Microsoft Defender voor Eindpunt op Linux

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit onderwerp wordt beschreven hoe u Microsoft Defender voor Eindpunt installeert, configureert, bijwerkt en gebruikt in Linux.

Voorzichtigheid

Het uitvoeren van andere eindpuntbeveiligingsproducten van derden naast Microsoft Defender voor Eindpunt op Linux leidt waarschijnlijk tot prestatieproblemen en onvoorspelbare bijwerkingen. Als niet-Microsoft-eindpuntbeveiliging een absolute vereiste is in uw omgeving, kunt u nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit hebt geconfigureerd voor uitvoering in de passieve modus.

Microsoft Defender voor Eindpunt installeren in Linux

Microsoft Defender voor Eindpunt voor Linux bevat mogelijkheden voor antimalware en eindpuntdetectie en -respons (EDR).

Vereisten

  • Toegang tot de Microsoft Defender-portal

  • Linux-distributie met behulp van systemd system manager

    Opmerking

    Linux-distributie met behulp van systeembeheer, met uitzondering van RHEL/CentOS 6.x ondersteunen zowel SystemV als Upstart.

  • Ervaring op beginnersniveau in Linux- en BASH-scripting

  • Beheerdersbevoegdheden op het apparaat (in het geval van handmatige implementatie)

Opmerking

Microsoft Defender voor Eindpunt op Linux-agent is onafhankelijk van de OMS-agent. Microsoft Defender voor Eindpunt is afhankelijk van een eigen onafhankelijke telemetriepijplijn.

Installatie-instructies

Er zijn verschillende methoden en implementatiehulpprogramma's die u kunt gebruiken om Microsoft Defender voor Eindpunt op Linux te installeren en te configureren.

Over het algemeen moet u de volgende stappen uitvoeren:

Opmerking

Het wordt niet ondersteund om Microsoft Defender voor Eindpunt te installeren op een andere locatie dan het standaardinstallatiepad.

Microsoft Defender voor Eindpunt in Linux maakt een 'mdatp'-gebruiker met willekeurige UID en GID. Als u de UID en GID wilt beheren, maakt u vóór de installatie een mdatp-gebruiker met behulp van de shelloptie /usr/sbin/nologin. Bijvoorbeeld: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Systeemvereisten

  • Ondersteunde Linux-serverdistributies en x64 (AMD64/EM64T) en x86_64 versies:

    • Red Hat Enterprise Linux 6.7 of hoger (in preview)

    • Red Hat Enterprise Linux 7.2 of hoger

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 of hoger (in preview)

    • CentOS 7.2 of hoger

    • Ubuntu 16.04 LTS of hoger LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12 of hoger

    • Oracle Linux 7.2 of hoger

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 of hoger

    • Rocky 8.7 en hoger

    • Alma 8.4 en hoger

    • Mariner 2

      Opmerking

      Distributies en versies die niet expliciet worden vermeld, worden niet ondersteund (zelfs als ze zijn afgeleid van de officieel ondersteunde distributies). Met RHEL 6-ondersteuning voor 'verlengd einde van de levensduur' tot 30 juni 2024; MDE Linux-ondersteuning voor RHEL 6 wordt ook afgeschaft op 30 juni 2024 MDE Linux versie 101.23082.0011 is de laatste MDE Linux-release die RHEL 6.7 of hoger ondersteunt (verloopt niet vóór 30 juni 2024). Klanten wordt geadviseerd om upgrades voor hun RHEL 6-infrastructuur te plannen, afgestemd op de richtlijnen van Red Hat.

  • Lijst met ondersteunde kernelversies

    Opmerking

    Microsoft Defender voor Eindpunt op Red Hat Enterprise Linux en CentOS - 6.7 tot 6.10 is een op kernel gebaseerde oplossing. U moet controleren of de kernelversie wordt ondersteund voordat u bijwerkt naar een nieuwere kernelversie. Microsoft Defender voor Eindpunt voor alle andere ondersteunde distributies en versies is kernelversie-agnostisch. Met een minimale vereiste voor de kernelversie op of groter dan 3.10.0-327.

    • De fanotify kerneloptie moet zijn ingeschakeld
    • Red Hat Enterprise Linux 6 en CentOS 6:
      • Voor 6.7: 2.6.32-573.* (behalve 2.6.32-573.el6.x86_64)
      • Voor 6.8: 2.6.32-642.*
      • Voor 6.9: 2.6.32-696.* (behalve 2.6.32-696.el6.x86_64)
      • Voor 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Opmerking

    Nadat een nieuwe pakketversie is uitgebracht, wordt de ondersteuning voor de vorige twee versies beperkt tot alleen technische ondersteuning. Versies die ouder zijn dan de versies die in deze sectie worden vermeld, zijn alleen beschikbaar voor technische upgrade-ondersteuning.

    Voorzichtigheid

    Het uitvoeren van Defender voor Eindpunt op Linux naast andere fanotifybeveiligingsoplossingen wordt niet ondersteund. Dit kan leiden tot onvoorspelbare resultaten, waaronder het vasthangen van het besturingssysteem. Als er andere toepassingen op het systeem zijn die in de blokkeringsmodus worden gebruikt fanotify , worden toepassingen vermeld in het conflicting_applications veld van de mdatp health opdrachtuitvoer. De Linux FAPolicyD-functie gebruikt fanotify in de blokkeringsmodus en wordt daarom niet ondersteund bij het uitvoeren van Defender voor Eindpunt in de actieve modus. U kunt nog steeds veilig profiteren van de functionaliteit van Defender voor Eindpunt op Linux EDR nadat u de antivirusfunctionaliteit real-timebeveiliging hebt geconfigureerd in de passieve modus.

  • Schijfruimte: 2 GB

    Opmerking

    Er kan 2 GB extra schijfruimte nodig zijn als clouddiagnose is ingeschakeld voor crashverzamelingen.

  • /opt/microsoft/mdatp/sbin/wdavdaemon vereist uitvoerbare machtiging. Zie 'Controleren of de daemon uitvoerbare machtiging heeft' in Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux voor meer informatie.

  • Kernen: minimaal 2, 4 voorkeurskernen

  • Geheugen: minimaal 1 GB, 4 voorkeur

    Opmerking

    Zorg ervoor dat u vrije schijfruimte hebt in /var.

  • Lijst met ondersteunde bestandssystemen voor RTP, Snel, Volledig en Aangepaste scan.

    RTP, snel, volledige scan Aangepaste scan
    Btrfs Alle bestandssystemen die worden ondersteund voor RTP, Quick, Full Scan
    Ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    Fuse glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs (alleen v3) Cifs
    Overlay Smb
    Ramfs gcsfuse
    Reiserfs Sysfs
    tmpfs
    Udf
    Vfat
    Xfs

Nadat u de service hebt ingeschakeld, moet u uw netwerk of firewall configureren om uitgaande verbindingen tussen de service en uw eindpunten toe te staan.

  • Auditframework (auditd) moet zijn ingeschakeld.

    Opmerking

    Systeemevenementen die zijn vastgelegd door regels die zijn toegevoegd aan /etc/audit/rules.d/ , worden toegevoegd aan audit.log(s) en kunnen van invloed zijn op hostcontrole en upstream-verzameling. Gebeurtenissen die door Microsoft Defender voor Eindpunt in Linux zijn toegevoegd, worden gelabeld met mdatp een sleutel.

Afhankelijkheid van extern pakket

De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:

  • Het rpm-pakket mdatp vereist "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • Voor RHEL6 vereist het mdatp RPM-pakket "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • Voor DEBIAN vereist het mdatp-pakket "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Het pakket mde-netfilter heeft ook de volgende pakketafhankelijkheden:

  • Voor DEBIAN vereist het pakket mde-netfilter "libnetfilter-queue1", "downloadslib2.0-0"
  • Voor RPM vereist het pakket mde-netfilter 'libmnl', 'libnfnetlink', 'libnetfilter_queue', 'glib2'

Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden.

Uitsluitingen configureren

Wanneer u uitsluitingen toevoegt aan Microsoft Defender Antivirus, moet u rekening houden met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus.

Netwerkverbindingen

Het volgende downloadbare spreadsheet bevat de services en de bijbehorende URL's waarmee uw netwerk verbinding moet kunnen maken. U moet ervoor zorgen dat er geen firewall- of netwerkfilterregels zijn die de toegang tot deze URL's weigeren. Als die er zijn, moet u mogelijk een regel voor toestaan maken die specifiek voor hen is.

Spreadsheet met lijst met domeinen Beschrijving
Microsoft Defender voor Eindpunt URL-lijst voor commerciële klanten Spreadsheet met specifieke DNS-records voor servicelocaties, geografische locaties en besturingssysteem voor commerciële klanten.

Download het spreadsheet hier.
Microsoft Defender voor Eindpunt URL-lijst voor Gov/GCC/DoD Spreadsheet met specifieke DNS-records voor servicelocaties, geografische locaties en besturingssysteem voor Gov/GCC/DoD-klanten.

Download het spreadsheet hier.

Opmerking

Zie Proxy- en internetverbindingsinstellingen configureren voor een specifiekere URL-lijst.

Defender voor Eindpunt kan een proxyserver detecteren met behulp van de volgende detectiemethoden:

  • Transparante proxy
  • Handmatige configuratie van statische proxy

Als een proxy of firewall anoniem verkeer blokkeert, controleert u of anoniem verkeer is toegestaan in de eerder vermelde URL's. Voor transparante proxy's is geen aanvullende configuratie nodig voor Defender voor Eindpunt. Voor statische proxy volgt u de stappen in Handmatige configuratie van statische proxy.

Waarschuwing

PAC, WPAD en geverifieerde proxy's worden niet ondersteund. Zorg ervoor dat alleen een statische proxy of transparante proxy wordt gebruikt.

SSL-inspectie en het onderscheppen van proxy's worden ook om veiligheidsredenen niet ondersteund. Configureer een uitzondering voor SSL-inspectie en uw proxyserver om gegevens van Defender voor Eindpunt op Linux rechtstreeks door te geven aan de relevante URL's zonder interceptie. Als u uw interceptiecertificaat toevoegt aan het globale archief, is onderschepping niet toegestaan.

Zie Problemen met cloudconnectiviteit oplossen voor Microsoft Defender voor Eindpunt in Linux voor probleemoplossingsstappen.

Microsoft Defender voor Eindpunt bijwerken in Linux

Microsoft publiceert regelmatig software-updates om de prestaties en beveiliging te verbeteren en nieuwe functies te leveren. Als u Microsoft Defender voor Eindpunt in Linux wilt bijwerken, raadpleegt u Updates implementeren voor Microsoft Defender voor Eindpunt op Linux.

Microsoft Defender voor Eindpunt configureren in Linux

Richtlijnen voor het configureren van het product in bedrijfsomgevingen vindt u in Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux.

Algemene toepassingen om te Microsoft Defender voor Eindpunt kunnen van invloed zijn

Hoge I/O-workloads van bepaalde toepassingen kunnen prestatieproblemen ondervinden wanneer Microsoft Defender voor Eindpunt wordt geïnstalleerd. Deze omvatten toepassingen voor scenario's voor ontwikkelaars, zoals Jenkins en Jira, en databaseworkloads zoals OracleDB en Postgres. Als de prestaties afnemen, kunt u uitsluitingen instellen voor vertrouwde toepassingen, waarbij u rekening houdt met veelvoorkomende uitsluitingsfouten voor Microsoft Defender Antivirus. Raadpleeg voor aanvullende richtlijnen documentatie over antivirusuitsluitingen van toepassingen van derden.

Middelen

  • Zie Resources voor meer informatie over logboekregistratie, verwijdering of andere onderwerpen.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.