Microsoft Defender для конечной точки в Linux

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.

Предостережение

Запуск других сторонних продуктов защиты конечных точек вместе с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки антивирусной программы для запуска в пассивном режиме.

Установка Microsoft Defender для конечной точки в Linux

Microsoft Defender для конечной точки для Linux включает возможности защиты от вредоносных программ и обнаружения конечных точек и реагирования (EDR).

Предварительные условия

• Доступ к порталу Microsoft Defender

• Дистрибутив Linux с помощью systemd systemd system manager

  Примечание.

  Дистрибутив Linux с помощью system manager, за исключением RHEL/CentOS 6.x, поддерживает как SystemV, так и Upstart.

• Опыт начального уровня в linux и скриптах BASH

• Права администратора на устройстве (в случае развертывания вручную)

Примечание.

Агент Microsoft Defender для конечной точки в Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.

Инструкции по установке

Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux.

Как правило, необходимо выполнить следующие действия.

• Убедитесь, что у вас есть подписка Microsoft Defender для конечной точки.
• Разверните Microsoft Defender для конечной точки в Linux с помощью одного из следующих методов развертывания:
  • Программа командной строки:
    • Ручное развертывание
  • Сторонние средства управления:
    • Развертывание с помощью средства управления конфигурацией Puppet
    • Развертывание с помощью средства управления конфигурацией Ansible
      • Развертывание с помощью средства управления конфигурацией Chef
      • Развертывание с помощью средства управления конфигурацией Saltstack Если у вас возникли сбои установки, см. раздел Устранение неполадок при установке в Microsoft Defender для конечной точки в Linux.

Примечание.

Установка Microsoft Defender для конечной точки не поддерживается в другом расположении, кроме пути установки по умолчанию.

Microsoft Defender для конечной точки в Linux создает пользователя mdatp со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin. Пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Требования к системе

• Поддерживаемые серверные дистрибутивы Linux и версии x64 (AMD64/EM64T) и x86_64:

  • Red Hat Enterprise Linux 6.7 или более поздней версии (в предварительной версии)

  • Red Hat Enterprise Linux 7.2 или более поздней версии

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 или более поздней версии (в предварительной версии)

  • CentOS 7.2 или более поздней версии

  • Ubuntu 16.04 LTS

  • Ubuntu 18.04 LTS

  • Ubuntu 20.04 LTS

  • Ubuntu 22.04 LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 или более поздней версии

  • SUSE Linux Enterprise Server 15 или более поздней версии

  • Oracle Linux 7.2 или более поздней версии

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 или более поздней версии

  • Rocky 8.7 и более поздних версий

  • Альма 8.4 и выше

  • Маринер 2

    Примечание.

    Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов). С поддержкой RHEL 6 для "продление срока жизни" подходит к концу к 30 июня 2024 г.; Поддержка MDE Linux для RHEL 6 также будет прекращена до 30 июня 2024 г. MDE Linux версии 101.23082.0011 — это последний выпуск MDE Linux с поддержкой RHEL 6.7 или более поздних версий (срок действия не истекает до 30 июня 2024 г.). Клиентам рекомендуется планировать обновление инфраструктуры RHEL 6 в соответствии с рекомендациями Red Hat.

    Управление уязвимостью Microsoft Defender в настоящее время не поддерживается в Alma.

• Список поддерживаемых версий ядра

  Примечание.

  Microsoft Defender для конечной точки в Red Hat Enterprise Linux и CentOS версии 6.7–6.10 — это решение на основе ядра. Перед обновлением до более новой версии ядра необходимо убедиться, что версия ядра поддерживается. Microsoft Defender для конечной точки для всех других поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.

  • Параметр fanotify ядра должен быть включен
  • Red Hat Enterprise Linux 6 и CentOS 6:
    • Для версии 6.7: 2.6.32-573.* (кроме 2.6.32-573.el6.x86_64)
    • Для версии 6.8: 2.6.32-642.*
    • Для версии 6.9: 2.6.32-696.* (кроме 2.6.32-696.el6.x86_64)
    • Для версии 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Примечание.

  После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления.

  Предостережение

  Запуск Defender для конечной точки в Linux параллельно с другими fanotifyрешениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы. Если в системе есть другие приложения, использующие fanotify режим блокировки, приложения отображаются в conflicting_applications поле выходных mdatp health данных команды. Функция Linux FAPolicyD используется fanotify в режиме блокировки и поэтому не поддерживается при запуске Defender для конечной точки в активном режиме. Вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функции антивирусной защиты в режиме реального времени включена в пассивный режим.

• Место на диске: 2 ГБ

  Примечание.

  Если включено облачное средство диагностики для сборок сбоев, может потребоваться дополнительное дисковое пространство размером 2 ГБ.

• /opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на выполнение" статьи Устранение неполадок с установкой Microsoft Defender для конечной точки в Linux.

• Ядра: 2 минимум, 4 предпочтительных

• Память: минимум 1 ГБ, 4 предпочтительнее

  Примечание.

  Убедитесь, что у вас есть свободное место на диске в /var.

• Список поддерживаемых файловых систем для RTP, быстрого, полного и настраиваемого сканирования.

  RTP, быстрая, полная проверка	Настраиваемое сканирование
  btrfs	Все файловые системы, поддерживаемые для RTP, быстрой и полной проверки
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  Предохранитель	glustrefs
  fuseblk	Afs
  Jfs	sshfs
  nfs (только версия 3)	Cifs
  overlay	Smb
  ramfs	gcsfuse
  Reiserfs	sysfs
  tmpfs
  Udf
  Vfat
  Xfs

После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ними и конечными точками.

• Должна быть включена платформа аудита (auditd).

  Примечание.

  Системные события, зафиксированные правилами, добавленными в /etc/audit/rules.d/ , добавляются в audit.log(ы) и могут повлиять на аудит узла и вышестоящий сбор. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключом mdatp .

Зависимость внешнего пакета

Для пакета mdatp существуют следующие внешние зависимости пакета:

• Пакет mdatp RPM требует наличия "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• Для RHEL6 пакету MDATP RPM требуются "audit", "policycoreutils", "libselinux", "mde-netfilter".
• Для DEBIAN пакет mdatp требует "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Пакет mde-netfilter также имеет следующие зависимости пакета:

• Для DEBIAN пакет mde-netfilter требует "libnetfilter-queue1", "libglib2.0-0".
• Для rpm пакет mde-netfilter требует "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости.

Настройка исключений

При добавлении исключений в антивирусную программу в Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы в Microsoft Defender.

Сетевые подключения

Убедитесь, что устройства могут подключаться к облачным службам Microsoft Defender для конечной точки. Чтобы подготовить среду, обратитесь к шагу 1. Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.

Defender для конечной точки в Linux может подключаться через прокси-сервер с помощью следующих методов обнаружения:

• Прозрачный прокси
• Настройка статического прокси-сервера вручную

Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов дополнительная настройка Defender для конечной точки не требуется. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.

Предупреждение

PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер.

Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.

Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку в Microsoft Defender для конечной точки в Linux.

Обновление Microsoft Defender для конечной точки в Linux

Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.

Настройка Microsoft Defender для конечной точки в Linux

Инструкции по настройке продукта в корпоративных средах см. в статье Настройка параметров Microsoft Defender для конечной точки в Linux.

Общие приложения в Microsoft Defender для конечной точки могут повлиять

Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К ним относятся приложения для сценариев разработчиков, такие как Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для антивирусной программы в Microsoft Defender . Дополнительные рекомендации см. в документации по исключениям антивирусной программы из сторонних приложений.

Ресурсы

• Дополнительные сведения о ведении журнала, удалении и других статьях см. в разделе Ресурсы.

Связанные статьи

• Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки
• Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака
• Включение защиты сети для Linux

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.