Microsoft Defender för Endpoint för Linux

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I den här artikeln beskrivs hur du installerar, konfigurerar, uppdaterar och använder Microsoft Defender för Endpoint i Linux.

Försiktighet

Att köra andra slutpunktsskyddsprodukter från andra tillverkare än Microsoft tillsammans med Microsoft Defender för Endpoint på Linux leder sannolikt till prestandaproblem och oförutsägbara biverkningar. Om slutpunktsskydd från andra än Microsoft är ett absolut krav i din miljö kan du fortfarande på ett säkert sätt dra nytta av Defender för Endpoint på Linux EDR-funktioner när du har konfigurerat antivirusfunktioner för att köras i passivt läge.

Så här installerar du Microsoft Defender för Endpoint på Linux

Microsoft Defender för Endpoint för Linux innehåller funktioner för skydd mot skadlig kod och slutpunktsidentifiering och svar (EDR).

Förhandskrav

• Åtkomst till Microsoft Defender-portalen

• Linux-distribution med systemhanteraren

  Obs!

  Linux-distribution med systemhanteraren stöder både SystemV och Upstart.

• Erfarenhet på nybörjarnivå i Linux- och BASH-skript

• Administratörsbehörigheter på enheten (för manuell distribution)

Obs!

Microsoft Defender för Endpoint på Linux-agenten är oberoende av OMS-agenten. Microsoft Defender för Endpoint förlitar sig på en egen oberoende telemetripipeline.

Installationsinstruktioner

Det finns flera metoder och distributionsverktyg som du kan använda för att installera och konfigurera Microsoft Defender för Endpoint på Linux. Innan du börjar kontrollerar du att minimikraven för Microsoft Defender för Endpoint är uppfyllda.

Du kan använda någon av följande metoder för att distribuera Microsoft Defender för Endpoint på Linux:

• Information om hur du använder kommandoradsverktyget finns i Manuell distribution
• Information om hur du använder Puppet finns i Distribuera med puppet-konfigurationshanteringsverktyget
• Information om hur du använder Ansible finns i Distribuera med ansible-konfigurationshanteringsverktyget
• Information om hur du använder Chef finns i Distribuera med konfigurationshanteringsverktyget chef
• Information om hur du använder Saltstack finns i Distribuera med hjälp av konfigurationshanteringsverktyget för Saltstack

Om det uppstår installationsfel kan du läsa Felsöka installationsfel i Microsoft Defender för Endpoint på Linux.

Viktigt

Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen. Microsoft Defender för Endpoint i Linux skapar en mdatp användare med slumpmässigt UID och GID. Om du vill styra UID och GID skapar du en mdatp användare före installationen med hjälp av /usr/sbin/nologin shell-alternativet. Här är ett exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Systemkrav

• Diskutrymme: 2 GB

  Obs!

  Ytterligare 2 GB diskutrymme kan behövas om molndiagnostik är aktiverat för kraschsamlingar. Kontrollera att du har ledigt diskutrymme i /var.

• Kärnor: Två minimum, fyra föredragna

  Obs!

  Om du är i läget Passiv eller RTP ON krävs minst två kärnor. Fyra kärnor är att föredra. Om du aktiverar BM krävs minst fyra kärnor.

• Minne: minst 1 GB, 4 GB föredras

• Följande Linux-serverdistributioner och x64-versioner (AMD64/EM64T) och x86_64 stöds:

  • Red Hat Enterprise Linux 7.2 eller senare
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 eller senare
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 – 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 eller senare
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8,7 och högre
  • Rocky 9,2 och högre
  • Alma 8.4 och senare
  • Alma 9.2 och senare
  • Mariner 2

  Obs!

  Distributioner och versioner som inte uttryckligen visas stöds inte (även om de härleds från de distributioner som stöds officiellt). När en ny paketversion har släppts begränsas stödet för de föregående två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport. Microsoft Defender Vulnerablity Management stöds inte på Rocky och Alma för närvarande. Microsoft Defender för Endpoint för alla andra distributioner och versioner som stöds är kernelversionsagnostisk. Med ett minimalt krav på att kernelversionen ska vara på eller större än 3.10.0-327.

  Försiktighet

  Det går inte att köra Defender för Endpoint på Linux sida vid sida med andra fanotify-baserade säkerhetslösningar. Det kan leda till oförutsägbara resultat, inklusive hängande operativsystem. Om det finns andra program i systemet som använder fanotify i blockeringsläge visas program i fältet mdatp health för conflicting_applications kommandoutdata. Funktionen För Linux FAPolicyD används fanotify i blockeringsläge och stöds därför inte när Defender för Endpoint körs i aktivt läge. Du kan fortfarande på ett säkert sätt dra nytta av EDR-funktionerna i Defender för Endpoint på Linux när du har konfigurerat antivirusfunktionen Realtidsskydd aktiverat i passivt läge.

• Lista över filsystem som stöds för RTP, Snabb, Fullständig och Anpassad genomsökning.

  RTP, snabb, fullständig genomsökning	Anpassad genomsökning
  btrfs	Alla filsystem som stöds för RTP, snabb och fullständig genomsökning
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  fuse	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (endast v3)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

• Granskningsramverket (auditd) måste vara aktiverat om du använder auditd som primär händelseprovider.

  Obs!

  Systemhändelser som samlas in av regler som läggs till /etc/audit/rules.d/ lägger till audit.logi (s) och kan påverka värdgranskning och uppströmssamling. Händelser som läggs till av Microsoft Defender för Endpoint i Linux kommer att taggas med mdatp nyckeln.

• /opt/microsoft/mdatp/sbin/wdavdaemon kräver körbar behörighet. Mer information finns i "Kontrollera att daemon har körbar behörighet" i Felsöka installationsproblem för Microsoft Defender för Endpoint på Linux.

Externt paketberoende

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena. Följande externa paketberoenden finns för mdatp-paketet:

• Mdatp RPM-paketet kräver glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetedoch mde-netfilter
• För RHEL6 kräver auditmdatp RPM-paketet , policycoreutils, libselinuxoch mde-netfilter
• För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtime, auditdoch mde-netfilter

Paketet mde-netfilter har också följande paketberoenden:

• För DEBIAN kräver libnetfilter-queue1paketet mde-netfilter , och libglib2.0-0
• För RPM kräver libmnlpaketet mde-netfilter , libnfnetlink, libnetfilter_queueoch glib2

Konfigurera undantag

När du lägger till undantag i Microsoft Defender Antivirus bör du tänka på vanliga undantagsmisstag för Microsoft Defender Antivirus.

Nätverksanslutningar

Se till att anslutningen är möjlig från dina enheter till Microsoft Defender för Endpoint molntjänster. Information om hur du förbereder din miljö finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.

Defender för Endpoint på Linux kan ansluta via en proxyserver med hjälp av följande identifieringsmetoder:

• Transparent proxy
• Manuell konfiguration av statisk proxy

Om en proxy eller brandvägg blockerar anonym trafik kontrollerar du att anonym trafik tillåts i de tidigare listade URL:erna. För transparenta proxyservrar behövs ingen annan konfiguration för Defender för Endpoint. För statisk proxy följer du stegen i Manuell statisk proxykonfiguration.

Varning

PAC, WPAD och autentiserade proxyservrar stöds inte. Se till att endast en statisk proxy eller transparent proxy används. SSL-inspektion och avlyssning av proxyservrar stöds inte heller av säkerhetsskäl. Konfigurera ett undantag för SSL-inspektion och proxyservern för att direkt skicka data från Defender för Endpoint på Linux till relevanta URL:er utan avlyssning. Om du lägger till avlyssningscertifikatet i det globala arkivet tillåts inte avlyssning.

Felsökningssteg finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.

Så här uppdaterar du Microsoft Defender för Endpoint i Linux

Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Information om hur du uppdaterar Microsoft Defender för Endpoint i Linux finns i Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.

Så här konfigurerar du Microsoft Defender för Endpoint i Linux

Vägledning för hur du konfigurerar produkten i företagsmiljöer finns i Ange inställningar för Microsoft Defender för Endpoint på Linux.

Vanliga program att Microsoft Defender för Endpoint kan påverka

Höga I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Endpoint installeras. Sådana program för utvecklarscenarier omfattar Jenkins och Jira samt databasarbetsbelastningar som OracleDB och Postgres. Om prestanda försämras bör du överväga att ställa in undantag för betrodda program, så att vanliga undantagsmisstag för Microsoft Defender Antivirus i åtanke. Mer vägledning finns i dokumentationen om antivirusundantag från program som inte kommer från Microsoft.

Resurser

• Mer information om loggning, avinstallation eller andra artiklar finns i Resurser.

Relaterade artiklar

• Skydda dina slutpunkter med Defender för molnets integrerade EDR-lösning: Microsoft Defender för Endpoint
• Ansluta dina datorer som inte kommer från Azure till Microsoft Defender för molnet
• Aktivera nätverksskydd för Linux

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.