Microsoft Defender для конечной точки в Linux

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.

Предостережение

Запуск других продуктов защиты конечных точек, отличных от Майкрософт, наряду с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциональностью EDR Defender для конечной точки в Linux после настройки функций антивирусной программы для запуска в пассивном режиме.

Установка Microsoft Defender для конечной точки на Linux

Microsoft Defender для конечной точки для Linux включает возможности защиты от вредоносных программ и обнаружения конечных точек и реагирования (EDR).

Предварительные условия

• Доступ к порталу Microsoft Defender

• Дистрибутив Linux с помощью systemd systemdsystem manager

  Примечание.

  Дистрибутив Linux с помощью system manager поддерживает как SystemV, так и Upstart.

• Опыт начального уровня в linux и скриптах BASH

• Права администратора на устройстве (для развертывания вручную)

Примечание.

Microsoft Defender для конечной точки в агенте Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.

Инструкции по установке

Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux. Перед началом работы убедитесь, что выполнены минимальные требования для Microsoft Defender для конечной точки.

Для развертывания Microsoft Defender для конечной точки в Linux можно использовать один из следующих методов:

• Сведения об использовании программы командной строки см. в статье Развертывание вручную.
• Сведения об использовании Puppet см. в статье Развертывание с помощью средства управления конфигурацией Puppet.
• Сведения об использовании Ansible см. в статье Развертывание с помощью средства управления конфигурацией Ansible.
• Сведения об использовании Chef см. в статье Развертывание с помощью средства управления конфигурацией Chef.
• Сведения об использовании Saltstack см. в статье Развертывание с помощью средства управления конфигурацией Saltstack.

Если у вас возникли сбои установки, см. статью Устранение неполадок при установке в Microsoft Defender для конечной точки в Linux.

Важно!

Установка Microsoft Defender для конечной точки в любом расположении, кроме пути установки по умолчанию, не поддерживается. Microsoft Defender для конечной точки в Linux создает mdatp пользователя со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте mdatp пользователя перед установкой с помощью параметра оболочки /usr/sbin/nologin . Вот пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Требования к системе

• Место на диске: 2 ГБ

  Примечание.

  Если облачные диагностика включены для сбора аварийного завершения, может потребоваться дополнительное место на диске 2 ГБ. Убедитесь, что у вас есть свободное место на диске в /var.

• Ядра: два минимума, четыре предпочтительных

  Примечание.

  Если вы находитесь в пассивном режиме или режиме RTP ON, требуется по крайней мере два ядра. Рекомендуется использовать четыре ядра. Если вы включаете BM, потребуется по крайней мере четыре ядра.

• Память: не менее 1 ГБ, 4 ГБ предпочтительнее

• Поддерживаются следующие дистрибутивы серверов Linux и версии x64 (AMD64/EM64T) и x86_64:

  • Red Hat Enterprise Linux 7.2 или выше
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 или выше
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 или выше
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Федора 33-38
  • Rocky 8.7 и более поздних версий
  • Rocky 9.2 и более поздних версий
  • Альма 8.4 и выше
  • Альма 9.2 и выше
  • Маринер 2

  Примечание.

  Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов). После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления. Управление уязвимостью Microsoft Defender в настоящее время не поддерживается в Rocky и Alma. Microsoft Defender для конечной точки для всех остальных поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.

  Предостережение

  Запуск Defender для конечной точки в Linux параллельно с другими fanotifyрешениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы. Если в системе есть другие приложения, использующие fanotify режим блокировки, приложения отображаются в conflicting_applications поле выходных mdatp health данных команды. Функция Linux FAPolicyD используется fanotify в режиме блокировки и поэтому не поддерживается при запуске Defender для конечной точки в активном режиме. Вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функции антивирусной защиты в режиме реального времени включена в пассивный режим.

• Список поддерживаемых файловых систем для RTP, быстрого, полного и настраиваемого сканирования.

  RTP, быстрая, полная проверка	Настраиваемое сканирование
  btrfs	Все файловые системы, поддерживаемые для RTP, быстрой и полной проверки
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  fuse	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (только версия 3)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

• Если вы используете auditd в качестве основного поставщика событий, необходимо включить платформу аудита (auditd).

  Примечание.

  Системные события, зафиксированные правилами, добавленными в /etc/audit/rules.d/ , добавляются в audit.log(ы) и могут повлиять на аудит узла и вышестоящий коллекцию. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключомmdatp.

• /opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на выполнение" статьи Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.

Зависимость внешнего пакета

Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости. Для пакета mdatp существуют следующие внешние зависимости пакета:

• Пакет MDATP RPM требует glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetedи mde-netfilter
• Для RHEL6 пакет mdatp RPM требует audit, policycoreutils, libselinuxи mde-netfilter
• Для DEBIAN пакет mdatp требует libc6 >= 2.23, uuid-runtime, auditdи mde-netfilter

Пакет mde-netfilter также имеет следующие зависимости пакета:

• Для DEBIAN пакет mde-netfilter требует libnetfilter-queue1, и libglib2.0-0
• Для RPM пакет mde-netfilter требует libmnl, libnfnetlink, libnetfilter_queueи glib2

Настройка исключений

При добавлении исключений в антивирусную программу Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы Microsoft Defender.

Сетевые подключения

Убедитесь, что устройства могут подключаться к Microsoft Defender для конечной точки облачным службам. Сведения о подготовке среды см. в разделе ШАГ 1. Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.

Defender для конечной точки в Linux может подключаться через прокси-сервер с помощью следующих методов обнаружения:

• Прозрачный прокси
• Настройка статического прокси-сервера вручную

Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов для Defender для конечной точки не требуется другая конфигурация. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.

Предупреждение

PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер. Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.

Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку для Microsoft Defender для конечной точки в Linux.

Обновление Microsoft Defender для конечной точки в Linux

Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.

Настройка Microsoft Defender для конечной точки в Linux

Руководство по настройке продукта в корпоративных средах доступно в разделе Настройка параметров для Microsoft Defender для конечной точки в Linux.

Распространенные приложения, которые могут повлиять на Microsoft Defender для конечной точки

Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К таким приложениям для сценариев разработчика относятся Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для антивирусной программы Microsoft Defender. Дополнительные рекомендации см. в документации по исключениям антивирусной программы из приложений сторонних разработчиков.

Ресурсы

• Дополнительные сведения о ведении журнала, удалении и других статьях см. в разделе Ресурсы.

Статьи по теме

• Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки
• Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака
• Включение защиты сети для Linux

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.