Udostępnij za pośrednictwem


Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tym artykule opisano sposób instalowania, konfigurowania, aktualizowania i używania usługi Microsoft Defender dla punktu końcowego w systemie Linux.

Uwaga

Uruchamianie innych produktów ochrony punktów końcowych obok usługi Microsoft Defender for Endpoint w systemie Linux może prowadzić do problemów z wydajnością i nieprzewidywalnych skutków ubocznych. Jeśli ochrona punktów końcowych innych niż Microsoft jest absolutnym wymaganiem w twoim środowisku, nadal możesz bezpiecznie korzystać z funkcji Defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej do uruchamiania w trybie pasywnym.

Jak zainstalować usługę Microsoft Defender dla punktu końcowego w systemie Linux

Usługa Microsoft Defender dla punktu końcowego dla systemu Linux obejmuje funkcje ochrony przed złośliwym oprogramowaniem oraz wykrywania i reagowania na punkty końcowe (EDR).

Wymagania wstępne

  • Dostęp do portalu usługi Microsoft Defender

  • Dystrybucja systemu Linux przy użyciu systemowego menedżera systemu

    Uwaga

    Dystrybucja systemu Linux przy użyciu menedżera systemu z wyjątkiem systemu RHEL/CentOS 6.x obsługuje zarówno systemV, jak i upstart.

  • Środowisko dla początkujących w zakresie skryptów bash i systemu Linux

  • Uprawnienia administracyjne na urządzeniu (w przypadku wdrożenia ręcznego)

Uwaga

Agent usługi Microsoft Defender dla punktu końcowego w systemie Linux jest niezależny od agenta pakietu OMS. Usługa Microsoft Defender dla punktu końcowego opiera się na własnym niezależnym potoku telemetrii.

Instrukcje instalacji

Istnieje kilka metod i narzędzi wdrażania, których można użyć do instalowania i konfigurowania usługi Microsoft Defender for Endpoint w systemie Linux.

Ogólnie rzecz biorąc, należy wykonać następujące kroki:

Uwaga

Instalowanie usługi Microsoft Defender for Endpoint w żadnej innej lokalizacji innej niż domyślna ścieżka instalacji nie jest obsługiwane.

Usługa Microsoft Defender dla punktu końcowego w systemie Linux tworzy użytkownika "mdatp" z losowym identyfikatorem UID i identyfikatorem GID. Jeśli chcesz kontrolować identyfikator użytkownika i identyfikator GID, utwórz użytkownika "mdatp" przed instalacją przy użyciu opcji powłoki "/usr/sbin/nologin". Przykład: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Wymagania systemowe

  • Obsługiwane dystrybucje serwerów z systemem Linux i x64 (AMD64/EM64T) i wersje x86_64:

    • Red Hat Enterprise Linux 6.7 lub nowszy (w wersji zapoznawczej)

    • Red Hat Enterprise Linux 7.2 lub nowszy

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 lub nowszy (w wersji zapoznawczej)

    • CentOS 7.2 lub nowszy

    • Ubuntu 16.04 LTS

    • Ubuntu 18.04 LTS

    • Ubuntu 20.04 LTS

    • Ubuntu 22.04 LTS

    • Debian 9 – 12

    • SUSE Linux Enterprise Server 12 lub nowszy

    • SUSE Linux Enterprise Server 15 lub nowszy

    • Oracle Linux 7.2 lub nowszy

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 lub nowsza

    • Rocky 8.7 i nowsze

    • Alma 8.4 i nowsze

    • Marynarz 2

      Uwaga

      Dystrybucje i wersja, które nie są jawnie wymienione, są nieobsługiwane (nawet jeśli pochodzą z oficjalnie obsługiwanych dystrybucji). Wsparcie RHEL 6 dla "przedłużonego końca życia" dobiegnie końca do 30 czerwca 2024 r.; Do 30 czerwca 2024 r. obsługa systemu MDE w systemie Linux w wersji 101.23082.0011 w systemie MDE w wersji 101.23082.0011 z systemem MDE obsługująca system RHEL 6.7 lub nowsze wersje (nie wygasa przed 30 czerwca 2024 r.). Klientom zaleca się planowanie uaktualnień infrastruktury RHEL 6 zgodnie ze wskazówkami firmy Red Hat.

      Usługa Microsoft Defender Vulnerablity Management nie jest obecnie obsługiwana w usłudze Alma.

  • Lista obsługiwanych wersji jądra

    Uwaga

    Usługa Microsoft Defender for Endpoint w systemach Red Hat Enterprise Linux i CentOS — od 6.7 do 6.10 to rozwiązanie oparte na jądrze. Przed zaktualizowaniem do nowszej wersji jądra należy sprawdzić, czy wersja jądra jest obsługiwana. Usługa Microsoft Defender dla punktu końcowego dla wszystkich innych obsługiwanych dystrybucji i wersji jest niezależny od wersji jądra. Przy minimalnym wymaganiu, aby wersja jądra była większa lub większa niż 3.10.0-327.

    • Opcja fanotify jądra musi być włączona
    • Red Hat Enterprise Linux 6 i CentOS 6:
      • Dla wersji 6.7: 2.6.32-573.* (z wyjątkiem 2.6.32-573.el6.x86_64)
      • Dla wersji 6.8: 2.6.32-642.*
      • Dla wersji 6.9: 2.6.32-696.* (z wyjątkiem 2.6.32-696.el6.x86_64)
      • W przypadku wersji 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Uwaga

    Po wydaniu nowej wersji pakietu obsługa dwóch poprzednich wersji jest ograniczona tylko do pomocy technicznej. Wersje starsze niż wymienione w tej sekcji są udostępniane tylko do obsługi uaktualnień technicznych.

    Uwaga

    Uruchamianie usługi Defender for Endpoint w systemie Linux obok innych rozwiązań zabezpieczeń opartych na systemie fanotifynie jest obsługiwane. Może to prowadzić do nieprzewidywalnych wyników, w tym zawieszenia systemu operacyjnego. Jeśli w systemie znajdują się inne aplikacje używane fanotify w trybie blokowania, aplikacje są wyświetlane w conflicting_applications polu danych wyjściowych mdatp health polecenia. Funkcja FAPolicyD systemu Linux jest używana fanotify w trybie blokowania i dlatego nie jest obsługiwana podczas uruchamiania usługi Defender for Endpoint w trybie aktywnym. Nadal możesz bezpiecznie korzystać z funkcji usługi Defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej Ochrona w czasie rzeczywistym włączona w trybie pasywnym.

  • Miejsce na dysku: 2 GB

    Uwaga

    Jeśli diagnostyka chmury jest włączona dla kolekcji awarii, może być wymagane dodatkowe 2 GB miejsca na dysku.

  • /opt/microsoft/mdatp/sbin/wdavdaemon wymaga uprawnień wykonywalnych. Aby uzyskać więcej informacji, zobacz "Upewnij się, że demon ma uprawnienie do wykonywalnego" w temacie Rozwiązywanie problemów z instalacją programu Microsoft Defender dla punktu końcowego w systemie Linux.

  • Rdzenie: 2 minimum, 4 preferowane

  • Pamięć: minimum 1 GB, 4 preferowane

    Uwaga

    Upewnij się, że masz wolne miejsce na dysku w /var.

  • Lista obsługiwanych systemów plików na potrzeby skanowania rtp, szybkiego, pełnego i niestandardowego.

    RTP, szybkie, pełne skanowanie Skanowanie niestandardowe
    Btrfs Wszystkie systemy plików obsługiwane dla rtp, szybkie, pełne skanowanie
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    Bezpiecznik glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs (tylko wersja 3) Cifs
    Nakładki Smb
    ramfs gcsfuse
    Reiserfs Sysfs
    Tmpfs
    Udf
    Vfat
    Xfs

Po włączeniu usługi należy skonfigurować sieć lub zaporę tak, aby zezwalała na połączenia wychodzące między nią a punktami końcowymi.

  • Należy włączyć platformę inspekcji (auditd).

    Uwaga

    Zdarzenia systemowe przechwycone przez reguły dodane do /etc/audit/rules.d/ zostaną dodane do audit.logelementów i mogą mieć wpływ na inspekcję hosta i zbieranie nadrzędne. Zdarzenia dodane przez usługę Microsoft Defender dla punktu końcowego w systemie Linux zostaną oznaczone kluczem mdatp .

Zależność pakietu zewnętrznego

Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:

  • Pakiet MDATP RPM wymaga "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • W przypadku programu RHEL6 pakiet RPM mdatp wymaga polecenia "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • W przypadku debiana pakiet mdatp wymaga "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Pakiet mde-netfilter ma również następujące zależności pakietów:

  • W przypadku DEBIAN pakiet mde-netfilter wymaga polecenia "libnetfilter-queue1", "libglib2.0-0"
  • W przypadku modułu RPM pakiet mde-netfilter wymaga polecenia "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Jeśli instalacja usługi Microsoft Defender dla punktu końcowego zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.

Konfigurowanie wykluczeń

Podczas dodawania wykluczeń do programu antywirusowego Microsoft Defender należy pamiętać o typowych błędach wykluczania programu antywirusowego Microsoft Defender.

Połączenia sieciowe

Upewnij się, że łączność między urządzeniami a usługą Microsoft Defender for Endpoint w chmurze jest możliwa. Aby przygotować środowisko, zapoznaj się z instrukcjami KROK 1: Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint.

Usługa Defender for Endpoint w systemie Linux może łączyć się za pośrednictwem serwera proxy przy użyciu następujących metod odnajdywania:

  • Przezroczysty serwer proxy
  • Ręczna konfiguracja statycznego serwera proxy

Jeśli serwer proxy lub zapora blokują ruch anonimowy, upewnij się, że ruch anonimowy jest dozwolony we wcześniej wymienionych adresach URL. W przypadku przezroczystych serwerów proxy nie jest wymagana dodatkowa konfiguracja usługi Defender for Endpoint. W przypadku statycznego serwera proxy wykonaj kroki opisane w temacie Ręczna konfiguracja statycznego serwera proxy.

Ostrzeżenie

Serwery proxy PAC, WPAD i uwierzytelnione nie są obsługiwane. Upewnij się, że jest używany tylko statyczny serwer proxy lub przezroczysty serwer proxy.

Inspekcja protokołu SSL i przechwytywanie serwerów proxy również nie są obsługiwane ze względów bezpieczeństwa. Skonfiguruj wyjątek inspekcji protokołu SSL i serwera proxy w celu bezpośredniego przekazywania danych z usługi Defender for Endpoint w systemie Linux do odpowiednich adresów URL bez przechwytywania. Dodanie certyfikatu przechwytywania do magazynu globalnego nie pozwoli na przechwycenie.

Aby uzyskać instrukcje rozwiązywania problemów, zobacz Rozwiązywanie problemów z łącznością w chmurze dla usługi Microsoft Defender dla punktu końcowego w systemie Linux.

Jak zaktualizować usługę Microsoft Defender dla punktu końcowego w systemie Linux

Firma Microsoft regularnie publikuje aktualizacje oprogramowania w celu zwiększenia wydajności, bezpieczeństwa i dostarczania nowych funkcji. Aby zaktualizować usługę Microsoft Defender dla punktu końcowego w systemie Linux, zobacz Wdrażanie aktualizacji dla usługi Microsoft Defender dla punktu końcowego w systemie Linux.

Konfigurowanie ochrony punktu końcowego w usłudze Microsoft Defender na Linuxie

Wskazówki dotyczące konfigurowania produktu w środowiskach przedsiębiorstwa są dostępne w temacie Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie Linux.

Wpływ na typowe aplikacje w usłudze Microsoft Defender dla punktu końcowego

Wysokie obciążenia we/wy z niektórych aplikacji mogą występować problemy z wydajnością podczas instalowania usługi Microsoft Defender for Endpoint. Obejmują one aplikacje dla scenariuszy deweloperskich, takich jak Jenkins i Jira, oraz obciążenia baz danych, takie jak OracleDB i Postgres. Jeśli występuje spadek wydajności, rozważ ustawienie wykluczeń dla zaufanych aplikacji, pamiętając o typowych błędach wykluczania dla programu antywirusowego Microsoft Defender . Aby uzyskać dodatkowe wskazówki, rozważ zapoznanie się z dokumentacją dotyczącą wykluczeń oprogramowania antywirusowego z aplikacji innych firm.

Zasoby

  • Aby uzyskać więcej informacji na temat rejestrowania, odinstalowywania lub innych artykułów, zobacz Zasoby.

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.