Microsoft Defender для конечной точки в Linux

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft 365 Defender

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этом разделе описывается установка, настройка, обновление и использование Microsoft Defender для конечной точки в Linux.

Предостережение

Запуск других сторонних продуктов защиты конечных точек наряду с Microsoft Defender для конечной точки в Linux, скорее всего, приведет к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечных точек сторонних разработчиков является абсолютным требованием в вашей среде, вы по-прежнему можете безопасно воспользоваться функциями EDR Defender для конечной точки в Linux после настройки функций антивирусной программы для запуска в пассивном режиме.

Установка Microsoft Defender для конечной точки на Linux

Microsoft Defender для конечной точки для Linux включает возможности обнаружения и реагирования на вредоносные программы и конечные точки (EDR).

Предварительные требования

• Доступ к порталу Microsoft 365 Defender

• Дистрибутив Linux с помощью systemd systemd system manager

  Примечание.

  Дистрибутив Linux с помощью system manager, за исключением RHEL/CentOS 6.x, поддерживает как SystemV, так и Upstart.

• Опыт начального уровня в linux и скриптах BASH

• Права администратора на устройстве (в случае развертывания вручную)

Примечание.

Microsoft Defender для конечной точки в агенте Linux не зависит от агента OMS. Microsoft Defender для конечной точки использует собственный независимый конвейер телеметрии.

Инструкции по установке

Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Microsoft Defender для конечной точки в Linux.

Как правило, необходимо выполнить следующие действия.

• Убедитесь, что у вас есть подписка на Microsoft Defender для конечной точки.
• Разверните Microsoft Defender для конечной точки в Linux с помощью одного из следующих методов развертывания:
  • Программа командной строки:
    • Ручное развертывание
  • Сторонние средства управления:
    • Развертывание с помощью средства управления конфигурацией Puppet
    • Развертывание с помощью средства управления конфигурацией Ansible
    • Развертывание с помощью средства управления конфигурацией Chef

Если у вас возникли сбои установки, см. раздел Устранение неполадок при установке в Microsoft Defender для конечной точки в Linux.

Примечание.

Установка Microsoft Defender для конечной точки не поддерживается ни в одном другом расположении, кроме пути установки по умолчанию.

Microsoft Defender для конечной точки в Linux создает пользователя mdatp со случайным uiD и GID. Если вы хотите управлять UID и GID, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin. Пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Требования к системе

Примечание.

Поддержка Red Hat Enterprise Linux и CentOS 6.7+ до 6.10+ доступна в предварительной версии.

• Поддерживаемые серверные дистрибутивы Linux и версии x64 (AMD64/EM64T) и x86_64:

  • Red Hat Enterprise Linux 6.7 или более поздней версии (предварительная версия)

  • Red Hat Enterprise Linux 7.2 или более поздней версии

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 или более поздней версии (предварительная версия)

  • CentOS 7.2 или более поздней версии

  • Ubuntu 16.04 LTS или более поздней версии LTS

  • Debian 9 или более поздней версии

  • SUSE Linux Enterprise Server 12 или более поздней версии

  • Oracle Linux 7.2 или более поздней версии

  • Oracle Linux 8.x

  • Amazon Linux 2

  • Fedora 33 или более поздней версии

    Примечание.

    Дистрибутивы и версии, которые явно не перечислены, не поддерживаются (даже если они являются производными от официально поддерживаемых дистрибутивов).

• Список поддерживаемых версий ядра

  Примечание.

  Microsoft Defender для конечной точки в Red Hat Enterprise Linux и CentOS версии 6.7–6.10 — это решение на основе ядра. Перед обновлением до новой версии ядра необходимо убедиться, что версия ядра поддерживается. Список поддерживаемых ядер см. в списке ниже. Microsoft Defender для конечной точки для всех остальных поддерживаемых дистрибутивов и версий не зависит от версии ядра. С минимальным требованием, чтобы версия ядра была не ниже 3.10.0-327.

  • Параметр fanotify ядра должен быть включен
  • Red Hat Enterprise Linux 6 и CentOS 6:
    • Для версии 6.7: 2.6.32-573.*
    • Для версии 6.8: 2.6.32-642.*
    • Для версии 6.9: 2.6.32-696.* (кроме 2.6.32-696.el6.x86_64)
    • Для версии 6.10: 2.6.32.754.2.1.el6.x86_64 до 2.6.32-754.48.1:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Примечание.

  После выпуска новой версии пакета уровень поддержки для двух предыдущих версий ограничивается лишь технической поддержкой. Версии старше, чем перечисленные в этом разделе, предоставляются только для поддержки технического обновления.

  Предостережение

  Запуск Defender для конечной точки в Linux параллельно с другими fanotifyрешениями безопасности не поддерживается. Это может привести к непредсказуемым результатам, включая зависание операционной системы.

• Место на диске: 2 ГБ

  Примечание.

  Если включено облачное средство диагностики для сборок сбоев, может потребоваться дополнительное дисковое пространство размером 2 ГБ.

• /opt/microsoft/mdatp/sbin/wdavdaemon требуется разрешение исполняемого файла. Дополнительные сведения см. в разделе "Убедитесь, что управляющая программа имеет разрешение на исполняемый файл" статьи Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.

• Ядра: 2 минимум, 4 предпочтительных

• Память: минимум 1 ГБ, 4 предпочтительнее

  Примечание.

  Убедитесь, что у вас есть свободное место на диске в /var.

• В настоящее время решение обеспечивает защиту в режиме реального времени для следующих типов файловых систем:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuse
  • fuseblk
  • jfs
  • nfs (v3 only)
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • udf
  • vfat
  • xfs

После включения службы может потребоваться настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ней и конечными точками.

• Должна быть включена платформа аудита (auditd).

  Примечание.

  Системные события, зафиксированные правилами, добавленными в /etc/audit/rules.d/ , добавляются в audit.log(ы) и могут повлиять на аудит узла и вышестоящий сбор. События, добавленные Microsoft Defender для конечной точки в Linux, будут помечены ключомmdatp.

Настройка исключений

При добавлении исключений в антивирусную программу Microsoft Defender следует учитывать распространенные ошибки исключения для антивирусной программы Microsoft Defender

Сетевые подключения

В следующей скачиваемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым должна быть возможность подключения вашей сети. Убедитесь, что нет правил фильтрации брандмауэра или сети, которые запрещают доступ к этим URL-адресам. Если они есть, может потребоваться создать правило разрешения специально для них.

Таблица списка доменов	Описание
Список URL-адресов Microsoft Defender для конечной точки для коммерческих клиентов	Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов. Скачайте таблицу здесь.
Список URL-адресов Microsoft Defender для конечной точки для Gov/GCC/DoD	Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для клиентов Gov/GCC/DoD. Скачайте таблицу здесь.

Примечание.

Более конкретный список URL-адресов см. в разделе Настройка параметров прокси-сервера и подключения к Интернету.

Defender для конечной точки может обнаружить прокси-сервер с помощью следующих методов обнаружения:

• Прозрачный прокси
• Настройка статического прокси-сервера вручную

Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в перечисленных ранее URL-адресах. Для прозрачных прокси-серверов дополнительная настройка Defender для конечной точки не требуется. Для статического прокси-сервера выполните действия, описанные в разделе Настройка статического прокси-сервера вручную.

Предупреждение

PAC, WPAD и прокси-серверы с проверкой подлинности не поддерживаются. Убедитесь, что используется только статический или прозрачный прокси-сервер.

Проверка SSL и перехват прокси-серверов также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Defender для конечной точки в Linux в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальное хранилище не позволит выполнить перехват.

Инструкции по устранению неполадок см. в статье Устранение неполадок с подключением к облаку для Microsoft Defender для конечной точки в Linux.

Обновление Microsoft Defender для конечной точки в Linux

Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Сведения об обновлении Microsoft Defender для конечной точки в Linux см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.

Настройка Microsoft Defender для конечной точки в Linux

Руководство по настройке продукта в корпоративных средах доступно в разделе Настройка параметров для Microsoft Defender для конечной точки в Linux.

Распространенные приложения, которые могут повлиять на Microsoft Defender для конечной точки

Рабочие нагрузки с высоким уровнем ввода-вывода из некоторых приложений могут испытывать проблемы с производительностью при установке Microsoft Defender для конечной точки. К ним относятся приложения для сценариев разработчиков, такие как Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres. При снижении производительности рассмотрите возможность установки исключений для доверенных приложений, учитывая распространенные ошибки исключения для Microsoft Defender антивирусной программы. Дополнительные рекомендации см. в документации по исключениям антивирусной программы из сторонних приложений.

Ресурсы

• Дополнительные сведения о ведении журнала, удалении и других разделах см. в разделе Ресурсы.

Связанные статьи

• Защита конечных точек с помощью интегрированного решения EDR в Defender для облака: Microsoft Defender для конечной точки
• Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака
• Включение защиты сети для Linux