Microsoft Defender для конечной точки в Linux

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этом разделе описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.

Предостережение

Запуск других сторонних продуктов защиты конечных точек наряду с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки антивирусной программы для запуска в пассивном режиме.

Установка Microsoft Defender для конечной точки на Linux

Microsoft Defender для конечной точки для Linux включает возможности обнаружения вредоносных программ и конечных точек (EDR).

Предварительные требования

• Доступ к порталу Microsoft Defender

• Дистрибутив Linux с помощью systemd systemd system manager

  Примечание.

  Дистрибутив Linux с помощью system manager, за исключением RHEL/CentOS 6.x, поддерживает как SystemV, так и Upstart.

• Опыт начального уровня в linux и скриптах BASH

• Права администратора на устройстве (в случае развертывания вручную)

Примечание.

Microsoft Defender для конечной точки в агенте Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.

Инструкции по установке

Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux.

Как правило, необходимо выполнить следующие действия.

• Убедитесь, что у вас есть подписка на Microsoft Defender для конечной точки.
• Разверните Microsoft Defender для конечной точки в Linux с помощью одного из следующих методов развертывания:
  • Программа командной строки:
    • Ручное развертывание
  • Сторонние средства управления:
    • Развертывание с помощью средства управления конфигурацией Puppet
    • Развертывание с помощью средства управления конфигурацией Ansible
    • Развертывание с помощью средства управления конфигурацией Chef

Если у вас возникли сбои установки, см. раздел Устранение неполадок при установке в Microsoft Defender для конечной точки в Linux.

Примечание.

Установка Microsoft Defender для конечной точки не поддерживается ни в одном другом расположении, кроме пути установки по умолчанию.

Microsoft Defender для конечной точки в Linux создает пользователя mdatp со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin. Пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Требования к системе

Примечание.

• Поддерживаемые серверные дистрибутивы Linux и версии x64 (AMD64/EM64T) и x86_64:

  • Red Hat Enterprise Linux 6.7 или более поздней версии (в предварительной версии)

  • Red Hat Enterprise Linux 7.2 или более поздней версии

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 или более поздней версии (в предварительной версии)

  • CentOS 7.2 или более поздней версии

  • Ubuntu 16.04 LTS или более поздней версии LTS

  • Debian 9 - 11

  • SUSE Linux Enterprise Server 12 или более поздней версии

  • Oracle Linux 7.2 или более поздней версии

  • Oracle Linux 8.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 или более поздней версии

    Примечание.

    Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов). С поддержкой RHEL 6 для "продление срока жизни" подходит к концу к 30 июня 2024 г.; Поддержка MDE Linux для RHEL 6 также будет прекращена до 30 июня 2024 г. MDE Linux версии 101.23082.0011 — это последний выпуск MDE Linux с поддержкой RHEL 6.7 или более поздних версий (срок действия не истекает до 30 июня 2024 г.). Клиентам рекомендуется планировать обновление инфраструктуры RHEL 6 в соответствии с рекомендациями Red Hat.

• Список поддерживаемых версий ядра

  Примечание.

  Microsoft Defender для конечной точки в Red Hat Enterprise Linux и CentOS версии 6.7–6.10 — это решение на основе ядра. Перед обновлением до более новой версии ядра необходимо убедиться, что версия ядра поддерживается. Список поддерживаемых ядер см. в списке ниже. Microsoft Defender для конечной точки для всех остальных поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.

  • Параметр fanotify ядра должен быть включен
  • Red Hat Enterprise Linux 6 и CentOS 6:
    • Для версии 6.7: 2.6.32-573.* (кроме 2.6.32-573.el6.x86_64)
    • Для версии 6.8: 2.6.32-642.*
    • Для версии 6.9: 2.6.32-696.* (кроме 2.6.32-696.el6.x86_64)
    • Для версии 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Примечание.

  После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления.

  Предостережение

  Запуск Defender для конечной точки в Linux параллельно с другими fanotifyрешениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы. Если в системе есть другие приложения, использующие fanotify режим блокировки, приложения отображаются в conflicting_applications поле выходных mdatp health данных команды. Функция Linux FAPolicyD используется fanotify в режиме блокировки и поэтому не поддерживается при запуске Defender для конечной точки в активном режиме. Вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функции антивирусной защиты в режиме реального времени включена в пассивный режим.

• Место на диске: 2 ГБ

  Примечание.

  Если облачные диагностика включены для сбора аварийного завершения, может потребоваться дополнительное место на диске 2 ГБ.

• /opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на выполнение" статьи Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.

• Ядра: 2 минимум, 4 предпочтительных

• Память: минимум 1 ГБ, 4 предпочтительнее

  Примечание.

  Убедитесь, что у вас есть свободное место на диске в /var.

• Ниже приведен список поддерживаемых файловых систем для RTP, быстрого, полного и настраиваемого сканирования.

  RTP, быстрая, полная проверка	Настраиваемое сканирование
  btrfs	Все файловые системы, поддерживаемые для RTP, быстрой и полной проверки
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  Предохранитель	glustrefs
  fuseblk	Afs
  Jfs	sshfs
  nfs (только версия 3)	Cifs
  overlay	Smb
  ramfs	gcsfuse
  Reiserfs	sysfs
  tmpfs
  Udf
  Vfat
  Xfs

После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ними и конечными точками.

• Должна быть включена платформа аудита (auditd).

  Примечание.

  Системные события, зафиксированные правилами, добавленными в /etc/audit/rules.d/ , добавляются в audit.log(ы) и могут повлиять на аудит узла и вышестоящий коллекцию. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключомmdatp.

Зависимость внешнего пакета

Для пакета mdatp существуют следующие внешние зависимости пакета:

• Пакет mdatp RPM требует наличия "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• Для RHEL6 пакету MDATP RPM требуются "audit", "policycoreutils", "libselinux", "mde-netfilter".
• Для DEBIAN пакет mdatp требует "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Пакет mde-netfilter также имеет следующие зависимости пакета:

• Для DEBIAN пакет mde-netfilter требует "libnetfilter-queue1", "libglib2.0-0".
• Для rpm пакет mde-netfilter требует "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости.

Настройка исключений

При добавлении исключений в антивирусную программу Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы Microsoft Defender.

Сетевые подключения

В следующей скачиваемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым должна быть возможность подключения вашей сети. Убедитесь, что нет правил фильтрации брандмауэра или сети, которые запрещают доступ к этим URL-адресам. Если они есть, может потребоваться создать правило разрешения специально для них.

Таблица списка доменов	Описание
Список URL-адресов Microsoft Defender для конечной точки для коммерческих клиентов	Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов. Скачайте таблицу здесь.
Список URL-адресов Microsoft Defender для конечной точки для Gov/GCC/DoD	Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для клиентов Gov/GCC/DoD. Скачайте таблицу здесь.

Примечание.

Более конкретный список URL-адресов см. в разделе Настройка параметров прокси-сервера и подключения к Интернету.

Defender для конечной точки может обнаружить прокси-сервер с помощью следующих методов обнаружения:

• Прозрачный прокси
• Настройка статического прокси-сервера вручную

Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов дополнительная настройка Defender для конечной точки не требуется. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.

Предупреждение

PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер.

Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.

Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку для Microsoft Defender для конечной точки в Linux.

Обновление Microsoft Defender для конечной точки в Linux

Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.

Настройка Microsoft Defender для конечной точки в Linux

Руководство по настройке продукта в корпоративных средах доступно в разделе Настройка параметров для Microsoft Defender для конечной точки в Linux.

Распространенные приложения, которые могут повлиять на Microsoft Defender для конечной точки

Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К ним относятся приложения для сценариев разработчиков, такие как Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для антивирусной программы Microsoft Defender. Дополнительные рекомендации см. в документации по исключениям антивирусной программы из сторонних приложений.

Ресурсы

• Дополнительные сведения о ведении журнала, удалении и других разделах см. в разделе Ресурсы.

Связанные статьи

• Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки
• Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака
• Включение защиты сети для Linux

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.