Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
W tym artykule opisano sposób instalowania, konfigurowania, aktualizowania i używania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Uwaga
Uruchamianie innych produktów ochrony punktów końcowych innych firm wraz z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux może prowadzić do problemów z wydajnością i nieprzewidywalnych skutków ubocznych. Jeśli ochrona punktów końcowych innych niż Microsoft jest absolutnym wymaganiem w twoim środowisku, nadal możesz bezpiecznie korzystać z funkcji Defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej do uruchamiania w trybie pasywnym.
Jak zainstalować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux obejmuje funkcje ochrony przed złośliwym oprogramowaniem oraz wykrywania i reagowania na punkty końcowe (EDR).
Wymagania wstępne
Dostęp do portalu Microsoft Defender
Dystrybucja systemu Linux przy użyciu systemowego menedżera systemu
Uwaga
Dystrybucja systemu Linux przy użyciu menedżera systemu z wyjątkiem systemu RHEL/CentOS 6.x obsługuje zarówno systemV, jak i upstart.
Środowisko dla początkujących w zakresie skryptów bash i systemu Linux
Uprawnienia administracyjne na urządzeniu (w przypadku wdrożenia ręcznego)
Uwaga
Ochrona punktu końcowego w usłudze Microsoft Defender agent systemu Linux jest niezależny od agenta pakietu OMS. Ochrona punktu końcowego w usłudze Microsoft Defender opiera się na własnym niezależnym potoku telemetrii.
Instrukcje instalacji
Istnieje kilka metod i narzędzi wdrażania, których można użyć do instalowania i konfigurowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Ogólnie rzecz biorąc, należy wykonać następujące kroki:
- Upewnij się, że masz subskrypcję Ochrona punktu końcowego w usłudze Microsoft Defender.
- Wdróż Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu jednej z następujących metod wdrażania:
- Narzędzie wiersza polecenia:
- Narzędzia do zarządzania innych firm:
- Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją platformy Puppet
- Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją rozwiązania Ansible
- Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją programu Chef
- Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją rozwiązania Saltstack Jeśli wystąpią błędy instalacji, zapoznaj się z tematem Rozwiązywanie problemów z błędami instalacji w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Uwaga
Instalowanie Ochrona punktu końcowego w usłudze Microsoft Defender nie jest obsługiwane w żadnej innej lokalizacji niż domyślna ścieżka instalacji.
Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux tworzy użytkownika "mdatp" z losowymi identyfikatorami UID i GID. Jeśli chcesz kontrolować identyfikator użytkownika i identyfikator GID, utwórz użytkownika "mdatp" przed instalacją przy użyciu opcji powłoki "/usr/sbin/nologin".
Przykład: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Wymagania systemowe
Obsługiwane dystrybucje serwerów z systemem Linux i x64 (AMD64/EM64T) i wersje x86_64:
Red Hat Enterprise Linux 6.7 lub nowszy (w wersji zapoznawczej)
Red Hat Enterprise Linux 7.2 lub nowszy
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 lub nowszy (w wersji zapoznawczej)
CentOS 7.2 lub nowszy
Ubuntu 16.04 LTS lub nowszy LTS
Debian 9 – 12
SUSE Linux Enterprise Server 12 lub nowszy
SUSE Linux Enterprise Server 15 lub nowszy
Oracle Linux 7.2 lub nowszy
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 lub nowsza
Rocky 8.7 i nowsze
Alma 8.4 i nowsze
Marynarz 2
Uwaga
Dystrybucje i wersja, które nie są jawnie wymienione, są nieobsługiwane (nawet jeśli pochodzą z oficjalnie obsługiwanych dystrybucji). Wsparcie RHEL 6 dla "przedłużonego końca życia" dobiegnie końca do 30 czerwca 2024 r.; Do 30 czerwca 2024 r. obsługa systemu MDE w systemie Linux w wersji 101.23082.0011 w systemie MDE w wersji 101.23082.0011 z systemem MDE obsługująca system RHEL 6.7 lub nowsze wersje (nie wygasa przed 30 czerwca 2024 r.). Klientom zaleca się planowanie uaktualnień infrastruktury RHEL 6 zgodnie ze wskazówkami firmy Red Hat.
Lista obsługiwanych wersji jądra
Uwaga
Ochrona punktu końcowego w usłudze Microsoft Defender w systemach Red Hat Enterprise Linux i CentOS — od 6.7 do 6.10 to rozwiązanie oparte na jądrze. Przed zaktualizowaniem do nowszej wersji jądra należy sprawdzić, czy wersja jądra jest obsługiwana. Ochrona punktu końcowego w usłudze Microsoft Defender dla wszystkich innych obsługiwanych dystrybucji i wersji jest niezależny od wersji jądra. Przy minimalnym wymaganiu, aby wersja jądra była większa lub większa niż 3.10.0-327.
- Opcja
fanotify
jądra musi być włączona - Red Hat Enterprise Linux 6 i CentOS 6:
- Dla wersji 6.7: 2.6.32-573.* (z wyjątkiem 2.6.32-573.el6.x86_64)
- Dla wersji 6.8: 2.6.32-642.*
- Dla wersji 6.9: 2.6.32-696.* (z wyjątkiem 2.6.32-696.el6.x86_64)
- W przypadku wersji 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Uwaga
Po wydaniu nowej wersji pakietu obsługa dwóch poprzednich wersji jest ograniczona tylko do pomocy technicznej. Wersje starsze niż wymienione w tej sekcji są udostępniane tylko do obsługi uaktualnień technicznych.
Uwaga
Uruchamianie usługi Defender for Endpoint w systemie Linux obok innych rozwiązań zabezpieczeń opartych na systemie
fanotify
nie jest obsługiwane. Może to prowadzić do nieprzewidywalnych wyników, w tym zawieszenia systemu operacyjnego. Jeśli w systemie znajdują się inne aplikacje używanefanotify
w trybie blokowania, aplikacje są wyświetlane wconflicting_applications
polu danych wyjściowychmdatp health
polecenia. Funkcja FAPolicyD systemu Linux jest używanafanotify
w trybie blokowania i dlatego nie jest obsługiwana podczas uruchamiania usługi Defender for Endpoint w trybie aktywnym. Nadal możesz bezpiecznie korzystać z funkcji usługi Defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej Ochrona w czasie rzeczywistym włączona w trybie pasywnym.- Opcja
Miejsce na dysku: 2 GB
Uwaga
Jeśli diagnostyka chmury jest włączona dla kolekcji awarii, może być wymagane dodatkowe 2 GB miejsca na dysku.
/opt/microsoft/mdatp/sbin/wdavdaemon wymaga uprawnień wykonywalnych. Aby uzyskać więcej informacji, zobacz "Upewnij się, że demon ma uprawnienie do wykonywalnego" w temacie Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Rdzenie: 2 minimum, 4 preferowane
Pamięć: minimum 1 GB, 4 preferowane
Uwaga
Upewnij się, że masz wolne miejsce na dysku w /var.
Lista obsługiwanych systemów plików na potrzeby skanowania rtp, szybkiego, pełnego i niestandardowego.
RTP, szybkie, pełne skanowanie Skanowanie niestandardowe Btrfs Wszystkie systemy plików obsługiwane dla rtp, szybkie, pełne skanowanie ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Bezpiecznik glustrefs fuseblk Afs Jfs Sshfs nfs (tylko wersja 3) Cifs Nakładki Smb ramfs gcsfuse Reiserfs Sysfs Tmpfs Udf Vfat Xfs
Po włączeniu usługi należy skonfigurować sieć lub zaporę tak, aby zezwalała na połączenia wychodzące między nią a punktami końcowymi.
Należy włączyć platformę inspekcji (
auditd
).Uwaga
Zdarzenia systemowe przechwycone przez reguły dodane do
/etc/audit/rules.d/
zostaną dodane doaudit.log
elementów i mogą mieć wpływ na inspekcję hosta i zbieranie nadrzędne. Zdarzenia dodane przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux zostaną oznaczone kluczemmdatp
.
Zależność pakietu zewnętrznego
Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:
- Pakiet MDATP RPM wymaga "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- W przypadku programu RHEL6 pakiet RPM mdatp wymaga polecenia "audit", "policycoreutils", "libselinux", "mde-netfilter"
- W przypadku debiana pakiet mdatp wymaga "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Pakiet mde-netfilter ma również następujące zależności pakietów:
- W przypadku DEBIAN pakiet mde-netfilter wymaga polecenia "libnetfilter-queue1", "libglib2.0-0"
- W przypadku modułu RPM pakiet mde-netfilter wymaga polecenia "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.
Konfigurowanie wykluczeń
Podczas dodawania wykluczeń do programu antywirusowego Microsoft Defender należy pamiętać o typowych błędach wykluczania dla programu antywirusowego Microsoft Defender.
Połączenia sieciowe
Poniższy arkusz kalkulacyjny do pobrania zawiera listę usług i skojarzonych z nimi adresów URL, z którymi sieć musi mieć możliwość nawiązania połączenia. Upewnij się, że nie ma reguł filtrowania zapory ani sieci, które odmawiałyby dostępu do tych adresów URL. Jeśli tak, może być konieczne utworzenie reguły zezwalania specjalnie dla nich.
Arkusz kalkulacyjny listy domen | Opis |
---|---|
lista adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów komercyjnych | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów komercyjnych. Pobierz arkusz kalkulacyjny tutaj. |
Ochrona punktu końcowego w usłudze Microsoft Defender listy adresów URL dla gov/GCC/DoD | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów Gov/GCC/DoD. Pobierz arkusz kalkulacyjny tutaj. |
Uwaga
Aby uzyskać bardziej szczegółową listę adresów URL, zobacz Konfigurowanie ustawień serwera proxy i łączności internetowej.
Usługa Defender for Endpoint może odnajdywać serwer proxy przy użyciu następujących metod odnajdywania:
- Przezroczysty serwer proxy
- Ręczna konfiguracja statycznego serwera proxy
Jeśli serwer proxy lub zapora blokują ruch anonimowy, upewnij się, że ruch anonimowy jest dozwolony we wcześniej wymienionych adresach URL. W przypadku przezroczystych serwerów proxy nie jest wymagana dodatkowa konfiguracja usługi Defender for Endpoint. W przypadku statycznego serwera proxy wykonaj kroki opisane w temacie Ręczna konfiguracja statycznego serwera proxy.
Ostrzeżenie
Serwery proxy PAC, WPAD i uwierzytelnione nie są obsługiwane. Upewnij się, że jest używany tylko statyczny serwer proxy lub przezroczysty serwer proxy.
Inspekcja protokołu SSL i przechwytywanie serwerów proxy również nie są obsługiwane ze względów bezpieczeństwa. Skonfiguruj wyjątek inspekcji protokołu SSL i serwera proxy w celu bezpośredniego przekazywania danych z usługi Defender for Endpoint w systemie Linux do odpowiednich adresów URL bez przechwytywania. Dodanie certyfikatu przechwytywania do magazynu globalnego nie pozwoli na przechwycenie.
Aby uzyskać instrukcje rozwiązywania problemów, zobacz Rozwiązywanie problemów z łącznością w chmurze dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Jak zaktualizować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Firma Microsoft regularnie publikuje aktualizacje oprogramowania w celu zwiększenia wydajności, bezpieczeństwa i dostarczania nowych funkcji. Aby zaktualizować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, zapoznaj się z tematem Wdrażanie aktualizacji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Konfigurowanie ochrony punktu końcowego w usłudze Microsoft Defender na Linuxie
Wskazówki dotyczące konfigurowania produktu w środowiskach przedsiębiorstwa są dostępne w temacie Ustawianie preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.
Typowe aplikacje do Ochrona punktu końcowego w usłudze Microsoft Defender mogą mieć wpływ
Wysokie obciążenia we/wy z niektórych aplikacji mogą występować problemy z wydajnością podczas instalowania Ochrona punktu końcowego w usłudze Microsoft Defender. Obejmują one aplikacje dla scenariuszy deweloperskich, takich jak Jenkins i Jira, oraz obciążenia baz danych, takie jak OracleDB i Postgres. Jeśli występuje spadek wydajności, rozważ ustawienie wykluczeń dla zaufanych aplikacji, pamiętając o typowych błędach wykluczania dla programu antywirusowego Microsoft Defender. Aby uzyskać dodatkowe wskazówki, rozważ zapoznanie się z dokumentacją dotyczącą wykluczeń oprogramowania antywirusowego z aplikacji innych firm.
Zasoby
- Aby uzyskać więcej informacji na temat rejestrowania, odinstalowywania lub innych artykułów, zobacz Zasoby.
Artykuły pokrewne
- Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Defender for Cloud: Ochrona punktu końcowego w usłudze Microsoft Defender
- Łączenie maszyn spoza platformy Azure z usługą Microsoft Defender for Cloud
- Włączanie ochrony sieci dla systemu Linux
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla