer informasjon om festeprosessen for sertifikat, kan du se enterprise-certificate-pinning.

Feilsøke problemer med skytilkobling

Hvis du vil ha mer informasjon, kan du se Feilsøke problemer med skytilkobling for Microsoft Defender for endepunkt på Linux.

2. Hente ytelsesdata fra endepunktet

Registrer ytelsesdata fra endepunktene der Defender for Endpoint er installert. Dette inkluderer diskplasstilgjengelighet på alle monterte partisjoner, minnebruk, prosessliste og CPU-bruk (aggreger på tvers av alle kjerner).

3. (Valgfritt) Se etter filsystemfeil 'fsck' (beslektet med chkdsk)

Ethvert filsystem kan ende opp med å bli skadet, så før du installerer ny programvare, er det lurt å installere det på et sunt filsystem.

4. (Valgfritt) Oppdater drivere for lagringsdelsystem

Nyere driver eller fastvare på et lagringsdelsystem kan hjelpe med ytelse og/eller pålitelighet.

5. (Valgfritt) Oppdater nic drivere

Nyere driver/fastvare på en nettverkskort- eller NIC-teamprogramvare kan hjelpe med ytelse og/eller pålitelighet.

6. Bekreft systemkrav og ressursanbefalinger er oppfylt

Den følgende delen gir informasjon om støttede Linux-versjoner og anbefalinger for ressurser.

Hvis du vil ha en detaljert liste over støttede Linux-distroer, kan du se Systemkrav.

Ressurs Anbefaling
Diskplass Minimum: 2 GB
OBS! Mer diskplass kan være nødvendig hvis skydiagnose er aktivert for krasjsamlinger.
VÆR 1 GB
4 GB foretrekkes
CPU Hvis Linux-systemet kjører bare én vcpu, anbefaler vi at det økes til to vcpu-er
4 kjerner foretrekkes
OS-versjon Kjernefilterdriver Kommentarer
RHEL 7.x, RHEL 8.x og RHEL 9.x Ingen kjernefilterdriver, alternativet fanotifiser kjerne må være aktivert Beslektet med Filter Manager (fltmgr, tilgjengelig via fltmc.exe) i Windows

7. Legg til den eksisterende løsningen i utelatelseslisten for Microsoft Defender Antivirus

Dette trinnet i konfigurasjonsprosessen innebærer å legge til Defender for Endpoint i utelatelseslisten for den eksisterende endepunktbeskyttelsesløsningen og eventuelle andre sikkerhetsprodukter organisasjonen bruker. Du kan velge blant flere metoder for å legge til utelatelser i Microsoft Defender Antivirus.

Tips

Hvis du vil ha hjelp til å konfigurere utelatelser, kan du se dokumentasjonen for løsningsleverandøren.

  • Muligheten til å kjøre Microsoft Defender for endepunkt på Linux sammen med et produkt som ikke er microsoft-beskyttelse mot skadelig programvare, avhenger av implementeringsdetaljene for produktet. Hvis det andre produktet for beskyttelse mot skadelig programvare bruker fanotifisering, må det avinstalleres for å eliminere bivirkninger av ytelse og stabilitet som følge av å kjøre to motstridende agenter.

  • Hvis du vil kontrollere om det finnes et ikke-Microsoft-beskyttelsesverktøy som kjører FANotify, kan du kjøre mdatp health, og deretter kontrollere resultatet:

    Bilde av mdatp-tilstandsresultat

    Hvis du ser et annet resultat enn «utilgjengelig» under «conflicting_applications», avinstallerer du ikke-Microsoft-beskyttelse mot skadelig programvare.

  • Hvis du ikke avinstallerer produktet for beskyttelse mot skadelig programvare fra Microsoft, kan det hende du støter på uventede virkemåter, for eksempel ytelsesproblemer, stabilitetsproblemer som systemhenging eller kjernepanikk.

  • Hvis du vil identifisere Microsoft Defender for endepunkt på Linux-prosesser og baner som skal utelukkes i produktet for beskyttelse mot skadelig programvare fra ikke-Microsoft, kjører systemctl status -l mdatpdu .

    Utelat følgende prosesser fra produktet for beskyttelse mot skadelig programvare fra Microsoft:

    wdavdaemon
    crashpad_handler
    mdatp_audis_plugin
    telemetryd_v2

    Utelat følgende baner fra produktet for beskyttelse mot skadelig programvare som ikke er fra Microsoft:

    /opt/microsoft/mdatp/
    /var/opt/microsoft/mdatp/
    /etc/opt/microsoft/mdatp/

8. Husk følgende punkter om utelukkelser

Når du legger til utelatelser i Microsoft Defender antivirusskanninger, bør du legge til bane- og prosessutelukkelser.

Obs!

  • Antivirusutelukkelser gjelder for antivirusmotoren.
  • Indikatorer tillat/blokk gjelder for antivirusmotoren.

Husk følgende punkter:

  • Baneutelukkelser utelater bestemte filer og alle disse filene får tilgang til.
  • Prosessutelukkelser utelater hva en prosess berører, men utelukker ikke selve prosessen.
  • Før opp prosessutelukkelsene ved hjelp av den fullstendige banen, og ikke bare etter navnet. (Bare navn-metoden er mindre sikker.)
  • Hvis du lister opp hver kjørbare fil som både en baneutelukkelse og en prosessutelukkelse, utelukkes prosessen og hva den berører.

Tips

Se gjennom «Vanlige feil å unngå når du definerer utelatelser», spesielt mappeplasseringer og behandler inndelingene for Linux- og macOS-plattformer.

9. Opprette enhetsgrupper

Konfigurer enhetsgrupper, enhetssamlinger og enhetsgrupper for organisasjonen, enhetssamlinger og organisasjonsenheter, slik at sikkerhetsteamet kan administrere og tilordne sikkerhetspolicyer effektivt og effektivt. Tabellen nedenfor beskriver hver av disse gruppene og hvordan du konfigurerer dem. Organisasjonen bruker kanskje ikke alle de tre samlingstypene.

Samlingstype Hva du må gjøre
Enhetsgrupper (tidligere kalt maskingrupper) gjør det mulig for sikkerhetsoperasjonsteamet å konfigurere sikkerhetsfunksjoner, for eksempel automatisert undersøkelse og utbedring.

Enhetsgrupper er også nyttige for å tilordne tilgang til disse enhetene, slik at sikkerhetsoperasjonsteamet kan utføre utbedringshandlinger om nødvendig.

Enhetsgrupper opprettes mens angrepet ble oppdaget og stoppet, varsler, for eksempel et «første tilgangsvarsel», ble utløst og dukket opp i Microsoft Defender-portalen.
1. Gå til Microsoft Defender portal (https://security.microsoft.com).

2. VelgEnhetsgrupper for Innstillinger-endepunkter-tillatelser>>> i navigasjonsruten til venstre.

3. Velg + Legg til enhetsgruppe.

4. Angi et navn og en beskrivelse for enhetsgruppen.

5. Velg et alternativ i listen over automatiseringsnivåer . (Vi anbefaler Full – utbedr trusler automatisk.) Hvis du vil lære mer om de ulike automatiseringsnivåene, kan du se Hvordan trusler utbedres.

6. Angi betingelser for en samsvarende regel for å bestemme hvilke enheter som tilhører enhetsgruppen. Du kan for eksempel velge et domene, OS-versjoner eller til og med bruke enhetskoder.

7. Angi roller som skal ha tilgang til enhetene som er inkludert i enhetsgruppen, på Brukertilgang-fanen .

8. Velg Ferdig.
Enhetssamlinger gjør det mulig for sikkerhetsoperasjonsteamet å administrere programmer, distribuere samsvarsinnstillinger eller installere programvareoppdateringer på enhetene i organisasjonen.

Enhetssamlinger opprettes ved hjelp av Configuration Manager.
Følg trinnene i Opprett en samling.
Organisasjonsenheter gjør det mulig å gruppere objekter logisk, for eksempel brukerkontoer, tjenestekontoer eller datamaskinkontoer.

Deretter kan du tilordne administratorer til bestemte organisasjonsenheter og bruke gruppepolicy for å fremtvinge målrettede konfigurasjonsinnstillinger.

Organisasjonsenheter er definert i Microsoft Entra Domain Services.
Følg trinnene i Opprett en organisasjonsenhet i et Microsoft Entra Domain Services administrert domene.

10. Konfigurer Microsoft Defender for endepunkt på linux-innstillinger for beskyttelse mot skadelig programvare

Før du begynner:

  • Hvis du allerede bruker et produkt som ikke bruker Microsoft-beskyttelse mot skadelig programvare for Linux-serverne, bør du vurdere at du kanskje må kopiere de eksisterende utelukkelsene til Microsoft Defender for endepunkt på Linux.

  • Hvis du ikke bruker et produkt som ikke er microsoft-beskyttelse mot skadelig programvare for Linux-serverne dine, kan du få en liste over alle Linux-programmene og sjekke leverandørnettstedet for utelatelser.

  • Hvis du kjører et produkt som ikke er microsoft-beskyttelse mot skadelig programvare, legger du til prosessene/banene i listen over antivirusutelukkelse fra Microsoft Defender for endepunkt. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for beskyttelse mot skadelig programvare fra Microsoft, eller kontakte kundestøtte.

  • Hvis du tester på én maskin, kan du bruke en kommandolinje til å konfigurere utelukkelsene:

  • Hvis du tester på flere maskiner, kan du bruke følgende mdatp_managed.json fil. Hvis du kommer fra Windows, liker du en gruppepolicy for Defender for Endpoint på Linux.

    Du kan vurdere å endre filen basert på dine behov:

        {
       "antivirusEngine":{
          "enforcementLevel":"real_time",
          "scanAfterDefinitionUpdate":true,
          "scanArchives":true,
          "maximumOnDemandScanThreads":1,
          "exclusionsMergePolicy":"merge",
          "exclusions":[
             {
                "$type":"excludedPath",
                "isDirectory":false,
                "path":"/var/log/system.log"
             },
             {
                "$type":"excludedPath",
                "isDirectory":true,
                "path":"/home"
             },
             {
                "$type":"excludedFileExtension",
                "extension":"pdf"
             },
             {
                "$type":"excludedFileName",
                "name":"cat"
             }
          ],
          "allowedThreats":[
             "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
          ],
          "disallowedThreatActions":[
             "allow",
             "restore"
          ],
          "threatTypeSettingsMergePolicy":"merge",
          "threatTypeSettings":[
             {
                "key":"potentially_unwanted_application",
                "value":"block"
             },
             {
                "key":"archive_bomb",
                "value":"audit"
             }
          ]
       },
       "cloudService":{
          "enabled":true,
          "diagnosticLevel":"optional",
          "automaticSampleSubmissionConsent":"safe",
          "automaticDefinitionUpdateEnabled":true
          "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
       }
    }
    

    Anbefalinger:

           {
        "antivirusEngine":{
           "enforcementLevel":"real_time",
           "scanAfterDefinitionUpdate":true,
           "scanArchives":true,
           "maximumOnDemandScanThreads":1,
           "exclusionsMergePolicy":"merge",
           "exclusions":[
              {
                 "$type":"excludedPath",
                 "isDirectory":false,
                 "path":"/var/log/system.log"
              },
              {
                 "$type":"excludedPath",
                 "isDirectory":true,
                 "path":"/proc"
              },
              {
                 "$type":"excludedPath",
                 "isDirectory":true,
                 "path":"/sys"
              },
              {
                 "$type":"excludedPath",
                 "isDirectory":true,
                 "path":"/dev"
              },
              {
                 "$type":"excludedFileExtension",
                 "extension":""
              },
              {
                 "$type":"excludedFileName",
                 "name":""
              }
           ],
           "allowedThreats":[
              ""
           ],
           "disallowedThreatActions":[
              "allow",
              "restore"
           ],
           "threatTypeSettingsMergePolicy":"merge",
           "threatTypeSettings":[
              {
                 "key":"potentially_unwanted_application",
                 "value":"block"
              },
              {
                 "key":"archive_bomb",
                 "value":"audit"
              }
           ]
        },
        "cloudService":{
           "enabled":true,
           "diagnosticLevel":"optional",
           "automaticSampleSubmissionConsent":"safe",
           "automaticDefinitionUpdateEnabled":true
           "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
        }
    }
    

Obs!

I Linux (og macOS) støtter vi baner der det starter med et jokertegn.

Tabellen nedenfor beskriver innstillingene som anbefales som en del av mdatp_managed.json filen:

Innstillinger Kommentarer
exclusionsMergePolicy settes til admin_only Hindrer at den lokale administratoren kan legge til de lokale utelukkelsene (via bash (ledeteksten)).
disallowedThreatActions settes til allow and restore Hindrer at den lokale administratoren kan gjenopprette et element i karantene (via bash (ledeteksten)).
threatTypeSettingsMergePolicy settes til admin_only Hindrer at den lokale administratoren kan legge til falske positiver eller sanne positiver som er godartede for trusseltypene (via bash (ledeteksten)).
  • Lagre innstillingen som mdatp_managed.json fil.
  • Kopier innstillingen til denne banen /etc/opt/microsoft/mdatp/managed/. Hvis du vil ha mer informasjon, kan du se Angi innstillinger for Microsoft Defender for endepunkt på Linux.
  • Legg til prosesser og baner for beskyttelse mot skadelig programvare som ikke er fra Microsoft, i utelatelseslisten fra forrige trinn.
  • Kontroller at du har lagt til gjeldende utelatelser fra løsningen for beskyttelse mot skadelig programvare som ikke er fra Microsoft, i forrige trinn.

Programmer som Microsoft Defender for endepunkt kan påvirke

Høye I/U-arbeidsbelastninger som Postgres, OracleDB, Jira og Jenkins kan kreve andre utelukkelser, avhengig av hvor mye aktivitet som behandles (og overvåkes av Defender for Endpoint). Det er best å følge veiledning fra ikke-Microsoft-programleverandører for utelukkelser hvis du opplever ytelsesreduksjon etter å ha installert Defender for Endpoint. Husk også vanlige unntaksfeil for Microsoft Defender Antivirus.

Hvis du opplever ytelsesreduksjon, kan du se følgende ressurser:

11. Last ned Microsoft Defender for endepunkt på Linux-pålastingspakken

Hvis du vil ha mer informasjon, kan du se laste ned pålastingspakken fra Microsoft Defender portalen.

Obs!

Denne nedlastingen registrerer Microsoft Defender for endepunkt på Linux for å sende dataene til Microsoft Defender for endepunkt-forekomsten.

Når du har lastet ned denne pakken, kan du følge de manuelle installasjonsinstruksjonene eller bruke en Administrasjonsplattform for Linux til å distribuere og administrere Defender for Endpoint på Linux.

12. Ansible, Puppet og Chef eksempler for å administrere Microsoft Defender for endepunkt på Linux

Defender for Endpoint på Linux er utformet for å tillate nesten alle administrasjonsløsninger å enkelt distribuere og administrere Defender for Endpoint-innstillinger på Linux. Noen vanlige Linux-administrasjonsplattformer er Ansible, Puppet og Chef. Følgende dokumenter inneholder eksempler på hvordan du konfigurerer disse administrasjonsplattformene til å distribuere og konfigurere Defender for Endpoint på Linux.

Distribuer Microsoft Defender for endepunkt på Linux med marionett

Distribuer Microsoft Defender for endepunkt på Linux med Ansible

Distribuer Microsoft Defender for endepunkt på Linux med Chef

Obs!

Omstart er IKKE nødvendig når du har installert eller oppdatert Microsoft Defender for endepunkt på Linux, bortsett fra når du kjører auditD i uforanderlig modus.

Levere innstillingen for planlagte skanninger av cronjob

Planlegg en antivirusskanning ved hjelp av Anacron i Microsoft Defender for endepunkt på Linux. Hvis du vil ha mer informasjon, kan du se Planlegge en antivirusskanning ved hjelp av Anacron i Microsoft Defender for endepunkt på Linux.

Oppdater Microsoft Defender for endepunkt på innstillinger for Linux-agenten cronjob

Planlegg en oppdatering av Microsoft Defender for endepunkt på Linux. Hvis du vil ha mer informasjon, kan du se Planlegge en oppdatering av Microsoft Defender for endepunkt på Linux.

13. Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux

Lær hvordan du feilsøker problemer som kan oppstå under installasjonen i feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

14. Kontroller statistikk for ressursutnyttelse

Kontroller ytelsesstatistikk og sammenlign med forhåndsutnyttelse sammenlignet med etterdistribusjon.

15. Kontroller kommunikasjon med Microsoft Defender for endepunkt serverdel

Hvis du vil bekrefte Microsoft Defender for endepunkt på Linux-kommunikasjon til skyen med gjeldende nettverksinnstillinger, kjører du følgende tilkoblingstest fra kommandolinjen:

mdatp connectivity test

Det følgende bildet viser forventet utdata fra testen:

Dette er bekreftet kommunikasjonsbilde

Hvis du vil ha mer informasjon, kan du se Validering av tilkobling.

16. Undersøk problemer med agenttilstand

Undersøk problemer med agenttilstand basert på verdier som returneres når du kjører mdatp health kommandoen. Hvis du vil ha mer informasjon, kan du se Undersøke problemer med agenttilstand.

17. Kontroller at du kan få plattformoppdateringer (agentoppdateringer)

Kjør følgende kommandolinje for å bekrefte Microsoft Defender for endepunkt på Linux-plattformoppdateringer:

sudo yum update mdatp

eller

apt-get update mdatp

avhengig av pakkebehandling.

Hvis du vil ha mer informasjon, kan du se tilstandsrapporten for enhetstilstand og Microsoft Defender beskyttelse mot skadelig programvare.

Hvis du vil finne den nyeste Broad-kanalutgivelsen, kan du gå til Nyheter i Microsoft Defender for endepunkt på Linux.

Slik oppdaterer du Microsoft Defender for endepunkt på Linux

Microsoft publiserer jevnlig programvareoppdateringer for å forbedre ytelsen, sikkerheten og levere nye funksjoner. Oppdatere Microsoft Defender for endepunkt på Linux. Hvis du vil ha mer informasjon, kan du se Distribuer oppdateringer for Microsoft Defender for endepunkt på Linux.

Obs!

Hvis du har Redhat's Satellite (beslektet med WSUS i Windows), kan du få de oppdaterte pakkene fra den.

Tips

Automatiser agentoppdateringen på en månedlig (anbefalt) tidsplan ved hjelp av en Cron-jobb. Hvis du vil ha mer informasjon, kan du se planlegge en oppdatering av Microsoft Defender for endepunkt på Linux.

Ikke-Windows-endepunkter

Med macOS og Linux kan du ta et par systemer og kjøre i Beta-kanalen.

Obs!

Ideelt sett bør du inkludere én av hver type Linux-system du kjører i forhåndsvisningskanalen, slik at du kan finne kompatibilitets-, ytelses- og pålitelighetsproblemer før bygget kommer inn i den gjeldende kanalen.

Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i Beta er de første som mottar oppdateringer og nye funksjoner, etterfulgt av forhåndsvisning og til slutt av Current.

Insider-ringene.

Hvis du vil forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefales det at du konfigurerer enkelte enheter i bedriften til å bruke enten Beta eller Forhåndsvisning.

Advarsel

Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

18. Kontroller at du kan få sikkerhetsanalyseoppdateringer (signaturer/definisjonsoppdateringer)

Hvis du vil bekrefte Microsoft Defender for endepunkt på Linux-signaturer/definisjonsoppdateringer, kjører du følgende kommandolinje:

mdatp definitions update

Hvis du vil ha mer informasjon, kan du se Ny enhetstilstandsrapportering for Microsoft Defender beskyttelse mot skadelig programvare.

19. Testregistreringer

Kjør følgende gjenkjenningstest for å sikre at enheten er riktig pålastet og rapportert til tjenesten:

20. Feilsøke problemer med manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux

Hvis du vil ha mer informasjon, kan du se Feilsøke manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux.

21. Feilsøk høy CPU-bruk av UAVHENGIGE programvareleverandører, Linux-apper eller skript

Hvis du ser at tredjeparts uavhengige programvareleverandører, internt utviklede Linux-apper eller skript støter på høy CPU-utnyttelse, kan du følge disse trinnene for å undersøke årsaken.

  1. Identifiser tråden eller prosessen som forårsaker symptomet.
  2. Bruk ytterligere diagnosetrinn basert på den identifiserte prosessen for å løse problemet.

Trinn 1: Identifiser Microsoft Defender for endepunkt på Linux-tråden som forårsaker symptomet

Bruk følgende syntakser for å identifisere prosessen som forårsaker CPU-kostnader:

  • Kjør for å få Microsoft Defender for endepunkt prosess-ID som forårsaker problemet:

    sudo top -c
    
  • Hvis du vil ha mer informasjon om Microsoft Defender for endepunkt prosessen, kjører du:

    sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
    
  • Hvis du vil identifisere den spesifikke Microsoft Defender for endepunkt tråd-ID-en som forårsaker den høyeste prosessorutnyttelsen i prosessen, kjører du:

    sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
    

    Dette er prosessorutnyttelse

Tabellen nedenfor viser prosessene som kan føre til høy prosessorbruk:

Prosessnavn Komponent brukt MDE motor brukt
wdavdaemon FANotify Antivirus & EDR
wdavdaemon unprivileged Antivirusmotor
wdavdaemon edr EDR-motor
mdatp_audisp_plugin revisjonsrammeverk (revidert) Inntak av overvåkingslogg

Trinn 2: Bruke ytterligere diagnosetrinn basert på den identifiserte prosessen

Nå som du har identifisert prosessen som forårsaker den høye CPU-bruken, bruker du den tilsvarende diagnoseveiledningen i delen nedenfor.

I forrige trinn wdavdaemon unprivileged ble det for eksempel identifisert som prosessen som forårsaket høy CPU-bruk. Basert på resultatet kan du bruke veiledningen til å kontrollere prosessen med wdavdaemon som ikke er privilegert.

Bruk følgende tabell til å feilsøke høy prosessorutnyttelse:

Prosessnavn Komponent brukt Microsoft Defender for endepunkt motor brukt Trinn
wdavdaemon FANotify Antivirus & EDR – Last ned og kjør Microsoft Defender for endepunkt Client Analyzer. Hvis du vil ha mer informasjon, kan du se Kjør klientanalyse på macOS eller Linux.

– Samle inn diagnosedata ved hjelp av verktøyet klientanalyse.

– Åpne en CSS-støttesak med Microsoft. Hvis du vil ha mer informasjon, kan du se CSS-sikkerhetsstøttesaken.
wdavdaemon unprivileged I/T Antivirusmotor Diagrammet nedenfor viser arbeidsflyten og trinnene som kreves for å legge til antivirusutelukkelser.

Skjermbilde som viser dette er upprivilegerte sensorer.

Generell feilsøkingsveiledning
– Hvis du har interne apper/skript eller en legitim tredjepartsapp/skript som flagges, analyserer Microsofts sikkerhetsforskere mistenkelige filer for å finne ut om de er trusler, uønskede programmer eller vanlige filer. Send inn filer du tror er skadelig programvare eller filer som du mener har blitt feil klassifisert som skadelig programvare, ved hjelp av opplevelsen for enhetlige innsendinger (hvis du vil ha mer informasjon, kan du se opplevelsen av enhetlige innsendinger) eller filinnsendinger.

– Se feilsøke ytelsesproblemer for Microsoft Defender for endepunkt på Linux.

– Last ned og kjør Microsoft Defender for endepunkt Client Analyzer. Hvis du vil ha mer informasjon, kan du se Kjør klientanalyse på macOS eller Linux.

– Samle inn diagnosedata ved hjelp av verktøyet klientanalyse.

– Åpne en CSS-støttesak med Microsoft. Hvis du vil ha mer informasjon, kan du se CSS-sikkerhetsstøttesaken.
wdavdaemon edr I/T EDR-motor Diagrammet nedenfor viser arbeidsflyten og trinnene for å feilsøke wdavedaemon_edr prosessproblemer.

Bilde av feilsøkingsprosessen wdavdaemon edr.

Generell feilsøkingsveiledning
– Hvis du har interne apper/skript eller en legitim tredjepartsapp/skript som flagges, analyserer Microsofts sikkerhetsforskere mistenkelige filer for å finne ut om de er trusler, uønskede programmer eller vanlige filer. Send inn filer du tror er skadelig programvare eller filer som du mener er feil klassifisert som skadelig programvare, ved hjelp av opplevelsen for enhetlige innsendinger (hvis du vil ha mer informasjon, kan du se opplevelsen med enhetlige innsendinger) eller filinnsendinger.

– Se feilsøke ytelsesproblemer for Microsoft Defender for endepunkt på Linux.

– Last ned og kjør Microsoft Defender for endepunkt Client Analyzer. Hvis du vil ha mer informasjon, kan du se Kjør klientanalyse på macOS eller Linux.

– Samle inn diagnosedata ved hjelp av verktøyet klientanalyse.

– Åpne en CSS-støttesak med Microsoft. Hvis du vil ha mer informasjon, kan du se CSS-sikkerhetsstøttesaken.
mdatp_audisp_plugin Revisjonsrammeverk Inntak av overvåkingslogg Se Feilsøke ytelsesproblemer med Microsoft Defender for endepunkt på Linux.

22. Avinstaller løsningen som ikke er Fra Microsoft

Hvis du på dette tidspunktet har:

  • Tavlerte organisasjonens enheter til Defender for Endpoint, og
  • Microsoft Defender Antivirus er installert og aktivert,

Neste trinn er deretter å avinstallere beskyttelsesløsningen for antivirus, beskyttelse mot skadelig programvare og endepunkt som ikke er Fra Microsoft. Når du avinstallerer den ikke-Microsoft-løsningen, må du oppdatere konfigurasjonen for å bytte fra passiv modus til aktiv hvis du angir Defender for endepunkt til passiv modus under installasjonen eller konfigurasjonen.

Diagnose- og feilsøkingsressurser

Avanserte Microsoft Defender for endepunkt funksjoner

Referanser

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.