Microsoft Defender for endepunkt på Linux
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen beskriver hvordan du installerer, konfigurerer, oppdaterer og bruker Microsoft Defender for endepunkt på Linux.
Forsiktig!
Å kjøre andre tredjeparts endepunktbeskyttelsesprodukter sammen med Microsoft Defender for Endpoint på Linux vil sannsynligvis føre til ytelsesproblemer og uforutsigbare bivirkninger. Hvis beskyttelse for ikke-Microsoft-endepunkt er et absolutt krav i miljøet ditt, kan du likevel trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter at du har konfigurert antivirusfunksjonaliteten til å kjøre i passiv modus.
Slik installerer du Microsoft Defender for Endpoint på Linux
Microsoft Defender for Endpoint for Linux inkluderer funksjoner for anti-malware og gjenkjenning av endepunkt og svar (EDR).
Forutsetninger
Tilgang til Microsoft Defender-portalen
Linux-distribusjon ved hjelp av systemansvarlig for systemet
Obs!
Linux-distribusjon ved hjelp av systemansvarlig, bortsett fra RHEL/CentOS 6.x, støtter både SystemV og Upstart.
Erfaring på nybegynnernivå i Linux- og BASH-skripting
Administrative rettigheter på enheten (ved manuell distribusjon)
Obs!
Microsoft Defender for Endpoint på Linux-agenten er uavhengig av OMS-agent. Microsoft Defender for Endpoint er avhengig av sin egen uavhengige telemetrisamlebånd.
Installasjonsinstruksjoner
Det finnes flere metoder og distribusjonsverktøy som du kan bruke til å installere og konfigurere Microsoft Defender for Endpoint på Linux.
Generelt må du utføre følgende trinn:
- Sørg for at du har et Microsoft Defender for Endpoint-abonnement.
- Distribuer Microsoft Defender for endepunkt på Linux ved hjelp av én av følgende distribusjonsmetoder:
- Kommandolinjeverktøyet:
- Tredjeparts administrasjonsverktøy:
Obs!
Det støttes ikke for å installere Microsoft Defender for endepunkt på en annen plassering enn standard installasjonsbane.
Microsoft Defender for Endpoint på Linux oppretter en «mdatp»-bruker med tilfeldig UID og GID. Hvis du vil kontrollere UID og GID, oppretter du en mdatp-bruker før installasjonen ved hjelp av skallalternativet "/usr/sbin/nologin".
Eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Systemkrav
Støttede Linux-serverdistribusjoner og x64 -versjoner (AMD64/EM64T) og x86_64 versjoner:
Red Hat Enterprise Linux 6.7 eller nyere (i forhåndsversjon)
Red Hat Enterprise Linux 7.2 eller nyere
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 eller nyere (i forhåndsversjon)
CentOS 7.2 eller nyere
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 til 12
SUSE Linux Enterprise Server 12 eller nyere
SUSE Linux Enterprise Server 15 eller nyere
Oracle Linux 7.2 eller nyere
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8,7 og høyere
Rocky 9.2 og høyere
Alma 8,4 og nyere
Alma 9.2 og nyere
Mariner 2
Obs!
Distribusjoner og versjoner som ikke er eksplisitt oppført, støttes ikke (selv om de er avledet fra offisielt støttede distribusjoner). Med RHEL 6 støtte for "forlenget slutten av livet" kommer til en slutt innen 30 juni 2024; MDE Linux-støtte for RHEL 6 vil også bli avskrevet innen 30. juni 2024 MDE Linux versjon 101.23082.0011 er den siste MDE Linux-utgivelsen som støtter RHEL 6.7 eller nyere versjoner (utløper ikke før 30. juni 2024). Kunder rådes til å planlegge oppgraderinger til RHEL 6-infrastrukturen på linje med veiledning fra Red Hat. Microsoft Defender Vulnerablity Management støttes for øyeblikket ikke på Rocky og Alma.
Liste over støttede kjerneversjoner
Obs!
Microsoft Defender for Endpoint on Red Hat Enterprise Linux og CentOS – 6,7 til 6,10 er en kjernebasert løsning. Du må kontrollere at kjerneversjonen støttes før du oppdaterer til en nyere kjerneversjon. Microsoft Defender for Endpoint for alle andre støttede distribusjoner og versjoner er kjerneversjon-agnostisk. Med minimalt krav for at kjerneversjonen skal være på eller større enn 3.10.0-327.
- Kjernealternativet
fanotify
må være aktivert - Red Hat Enterprise Linux 6 og CentOS 6:
- For 6.7: 2.6.32-573.* (unntatt 2.6.32-573.el6.x86_64)
- For 6.8: 2.6.32-642.*
- For 6.9: 2.6.32-696.* (unntatt 2.6.32-696.el6.x86_64)
- For 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Obs!
Etter at en ny pakkeversjon er utgitt, reduseres støtte for de to foregående versjonene bare til teknisk støtte. Versjoner som er eldre enn de som er oppført i denne delen, er bare tilgjengelige for støtte for teknisk oppgradering.
Forsiktig!
Å kjøre Defender for endepunkt på Linux side ved side med andre
fanotify
-baserte sikkerhetsløsninger støttes ikke. Det kan føre til uforutsigbare resultater, inkludert å henge operativsystemet. Hvis det finnes andre programmer på systemet som brukesfanotify
i blokkeringsmodus, er programmer oppført iconflicting_applications
feltet formdatp health
kommandoutdataene. Linux FAPolicyD-funksjonen brukerfanotify
i blokkeringsmodus, og støttes derfor ikke når du kjører Defender for endepunkt i aktiv modus. Du kan fortsatt trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter konfigurering av antivirusfunksjonaliteten Sanntidsbeskyttelse aktivert til passiv modus.- Kjernealternativet
Diskplass: 2 GB
Obs!
Det kan være nødvendig med ytterligere 2 GB diskplass hvis skydiagnose er aktivert for krasjsamlinger.
/opt/microsoft/mdatp/sbin/wdavdaemon krever kjørbar tillatelse. Hvis du vil ha mer informasjon, kan du se «Sikre at daemonen har kjørbar tillatelse» i Feilsøke installasjonsproblemer for Microsoft Defender for Endpoint på Linux.
Kjerner: 2 minimum, 4 foretrukket
Minne: 1 GB minimum, 4 foretrukket
Obs!
Kontroller at du har ledig diskplass i /var.
Liste over støttede filsystemer for RTP, Hurtig, Fullstendig og Egendefinert skanning.
RTP, hurtig, fullstendig skanning Egendefinert skanning btrfs Alle filsystemer som støttes for RTP, Hurtig, Fullstendig skanning kryptere Efs ext2 S3f-er ext3 Blobfuse ext4 Begjær sikring glustrefs fuseblk Afs jfs sshfs nfs (bare v3) cifs Overlegg Smb ramf-filer gcsfuse reiserfs sysfs tmpfs udf vfat xfs
Når du har aktivert tjenesten, må du konfigurere nettverket eller brannmuren til å tillate utgående tilkoblinger mellom den og endepunktene.
Revisjonsrammeverk (
auditd
) må være aktivert.Obs!
Systemhendelser som fanges opp av regler som er lagt til
/etc/audit/rules.d/
, legges tilaudit.log
(e) og kan påvirke vertsovervåking og oppstrøms samling. Hendelser som legges til av Microsoft Defender for endepunkt på Linux, blir merket medmdatp
nøkkelen.
Avhengighet av ekstern pakke
Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:
- Mdatp RPM-pakken krever «glibc >= 2.17», «audit», «policycoreutils», «semanage» «selinux-policy-targeted», «mde-netfilter»
- For RHEL6 krever mdatp RPM-pakken «audit», «policycoreutils», «libselinux», «mde-netfilter»
- For DEBIAN krever mdatp-pakken «libc6 >= 2.23», «uuid-runtime», «auditd», «mde-netfilter»
MDE-netfilter-pakken har også følgende pakkeavhengigheter:
- For DEBIAN krever mde-netfilter-pakken "libnetfilter-queue1", "libglib2.0-0"
- For RPM krever mde-netfilter-pakken "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Hvis installasjonen av Microsoft Defender for Endpoint mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned de nødvendige avhengighetene manuelt.
Konfigurering av utelatelser
Når du legger til utelatelser i Microsoft Defender Antivirus, bør du være oppmerksom på vanlige unntaksfeil for Microsoft Defender Antivirus.
Nettverkstilkoblinger
Sørg for at tilkobling er mulig fra enhetene dine til Microsoft Defender for endepunktskytjenester. Hvis du vil klargjøre miljøet, kan du se TRINN 1: Konfigurer nettverksmiljøet for å sikre tilkobling til Defender for Endpoint-tjenesten.
Defender for Endpoint på Linux kan koble til via en proxy-server ved hjelp av følgende søkemetoder:
- Gjennomsiktig proxy
- Manuell statisk proxy-konfigurasjon
Hvis en proxy eller brannmur blokkerer anonym trafikk, må du kontrollere at anonym trafikk er tillatt i nettadressene som er oppført tidligere. Det kreves ingen ekstra konfigurasjon for Defender for endepunkt for gjennomsiktige proxyer. Følg trinnene i Manuell statisk proxy-konfigurasjon for statisk proxy for statisk proxy.
Advarsel
PAC, WPAD og godkjente proxyer støttes ikke. Kontroller at bare en statisk proxy eller gjennomsiktig proxy brukes.
SSL-inspeksjon og skjæringsproxyer støttes heller ikke av sikkerhetsårsaker. Konfigurer et unntak for SSL-inspeksjon og proxy-serveren for direkte overføring av data fra Defender for Endpoint på Linux til de relevante nettadressene uten avskjæring. Hvis du legger til avskjæringssertifikatet i det globale lageret, tillates det ikke avskjæring.
Hvis du vil ha informasjon om feilsøkingstrinn, kan du se Feilsøke problemer med skytilkobling for Microsoft Defender for endepunkt på Linux.
Slik oppdaterer du Microsoft Defender for endepunkt på Linux
Microsoft publiserer jevnlig programvareoppdateringer for å forbedre ytelsen, sikkerheten og levere nye funksjoner. Hvis du vil oppdatere Microsoft Defender for endepunkt på Linux, kan du se Distribuer oppdateringer for Microsoft Defender for Endpoint på Linux.
Slik konfigurerer du Microsoft Defender for endepunkt på Linux
Veiledning for hvordan du konfigurerer produktet i bedriftsmiljøer, er tilgjengelig i Angi innstillinger for Microsoft Defender for Endpoint på Linux.
Vanlige programmer til Microsoft Defender for endepunkt kan påvirke
Høye I/U-arbeidsbelastninger fra enkelte programmer kan oppleve ytelsesproblemer når Microsoft Defender for Endpoint er installert. Disse inkluderer programmer for utviklerscenarioer som Jenkins og Jira, og databasearbeidsbelastninger som OracleDB og Postgres. Hvis du opplever ytelsesreduksjon, bør du vurdere å angi utelatelser for klarerte programmer, og beholde vanlige unntaksfeil for Microsoft Defender Antivirus i tankene. Hvis du vil ha mer veiledning, kan du vurdere å konsultere dokumentasjon om antivirusutelukkelser fra tredjepartsprogrammer.
Ressurser
- Hvis du vil ha mer informasjon om logging, avinstallasjon eller andre artikler, kan du se Ressurser.
Relaterte artikler
- Beskytt endepunktene dine med Defender for Skyens integrerte EDR-løsning: Microsoft Defender for endepunkt
- Koble ikke-Azure-maskiner til Microsoft Defender for Sky
- Slå på nettverksbeskyttelse for Linux
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for