Dela via


Krav för Microsoft Defender för Endpoint i Linux

Tips

Microsoft Defender för Endpoint på Linux utökar nu stödet för Arm64-baserade Linux-servrar i GA.

Den här artikeln innehåller maskinvaru- och programvarukrav för Defender för Endpoint i Linux. Mer information om Defender för Endpoint i Linux, till exempel vad som ingår i det här erbjudandet, finns i följande artiklar:

Viktigt

Om du vill köra flera säkerhetslösningar sida vid sida kan du läsa Överväganden för prestanda, konfiguration och support.

Du kanske redan har konfigurerat ömsesidiga säkerhetsundantag för enheter som registrerats för Microsoft Defender för Endpoint. Om du fortfarande behöver ange ömsesidiga undantag för att undvika konflikter kan du läsa Lägga till Microsoft Defender för Endpoint i undantagslistan för din befintliga lösning.

Licenskrav

För att registrera servrar till Defender för Endpoint krävs serverlicenser. Du kan välja bland följande alternativ:

Mer detaljerad information om licensieringskrav för Microsoft Defender för Endpoint finns i Microsoft Defender för Endpoint licensieringsinformation.

Detaljerad licensinformation finns i Produktvillkor: Microsoft Defender för Endpoint och arbeta med ditt kontoteam för att lära dig mer om villkoren.

Systemkrav

  • CPU: Minst en processorkärna. För högpresterande arbetsbelastningar rekommenderas fler kärnor.
  • Diskutrymme: minst 2 GB. För högpresterande arbetsbelastningar kan mer diskutrymme behövas.
  • Minne: minst 1 GB RAM. För arbetsbelastningar med höga prestanda kan mer minne behövas.

Obs!

Prestandajustering kan behövas baserat på arbetsbelastningar. Mer information finns i Prestandajustering för Microsoft Defender för Endpoint på Linux

Programvarukrav

  • Linux-serverslutpunkter ska kunna komma åt *.endpoint.security.microsoft.com. Konfigurera statisk proxyidentifiering om det behövs.
  • Linux-serverslutpunkter ska ha systemd (systemhanteraren) installerade.
  • Administratörsbehörigheter på Linux-serverslutpunkten krävs för installation.
  • En lämplig roll tilldelad i Defender för Endpoint. Se Rollbaserad åtkomstkontroll.

Obs!

Linux-distributioner med systemhanteraren stöder både SystemV och Upstart. Microsoft Defender för Endpoint på Linux-agenten är oberoende av OMS-agenten (Operation Management Suite). Microsoft Defender för Endpoint förlitar sig på en egen oberoende telemetripipeline.

Linux-distributioner som stöds

Följande Linux-serverdistributioner och x64-versioner (AMD64/EM64T) stöds:

  • Red Hat Enterprise Linux 7.2 och senare

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 7,2 och högre, exklusive CentOS Stream

  • CentOS 8.x

  • Ubuntu 16.04 LTS

  • Ubuntu 18.04 LTS

  • Ubuntu 20.04 LTS

  • Ubuntu 22.04 LTS

  • Ubuntu 24.04 LTS

  • Debian 9 – 12

  • SUSE Linux Enterprise Server 12.x

  • SUSE Linux Enterprise Server 15.x

  • Oracle Linux 7.2 och senare

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33-42

  • Rocky 8,7 och högre

  • Rocky 9,2 och högre

  • Alma 8.4 och senare

  • Alma 9.2 och senare

  • Mariner 2

Följande Linux-serverdistributioner på ARM64 är nu allmänt tillgängliga:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Ubuntu 24.04 ARM64
  • Debian 11, 12 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64
  • RHEL 8.x ARM64
  • RHEL 9.x ARM64
  • Oracle Linux 8.x ARM64
  • Oracle Linux 9.x ARM64
  • SUSE Linux Enterprise Server 15 (SP5, SP6) ARM64

Obs!

Arbetsstations- och skrivbordsversionerna av dessa distributioner stöds inte och versioner som inte uttryckligen visas stöds inte (även om de härleds från de distributioner som stöds officiellt). När en ny paketversion har släppts begränsas stödet för de föregående två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport. Microsoft Defender för Endpoint är kernelversionsagnostisk för alla andra distributioner och versioner som stöds. Det minsta kravet för kernelversionen är 3.10.0-327 eller senare.

Varning

Det finns inte stöd för att köra Defender för Endpoint på Linux med andra fanotify-baserade säkerhetslösningar. Det kan leda till oförutsägbara resultat, inklusive hängande operativsystem. Om det finns andra program i systemet som använder fanotify i blockeringsläge visas program i fältet conflicting_applications i mdatp-hälsokommandots utdata. FaPolicyD-funktionen för Linux använder fanotify i blockeringsläge och stöds därför inte när Defender för Endpoint körs i aktivt läge. Du kan fortfarande använda Defender för Endpoint på Linux EDR-funktioner på ett säkert sätt när du har konfigurerat antivirusfunktionen Realtidsskydd aktiverat i passivt läge. Se Tillämpningsnivå för Microsoft Defender Antivirus.

Filsystem som stöds för realtidsskydd och snabba, fullständiga och anpassade genomsökningar

Realtidsskydd och snabb-/fullständiga genomsökningar Anpassade genomsökningar
btrfs Alla filsystem stöds för realtidsskydd och snabb-/fullständiga genomsökningar
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (endast v3) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

Obs!

NFS v3-monteringspunkter som ska genomsökas noggrant och krävs för att ange exportalternativet no_root_squash på dessa monteringspunkter. Utan det här alternativet kan genomsökning av NFS v3 eventuellt misslyckas på grund av bristande behörigheter.

Kontrollera om enheter kan ansluta till Defender för Endpoint-molntjänster

  1. Förbered din miljö enligt beskrivningen i steg 1 i följande artikel Konfigurera din nätverksmiljö för att säkerställa anslutningen med Defender för Endpoint-tjänsten.

  2. Anslut Defender för Endpoint på Linux via en proxyserver med hjälp av följande identifieringsmetoder:

  3. Tillåt anonym trafik i de tidigare listade URL:erna om en proxy eller brandvägg blockerar trafik.

Obs!

Konfiguration för transparenta proxyservrar behövs inte för Defender för Endpoint. Se Manuell konfiguration av statisk proxy.

Varning

PAC, WPAD och autentiserade proxyservrar stöds inte. Använd endast statiska eller transparenta proxyservrar. SSL-inspektion och avlyssning av proxyservrar stöds inte av säkerhetsskäl. Konfigurera ett undantag för SSL-inspektion och proxyservern för att tillåta direkt dataströmning från Defender för Endpoint på Linux till relevanta URL:er utan avlyssning. Om du lägger till avlyssningscertifikatet i det globala arkivet aktiveras inte avlyssning.

Felsökningssteg finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux

Externt paketberoende

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena. Följande externa paketberoenden finns för mdatp-paketet:

  • Mdatp RPM-paketet kräver glibc >= 2.17.
  • För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtime.

Obs!

Från och med version 101.24082.0004stöder Auditd Defender för Endpoint på Linux inte längre händelseprovidern. Vi övergår helt till den effektivare eBPF-tekniken. Om eBPF inte stöds på dina datorer, eller om det finns specifika krav på att vara kvar på Auditd och dina datorer använder Defender för Endpoint på Linux-versionen 101.24072.0001 eller äldre, finns följande ytterligare beroende av det granskade paketet för mdatp:

  • Mdatp RPM-paketet kräver audit, semanage.
  • För DEBIAN kräver auditdmdatp-paketet .
  • För Mariner kräver auditmdatp-paketet .

För versioner som är äldre än 101.25032.0000gäller följande krav:

  • RPM-paketbehov: mde-netfilter och pcre
  • DEBIAN-paketbehov: mde-netfilter och libpcre3

Paketet mde-netfilter har också följande paketberoenden:

  • För DEBIAN mde-netfilter kräver libnetfilter-queue1 och libglib2.0-0
  • För RPM mde-netfilter kräver libmnlpaketet , libnfnetlink, libnetfilter_queueoch glib2

Installationsinstruktioner

Det finns flera metoder och verktyg som du kan använda för att distribuera Microsoft Defender för Endpoint på Linux (gäller för LINUX-servrarna AMD64 och ARM64):

Viktigt

Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen. I Linux skapar Microsoft Defender för Endpoint en mdatp-användare med slumpmässiga UID- och GID-värden. Om du vill styra dessa värden skapar du en mdatp-användare före installationen med hjälp av /usr/sbin/nologin shell-alternativet. Här är ett exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Om du får installationsproblem är självfelsökande resurser tillgängliga. Se länkarna i avsnittet Se även .

Nästa steg

Se även

Tips

Vill du veta mer? Engage med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community