Del via

Microsoft Defender for endepunkt på Linux

  • Artikkel

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du installerer, konfigurerer, oppdaterer og bruker Microsoft Defender for endepunkt på Linux.

Forsiktig!

Hvis du kjører andre ikke-Microsoft-endepunktbeskyttelsesprodukter sammen med Microsoft Defender for endepunkt på Linux, vil det sannsynligvis føre til ytelsesproblemer og uforutsigbare bivirkninger. Hvis beskyttelse uten Microsoft-endepunkt er et absolutt krav i miljøet ditt, kan du likevel trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter at du har konfigurert antivirusfunksjonalitet til å kjøre i passiv modus.

Slik installerer du Microsoft Defender for endepunkt på Linux

Microsoft Defender for endepunkt for Linux inkluderer funksjoner for anti-malware og gjenkjenning av endepunkt og respons (EDR).

Forutsetninger

  • Tilgang til Microsoft Defender-portalen

  • Linux-distribusjon ved hjelp av systemansvarlig for systemet

    Obs!

    Linux-distribusjon ved hjelp av systemansvarlig støtter både SystemV og Upstart.

  • Erfaring på nybegynnernivå i Linux- og BASH-skripting

  • Administrative rettigheter på enheten (for manuell distribusjon)

Obs!

Microsoft Defender for endepunkt på Linux-agenten er uavhengig av OMS-agenten. Microsoft Defender for endepunkt er avhengig av sin egen uavhengige telemetrisamlebånd.

Installasjonsinstruksjoner

Det finnes flere metoder og distribusjonsverktøy som du kan bruke til å installere og konfigurere Microsoft Defender for endepunkt på Linux. Før du begynner, må du kontrollere at minimumskravene for Microsoft Defender for endepunkt er oppfylt.

Du kan bruke én av følgende metoder til å distribuere Microsoft Defender for endepunkt på Linux:

Hvis du opplever installasjonsfeil, kan du se Feilsøke installasjonsfeil i Microsoft Defender for endepunkt på Linux.

Viktig

Installering av Microsoft Defender for endepunkt et annet sted enn standard installasjonsbane støttes ikke. Microsoft Defender for endepunkt på Linux oppretter en mdatp bruker med tilfeldig UID og GID. Hvis du vil kontrollere UID og GID, oppretter du en mdatp bruker før installasjonen ved hjelp av skallalternativet /usr/sbin/nologin . Her er et eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Systemkrav

  • Diskplass: 2 GB

    Obs!

    Det kan være nødvendig med ytterligere 2 GB diskplass hvis skydiagnose er aktivert for krasjsamlinger. Kontroller at du har ledig diskplass i /var.

  • Kjerner: To minimum, fire foretrukket

    Obs!

    Hvis du er i passiv- eller RTP PÅ-modus, kreves minst to kjerner. Fire kjerner foretrekkes. Hvis du aktiverer BM, kreves minst fire kjerner.

  • Minne: Minimum 1 GB, 4 GB foretrukket

  • Følgende Linux-serverdistribusjoner og x64 -versjoner (AMD64/EM64T) og x86_64 versjoner støttes:

    • Red Hat Enterprise Linux 7.2 eller nyere
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 eller nyere
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 til 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 eller nyere
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8,7 og høyere
    • Rocky 9.2 og høyere
    • Alma 8,4 og nyere
    • Alma 9.2 og nyere
    • Mariner 2

    Obs!

    Distribusjoner og versjoner som ikke er eksplisitt oppført, støttes ikke (selv om de er avledet fra offisielt støttede distribusjoner). Etter at en ny pakkeversjon er utgitt, reduseres støtte for de to foregående versjonene bare til teknisk støtte. Versjoner som er eldre enn de som er oppført i denne delen, er bare tilgjengelige for støtte for teknisk oppgradering. Microsoft Defender Vulnerablity Management støttes ikke på Rocky og Alma for øyeblikket. Microsoft Defender for endepunkt for alle andre støttede distribusjoner og versjoner er kjerneversjon-agnostisk. Med minimalt krav for at kjerneversjonen skal være på eller større enn 3.10.0-327.

    Forsiktig!

    Å kjøre Defender for endepunkt på Linux side ved side med andre fanotify-baserte sikkerhetsløsninger støttes ikke. Det kan føre til uforutsigbare resultater, inkludert å henge operativsystemet. Hvis det finnes andre programmer på systemet som brukes fanotify i blokkeringsmodus, er programmer oppført i conflicting_applications feltet for mdatp health kommandoutdataene. Linux FAPolicyD-funksjonen bruker fanotify i blokkeringsmodus, og støttes derfor ikke når du kjører Defender for endepunkt i aktiv modus. Du kan fortsatt trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter konfigurering av antivirusfunksjonaliteten Sanntidsbeskyttelse aktivert til passiv modus.

  • Liste over støttede filsystemer for RTP, Hurtig, Fullstendig og Egendefinert skanning.

    RTP, hurtig, fullstendig skanning Egendefinert skanning
    btrfs Alle filsystemer som støttes for RTP, Hurtig, Fullstendig skanning
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (bare v3) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs

  • Revisjonsrammeverk (auditd) må aktiveres hvis du bruker revisjon som primær hendelsesleverandør.

    Obs!

    Systemhendelser som fanges opp av regler som er lagt til /etc/audit/rules.d/ , legges til audit.log(e) og kan påvirke vertsovervåking og oppstrøms samling. Hendelser som legges til av Microsoft Defender for endepunkt på Linux, blir merket med mdatp nøkkel.

  • /opt/microsoft/mdatp/sbin/wdavdaemon krever kjørbar tillatelse. Hvis du vil ha mer informasjon, kan du se «Sikre at daemonen har kjørbar tillatelse» i Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

Avhengighet av ekstern pakke

Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned forutsetningsavhengighetene manuelt. Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:

  • Mdatp RPM-pakken krever glibc >= 2.17, , auditpolicycoreutils, semanageselinux-policy-targetedogmde-netfilter
  • For RHEL6 krever auditmdatp RPM-pakken , policycoreutils, libselinuxog mde-netfilter
  • Mdatp-pakken krever libc6 >= 2.23, , uuid-runtimeauditdog for DEBIANmde-netfilter

MDE-netfilter-pakken har også følgende pakkeavhengigheter:

  • For DEBIAN krever libnetfilter-queue1mde-netfilter-pakken , og libglib2.0-0
  • For RPM krever libmnlmde-netfilter-pakken , libnfnetlink, libnetfilter_queue, og glib2

Konfigurering av utelatelser

Når du legger til unntak i Microsoft Defender Antivirus, bør du være oppmerksom på vanlige utelatelsesfeil for Microsoft Defender Antivirus.

Nettverkstilkoblinger

Sørg for at tilkobling er mulig fra enhetene dine for å Microsoft Defender for endepunkt skytjenester. Hvis du vil klargjøre miljøet, kan du se TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.

Defender for Endpoint på Linux kan koble til via en proxy-server ved hjelp av følgende søkemetoder:

  • Gjennomsiktig proxy
  • Manuell statisk proxy-konfigurasjon

Hvis en proxy eller brannmur blokkerer anonym trafikk, må du kontrollere at anonym trafikk er tillatt i nettadressene som er oppført tidligere. For gjennomsiktige proxyer er det ikke nødvendig med en annen konfigurasjon for Defender for Endpoint. Følg trinnene i Manuell statisk proxy-konfigurasjon for statisk proxy for statisk proxy.

Advarsel

PAC, WPAD og godkjente proxyer støttes ikke. Kontroller at bare en statisk proxy eller gjennomsiktig proxy brukes. SSL-inspeksjon og skjæringsproxyer støttes heller ikke av sikkerhetsårsaker. Konfigurer et unntak for SSL-inspeksjon og proxy-serveren for direkte overføring av data fra Defender for Endpoint på Linux til de relevante nettadressene uten avskjæring. Hvis du legger til avskjæringssertifikatet i det globale lageret, tillates det ikke avskjæring.

Hvis du vil ha informasjon om feilsøkingstrinn, kan du se Feilsøke problemer med skytilkobling for Microsoft Defender for endepunkt på Linux.

Slik oppdaterer du Microsoft Defender for endepunkt på Linux

Microsoft publiserer jevnlig programvareoppdateringer for å forbedre ytelsen, sikkerheten og levere nye funksjoner. Hvis du vil oppdatere Microsoft Defender for endepunkt på Linux, kan du se Distribuer oppdateringer for Microsoft Defender for endepunkt på Linux.

Slik konfigurerer du Microsoft Defender for endepunkt på Linux

Veiledning for hvordan du konfigurerer produktet i bedriftsmiljøer, er tilgjengelig i angi innstillinger for Microsoft Defender for endepunkt på Linux.

Vanlige programmer å Microsoft Defender for endepunkt kan påvirke

Høye I/U-arbeidsbelastninger fra enkelte programmer kan oppleve ytelsesproblemer når Microsoft Defender for endepunkt er installert. Slike programmer for utviklerscenarioer inkluderer Jenkins og Jira, og databasearbeidsbelastninger som OracleDB og Postgres. Hvis du opplever ytelsesreduksjon, bør du vurdere å angi utelatelser for klarerte programmer, og beholde vanlige utelatelsesfeil for Microsoft Defender Antivirus i tankene. Hvis du vil ha mer veiledning, kan du vurdere å konsultere dokumentasjon om antivirusutelukkelser fra programmer som ikke er fra Microsoft.

Ressurser

  • Hvis du vil ha mer informasjon om logging, avinstallasjon eller andre artikler, kan du se Ressurser.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.