Microsoft Defender para Endpoint no Linux

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Este artigo descreve como instalar, configurar, atualizar e utilizar Microsoft Defender para Endpoint no Linux.

Atenção

A execução de outros produtos de proteção de pontos finais de terceiros juntamente com Microsoft Defender para Endpoint no Linux poderá levar a problemas de desempenho e efeitos colaterais imprevisíveis. Se a proteção de pontos finais não Microsoft for um requisito absoluto no seu ambiente, ainda pode tirar partido do Defender para Endpoint na funcionalidade EDR do Linux depois de configurar a funcionalidade antivírus para ser executada no modo Passivo.

Como instalar Microsoft Defender para Endpoint no Linux

Microsoft Defender para Endpoint para Linux inclui funcionalidades de deteção e resposta de pontos finais e antimalware (EDR).

Pré-requisitos

• Acesso ao portal do Microsoft Defender

• Distribuição do Linux com o systemd systemd systemd manager

  Nota

  A distribuição do Linux através do gestor de sistema, exceto o RHEL/CentOS 6.x, suporta o SystemV e o Upstart.

• Experiência de nível de principiante em scripts linux e BASH

• Privilégios administrativos no dispositivo (em caso de implementação manual)

Nota

Microsoft Defender para Endpoint no agente Linux é independente do agente do OMS. Microsoft Defender para Endpoint depende do seu próprio pipeline de telemetria independente.

Instruções de instalação

Existem vários métodos e ferramentas de implementação que pode utilizar para instalar e configurar Microsoft Defender para Endpoint no Linux.

Em geral, tem de seguir os seguintes passos:

• Certifique-se de que tem uma subscrição Microsoft Defender para Endpoint.
• Implemente Microsoft Defender para Endpoint no Linux com um dos seguintes métodos de implementação:
  • A ferramenta de linha de comandos:
    • Implementação manual
  • Ferramentas de gestão de terceiros:
    • Implementar com a ferramenta de gestão de configuração do Puppet
    • Implementar com a ferramenta de gestão de configuração do Ansible
      • Implementar com a ferramenta de gestão de configuração do Chef
      • Implementar com a ferramenta de gestão de configuração saltstack Se ocorrer alguma falha de instalação, veja Resolver problemas de falhas de instalação no Microsoft Defender para Endpoint no Linux.

Nota

Não é suportado para instalar Microsoft Defender para Endpoint em qualquer outra localização que não seja o caminho de instalação predefinido.

Microsoft Defender para Endpoint no Linux cria um utilizador "mdatp" com UID e GID aleatórios. Se quiser controlar o UID e o GID, crie um utilizador "mdatp" antes da instalação com a opção da shell "/usr/sbin/nologin". Por exemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

System requirements

• Distribuições de servidor linux suportadas e versões x64 (AMD64/EM64T) e x86_64:

  • Red Hat Enterprise Linux 6.7 ou superior (em pré-visualização)

  • Red Hat Enterprise Linux 7.2 ou superior

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 ou superior (em pré-visualização)

  • CentOS 7.2 ou superior

  • Ubuntu 16.04 LTS ou LTS superior

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 ou superior

  • SUSE Linux Enterprise Server 15 ou superior

  • Oracle Linux 7.2 ou superior

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 ou superior

  • Rocky 8.7 e superior

  • Alma 8.4 e superior

  • Mariner 2

    Nota

    As distribuições e a versão que não estão explicitamente listadas não são suportadas (mesmo que sejam derivadas das distribuições oficialmente suportadas). Com o suporte do RHEL 6 para o "fim de vida prolongado" a chegar ao fim até 30 de junho de 2024; MDE o suporte do Linux para RHEL 6 também será preterido até 30 de junho de 2024 MDE a versão 101.23082.0011 do Linux é a última MDE versão do Linux que suporta o RHEL 6.7 ou versões superiores (não expira antes de 30 de junho de 2024). Os clientes são aconselhados a planear atualizações para a sua infraestrutura RHEL 6 alinhadas com a orientação da Red Hat.

• Lista de versões de kernel suportadas

  Nota

  Microsoft Defender para Endpoint em Red Hat Enterprise Linux e CentOS - 6.7 a 6.10 é uma solução baseada em Kernel. Tem de verificar se a versão do kernel é suportada antes de atualizar para uma versão de kernel mais recente. Microsoft Defender para Endpoint para todas as outras distribuições e versões suportadas é kernel-version-agnostic. Com um requisito mínimo para que a versão do kernel seja igual ou superior a 3.10.0-327.

  • A fanotify opção de kernel tem de estar ativada
  • Red Hat Enterprise Linux 6 e CentOS 6:
    • Para 6.7: 2.6.32-573.* (exceto 2.6.32-573.el6.x86_64)
    • Para 6.8: 2.6.32-642.*
    • Para 6.9: 2.6.32-696.* (exceto 2.6.32-696.el6.x86_64)
    • Para a 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Nota

  Após o lançamento de uma nova versão do pacote, o suporte para as duas versões anteriores é reduzido para apenas suporte técnico. As versões anteriores às listadas nesta secção são fornecidas apenas para suporte técnico de atualização.

  Atenção

  A execução do Defender para Endpoint no Linux lado a lado com outras fanotifysoluções de segurança baseadas não é suportada. Pode levar a resultados imprevisíveis, incluindo o bloqueio do sistema operativo. Se existirem outras aplicações no sistema que utilizem fanotify no modo de bloqueio, as aplicações são listadas no conflicting_applications campo da saída do mdatp health comando. A funcionalidade FAPolicyD do Linux utiliza fanotify no modo de bloqueio e, por conseguinte, não é suportada ao executar o Defender para Endpoint no modo ativo. Ainda pode tirar partido do Defender para Endpoint com segurança na funcionalidade EDR do Linux após configurar a funcionalidade antivírus Proteção em Tempo Real Ativada para o modo Passivo.

• Espaço em disco: 2 GB

  Nota

  Poderá ser necessário mais 2 GB de espaço em disco se os diagnósticos na cloud estiverem ativados para coleções de falhas.

• /opt/microsoft/mdatp/sbin/wdavdaemon requer permissão executável. Para obter mais informações, veja "Garantir que o daemon tem permissão executável" em Resolver problemas de instalação de Microsoft Defender para Endpoint no Linux.

• Núcleos: 2 mínimo, 4 preferenciais

• Memória: 1 GB mínimo, 4 preferenciais

  Nota

  Certifique-se de que tem espaço livre em disco em /var.

• Lista de sistemas de ficheiros suportados para RTP, Análise Rápida, Completa e Personalizada.

  RTP, Análise Rápida e Completa	Análise Personalizada
  btrfs	Todos os sistemas de ficheiros suportados para RTP, Quick, Full Scan
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Brilho
  fusível	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (apenas v3)	cifs
  sobreposição	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

Depois de ativar o serviço, terá de configurar a sua rede ou firewall para permitir ligações de saída entre o mesmo e os pontos finais.

• A arquitetura de auditoria (auditd) tem de estar ativada.

  Nota

  Os eventos de sistema capturados por regras adicionadas a /etc/audit/rules.d/ serão adicionados a audit.log(s) e poderão afetar a auditoria do anfitrião e a recolha a montante. Os eventos adicionados por Microsoft Defender para Endpoint no Linux serão marcados com mdatp chave.

Dependência de pacote externo

Existem as seguintes dependências de pacotes externos para o pacote mdatp:

• O pacote Mdatp RPM requer "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• Para RHEL6, o pacote MDATP RPM requer "auditoria", "policycoreutils", "libselinux", "mde-netfilter"
• Para DEBIAN, o pacote mdatp requer "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

O pacote mde-netfilter também tem as seguintes dependências de pacote:

• Para DEBIAN, o pacote mde-netfilter requer "libnetfilter-queue1", "libglib2.0-0"
• Para o RPM, o pacote mde-netfilter requer "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Se a instalação do Microsoft Defender para Endpoint falhar devido a erros de dependências em falta, pode transferir manualmente as dependências de pré-requisitos.

Configurar Exclusões

Ao adicionar exclusões ao Antivírus Microsoft Defender, deve estar atento aos Erros de Exclusão Comuns do Antivírus Microsoft Defender.

Ligações de rede

A seguinte folha de cálculo transferível lista os serviços e os respetivos URLs associados aos quais a sua rede tem de conseguir estabelecer ligação. Deve garantir que não existem regras de filtragem de rede ou firewall que neguem o acesso a estes URLs. Se existir, poderá ter de criar uma regra de permissão especificamente para as mesmas.

Folha de cálculo da lista de domínios	Descrição
Microsoft Defender para Endpoint lista de URLs para clientes comerciais	Folha de cálculo de registos DNS específicos para localizações de serviço, localizações geográficas e SO para clientes comerciais. Transfira a folha de cálculo aqui.
Microsoft Defender para Endpoint lista de URLs para Gov/GCC/DoD	Folha de cálculo de registos DNS específicos para localizações de serviço, localizações geográficas e SO para clientes Gov/GCC/DoD. Transfira a folha de cálculo aqui.

Nota

Para obter uma lista de URLs mais específica, veja Configurar definições de proxy e de conectividade à Internet.

O Defender para Endpoint pode detetar um servidor proxy com os seguintes métodos de deteção:

• Proxy transparente
• Configuração de proxy estático manual

Se um proxy ou firewall estiver a bloquear o tráfego anónimo, certifique-se de que o tráfego anónimo é permitido nos URLs listados anteriormente. Para proxies transparentes, não é necessária qualquer configuração adicional para o Defender para Endpoint. Para o proxy estático, siga os passos em Configuração de Proxy Estático Manual.

Aviso

Pac, WPAD e proxies autenticados não são suportados. Certifique-se de que apenas está a ser utilizado um proxy estático ou um proxy transparente.

A inspeção SSL e os proxies de interceção também não são suportados por razões de segurança. Configure uma exceção para a inspeção SSL e o servidor proxy para transmitir diretamente os dados do Defender para Endpoint no Linux para os URLs relevantes sem intercepção. Adicionar o certificado de intercepção ao arquivo global não permitirá a intercepção.

Para obter os passos de resolução de problemas, veja Resolver problemas de conectividade da cloud para Microsoft Defender para Endpoint no Linux.

Como atualizar Microsoft Defender para Endpoint no Linux

A Microsoft publica regularmente atualizações de software para melhorar o desempenho, a segurança e fornecer novas funcionalidades. Para atualizar Microsoft Defender para Endpoint no Linux, consulte Implementar atualizações para Microsoft Defender para Endpoint no Linux.

Como configurar Microsoft Defender para Endpoint no Linux

A documentação de orientação sobre como configurar o produto em ambientes empresariais está disponível em Definir preferências para Microsoft Defender para Endpoint no Linux.

As Aplicações Comuns para Microsoft Defender para Endpoint podem ter impacto

As cargas de trabalho de E/S elevadas de determinadas aplicações podem ter problemas de desempenho quando Microsoft Defender para Endpoint está instalada. Estas incluem aplicações para cenários de programador, como Jenkins e Jira, e cargas de trabalho de bases de dados como OracleDB e Postgres. Se ocorrer degradação do desempenho, considere definir exclusões para aplicações fidedignas, tendo em conta os Erros de Exclusão Comuns para Microsoft Defender Antivírus. Para obter orientações adicionais, considere consultar documentação sobre exclusões de antivírus de aplicações de terceiros.

Recursos

• Para obter mais informações sobre o registo, a desinstalação ou outros artigos, veja Recursos.

Artigos relacionados

• Proteja os pontos finais com a solução EDR integrada do Defender para Cloud: Microsoft Defender para Endpoint
• Ligar as máquinas virtuais que não são do Azure ao Microsoft Defender para a Cloud
• Ativar a proteção de rede para Linux

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.