Microsoft Defender för Endpoint för Linux

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I den här artikeln beskrivs hur du installerar, konfigurerar, uppdaterar och använder Microsoft Defender för Endpoint i Linux.

Försiktighet

Att köra andra slutpunktsskyddsprodukter från tredje part tillsammans med Microsoft Defender för Endpoint på Linux leder sannolikt till prestandaproblem och oförutsägbara biverkningar. Om icke-Microsoft-slutpunktsskydd är ett absolut krav i din miljö kan du fortfarande på ett säkert sätt dra nytta av Defender för Endpoint på Linux EDR-funktioner när du har konfigurerat antivirusfunktionerna så att de körs i passivt läge.

Så här installerar du Microsoft Defender för Endpoint på Linux

Microsoft Defender för Endpoint för Linux innehåller funktioner för skydd mot skadlig kod och slutpunktsidentifiering och svar (EDR).

Förutsättningar

  • Åtkomst till Microsoft Defender-portalen

  • Linux-distribution med systemhanteraren

    Obs!

    Linux-distribution med systemhanteraren, förutom RHEL/CentOS 6.x stöder både SystemV och Upstart.

  • Erfarenhet på nybörjarnivå i Linux- och BASH-skript

  • Administratörsbehörigheter på enheten (vid manuell distribution)

Obs!

Microsoft Defender för Endpoint på Linux-agenten är oberoende av OMS-agenten. Microsoft Defender för Endpoint förlitar sig på en egen oberoende telemetripipeline.

Installationsinstruktioner

Det finns flera metoder och distributionsverktyg som du kan använda för att installera och konfigurera Microsoft Defender för Endpoint på Linux.

I allmänhet måste du vidta följande steg:

Obs!

Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen.

Microsoft Defender för Endpoint på Linux skapar en "mdatp"-användare med slumpmässigt UID och GID. Om du vill styra UID och GID skapar du en "mdatp"-användare före installationen med shell-alternativet "/usr/sbin/nologin". Till exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Systemkrav

  • Linux-serverdistributioner som stöds och x64 (AMD64/EM64T) och x86_64 versioner:

    • Red Hat Enterprise Linux 6.7 eller senare (förhandsversion)

    • Red Hat Enterprise Linux 7.2 eller senare

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 eller senare (förhandsversion)

    • CentOS 7,2 eller högre

    • Ubuntu 16.04 LTS eller senare LTS

    • Debian 9 – 12

    • SUSE Linux Enterprise Server 12 eller senare

    • SUSE Linux Enterprise Server 15 eller senare

    • Oracle Linux 7.2 eller senare

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 eller senare

    • Rocky 8,7 och högre

    • Alma 8.4 och senare

    • Mariner 2

      Obs!

      Distributioner och versioner som inte uttryckligen visas stöds inte (även om de härleds från de distributioner som stöds officiellt). Med RHEL 6-stöd för "förlängd livslängd" som upphör senast den 30 juni 2024; MDE Linux-stöd för RHEL 6 kommer också att vara inaktuellt senast den 30 juni 2024 MDE Linux version 101.23082.0011 är den sista MDE Linux-versionen som stöder RHEL 6.7 eller senare versioner (upphör inte att gälla före den 30 juni 2024). Kunder rekommenderas att planera uppgraderingar av sin RHEL 6-infrastruktur i linje med vägledning från Red Hat.

  • Lista över kernelversioner som stöds

    Obs!

    Microsoft Defender för Endpoint på Red Hat Enterprise Linux och CentOS – 6.7 till 6.10 är en kernelbaserad lösning. Du måste kontrollera att kernelversionen stöds innan du uppdaterar till en nyare kernelversion. Microsoft Defender för Endpoint för alla andra distributioner och versioner som stöds är kernelversionsagnostisk. Med ett minimalt krav på att kernelversionen ska vara på eller större än 3.10.0-327.

    • Kernel-alternativet fanotify måste vara aktiverat
    • Red Hat Enterprise Linux 6 och CentOS 6:
      • För 6.7: 2.6.32-573.* (utom 2.6.32-573.el6.x86_64)
      • För 6.8: 2.6.32-642.*
      • För 6.9: 2.6.32-696.* (utom 2.6.32-696.el6.x86_64)
      • För 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Obs!

    När en ny paketversion har släppts begränsas stödet för de föregående två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport.

    Försiktighet

    Det går inte att köra Defender för Endpoint på Linux sida vid sida med andra fanotify-baserade säkerhetslösningar. Det kan leda till oförutsägbara resultat, inklusive hängande operativsystem. Om det finns andra program i systemet som använder fanotify i blockeringsläge visas program i fältet mdatp health för conflicting_applications kommandoutdata. Funktionen För Linux FAPolicyD används fanotify i blockeringsläge och stöds därför inte när Defender för Endpoint körs i aktivt läge. Du kan fortfarande på ett säkert sätt dra nytta av EDR-funktionerna i Defender för Endpoint på Linux när du har konfigurerat antivirusfunktionen Realtidsskydd aktiverat i passivt läge.

  • Diskutrymme: 2 GB

    Obs!

    Ytterligare 2 GB diskutrymme kan behövas om molndiagnostik är aktiverat för kraschsamlingar.

  • /opt/microsoft/mdatp/sbin/wdavdaemon kräver körbar behörighet. Mer information finns i "Kontrollera att daemon har körbar behörighet" i Felsöka installationsproblem för Microsoft Defender för Endpoint på Linux.

  • Kärnor: minst 2, 4 föredragna

  • Minne: minst 1 GB, 4 föredras

    Obs!

    Kontrollera att du har ledigt diskutrymme i /var.

  • Lista över filsystem som stöds för RTP, Snabb, Fullständig och Anpassad genomsökning.

    RTP, snabb, fullständig genomsökning Anpassad genomsökning
    Btrfs Alla filsystem som stöds för RTP, snabb och fullständig genomsökning
    Ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    Fuse glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs (endast v3) Cifs
    Overlay Smb
    ramfs gcsfuse
    Reiserfs Sysfs
    Tmpfs
    Udf
    Vfat
    Xfs

När du har aktiverat tjänsten måste du konfigurera nätverket eller brandväggen för att tillåta utgående anslutningar mellan den och dina slutpunkter.

  • Granskningsramverket (auditd) måste vara aktiverat.

    Obs!

    Systemhändelser som samlas in av regler som läggs till /etc/audit/rules.d/ lägger till audit.logi (s) och kan påverka värdgranskning och uppströmssamling. Händelser som läggs till av Microsoft Defender för Endpoint i Linux kommer att taggas med mdatp nyckeln.

Externt paketberoende

Följande externa paketberoenden finns för mdatp-paketet:

  • Mdatp RPM-paketet kräver "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • För RHEL6 kräver mdatp RPM-paketet "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • För DEBIAN kräver mdatp-paketet "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Paketet mde-netfilter har också följande paketberoenden:

  • För DEBIAN kräver paketet mde-netfilter "libnetfilter-queue1", "libglib2.0-0"
  • För RPM kräver paketet mde-netfilter "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de beroenden som behövs.

Konfigurera undantag

När du lägger till undantag i Microsoft Defender Antivirus bör du tänka på vanliga undantagsmisstag för Microsoft Defender Antivirus.

Nätverksanslutningar

Följande nedladdningsbara kalkylblad visar de tjänster och deras associerade URL:er som nätverket måste kunna ansluta till. Du bör se till att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Om det finns det kan du behöva skapa en tillåt-regel specifikt för dem.

Lista över kalkylblad med domäner Beskrivning
Microsoft Defender för Endpoint URL-lista för kommersiella kunder Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för kommersiella kunder.

Ladda ned kalkylbladet här.
Microsoft Defender för Endpoint URL-lista för Gov/GCC/DoD Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för Gov/GCC/DoD-kunder.

Ladda ned kalkylbladet här.

Obs!

En mer specifik URL-lista finns i Konfigurera proxy- och Internetanslutningsinställningar.

Defender för Endpoint kan identifiera en proxyserver med hjälp av följande identifieringsmetoder:

  • Transparent proxy
  • Manuell konfiguration av statisk proxy

Om en proxy eller brandvägg blockerar anonym trafik kontrollerar du att anonym trafik tillåts i de tidigare listade URL:erna. För transparenta proxyservrar behövs ingen ytterligare konfiguration för Defender för Endpoint. För statisk proxy följer du stegen i Manuell statisk proxykonfiguration.

Varning

PAC, WPAD och autentiserade proxyservrar stöds inte. Se till att endast en statisk proxy eller transparent proxy används.

SSL-inspektion och avlyssning av proxyservrar stöds inte heller av säkerhetsskäl. Konfigurera ett undantag för SSL-inspektion och proxyservern för att direkt skicka data från Defender för Endpoint på Linux till relevanta URL:er utan avlyssning. Om du lägger till avlyssningscertifikatet i det globala arkivet tillåts inte avlyssning.

Felsökningssteg finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.

Så här uppdaterar du Microsoft Defender för Endpoint i Linux

Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Information om hur du uppdaterar Microsoft Defender för Endpoint i Linux finns i Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.

Så här konfigurerar du Microsoft Defender för Endpoint i Linux

Vägledning för hur du konfigurerar produkten i företagsmiljöer finns i Ange inställningar för Microsoft Defender för Endpoint på Linux.

Vanliga program att Microsoft Defender för Endpoint kan påverka

Höga I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Endpoint installeras. Dessa omfattar program för utvecklarscenarier som Jenkins och Jira och databasarbetsbelastningar som OracleDB och Postgres. Om prestanda försämras bör du överväga att ställa in undantag för betrodda program, så att vanliga undantagsmisstag för Microsoft Defender Antivirus i åtanke. Mer information finns i dokumentationen om antivirusundantag från program från tredje part.

Resurser

  • Mer information om loggning, avinstallation eller andra artiklar finns i Resurser.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.