Microsoft Defender voor Eindpunt op Linux
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt in Linux installeert, configureert, bijwerkt en gebruikt.
Voorzichtigheid
Het uitvoeren van andere endpoint protection-producten van derden naast Microsoft Defender voor Eindpunt in Linux leidt waarschijnlijk tot prestatieproblemen en onvoorspelbare bijwerkingen. Als niet-Microsoft-eindpuntbeveiliging een absolute vereiste is in uw omgeving, kunt u nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit hebt geconfigureerd voor uitvoering in de passieve modus.
Microsoft Defender voor Eindpunt installeren in Linux
Microsoft Defender voor Eindpunt voor Linux bevat mogelijkheden voor antimalware en eindpuntdetectie en -respons (EDR).
Vereisten
Toegang tot de Microsoft Defender-portal
Linux-distributie met behulp van systemd system manager
Opmerking
Linux-distributie met behulp van systeembeheer, met uitzondering van RHEL/CentOS 6.x ondersteunen zowel SystemV als Upstart.
Ervaring op beginnersniveau in Linux- en BASH-scripting
Beheerdersbevoegdheden op het apparaat (in het geval van handmatige implementatie)
Opmerking
De Microsoft Defender voor Eindpunt op Linux-agent is onafhankelijk van de OMS-agent. Microsoft Defender voor Eindpunt is afhankelijk van een eigen onafhankelijke telemetriepijplijn.
Installatie-instructies
Er zijn verschillende methoden en implementatiehulpprogramma's die u kunt gebruiken om Microsoft Defender voor Eindpunt op Linux te installeren en te configureren.
Over het algemeen moet u de volgende stappen uitvoeren:
- Zorg ervoor dat u een Microsoft Defender voor Eindpunt-abonnement hebt.
- Implementeer Microsoft Defender voor Eindpunt in Linux met behulp van een van de volgende implementatiemethoden:
- Het opdrachtregelprogramma:
- Beheerhulpprogramma's van derden:
- Implementeren met behulp van puppet-configuratiebeheerprogramma
-
Implementeren met behulp van het hulpprogramma voor configuratiebeheer van Ansible
- Implementeren met behulp van chef-configuratiebeheerprogramma
- Implementeren met behulp van saltstack-configuratiebeheerprogramma Als u installatiefouten ondervindt, raadpleegt u Installatiefouten oplossen in Microsoft Defender voor Eindpunt op Linux.
Opmerking
Het wordt niet ondersteund om Microsoft Defender voor Eindpunt te installeren op een andere locatie dan het standaardinstallatiepad.
Microsoft Defender voor Eindpunt in Linux maakt een mdatp-gebruiker met willekeurige UID en GID. Als u de UID en GID wilt beheren, maakt u vóór de installatie een mdatp-gebruiker met behulp van de shelloptie /usr/sbin/nologin.
Bijvoorbeeld: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Systeemvereisten
Ondersteunde Linux-serverdistributies en x64 (AMD64/EM64T) en x86_64 versies:
Red Hat Enterprise Linux 6.7 of hoger (in preview)
Red Hat Enterprise Linux 7.2 of hoger
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 of hoger (in preview)
CentOS 7.2 of hoger
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 of hoger
SUSE Linux Enterprise Server 15 of hoger
Oracle Linux 7.2 of hoger
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
Rocky 8.7 en hoger
Rocky 9.2 en hoger
Alma 8.4 en hoger
Alma 9.2 en hoger
Mariner 2
Opmerking
Distributies en versies die niet expliciet worden vermeld, worden niet ondersteund (zelfs als ze zijn afgeleid van de officieel ondersteunde distributies). Met RHEL 6-ondersteuning voor 'verlengd einde van de levensduur' tot 30 juni 2024; MDE Linux-ondersteuning voor RHEL 6 wordt ook afgeschaft op 30 juni 2024 MDE Linux versie 101.23082.0011 is de laatste MDE Linux-release die RHEL 6.7 of hoger ondersteunt (verloopt niet vóór 30 juni 2024). Klanten wordt geadviseerd om upgrades voor hun RHEL 6-infrastructuur te plannen, afgestemd op de richtlijnen van Red Hat. Microsoft Defender Vulnerablity Management wordt momenteel niet ondersteund op Rocky en Alma.
Lijst met ondersteunde kernelversies
Opmerking
Microsoft Defender voor Eindpunt op Red Hat Enterprise Linux en CentOS - 6.7 tot 6.10 is een kernelgebaseerde oplossing. U moet controleren of de kernelversie wordt ondersteund voordat u bijwerkt naar een nieuwere kernelversie. Microsoft Defender voor Eindpunt voor alle andere ondersteunde distributies en versies is kernel-versie-agnostisch. Met een minimale vereiste voor de kernelversie op of groter dan 3.10.0-327.
- De
fanotify
kerneloptie moet zijn ingeschakeld - Red Hat Enterprise Linux 6 en CentOS 6:
- Voor 6.7: 2.6.32-573.* (behalve 2.6.32-573.el6.x86_64)
- Voor 6.8: 2.6.32-642.*
- Voor 6.9: 2.6.32-696.* (behalve 2.6.32-696.el6.x86_64)
- Voor 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Opmerking
Nadat een nieuwe pakketversie is uitgebracht, wordt de ondersteuning voor de vorige twee versies beperkt tot alleen technische ondersteuning. Versies die ouder zijn dan de versies die in deze sectie worden vermeld, zijn alleen beschikbaar voor technische upgrade-ondersteuning.
Voorzichtigheid
Het uitvoeren van Defender voor Eindpunt op Linux naast andere
fanotify
beveiligingsoplossingen wordt niet ondersteund. Dit kan leiden tot onvoorspelbare resultaten, waaronder het vasthangen van het besturingssysteem. Als er andere toepassingen op het systeem zijn die in de blokkeringsmodus worden gebruiktfanotify
, worden toepassingen vermeld in hetconflicting_applications
veld van demdatp health
opdrachtuitvoer. De Linux FAPolicyD-functie gebruiktfanotify
in de blokkeringsmodus en wordt daarom niet ondersteund bij het uitvoeren van Defender voor Eindpunt in de actieve modus. U kunt nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit real-timebeveiliging hebt geconfigureerd in de passieve modus.- De
Schijfruimte: 2 GB
Opmerking
Er kan 2 GB extra schijfruimte nodig zijn als clouddiagnose is ingeschakeld voor crashverzamelingen.
/opt/microsoft/mdatp/sbin/wdavdaemon vereist uitvoerbare machtiging. Zie 'Controleren of de daemon uitvoerbare machtiging heeft' in Installatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen voor meer informatie.
Kernen: minimaal 2, 4 voorkeurskernen
Geheugen: minimaal 1 GB, 4 voorkeur
Opmerking
Zorg ervoor dat u vrije schijfruimte hebt in /var.
Lijst met ondersteunde bestandssystemen voor RTP, Snel, Volledig en Aangepaste scan.
RTP, snel, volledige scan Aangepaste scan btrfs Alle bestandssystemen die worden ondersteund voor RTP, Quick, Full Scan ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr zekering glustrefs fuseblk Afs Jfs sshfs nfs (alleen v3) cifs overlappen Smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
Nadat u de service hebt ingeschakeld, moet u uw netwerk of firewall configureren om uitgaande verbindingen tussen de service en uw eindpunten toe te staan.
Auditframework (
auditd
) moet zijn ingeschakeld.Opmerking
Systeemevenementen die zijn vastgelegd door regels die zijn toegevoegd aan
/etc/audit/rules.d/
, worden toegevoegd aanaudit.log
(s) en kunnen van invloed zijn op hostcontrole en upstream-verzameling. Gebeurtenissen die door Microsoft Defender voor Eindpunt in Linux zijn toegevoegd, worden gelabeld metmdatp
een sleutel.
Afhankelijkheid van extern pakket
De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:
- Het rpm-pakket mdatp vereist "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- Voor RHEL6 vereist het mdatp RPM-pakket "audit", "policycoreutils", "libselinux", "mde-netfilter"
- Voor DEBIAN vereist het mdatp-pakket "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Het pakket mde-netfilter heeft ook de volgende pakketafhankelijkheden:
- Voor DEBIAN vereist het pakket mde-netfilter "libnetfilter-queue1", "downloadslib2.0-0"
- Voor RPM vereist het pakket mde-netfilter 'libmnl', 'libnfnetlink', 'libnetfilter_queue', 'glib2'
Als de installatie van Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden.
Uitsluitingen configureren
Wanneer u uitsluitingen toevoegt aan Microsoft Defender Antivirus, moet u rekening houden met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus.
Netwerkverbindingen
Zorg ervoor dat er verbinding mogelijk is vanaf uw apparaten met Microsoft Defender for Endpoint-cloudservices. Raadpleeg stap 1: uw netwerkomgeving configureren om verbinding te maken met de Defender for Endpoint-service om uw omgeving voor te bereiden.
Defender voor Eindpunt op Linux kan verbinding maken via een proxyserver met behulp van de volgende detectiemethoden:
- Transparante proxy
- Handmatige configuratie van statische proxy
Als een proxy of firewall anoniem verkeer blokkeert, controleert u of anoniem verkeer is toegestaan in de eerder vermelde URL's. Voor transparante proxy's is geen aanvullende configuratie nodig voor Defender voor Eindpunt. Voor statische proxy volgt u de stappen in Handmatige configuratie van statische proxy.
Waarschuwing
PAC, WPAD en geverifieerde proxy's worden niet ondersteund. Zorg ervoor dat alleen een statische proxy of transparante proxy wordt gebruikt.
SSL-inspectie en het onderscheppen van proxy's worden ook om veiligheidsredenen niet ondersteund. Configureer een uitzondering voor SSL-inspectie en uw proxyserver om gegevens van Defender voor Eindpunt op Linux rechtstreeks door te geven aan de relevante URL's zonder interceptie. Als u uw interceptiecertificaat toevoegt aan het globale archief, is onderschepping niet toegestaan.
Zie Problemen met cloudconnectiviteit voor Microsoft Defender voor Eindpunt in Linux oplossen voor stappen voor probleemoplossing.
Microsoft Defender voor Eindpunt bijwerken in Linux
Microsoft publiceert regelmatig software-updates om de prestaties en beveiliging te verbeteren en nieuwe functies te leveren. Als u Microsoft Defender voor Eindpunt op Linux wilt bijwerken, raadpleegt u Updates implementeren voor Microsoft Defender voor Eindpunt op Linux.
Microsoft Defender voor Eindpunt configureren in Linux
Richtlijnen voor het configureren van het product in bedrijfsomgevingen vindt u in Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux.
Algemene toepassingen voor Microsoft Defender voor Eindpunt kunnen van invloed zijn
Hoge I/O-workloads van bepaalde toepassingen kunnen prestatieproblemen ondervinden wanneer Microsoft Defender voor Eindpunt wordt geïnstalleerd. Deze omvatten toepassingen voor scenario's voor ontwikkelaars, zoals Jenkins en Jira, en databaseworkloads zoals OracleDB en Postgres. Als de prestaties afnemen, kunt u overwegen uitsluitingen in te stellen voor vertrouwde toepassingen, waarbij u rekening houdt met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus . Raadpleeg voor aanvullende richtlijnen documentatie over antivirusuitsluitingen van toepassingen van derden.
Middelen
- Zie Resources voor meer informatie over logboekregistratie, verwijdering of andere artikelen.
Verwante artikelen
- Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Defender for Cloud: Microsoft Defender voor Eindpunt
- Uw niet-Azure-machines verbinden met Microsoft Defender for Cloud
- Netwerkbeveiliging inschakelen voor Linux
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.