Linux'ta Uç Nokta için Microsoft Defender
İpucu
Linux'ta Uç Nokta için Microsoft Defender artık arm64 tabanlı Linux sunucuları için desteği önizleme aşamasında genişleteceklerini paylaşmak için heyecanlıyız! Daha fazla bilgi için bkz. ARM64 tabanlı cihazlar için Linux'ta Uç Nokta için Microsoft Defender (önizleme).
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Bu makalede Linux'ta Uç Nokta için Microsoft Defender yükleme, yapılandırma, güncelleştirme ve kullanma işlemleri açıklanmaktadır.
Dikkat
Linux'ta Uç Nokta için Microsoft Defender yanı sıra Microsoft dışı diğer uç nokta koruma ürünlerini çalıştırmak, performans sorunlarına ve öngörülemeyen yan etkilere yol açabilir. Ortamınızda Microsoft dışı uç nokta koruması mutlak bir gereksinimse, virüsten koruma işlevini Edilgen modda çalışacak şekilde yapılandırdıktan sonra Linux EDR'de Uç Nokta için Defender işlevinden güvenle yararlanabilirsiniz.
Linux'ta Uç Nokta için Microsoft Defender yükleme
Linux için Uç Nokta için Microsoft Defender kötü amaçlı yazılımdan koruma ve uç nokta algılama ve yanıt (EDR) özelliklerini içerir.
Önkoşullar
- Microsoft Defender portalına erişim
- Sistemlisistem yöneticisini kullanarak Linux dağıtımı
- Linux ve BASH betiği oluşturmada başlangıç düzeyinde deneyim
- Cihazdaki yönetim ayrıcalıkları (el ile dağıtım için)
Not
Sistem yöneticisi kullanan Linux dağıtımı hem SystemV hem de Upstart'ı destekler. Linux aracısı üzerindeki Uç Nokta için Microsoft Defender, Operation Management Suite (OMS) aracısından bağımsızdır. Uç Nokta için Microsoft Defender kendi bağımsız telemetri işlem hattına dayanır.
Sistem gereksinimleri
CPU: En az 1 CPU çekirdeği. Yüksek performanslı iş yükleri için daha fazla çekirdek önerilir.
Disk Alanı: En az 2 GB. Yüksek performanslı iş yükleri için daha fazla disk alanı gerekebilir.
Bellek: En az 1 GB RAM. Yüksek performanslı iş yükleri için daha fazla bellek gerekebilir.
Not
İş yüklerine göre performans ayarlaması gerekebilir. Bkz. Linux'ta Uç Nokta için Microsoft Defender için performans sorunlarını giderme.
Aşağıdaki Linux sunucu dağıtımları ve x64 (AMD64/EM64T) sürümleri desteklenir:
- Red Hat Enterprise Linux 7.2 veya üzeri
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 veya üzeri
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 veya üzeri
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Kayalık 8.7 ve üzeri
- Kayalık 9.2 ve üzeri
- Alma 8.4 ve üzeri
- Alma 9.2 ve üzeri
- Mariner 2
ARM64'teki aşağıdaki Linux sunucu dağıtımları artık önizlemede desteklenmektedir:
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
Önemli
ARM64 tabanlı Linux cihazları için Linux'ta Uç Nokta için Microsoft Defender desteği artık önizleme aşamasındadır. Daha fazla bilgi için bkz. ARM64 tabanlı cihazlar için Linux'ta Uç Nokta için Microsoft Defender (önizleme).
Not
Bu dağıtımların iş istasyonu sürümleri desteklenmiyor. Açıkça listelenmeyen dağıtımlar ve sürümler desteklenmez (resmi olarak desteklenen dağıtımlardan türetilmiş olsalar bile). Yeni bir paket sürümü yayımlandıktan sonra, önceki iki sürüme yönelik destek yalnızca teknik desteğe indirgener. Bu bölümde listelenen sürümlerden eski sürümler yalnızca teknik yükseltme desteği için sağlanır. Rocky ve Alma dağıtımları şu anda Microsoft Defender Güvenlik Açığı Yönetimi'da desteklenmemektedir. Diğer tüm desteklenen dağıtımlar ve sürümler için Uç Nokta için Microsoft Defender, çekirdek sürümü belirsizdir. Çekirdek sürümünün veya daha sonraki bir sürümün olması
3.10.0-327
için en düşük gereksinim.Dikkat
Linux'ta Uç Nokta için Defender'ın diğer
fanotify
tabanlı güvenlik çözümleriyle yan yana çalıştırılması desteklenmez. İşletim sistemini asmak da dahil olmak üzere öngörülemeyen sonuçlara yol açabilir. Sistemde engelleme modunda kullananfanotify
başka uygulamalar varsa, uygulamalar komut çıktısıconflicting_applications
mdatp health
alanında listelenir. Linux FAPolicyD özelliği engelleme modunda kullanırfanotify
ve bu nedenle Uç Nokta için Defender etkin modda çalıştırılırken desteklenmez. Virüsten koruma işlevini Gerçek Zamanlı Koruma Etkin'i Pasif moda yapılandırdıktan sonra Linux EDR'de Uç Nokta için Defender işlevinden güvenle yararlanabilirsiniz.RTP, Hızlı, Tam ve Özel Tarama için desteklenen dosya sistemlerinin listesi.
RTP, Hızlı, Tam Tarama | Özel Tarama |
---|---|
btrfs |
RTP, Hızlı, Tam Tarama için desteklenen tüm dosya sistemleri |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (yalnızca v3) |
cifs |
overlay |
smb |
ramfs |
gcsfuse |
reiserfs |
sysfs |
tmpfs |
|
udf |
|
vfat |
|
xfs |
Not
NFS v3 bağlama noktalarının kapsamlı bir şekilde taranacağı için, bu bağlama noktalarında dışarı aktarma seçeneğinin ayarlanması no_root_squash
gerekir. Bu seçenek olmadan NFS v3 tarama işlemi, izinlerin olmaması nedeniyle başarısız olabilir.
Not
Sürümünden 101.24082.0004
başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd
desteklememektedir. Tamamen daha verimli genişletilmiş Berkeley Paket Filtresi (eBPF) teknolojisine geçiş yapıyoruz.
Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde veya daha düşük bir sürümde 101.24072.0001
Uç Nokta için Defender kullanıyorsa, sisteminizde Denetim çerçevesinin (auditd
) etkinleştirilmesi gerekir.
Denetimli'yi kullanıyorsanız, ekleme (ler) öğesine /etc/audit/rules.d/
audit.log
eklenen kurallar tarafından yakalanan sistem olayları konak denetimini ve yukarı akış koleksiyonunu etkileyebilir. Linux'ta Uç Nokta için Microsoft Defender tarafından eklenen olaylar anahtarla mdatp
etiketlenir.
- /opt/microsoft/mdatp/sbin/wdavdaemon yürütülebilir izin gerektirir. Daha fazla bilgi için Linux'ta Uç Nokta için Microsoft Defender yükleme sorunlarını giderme makalesindeki "Daemon'un yürütülebilir izinlere sahip olduğundan emin olun" konusuna bakın.
Yükleme yönergeleri
Linux'ta Uç Nokta için Microsoft Defender yüklemek ve yapılandırmak için kullanabileceğiniz çeşitli yöntemler ve dağıtım araçları vardır. Başlamadan önce Uç Nokta için Microsoft Defender için Minimum gereksinimlerin karşılandığından emin olun.
Linux'ta Uç Nokta için Microsoft Defender dağıtmak için aşağıdaki yöntemlerden birini kullanabilirsiniz:
- Komut satırı aracını kullanmak için bkz . El ile dağıtım
- Puppet'ı kullanmak için bkz. Puppet yapılandırma yönetim aracını kullanarak dağıtma
- Ansible'ı kullanmak için bkz. Ansible yapılandırma yönetim aracını kullanarak dağıtma
- Chef'i kullanmak için bkz. Chef yapılandırma yönetim aracını kullanarak dağıtma
- Saltstack'i kullanmak için bkz . Saltstack yapılandırma yönetim aracını kullanarak dağıtma
- ARM64 tabanlı Linux sunucularına yüklemek için bkz. ARM64 tabanlı cihazlar için Linux'ta Uç Nokta için Microsoft Defender (önizleme).
Yükleme hatalarıyla karşılaşırsanız bkz. Linux'ta Uç Nokta için Microsoft Defender yükleme hatalarını giderme.
Önemli
Uç Nokta için Microsoft Defender varsayılan yükleme yolu dışında herhangi bir konuma yüklenmesi desteklenmez.
Linux'ta Uç Nokta için Microsoft Defender rastgele UID ve GID ile bir mdatp
kullanıcı oluşturur. UID ve GID'yi denetlemek istiyorsanız, kabuk seçeneğini kullanarak /usr/sbin/nologin
yüklemeden önce bir mdatp
kullanıcı oluşturun. İşte bir örnek: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Dış paket bağımlılığı
eksik bağımlılık hataları nedeniyle Uç Nokta için Microsoft Defender yüklemesi başarısız olursa, önkoşul bağımlılıklarını el ile indirebilirsiniz. mdatp paketi için aşağıdaki dış paket bağımlılıkları vardır:
- mdatp RPM paketi , ,
policycoreutils
selinux-policy-targeted
ve gerektirirglibc >= 2.17
mde-netfilter
- RHEL6 için mdatp RPM paketi ,
libselinux
ve gerektirirpolicycoreutils
mde-netfilter
- DEBIAN için mdatp paketi ,
uuid-runtime
ve gerektirirlibc6 >= 2.23
mde-netfilter
Not
Sürümünden 101.24082.0004
başlayarak, Linux'ta Uç Nokta için Defender artık olay sağlayıcısını Auditd
desteklememektedir. Tamamen daha verimli eBPF teknolojisine geçiş yapıyoruz.
Makinelerinizde eBPF desteklenmiyorsa veya Denetlendi'de kalması gereken belirli gereksinimler varsa ve makineleriniz Linux sürümünde 101.24072.0001
uç nokta için Defender kullanıyorsa veya daha eskiyse, mdatp için denetlenen pakete aşağıdaki ek bağımlılık vardır:
- mdatp RPM paketi ,
semanage
gerektiriraudit
. - DEBIAN için mdatp paketi gerektirir
auditd
. - Mariner için mdatp paketi gerektirir
audit
.
Paketmde-netfilter
ayrıca aşağıdaki paket bağımlılıklarına sahiptir:
- DEBIAN için mde-netfilter paketi , ve gerektirir
libnetfilter-queue1
libglib2.0-0
- RPM için mde-netfilter paketi , ,
libnfnetlink
libnetfilter_queue
ve gerektirirlibmnl
glib2
Dışlamaları Yapılandırma
Microsoft Defender Virüsten Koruma'ya dışlamalar eklerken, Microsoft Defender Virüsten Koruma için Yaygın Dışlama Hataları'na dikkat etmelisiniz.
Ağ bağlantıları
Cihazlarınızdan Uç Nokta için Microsoft Defender bulut hizmetlerine bağlantının mümkün olduğundan emin olun. Ortamınızı hazırlamak için bkz. ADIM 1: Uç Nokta için Defender hizmetiyle bağlantı sağlamak için ağ ortamınızı yapılandırma.
Linux üzerinde Uç Nokta için Defender, aşağıdaki bulma yöntemlerini kullanarak bir ara sunucu üzerinden bağlanabilir:
- Saydam ara sunucu
- El ile statik proxy yapılandırması
Bir ara sunucu veya güvenlik duvarı anonim trafiği engelliyorsa, önceden listelenen URL'lerde anonim trafiğe izin verildiğinden emin olun. Saydam proxy'ler için, Uç Nokta için Defender için başka bir yapılandırma gerekmez. Statik ara sunucu için El ile Statik Proxy Yapılandırması'ndaki adımları izleyin.
Uyarı
PAC, WPAD ve kimliği doğrulanmış proxy'ler desteklenmez. Yalnızca statik bir ara sunucu veya saydam proxy kullanıldığından emin olun. GÜVENLIK nedeniyle SSL denetimi ve ara sunucuları da desteklenmez. SSL incelemesi için bir özel durum yapılandırın ve ara sunucunuzu, Linux'ta Uç Nokta için Defender'dan kesme olmadan ilgili URL'lere doğrudan veri geçirmek için yapılandırın. Kesme sertifikanızı genel depoya eklemek kesmeye izin vermez.
Sorun giderme adımları için bkz. Linux'ta Uç Nokta için Microsoft Defender için bulut bağlantısı sorunlarını giderme.
Linux'ta Uç Nokta için Microsoft Defender güncelleştirme
Microsoft, performansı, güvenliği geliştirmek ve yeni özellikler sunmak için düzenli olarak yazılım güncelleştirmeleri yayımlar. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmek için bkz. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmelerini dağıtma.
Linux'ta Uç Nokta için Microsoft Defender yapılandırma
Ürünü kurumsal ortamlarda yapılandırma yönergelerine Linux'ta Uç Nokta için Microsoft Defender için tercihleri ayarlama bölümünden ulaşabilirsiniz.
Uç Nokta için Microsoft Defender için Yaygın Uygulamalar etkilenebilir
Belirli uygulamaların yüksek G/Ç iş yükleri, Uç Nokta için Microsoft Defender yüklendiğinde performans sorunlarıyla karşılaşabilir. Geliştirici senaryoları için bu tür uygulamalar Jenkins ve Jira ile OracleDB ve Postgres gibi veritabanı iş yüklerini içerir. Performans düşüşü yaşıyorsanız, Microsoft Defender Virüsten Koruma için Yaygın Dışlama Hatalarını göz önünde bulundurarak güvenilen uygulamalar için dışlamalar ayarlamayı göz önünde bulundurun. Daha fazla rehberlik için Microsoft dışı uygulamalardan gelen virüsten koruma dışlamalarıyla ilgili danışmanlık belgelerini göz önünde bulundurun.
Kaynaklar
- Günlüğe kaydetme, kaldırma veya diğer makaleler hakkında daha fazla bilgi için bkz . Kaynaklar.
İlgili makaleler
- Bulut için Defender'ın tümleşik EDR çözümüyle uç noktalarınızı koruyun: Uç Nokta için Microsoft Defender
- Azure olmayan makinelerinizi Bulut için Microsoft Defender bağlama
- Linux için ağ korumasını açma
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.