Microsoft Defender для конечной точки в Linux

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этом разделе описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.

Предостережение

Запуск других сторонних продуктов защиты конечных точек наряду с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функций антивирусной программы для запуска в пассивном режиме.

Установка Microsoft Defender для конечной точки на Linux

Microsoft Defender для конечной точки для Linux включает возможности обнаружения и реагирования на вредоносные программы и конечные точки (EDR).

Предварительные требования

  • Доступ к порталу Microsoft 365 Defender

  • Дистрибутив Linux с помощью systemd systemd system manager

    Примечание.

    Дистрибутив Linux с помощью system manager, за исключением RHEL/CentOS 6.x, поддерживает как SystemV, так и Upstart.

  • Опыт начального уровня в linux и скриптах BASH

  • Права администратора на устройстве (в случае развертывания вручную)

Примечание.

Microsoft Defender для конечной точки в агенте Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.

Инструкции по установке

Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux.

Как правило, необходимо выполнить следующие действия.

Если у вас возникли сбои установки, см. раздел Устранение неполадок при установке в Microsoft Defender для конечной точки в Linux.

Примечание.

Установка Microsoft Defender для конечной точки не поддерживается ни в одном другом расположении, кроме пути установки по умолчанию.

Microsoft Defender для конечной точки в Linux создает пользователя mdatp со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin. Пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Требования к системе

Примечание.

Поддержка Red Hat Enterprise Linux и CentOS 6.7+ до 6.10+ доступна в предварительной версии.

  • Поддерживаемые серверные дистрибутивы Linux и версии x64 (AMD64/EM64T) и x86_64:

    • Red Hat Enterprise Linux 6.7 или более поздней версии (предварительная версия)

    • Red Hat Enterprise Linux 7.2 или более поздней версии

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 или более поздней версии (предварительная версия)

    • CentOS 7.2 или более поздней версии

    • Ubuntu 16.04 LTS или более поздней версии LTS

    • Debian 9 или более поздней версии

    • SUSE Linux Enterprise Server 12 или более поздней версии

    • Oracle Linux 7.2 или более поздней версии

    • Oracle Linux 8.x

    • Amazon Linux 2

    • Fedora 33 или более поздней версии

      Примечание.

      Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов).

  • Список поддерживаемых версий ядра

    Примечание.

    Microsoft Defender для конечной точки в Red Hat Enterprise Linux и CentOS версии 6.7–6.10 — это решение на основе ядра. Перед обновлением до новой версии ядра необходимо убедиться, что версия ядра поддерживается. Список поддерживаемых ядер см. в списке ниже. Microsoft Defender для конечной точки для всех остальных поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.

    • Параметр fanotify ядра должен быть включен
    • Red Hat Enterprise Linux 6 и CentOS 6:
      • Для версии 6.7: 2.6.32-573.*
      • Для версии 6.8: 2.6.32-642.*
      • Для версии 6.9: 2.6.32-696.* (кроме 2.6.32-696.el6.x86_64)
      • Для версии 6.10: 2.6.32.754.2.1.el6.x86_64 до 2.6.32-754.48.1:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Примечание.

    После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления.

    Предостережение

    Запуск Defender для конечной точки в Linux параллельно с другими fanotifyрешениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы.

  • Место на диске: 2 ГБ

    Примечание.

    Если включено облачное средство диагностики для сборок сбоев, может потребоваться дополнительное дисковое пространство размером 2 ГБ.

  • /opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на исполняемый файл" статьи Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.

  • Ядра: 2 минимум, 4 предпочтительных

  • Память: минимум 1 ГБ, 4 предпочтительнее

    Примечание.

    Убедитесь, что у вас есть свободное место на диске в /var.

  • В настоящее время решение обеспечивает защиту в режиме реального времени для следующих типов файловых систем:

    • btrfs
    • ecryptfs
    • ext2
    • ext3
    • ext4
    • fuse
    • fuseblk
    • jfs
    • nfs (v3 only)
    • overlay
    • ramfs
    • reiserfs
    • tmpfs
    • udf
    • vfat
    • xfs

После включения службы может потребоваться настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ней и конечными точками.

  • Должна быть включена платформа аудита (auditd).

    Примечание.

    Системные события, зафиксированные правилами, добавленными в /etc/audit/rules.d/ , добавляются в audit.log(ы) и могут повлиять на аудит узла и вышестоящий сбор. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключомmdatp.

Настройка исключений

При добавлении исключений в антивирусную программу Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы Microsoft Defender

Сетевые подключения

В следующей скачиваемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым должна быть возможность подключения вашей сети. Убедитесь, что нет правил фильтрации брандмауэра или сети, которые запрещают доступ к этим URL-адресам. Если они есть, может потребоваться создать правило разрешения специально для них.

Таблица списка доменов Описание
Список URL-адресов Microsoft Defender для конечной точки для коммерческих клиентов Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов.

Скачайте таблицу здесь.

Список URL-адресов Microsoft Defender для конечной точки для Gov/GCC/DoD Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для клиентов Gov/GCC/DoD.

Скачайте таблицу здесь.

Примечание.

Более конкретный список URL-адресов см. в разделе Настройка параметров прокси-сервера и подключения к Интернету.

Defender для конечной точки может обнаружить прокси-сервер с помощью следующих методов обнаружения:

  • Прозрачный прокси
  • Настройка статического прокси-сервера вручную

Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов дополнительная настройка Defender для конечной точки не требуется. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.

Предупреждение

PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер.

Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.

Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку для Microsoft Defender для конечной точки в Linux.

Обновление Microsoft Defender для конечной точки в Linux

Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.

Настройка Microsoft Defender для конечной точки в Linux

Руководство по настройке продукта в корпоративных средах доступно в разделе Настройка параметров для Microsoft Defender для конечной точки в Linux.

Распространенные приложения, которые могут повлиять на Microsoft Defender для конечной точки

Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К ним относятся приложения для сценариев разработчиков, такие как Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для Microsoft Defender антивирусной программы. Дополнительные рекомендации см. в документации по исключениям антивирусной программы из сторонних приложений.

Ресурсы

  • Дополнительные сведения о ведении журнала, удалении и других разделах см. в разделе Ресурсы.