Microsoft Defender для конечной точки в Linux
Область применения:
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этом разделе описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.
Предостережение
Запуск других сторонних продуктов защиты конечных точек наряду с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функций антивирусной программы для запуска в пассивном режиме.
Установка Microsoft Defender для конечной точки на Linux
Microsoft Defender для конечной точки для Linux включает возможности обнаружения и реагирования на вредоносные программы и конечные точки (EDR).
Предварительные требования
Доступ к порталу Microsoft 365 Defender
Дистрибутив Linux с помощью systemd systemd system manager
Примечание.
Дистрибутив Linux с помощью system manager, за исключением RHEL/CentOS 6.x, поддерживает как SystemV, так и Upstart.
Опыт начального уровня в linux и скриптах BASH
Права администратора на устройстве (в случае развертывания вручную)
Примечание.
Microsoft Defender для конечной точки в агенте Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.
Инструкции по установке
Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux.
Как правило, необходимо выполнить следующие действия.
- Убедитесь, что у вас есть подписка на Microsoft Defender для конечной точки.
- Разверните Microsoft Defender для конечной точки в Linux с помощью одного из следующих методов развертывания:
- Программа командной строки:
- Сторонние средства управления:
Если у вас возникли сбои установки, см. раздел Устранение неполадок при установке в Microsoft Defender для конечной точки в Linux.
Примечание.
Установка Microsoft Defender для конечной точки не поддерживается ни в одном другом расположении, кроме пути установки по умолчанию.
Microsoft Defender для конечной точки в Linux создает пользователя mdatp со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin.
Пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Требования к системе
Примечание.
Поддержка Red Hat Enterprise Linux и CentOS 6.7+ до 6.10+ доступна в предварительной версии.
Поддерживаемые серверные дистрибутивы Linux и версии x64 (AMD64/EM64T) и x86_64:
Red Hat Enterprise Linux 6.7 или более поздней версии (предварительная версия)
Red Hat Enterprise Linux 7.2 или более поздней версии
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 или более поздней версии (предварительная версия)
CentOS 7.2 или более поздней версии
Ubuntu 16.04 LTS или более поздней версии LTS
Debian 9 или более поздней версии
SUSE Linux Enterprise Server 12 или более поздней версии
Oracle Linux 7.2 или более поздней версии
Oracle Linux 8.x
Amazon Linux 2
Fedora 33 или более поздней версии
Примечание.
Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов).
Список поддерживаемых версий ядра
Примечание.
Microsoft Defender для конечной точки в Red Hat Enterprise Linux и CentOS версии 6.7–6.10 — это решение на основе ядра. Перед обновлением до новой версии ядра необходимо убедиться, что версия ядра поддерживается. Список поддерживаемых ядер см. в списке ниже. Microsoft Defender для конечной точки для всех остальных поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.
- Параметр
fanotify
ядра должен быть включен - Red Hat Enterprise Linux 6 и CentOS 6:
- Для версии 6.7: 2.6.32-573.*
- Для версии 6.8: 2.6.32-642.*
- Для версии 6.9: 2.6.32-696.* (кроме 2.6.32-696.el6.x86_64)
- Для версии 6.10: 2.6.32.754.2.1.el6.x86_64 до 2.6.32-754.48.1:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Примечание.
После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления.
Предостережение
Запуск Defender для конечной точки в Linux параллельно с другими
fanotify
решениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы.- Параметр
Место на диске: 2 ГБ
Примечание.
Если включено облачное средство диагностики для сборок сбоев, может потребоваться дополнительное дисковое пространство размером 2 ГБ.
/opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на исполняемый файл" статьи Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.
Ядра: 2 минимум, 4 предпочтительных
Память: минимум 1 ГБ, 4 предпочтительнее
Примечание.
Убедитесь, что у вас есть свободное место на диске в /var.
В настоящее время решение обеспечивает защиту в режиме реального времени для следующих типов файловых систем:
btrfs
ecryptfs
ext2
ext3
ext4
fuse
fuseblk
jfs
nfs (v3 only)
overlay
ramfs
reiserfs
tmpfs
udf
vfat
xfs
После включения службы может потребоваться настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ней и конечными точками.
Должна быть включена платформа аудита (
auditd
).Примечание.
Системные события, зафиксированные правилами, добавленными в
/etc/audit/rules.d/
, добавляются вaudit.log
(ы) и могут повлиять на аудит узла и вышестоящий сбор. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключомmdatp
.
Настройка исключений
При добавлении исключений в антивирусную программу Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы Microsoft Defender
Сетевые подключения
В следующей скачиваемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым должна быть возможность подключения вашей сети. Убедитесь, что нет правил фильтрации брандмауэра или сети, которые запрещают доступ к этим URL-адресам. Если они есть, может потребоваться создать правило разрешения специально для них.
Таблица списка доменов | Описание |
---|---|
Список URL-адресов Microsoft Defender для конечной точки для коммерческих клиентов | Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов. |
Список URL-адресов Microsoft Defender для конечной точки для Gov/GCC/DoD | Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для клиентов Gov/GCC/DoD. |
Примечание.
Более конкретный список URL-адресов см. в разделе Настройка параметров прокси-сервера и подключения к Интернету.
Defender для конечной точки может обнаружить прокси-сервер с помощью следующих методов обнаружения:
- Прозрачный прокси
- Настройка статического прокси-сервера вручную
Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов дополнительная настройка Defender для конечной точки не требуется. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.
Предупреждение
PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер.
Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.
Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку для Microsoft Defender для конечной точки в Linux.
Обновление Microsoft Defender для конечной точки в Linux
Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.
Настройка Microsoft Defender для конечной точки в Linux
Руководство по настройке продукта в корпоративных средах доступно в разделе Настройка параметров для Microsoft Defender для конечной точки в Linux.
Распространенные приложения, которые могут повлиять на Microsoft Defender для конечной точки
Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К ним относятся приложения для сценариев разработчиков, такие как Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для Microsoft Defender антивирусной программы. Дополнительные рекомендации см. в документации по исключениям антивирусной программы из сторонних приложений.
Ресурсы
- Дополнительные сведения о ведении журнала, удалении и других разделах см. в разделе Ресурсы.