Dela via


Microsoft Defender för Endpoint för Linux

Tips

Vi är glada över att kunna dela med oss av det Microsoft Defender för Endpoint på Linux nu utökar stödet för ARM64-baserade Linux-servrar i förhandsversion! Mer information finns i Microsoft Defender för Endpoint på Linux för ARM64-baserade enheter (förhandsversion).

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I den här artikeln beskrivs hur du installerar, konfigurerar, uppdaterar och använder Microsoft Defender för Endpoint i Linux.

Försiktighet

Att köra andra slutpunktsskyddsprodukter från andra tillverkare än Microsoft tillsammans med Microsoft Defender för Endpoint på Linux leder sannolikt till prestandaproblem och oförutsägbara biverkningar. Om slutpunktsskydd från andra än Microsoft är ett absolut krav i din miljö kan du fortfarande på ett säkert sätt dra nytta av Defender för Endpoint på Linux EDR-funktioner när du har konfigurerat antivirusfunktioner för att köras i passivt läge.

Så här installerar du Microsoft Defender för Endpoint på Linux

Microsoft Defender för Endpoint för Linux innehåller funktioner för skydd mot skadlig kod och slutpunktsidentifiering och svar (EDR).

Förhandskrav

  • Åtkomst till Microsoft Defender-portalen
  • Linux-distribution med systemhanteraren
  • Erfarenhet på nybörjarnivå i Linux- och BASH-skript
  • Administratörsbehörigheter på enheten (för manuell distribution)

Obs!

Linux-distribution med systemhanteraren stöder både SystemV och Upstart. Microsoft Defender för Endpoint på Linux-agenten är oberoende av OMS-agenten (Operation Management Suite). Microsoft Defender för Endpoint förlitar sig på en egen oberoende telemetripipeline.

Systemkrav

  • CPU: minst 1 CPU-kärna. För högpresterande arbetsbelastningar rekommenderas fler kärnor.

  • Diskutrymme: minst 2 GB. För högpresterande arbetsbelastningar kan mer diskutrymme behövas.

  • Minne: minst 1 GB RAM. För arbetsbelastningar med höga prestanda kan mer minne behövas.

    Obs!

    Prestandajustering kan behövas baserat på arbetsbelastningar. Se Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux.

  • Följande Linux-serverdistributioner och x64-versioner (AMD64/EM64T) stöds:

    • Red Hat Enterprise Linux 7.2 eller senare
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 eller senare
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 – 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 eller senare
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8,7 och högre
    • Rocky 9,2 och högre
    • Alma 8.4 och senare
    • Alma 9.2 och senare
    • Mariner 2
  • Följande Linux-serverdistributioner på ARM64 stöds nu i förhandsversionen:

    • Ubuntu 20.04 ARM64
    • Ubuntu 22.04 ARM64
    • Amazon Linux 2 ARM64
    • Amazon Linux 2023 ARM64

    Viktigt

    Stöd för Microsoft Defender för Endpoint på Linux för ARM64-baserade Linux-enheter finns nu som förhandsversion. Mer information finns i Microsoft Defender för Endpoint på Linux för ARM64-baserade enheter (förhandsversion).

    Obs!

    Arbetsstationsversionerna av dessa distributioner stöds inte. Distributioner och versioner som inte uttryckligen visas stöds inte (även om de härleds från de distributioner som stöds officiellt). När en ny paketversion har släppts begränsas stödet för de föregående två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport. För närvarande stöds inte Rocky- och Alma-distributioner i Microsoft Defender – hantering av säkerhetsrisker. Microsoft Defender för Endpoint för alla andra distributioner och versioner som stöds är kernelversionsagnostisk. Det minsta kravet för att kernelversionen ska vara 3.10.0-327 eller senare.

    Försiktighet

    Det går inte att köra Defender för Endpoint på Linux sida vid sida med andra fanotify-baserade säkerhetslösningar. Det kan leda till oförutsägbara resultat, inklusive hängande operativsystem. Om det finns andra program i systemet som använder fanotify i blockeringsläge visas program i fältet mdatp health för conflicting_applications kommandoutdata. Funktionen För Linux FAPolicyD används fanotify i blockeringsläge och stöds därför inte när Defender för Endpoint körs i aktivt läge. Du kan fortfarande på ett säkert sätt dra nytta av EDR-funktionerna i Defender för Endpoint på Linux när du har konfigurerat antivirusfunktionen Realtidsskydd aktiverat i passivt läge.

  • Lista över filsystem som stöds för RTP, Snabb, Fullständig och Anpassad genomsökning.

RTP, snabb, fullständig genomsökning Anpassad genomsökning
btrfs Alla filsystem som stöds för RTP, snabb och fullständig genomsökning
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (endast v3) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

Obs!

Från och med version 101.24082.0004stöder Auditd Defender för Endpoint på Linux inte längre händelseprovidern. Vi övergår helt till den effektivare utökade Berkeley Packet Filter-tekniken (eBPF). Om eBPF inte stöds på dina datorer, eller om det finns specifika krav för att vara kvar på Auditd, och dina datorer använder Defender för Endpoint på Linux-version 101.24072.0001 eller lägre, måste Granskningsramverket (auditd) vara aktiverat i systemet. Om du använder Auditd kan systemhändelser som registrerats av regler som lagts till /etc/audit/rules.d/ i tillägg till audit.log(er) och påverka värdgranskning och uppströmsinsamling. Händelser som läggs till av Microsoft Defender för Endpoint i Linux taggas med mdatp nyckeln.

Installationsinstruktioner

Det finns flera metoder och distributionsverktyg som du kan använda för att installera och konfigurera Microsoft Defender för Endpoint på Linux. Innan du börjar kontrollerar du att minimikraven för Microsoft Defender för Endpoint är uppfyllda.

Du kan använda någon av följande metoder för att distribuera Microsoft Defender för Endpoint på Linux:

Om det uppstår installationsfel kan du läsa Felsöka installationsfel i Microsoft Defender för Endpoint på Linux.

Viktigt

Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen. Microsoft Defender för Endpoint i Linux skapar en mdatp användare med slumpmässigt UID och GID. Om du vill styra UID och GID skapar du en mdatp användare före installationen med hjälp av /usr/sbin/nologin shell-alternativet. Här är ett exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Externt paketberoende

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena. Följande externa paketberoenden finns för mdatp-paketet:

  • Mdatp RPM-paketet kräver glibc >= 2.17, policycoreutils, selinux-policy-targetedoch mde-netfilter
  • För RHEL6 kräver policycoreutilsmdatp RPM-paketet , libselinuxoch mde-netfilter
  • För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtimeoch mde-netfilter

Obs!

Från och med version 101.24082.0004stöder Auditd Defender för Endpoint på Linux inte längre händelseprovidern. Vi övergår helt till den effektivare eBPF-tekniken. Om eBPF inte stöds på dina datorer, eller om det finns specifika krav på att vara kvar på Auditd och dina datorer använder Defender för Endpoint på Linux-versionen 101.24072.0001 eller äldre, finns följande ytterligare beroende av det granskade paketet för mdatp:

  • Mdatp RPM-paketet kräver audit, semanage.
  • För DEBIAN kräver auditdmdatp-paketet .
  • För Mariner kräver auditmdatp-paketet .

Paketetmde-netfilter har också följande paketberoenden:

  • För DEBIAN kräver libnetfilter-queue1paketet mde-netfilter , och libglib2.0-0
  • För RPM kräver libmnlpaketet mde-netfilter , libnfnetlink, libnetfilter_queueoch glib2

Konfigurera undantag

När du lägger till undantag i Microsoft Defender Antivirus bör du tänka på vanliga undantagsmisstag för Microsoft Defender Antivirus.

Nätverksanslutningar

Se till att anslutningen är möjlig från dina enheter till Microsoft Defender för Endpoint molntjänster. Information om hur du förbereder din miljö finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.

Defender för Endpoint på Linux kan ansluta via en proxyserver med hjälp av följande identifieringsmetoder:

  • Transparent proxy
  • Manuell konfiguration av statisk proxy

Om en proxy eller brandvägg blockerar anonym trafik kontrollerar du att anonym trafik tillåts i de tidigare listade URL:erna. För transparenta proxyservrar behövs ingen annan konfiguration för Defender för Endpoint. För statisk proxy följer du stegen i Manuell statisk proxykonfiguration.

Varning

PAC, WPAD och autentiserade proxyservrar stöds inte. Se till att endast en statisk proxy eller transparent proxy används. SSL-inspektion och avlyssning av proxyservrar stöds inte heller av säkerhetsskäl. Konfigurera ett undantag för SSL-inspektion och proxyservern för att direkt skicka data från Defender för Endpoint på Linux till relevanta URL:er utan avlyssning. Att lägga till avlyssningscertifikatet i det globala arkivet tillåter inte avlyssning.

Felsökningssteg finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.

Så här uppdaterar du Microsoft Defender för Endpoint i Linux

Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Information om hur du uppdaterar Microsoft Defender för Endpoint i Linux finns i Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.

Så här konfigurerar du Microsoft Defender för Endpoint i Linux

Vägledning för hur du konfigurerar produkten i företagsmiljöer finns i Ange inställningar för Microsoft Defender för Endpoint på Linux.

Vanliga program att Microsoft Defender för Endpoint kan påverka

Höga I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Endpoint installeras. Sådana program för utvecklarscenarier omfattar Jenkins och Jira samt databasarbetsbelastningar som OracleDB och Postgres. Om prestanda försämras bör du överväga att ställa in undantag för betrodda program, så att vanliga undantagsmisstag för Microsoft Defender Antivirus i åtanke. Mer vägledning finns i dokumentationen om antivirusundantag från program som inte kommer från Microsoft.

Resurser

  • Mer information om loggning, avinstallation eller andra artiklar finns i Resurser.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.