Microsoft Defender для конечной точки в Linux
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этой статье описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.
Предостережение
Запуск других сторонних продуктов защиты конечных точек вместе с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки антивирусной программы для запуска в пассивном режиме.
Установка Microsoft Defender для конечной точки в Linux
Microsoft Defender для конечной точки для Linux включает возможности защиты от вредоносных программ и обнаружения конечных точек и реагирования (EDR).
Предварительные условия
Доступ к порталу Microsoft Defender
Дистрибутив Linux с помощью systemd systemd system manager
Примечание.
Дистрибутив Linux с помощью system manager, за исключением RHEL/CentOS 6.x, поддерживает как SystemV, так и Upstart.
Опыт начального уровня в linux и скриптах BASH
Права администратора на устройстве (в случае развертывания вручную)
Примечание.
Агент Microsoft Defender для конечной точки в Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.
Инструкции по установке
Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux.
Как правило, необходимо выполнить следующие действия.
- Убедитесь, что у вас есть подписка Microsoft Defender для конечной точки.
- Разверните Microsoft Defender для конечной точки в Linux с помощью одного из следующих методов развертывания:
- Программа командной строки:
- Сторонние средства управления:
Примечание.
Установка Microsoft Defender для конечной точки не поддерживается в другом расположении, кроме пути установки по умолчанию.
Microsoft Defender для конечной точки в Linux создает пользователя mdatp со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin.
Пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Требования к системе
Поддерживаемые серверные дистрибутивы Linux и версии x64 (AMD64/EM64T) и x86_64:
Red Hat Enterprise Linux 6.7 или более поздней версии (в предварительной версии)
Red Hat Enterprise Linux 7.2 или более поздней версии
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 или более поздней версии (в предварительной версии)
CentOS 7.2 или более поздней версии
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Ubuntu 24.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 или более поздней версии
SUSE Linux Enterprise Server 15 или более поздней версии
Oracle Linux 7.2 или более поздней версии
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Федора 33-38
Rocky 8.7 и более поздних версий
Альма 8.4 и выше
Маринер 2
Примечание.
Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов). С поддержкой RHEL 6 для "продление срока жизни" подходит к концу к 30 июня 2024 г.; Поддержка MDE Linux для RHEL 6 также будет прекращена до 30 июня 2024 г. MDE Linux версии 101.23082.0011 — это последний выпуск MDE Linux с поддержкой RHEL 6.7 или более поздних версий (срок действия не истекает до 30 июня 2024 г.). Клиентам рекомендуется планировать обновление инфраструктуры RHEL 6 в соответствии с рекомендациями Red Hat. Управление уязвимостью Microsoft Defender в настоящее время не поддерживается в Rocky и Alma.
Список поддерживаемых версий ядра
Примечание.
Microsoft Defender для конечной точки в Red Hat Enterprise Linux и CentOS версии 6.7–6.10 — это решение на основе ядра. Перед обновлением до более новой версии ядра необходимо убедиться, что версия ядра поддерживается. Microsoft Defender для конечной точки для всех других поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.
- Параметр
fanotify
ядра должен быть включен - Red Hat Enterprise Linux 6 и CentOS 6:
- Для версии 6.7: 2.6.32-573.* (кроме 2.6.32-573.el6.x86_64)
- Для версии 6.8: 2.6.32-642.*
- Для версии 6.9: 2.6.32-696.* (кроме 2.6.32-696.el6.x86_64)
- Для версии 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Примечание.
После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления.
Предостережение
Запуск Defender для конечной точки в Linux параллельно с другими
fanotify
решениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы. Если в системе есть другие приложения, использующиеfanotify
режим блокировки, приложения отображаются вconflicting_applications
поле выходныхmdatp health
данных команды. Функция Linux FAPolicyD используетсяfanotify
в режиме блокировки и поэтому не поддерживается при запуске Defender для конечной точки в активном режиме. Вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функции антивирусной защиты в режиме реального времени включена в пассивный режим.- Параметр
Место на диске: 2 ГБ
Примечание.
Если включено облачное средство диагностики для сборок сбоев, может потребоваться дополнительное дисковое пространство размером 2 ГБ.
/opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на выполнение" статьи Устранение неполадок с установкой Microsoft Defender для конечной точки в Linux.
Ядра: 2 минимум, 4 предпочтительных
Память: минимум 1 ГБ, 4 предпочтительнее
Примечание.
Убедитесь, что у вас есть свободное место на диске в /var.
Список поддерживаемых файловых систем для RTP, быстрого, полного и настраиваемого сканирования.
RTP, быстрая, полная проверка Настраиваемое сканирование btrfs Все файловые системы, поддерживаемые для RTP, быстрой и полной проверки ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr взрыватель glustrefs fuseblk Afs jfs sshfs nfs (только версия 3) cifs overlay smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ними и конечными точками.
Должна быть включена платформа аудита (
auditd
).Примечание.
Системные события, зафиксированные правилами, добавленными в
/etc/audit/rules.d/
, добавляются вaudit.log
(ы) и могут повлиять на аудит узла и вышестоящий сбор. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключомmdatp
.
Зависимость внешнего пакета
Для пакета mdatp существуют следующие внешние зависимости пакета:
- Пакет mdatp RPM требует наличия "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- Для RHEL6 пакету MDATP RPM требуются "audit", "policycoreutils", "libselinux", "mde-netfilter".
- Для DEBIAN пакет mdatp требует "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Пакет mde-netfilter также имеет следующие зависимости пакета:
- Для DEBIAN пакет mde-netfilter требует "libnetfilter-queue1", "libglib2.0-0".
- Для rpm пакет mde-netfilter требует "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости.
Настройка исключений
При добавлении исключений в антивирусную программу в Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы в Microsoft Defender.
Сетевые подключения
Убедитесь, что устройства могут подключаться к облачным службам Microsoft Defender для конечной точки. Чтобы подготовить среду, обратитесь к шагу 1. Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.
Defender для конечной точки в Linux может подключаться через прокси-сервер с помощью следующих методов обнаружения:
- Прозрачный прокси
- Настройка статического прокси-сервера вручную
Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов дополнительная настройка Defender для конечной точки не требуется. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.
Предупреждение
PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер.
Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.
Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку в Microsoft Defender для конечной точки в Linux.
Обновление Microsoft Defender для конечной точки в Linux
Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.
Настройка Microsoft Defender для конечной точки в Linux
Инструкции по настройке продукта в корпоративных средах см. в статье Настройка параметров Microsoft Defender для конечной точки в Linux.
Общие приложения в Microsoft Defender для конечной точки могут повлиять
Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К ним относятся приложения для сценариев разработчиков, такие как Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для антивирусной программы в Microsoft Defender . Дополнительные рекомендации см. в документации по исключениям антивирусной программы из сторонних приложений.
Ресурсы
- Дополнительные сведения о ведении журнала, удалении и других статьях см. в разделе Ресурсы.
Связанные статьи
- Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки
- Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака
- Включение защиты сети для Linux
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по