Linux'ta Uç Nokta için Microsoft Defender için gelişmiş dağıtım kılavuzu

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2

Bu makale, Linux'ta Uç Nokta için Microsoft Defender için gelişmiş dağıtım kılavuzu sağlar. Dağıtım adımlarının kısa bir özetini alır, sistem gereksinimleri hakkında bilgi edinip gerçek dağıtım adımları boyunca size yol gösterilir. Ayrıca cihazın doğru şekilde eklendiğini doğrulamayı da öğreneceksiniz.

Uç Nokta için Microsoft Defender özellikleri hakkında bilgi için bkz. Gelişmiş Uç Nokta için Microsoft Defender özellikleri.

Linux'ta Uç Nokta için Microsoft Defender dağıtmanın diğer yolları hakkında bilgi edinmek için bkz:

• El ile dağıtım
• Puppet tabanlı dağıtım
• Ansible tabanlı dağıtım
• Uç Nokta için Defender’ı Chef ile Linux üzerinde dağıtın

Dağıtım özeti

Linux dağıtımında tipik bir Uç Nokta için Microsoft Defender hakkında genel yönergeler hakkında bilgi edinin. Bazı adımların uygulanabilirliği Linux ortamınızın gereksinimlerine göre belirlenir.

1. Güvenlik Duvarı, Ara Sunucu ve Ağ yöneticinizle birlikte çalışın.

2. Uç noktadan performans verilerini yakalayın.

   Not

   Aşağıdaki isteğe bağlı öğeleri yapmayı göz önünde bulundurun, Uç Nokta için Microsoft Defender belirli olmasalar da Linux sistemlerinde performansı artırma eğilimindedirler.

3. (İsteğe bağlı) 'fsck' dosya sistemi hatalarını (chkdsk'ye yakın) denetleyin.

4. (İsteğe bağlı) Depolama alt sistemi sürücülerini güncelleştirin.

5. (İsteğe bağlı) Nic sürücülerini güncelleştirin.

6. Sistem gereksinimlerinin ve kaynak önerilerinin karşılandığını onaylayın.

7. Mevcut çözümünüzü Microsoft Defender Virüsten Koruma için dışlama listesine ekleyin.

8. Dışlamalar hakkındaki önemli noktaları gözden geçirin.

9. İçerik Oluşturucu Cihaz Gruplar.

10. Linux kötü amaçlı yazılımdan koruma ayarlarında Uç Nokta için Microsoft Defender yapılandırın.

11. Microsoft Defender portalından Linux'ta Uç Nokta için Microsoft Defender ekleme paketini indirin.

12. Linux'ta Uç Nokta için Microsoft Defender yönetmek için Ansible, Puppet veya Chef kullanın.

13. Linux'ta Uç Nokta için Microsoft Defender yükleme sorunlarını giderme.

14. Dağıtım sonrasıyla karşılaştırıldığında kaynak kullanım istatistiklerini denetleyin ve dağıtım öncesi kullanımı rapor edin.

15. Uç Nokta için Microsoft Defender arka uçla iletişimi doğrulayın.

16. Aracı sistem durumu sorunlarını araştırın.

17. "Platform Güncelleştirmeler" (aracı güncelleştirmeleri) alabildiğinizi doğrulayın.

18. "Güvenlik Bilgileri Güncelleştirmeler" (imzalar/tanım güncelleştirmeleri) alabildiğinizi doğrulayın.

19. Test algılamaları.

20. Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderin.

21. ISV'ler, Linux uygulamaları veya betikler tarafından yüksek CPU kullanımı sorunlarını giderme.

22. Microsoft dışı çözümünüzü kaldırın.

1. Güvenlik Duvarı, Ara Sunucu ve Ağ yöneticinizle çalışma

Uç Nokta için Microsoft Defender URL'lerini izin verilenler listesine eklemek ve SSL'nin denetlenmesini önlemek için Güvenlik Duvarı, Ara Sunucu ve Ağ yöneticinizle birlikte çalışın.

Daha fazla bilgi için bkz. Bulut bağlantısı sorunlarını giderme.

Uç Nokta için Microsoft Defender ağ bağlantısı

Uç Nokta için Microsoft Defender ağ bağlantısını denetlemek için aşağıdaki adımları kullanın:

1. Bkz. Uç Nokta için Microsoft Defender trafiği için izin verilen Uç Nokta için Microsoft Defender trafiği için URL'lere izin verme.

2. Linux sunucuları bir ara sunucunun arkasındaysa ara sunucu ayarlarını yapın. Daha fazla bilgi için bkz. Proxy ayarlarını ayarlama.

3. Trafiğin SSL denetimi (TLS incelemesi) tarafından denetlenmiyor olduğunu doğrulayın. Bu, Microsoft Defender Uç Noktasını ayarlarken ağ ile ilgili en yaygın sorundur. Bkz. Ağ trafiğinde SSL incelemesinin gerçekleştirilmiyor olduğunu doğrulama.

Not

Uç Nokta için Defender trafiğinin SSL denetimi (TLS incelemesi) tarafından denetlenmemesi genellikle önerilir. Bu, desteklenen tüm işletim sistemleri (Windows, Linux ve MacOS) için geçerlidir.

1. Adım: Uç Nokta için Microsoft Defender trafiği için URL'lere izin ver

1. Ticari müşteriler için Uç Nokta için Microsoft Defender URL listesini veya ağınızın bağlanabilmesi gereken hizmetlerin ve ilişkili URL'lerin listesi için Gov/GCC/DoD için Uç Nokta için Microsoft Defender URL listesini indirin.

2. Coğrafya sütunu altında aşağıdaki onay kutularının seçili olduğundan emin olun:

   • AB, birleşik krallık veya ABD
   • WW
   • (Boşluklar)

   Not

   Bu URL'lere erişimi reddedecek bir güvenlik duvarı veya ağ filtreleme kuralı olmadığından emin olmalısınız. Varsa, bunlar için özel olarak bir izin verme kuralı oluşturmanız gerekebilir.

3. İlgili URL'lere izin vermek için Güvenlik Duvarı/Ara Sunucu/Ağ yöneticileriyle birlikte çalışın.

2. Adım: Proxy ayarlarını ayarlama

Linux sunucuları bir ara sunucunun arkasındaysa aşağıdaki ayarlar kılavuzunu kullanın.

Aşağıdaki tabloda desteklenen proxy ayarları listelenmektedir:

Destekleniyor	Desteklenmiyor
Saydam ara sunucu	Ara sunucu otomatik yapılandırması (PAC, kimliği doğrulanmış ara sunucu türü)
El ile statik proxy yapılandırması	Web proxy otomatik bulma protokolü (WPAD, kimliği doğrulanmış proxy türü)

• Ağ bağlantıları
• Tam yapılandırma profili
• Statik ara sunucu yapılandırması
• Statik ara sunucu senaryosunda bağlantı sorunlarını giderme

3. Adım: Ağ trafiğinde SSL incelemesinin gerçekleştirilmiyor olduğunu doğrulayın

Ortadaki adam saldırılarını önlemek için, Microsoft Azure tarafından barındırılan tüm trafik sertifika sabitlemeyi kullanır. Sonuç olarak, ana güvenlik duvarı sistemleri tarafından YAPıLAN SSL incelemelerine izin verilmez. Uç Nokta için Microsoft Defender URL'ler için SSL denetimini atlamanız gerekir.

Bulut bağlantı sorunlarını giderin

Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için bulut bağlantısı sorunlarını giderme.

2. Uç noktadan performans verilerini yakalama

Uç Nokta için Defender'ın yüklü olduğu uç noktalardan performans verilerini yakalayın. Buna bağlı tüm bölümlerde disk alanı kullanılabilirliği, bellek kullanımı, işlem listesi ve CPU kullanımı (tüm çekirdekler arasında toplama) dahildir.

3. (İsteğe bağlı) 'fsck' dosya sistemi hatalarını denetleyin (chkdsk'ye yakın)

Herhangi bir dosya sistemi bozulabilir, bu nedenle herhangi bir yeni yazılım yüklemeden önce iyi durumda bir dosya sistemine yüklemek iyi olacaktır.

4. (İsteğe bağlı) Depolama alt sistemi sürücülerini güncelleştirme

Depolama alt sistemindeki daha yeni sürücü veya üretici yazılımı, performans ve/veya güvenilirlik konusunda yardımcı olabilir.

5. (İsteğe bağlı) Güncelleştirme nic sürücüleri

NIC'lerde veya NIC ekip oluşturma yazılımında daha yeni sürücü/üretici yazılımı w/ performans ve/veya güvenilirlik konusunda yardımcı olabilir.

6. Sistem gereksinimlerinin ve kaynak önerilerinin karşılandığını onaylayın

Aşağıdaki bölümde desteklenen Linux sürümleri hakkında bilgi ve kaynaklara yönelik öneriler sağlanmaktadır.

Desteklenen Linux dağıtımlarının ayrıntılı listesi için bkz. Sistem gereksinimleri.

Kaynak	Öneri
Disk alanı	Minimum: 2 GB NOT: Kilitlenme koleksiyonları için bulut tanılamaları etkinleştirildiyse daha fazla disk alanı gerekebilir.
RAM	1GB 4 GB tercih edilir
CPU	Linux sistemi yalnızca bir vcpu çalıştırıyorsa iki vcpu'ya yükseltilmesi önerilir 4 çekirdek tercih edilir

İşletim sistemi sürümü	Çekirdek filtresi sürücüsü	Açıklamalar
RHEL 7.x, RHEL 8.x ve RHEL 9.x	Çekirdek filtresi sürücüsü yok, fanotify çekirdek seçeneği etkinleştirilmelidir	akin to Filter Manager (fltmgr, erişilebilir) fltmc.exein Windows
RHEL 6.x	TALPA çekirdek sürücüsü

7. Mevcut çözümünüzü Microsoft Defender Virüsten Koruma için dışlama listesine ekleyin

Kurulum işleminin bu adımı, mevcut uç nokta koruma çözümünüz ve kuruluşunuzun kullandığı diğer güvenlik ürünlerinin dışlama listesine Uç Nokta için Defender eklemeyi içerir. Dışlamalarınızı Microsoft Defender Virüsten Koruma'ya eklemek için çeşitli yöntemler arasından seçim yapabilirsiniz.

İpucu

Dışlamaları yapılandırma konusunda yardım almak için çözüm sağlayıcınızın belgelerine bakın.

• Uç Nokta için Microsoft Defender Linux'ta Microsoft dışı bir kötü amaçlı yazılımdan koruma ürünüyle birlikte çalıştırabilmek, bu ürünün uygulama ayrıntılarına bağlıdır. Diğer kötü amaçlı yazılımdan koruma ürünü fanotify kullanıyorsa, iki çakışan aracı çalıştırmanın neden olduğu performans ve kararlılık yan etkilerini ortadan kaldırmak için kaldırılması gerekir.

• SSNotify çalıştıran Microsoft dışı bir kötü amaçlı yazılımdan koruma yazılımı olup olmadığını denetlemek için komutunu çalıştırabilir mdatp healthve ardından sonucu kontrol edebilirsiniz:

  

  "conflicting_applications" altında, "kullanılamıyor" dışında bir sonuç görürseniz Microsoft dışı kötü amaçlı yazılımdan koruma yazılımını kaldırın.

• Microsoft dışı kötü amaçlı yazılımdan koruma ürününü kaldırmazsanız performans sorunları, sistemlerin asılı kalması veya çekirdek paniği gibi kararlılık sorunları gibi beklenmeyen davranışlarla karşılaşabilirsiniz.

• Microsoft dışı kötü amaçlı yazılımdan koruma ürününde dışlanması gereken Linux işlemlerinde ve yollarında Uç Nokta için Microsoft Defender tanımlamak için komutunu çalıştırınsystemctl status -l mdatp.

  Aşağıdaki işlemleri Microsoft dışı kötü amaçlı yazılımdan koruma ürününün dışında tutun:

  wdavdaemon
crashpad_handler
mdatp_audis_plugin
telemetryd_v2
  

  Aşağıdaki yolları Microsoft dışı kötü amaçlı yazılımdan koruma ürününün dışında tutun:

  /opt/microsoft/mdatp/
/var/opt/microsoft/mdatp/
/etc/opt/microsoft/mdatp/
  

8. Dışlamalar hakkında aşağıdaki noktaları göz önünde bulundurun

Microsoft Defender Virüsten Koruma taramalarına dışlamalar eklediğinizde yol ve işlem dışlamaları eklemeniz gerekir.

Not

• Virüsten koruma dışlamaları virüsten koruma altyapısı için geçerlidir.
• virüsten koruma altyapısına izin veren/engelleyici göstergeler uygulanır.

Aşağıdaki noktaları göz önünde bulundurun:

• Yol dışlamaları belirli dosyaları ve bu dosyaların eriştikleri her şeyi dışlar.
• İşlem dışlamaları , bir işlemin dokunduğu her şeyi dışlar, ancak sürecin kendisini dışlamaz.
• İşlem dışlamalarınızı yalnızca adlarıyla değil tam yollarını kullanarak listeleyin. (Yalnızca ad yöntemi daha az güvenlidir.)
• Her yürütülebilir dosyayı hem yol dışlama hem de işlem dışlaması olarak listelerseniz, işlem ve dokunduğu her şey dışlanır.

İpucu

"Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar" bölümünü, özellikle Klasör konumlarını gözden geçirin ve Linux ve macOS Platformları için bölümleri işler.

9. cihaz gruplarını İçerik Oluşturucu

Cihaz gruplarınızı, cihaz koleksiyonlarınızı ve kuruluş birimlerinizi ayarlama Cihaz grupları, cihaz koleksiyonları ve kuruluş birimleri, güvenlik ekibinizin güvenlik ilkelerini verimli ve etkili bir şekilde yönetmesine ve atamasına olanak tanır. Aşağıdaki tabloda bu grupların her biri ve bunların nasıl yapılandırıldığı açıklanmaktadır. Kuruluşunuz üç koleksiyon türünün tümünü de kullanmayabilir.

Koleksiyon türü	Yapılması gerekenler
Cihaz grupları (eski adı makine grupları), güvenlik operasyonları ekibinizin otomatik araştırma ve düzeltme gibi güvenlik özelliklerini yapılandırmasına olanak tanır. Cihaz grupları, güvenlik operasyonları ekibinizin gerekirse düzeltme eylemleri gerçekleştirebilmesi için bu cihazlara erişim atamak için de kullanışlıdır. Saldırı algılanıp durdurulurken cihaz grupları oluşturulur, "ilk erişim uyarısı" gibi uyarılar tetiklenir ve Microsoft Defender portalında görüntülenir.	1. Microsoft Defender portalına (https://security.microsoft.com) gidin. 2. Sol taraftaki gezinti bölmesinde Ayarlar>Uç Noktaları İzinleri>>Cihaz grupları'nı seçin. 3. + Cihaz grubu ekle'yi seçin. 4. Cihaz grubu için bir ad ve açıklama belirtin. 5. Otomasyon düzeyi listesinde bir seçenek belirleyin. ( Tam - tehditleri otomatik olarak düzeltmenizi öneririz.) Çeşitli otomasyon düzeyleri hakkında daha fazla bilgi edinmek için bkz. Tehditler nasıl düzeltilir? 6. Hangi cihazların cihaz grubuna ait olduğunu belirlemek için eşleşen bir kural için koşulları belirtin. Örneğin, bir etki alanı, işletim sistemi sürümü seçebilir veya hatta cihaz etiketlerini kullanabilirsiniz. 7. Kullanıcı erişimi sekmesinde, cihaz grubuna dahil edilen cihazlara erişimi olması gereken rolleri belirtin. 8. Bitti'yi seçin.
Cihaz koleksiyonları , güvenlik operasyonları ekibinizin uygulamaları yönetmesine, uyumluluk ayarlarını dağıtmasına veya kuruluşunuzdaki cihazlara yazılım güncelleştirmeleri yüklemesine olanak tanır. Cihaz koleksiyonları Configuration Manager kullanılarak oluşturulur.	Koleksiyon İçerik Oluşturucu adımlarını izleyin.
Kuruluş birimleri , kullanıcı hesapları, hizmet hesapları veya bilgisayar hesapları gibi nesneleri mantıksal olarak gruplandırmanızı sağlar. Ardından yöneticileri belirli kuruluş birimlerine atayabilir ve hedeflenen yapılandırma ayarlarını zorunlu kılmak için grup ilkesi uygulayabilirsiniz. Kuruluş birimleri Microsoft Entra Etki Alanı Hizmetleri içinde tanımlanır.	Microsoft Entra Etki Alanı Hizmetleri yönetilen etki alanında Kuruluş Birimi İçerik Oluşturucu adımlarını izleyin.

10. Linux kötü amaçlı yazılımdan koruma ayarlarında Uç Nokta için Microsoft Defender yapılandırma

Başlamadan önce:

• Linux sunucularınız için zaten Microsoft dışı bir kötü amaçlı yazılımdan koruma ürünü kullanıyorsanız, mevcut dışlamaları Linux'ta Uç Nokta için Microsoft Defender kopyalamanız gerekebileceğini göz önünde bulundurun.

• Linux sunucularınız için Microsoft dışı kötü amaçlı yazılımdan koruma ürünü kullanmıyorsanız tüm Linux uygulamalarınızın listesini alın ve dışlamalar için satıcıların web sitesine bakın.

• Microsoft dışı bir kötü amaçlı yazılımdan koruma ürünü çalıştırıyorsanız, işlemleri/yolları Uç Nokta için Microsoft Defender virüsten koruma dışlama listesine ekleyin. Daha fazla bilgi için Microsoft dışı kötü amaçlı yazılımdan koruma belgelerine bakın veya destek birimine başvurun.

• Bir makinede test ediyorsanız, dışlamaları ayarlamak için bir komut satırı kullanabilirsiniz:

  • Komut satırından yapılandırın.
  • Linux'ta Uç Nokta için Microsoft Defender için dışlamaları yapılandırın ve doğrulayın.

• Birden çok makinede test ediyorsanız aşağıdaki mdatp_managed.json dosyayı kullanın. Windows'tan geliyorsanız bu, Linux'ta Uç Nokta için Defender için bir 'grup ilkesi' gibi.

  Dosyayı gereksinimlerinize göre değiştirmeyi düşünebilirsiniz:

      {
     "antivirusEngine":{
        "enforcementLevel":"real_time",
        "scanAfterDefinitionUpdate":true,
        "scanArchives":true,
        "maximumOnDemandScanThreads":1,
        "exclusionsMergePolicy":"merge",
        "exclusions":[
           {
              "$type":"excludedPath",
              "isDirectory":false,
              "path":"/var/log/system.log"
           },
           {
              "$type":"excludedPath",
              "isDirectory":true,
              "path":"/home"
           },
           {
              "$type":"excludedFileExtension",
              "extension":"pdf"
           },
           {
              "$type":"excludedFileName",
              "name":"cat"
           }
        ],
        "allowedThreats":[
           "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
        ],
        "disallowedThreatActions":[
           "allow",
           "restore"
        ],
        "threatTypeSettingsMergePolicy":"merge",
        "threatTypeSettings":[
           {
              "key":"potentially_unwanted_application",
              "value":"block"
           },
           {
              "key":"archive_bomb",
              "value":"audit"
           }
        ]
     },
     "cloudService":{
        "enabled":true,
        "diagnosticLevel":"optional",
        "automaticSampleSubmissionConsent":"safe",
        "automaticDefinitionUpdateEnabled":true
        "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
     }
  }
  

  Öneriler:

         {
      "antivirusEngine":{
         "enforcementLevel":"real_time",
         "scanAfterDefinitionUpdate":true,
         "scanArchives":true,
         "maximumOnDemandScanThreads":1,
         "exclusionsMergePolicy":"merge",
         "exclusions":[
            {
               "$type":"excludedPath",
               "isDirectory":false,
               "path":"/var/log/system.log"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/proc"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/sys"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/dev"
            },
            {
               "$type":"excludedFileExtension",
               "extension":""
            },
            {
               "$type":"excludedFileName",
               "name":""
            }
         ],
         "allowedThreats":[
            ""
         ],
         "disallowedThreatActions":[
            "allow",
            "restore"
         ],
         "threatTypeSettingsMergePolicy":"merge",
         "threatTypeSettings":[
            {
               "key":"potentially_unwanted_application",
               "value":"block"
            },
            {
               "key":"archive_bomb",
               "value":"audit"
            }
         ]
      },
      "cloudService":{
         "enabled":true,
         "diagnosticLevel":"optional",
         "automaticSampleSubmissionConsent":"safe",
         "automaticDefinitionUpdateEnabled":true
         "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
      }
  }
  

Not

Linux'ta (ve macOS) joker karakterle başladığı yolları destekleriz.

Aşağıdaki tabloda, dosyanın bir parçası mdatp_managed.json olarak önerilen ayarlar açıklanmaktadır:

Ayarlar	Açıklamalar
exclusionsMergePolicy olarak ayarlanıyor admin_only	Yerel yöneticinin yerel dışlamaları ekleyebilmesini engeller (bash aracılığıyla (komut istemi)).
disallowedThreatActions olarak ayarlanıyor allow and restore	Yerel yöneticinin karantinaya alınmış bir öğeyi geri yükleyebilmesini engeller (bash aracılığıyla (komut istemi)).
threatTypeSettingsMergePolicy olarak ayarlanıyor admin_only	Yerel yöneticinin tehdit türlerine (bash (komut istemi) aracılığıyla iyi huylu olan Hatalı Pozitifler veya Doğru Pozitifler ekleyebilmesini engeller.

• Ayarı dosya olarak mdatp_managed.json kaydedin.
• Ayarı bu yola /etc/opt/microsoft/mdatp/managed/kopyalayın. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için tercihleri ayarlama.
• Microsoft dışı kötü amaçlı yazılımdan koruma işlemlerinizi ve yollarınızı önceki adımda yer alan dışlama listesine ekleyin.
• Önceki adıma Microsoft dışı kötü amaçlı yazılımdan koruma çözümünüzden geçerli dışlamalarınızı eklediğinizi doğrulayın.

Uç Nokta için Microsoft Defender etkileyebilecek uygulamalar

Postgres, OracleDB, Jira ve Jenkins gibi yüksek G/Ç iş yükleri, işlenen (ve Uç Nokta için Defender tarafından izlenen) etkinlik miktarına bağlı olarak başka dışlamalar gerektirebilir. Uç Nokta için Defender'ı yükledikten sonra performans düşüşü yaşarsanız Microsoft dışı uygulama sağlayıcılarının dışlamalarına yönelik yönergeleri izlemek en iyisidir. Ayrıca Microsoft Defender Virüsten Koruma için Yaygın Dışlama Hataları'nın da göz önünde bulundurun.

Performans düşüşü yaşarsanız aşağıdaki kaynaklara bakın:

• Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme.
• Linux'ta Uç Nokta için Microsoft Defender ile ilgili Denetimli performans sorunlarını giderme.

11. Linux'ta Uç Nokta için Microsoft Defender ekleme paketini indirin

Daha fazla bilgi için bkz. Microsoft Defender portalından ekleme paketini indirme.

Not

Bu indirme, verileri Uç Nokta için Microsoft Defender örneğine göndermek için Linux'ta Uç Nokta için Microsoft Defender kaydeder.

Bu paketi indirdikten sonra , el ile yükleme yönergelerini izleyebilir veya Linux'ta Uç Nokta için Defender'ı dağıtmak ve yönetmek için bir Linux yönetim platformu kullanabilirsiniz.

12. Linux'ta Uç Nokta için Microsoft Defender yönetmek için Ansible, Puppet ve Chef örnekleri

Linux üzerinde Uç Nokta için Defender, neredeyse tüm yönetim çözümlerinin Linux'ta Uç Nokta için Defender ayarlarını kolayca dağıtıp yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Yaygın linux yönetim platformlarından bazıları Ansible, Puppet ve Chef'tir. Aşağıdaki belgeler, Linux'ta Uç Nokta için Defender'ı dağıtmak ve yapılandırmak üzere bu yönetim platformlarının nasıl yapılandırılacağına ilişkin örnekler içerir.

Puppet ile Linux'ta Uç Nokta için Microsoft Defender dağıtma

Ansible ile Linux'ta Uç Nokta için Microsoft Defender dağıtma

Chef ile Linux'ta Uç Nokta için Microsoft Defender dağıtma

Not

Linux'ta Uç Nokta için Microsoft Defender yükledikten veya güncelleştirdikten sonra, denetimli'yi sabit modda çalıştırdığınız durumlar dışında, yeniden başlatmalar GEREKLI OLMAZ.

Zamanlanmış taramalar cronjob ayarını teslim eder

Linux'ta Uç Nokta için Microsoft Defender anacron kullanarak virüsten koruma taraması zamanlayın. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender'da Anacron kullanarak virüsten koruma taraması zamanlama.

Linux aracısı cronjob ayarlarında Uç Nokta için Microsoft Defender güncelleştirme

Linux'ta Uç Nokta için Microsoft Defender güncelleştirmesini zamanlayın. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmesini zamanlama.

13. Linux'ta Uç Nokta için Microsoft Defender yükleme sorunlarını giderme

Linux'ta Uç Nokta için Microsoft Defender yükleme sorunlarını giderme bölümünde yükleme sırasında oluşabilecek sorunları gidermeyi öğrenin.

14. Kaynak kullanım istatistiklerini denetleyin

Performans istatistiklerini denetleyin ve dağıtım sonrası ile karşılaştırıldığında dağıtım öncesi kullanımıyla karşılaştırın.

15. Uç Nokta için Microsoft Defender arka uçla iletişimi doğrulama

Geçerli ağ ayarlarıyla bulutla Linux iletişiminde Uç Nokta için Microsoft Defender doğrulamak için komut satırından aşağıdaki bağlantı testini çalıştırın:

mdatp connectivity test

Aşağıdaki görüntüde testten beklenen çıkış görüntülenir:

Daha fazla bilgi için bkz . Bağlantı doğrulama.

16. Aracı sistem durumu sorunlarını araştırma

Komutunu çalıştırdığınızda döndürülen değerlere göre aracı sistem durumu sorunlarını araştırın mdatp health . Daha fazla bilgi için bkz . Aracı sistem durumu sorunlarını araştırma.

17. Platform güncelleştirmelerini (aracı güncelleştirmeleri) alabildiğinizi doğrulayın

Linux platformu güncelleştirmelerinde Uç Nokta için Microsoft Defender doğrulamak için aşağıdaki komut satırını çalıştırın:

sudo yum update mdatp

veya

apt-get update mdatp

öğesini seçin.

Daha fazla bilgi için bkz. Cihaz durumu ve Microsoft Defender kötü amaçlı yazılımdan koruma durumu raporu.

En son Geniş kanal sürümünü bulmak için Linux'ta Uç Nokta için Microsoft Defender'deki yenilikler sayfasını ziyaret edin.

Linux'ta Uç Nokta için Microsoft Defender güncelleştirme

Microsoft, performansı, güvenliği geliştirmek ve yeni özellikler sunmak için düzenli olarak yazılım güncelleştirmeleri yayımlar. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmek için. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmelerini dağıtma.

Not

Redhat's Satellite 'a (Windows'da WSUS'a benzer) sahipseniz, güncelleştirilmiş paketleri buradan alabilirsiniz.

İpucu

Cron işi kullanarak aracı güncelleştirmesini aylık (Önerilen) bir zamanlamaya göre otomatikleştirin. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender güncelleştirmesini zamanlama.

Windows dışı uç noktalar

macOS ve Linux ile birkaç sistem alıp Beta kanalında çalıştırabilirsiniz.

Not

İdeal olarak, derlemeNin Geçerli kanala erişmeden önce uyumluluk, performans ve güvenilirlik sorunlarını bulabilmeniz için Önizleme kanalında çalıştırdığınız her Linux sistemi türünden birini eklemeniz gerekir.

Kanal seçimi, cihazınıza sunulan güncelleştirmelerin türünü ve sıklığını belirler. Beta'daki cihazlar, güncelleştirmeleri ve yeni özellikleri ilk alan cihazlardır, daha sonra Önizleme ve son olarak Current tarafından takip edilir.

Yeni özellikleri önizlemek ve erken geri bildirim sağlamak için kuruluşunuzdaki bazı cihazları Beta veya Önizleme kullanacak şekilde yapılandırmanız önerilir.

Uyarı

İlk yüklemeden sonra kanalın değiştirilmesi için ürünün yeniden yüklenmesi gerekir. Ürün kanalını değiştirmek için: Mevcut paketi kaldırın, cihazınızı yeni kanalı kullanacak şekilde yeniden yapılandırın ve paketi yeni konumdan yüklemek için bu belgedeki adımları izleyin.

18. Güvenlik bilgileri güncelleştirmelerini (imzalar/tanım güncelleştirmeleri) alabildiğinizi doğrulayın

Linux imzalarında/tanım güncelleştirmelerinde Uç Nokta için Microsoft Defender doğrulamak için aşağıdaki komut satırını çalıştırın:

mdatp definitions update

Daha fazla bilgi için bkz. Microsoft Defender kötü amaçlı yazılımdan koruma için yeni cihaz durumu raporlama.

19. Test algılamaları

Cihazın doğru şekilde eklendiğinden ve hizmete bildirildiğinden emin olmak için aşağıdaki algılama testini çalıştırın:

• Kötü amaçlı yazılımdan koruma algılamaları:

  curl -o /tmp/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
  

  Algılama görünmüyorsa, "allowedThreats" seçeneğini Ansible veya Puppet aracılığıyla tercihlere izin verecek şekilde ayarlamış olabilirsiniz.

• Uç nokta algılama ve yanıt (EDR) algılamaları: Daha fazla bilgi için bkz. Sanal saldırılar aracılığıyla deneyim Uç Nokta için Microsoft Defender. Algılama görünmüyorsa portalda olay veya uyarılar eksik olabilir. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderme.

• Microsoft Defender XDR'daki birleşik gönderimler ve portal aracılığıyla Hatalı Pozitifler ve Hatalı Negatifler gönderebilme hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'da birleşik gönderimler genel kullanıma sunuldu! - Microsoft Tech Community.

20. Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderme

Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderme.

21. ISV'ler, Linux uygulamaları veya betikler tarafından yüksek CPU kullanımı sorunlarını giderme

Üçüncü taraf ISV'lerin, dahili olarak geliştirilen Linux uygulamalarının veya betiklerin yüksek CPU kullanımıyla karşılaştığını gözlemlerseniz, nedenini araştırmak için aşağıdaki adımları uygularsınız.

1. Belirtiye neden olan iş parçacığını veya işlemi belirleyin.
2. Sorunu gidermek için tanımlanan işleme göre daha fazla tanılama adımı uygulayın.

1. Adım: Belirtiye neden olan Linux iş parçacığındaki Uç Nokta için Microsoft Defender belirleme

CPU ek yüküne neden olan işlemi tanımlamaya yardımcı olması için aşağıdaki söz dizimlerini kullanın:

• Soruna neden olan Uç Nokta için Microsoft Defender işlem kimliğini almak için şunu çalıştırın:

  sudo top -c
  

• Uç Nokta için Microsoft Defender işlemi hakkında daha fazla bilgi edinmek için şunu çalıştırın:

  sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
  

• İşlem içinde en yüksek CPU kullanımına neden olan belirli Uç Nokta için Microsoft Defender iş parçacığı kimliğini belirlemek için şunu çalıştırın:

  sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
  

  

Aşağıdaki tabloda yüksek CPU kullanımına neden olabilecek işlemler listelenir:

İşlem adı	Kullanılan bileşen	kullanılan MDE altyapısı
wdavdaemon	SSSNotify	Virüsten koruma & EDR
wdavdaemon ayrıcalıksız		Virüsten koruma altyapısı
wdavdaemon edr		EDR altyapısı
mdatp_audisp_plugin	denetim çerçevesi (denetlendi)	Denetim günlüğü alımı

2. Adım: Tanımlanan işleme göre daha fazla tanılama adımı uygulayın

Yüksek CPU kullanımına neden olan işlemi tanımladığınıza göre, aşağıdaki bölümdeki ilgili tanılama kılavuzunu kullanın.

Örneğin, önceki adımda wdavdaemon unprivileged yüksek CPU kullanımına neden olan işlem olarak tanımlanmıştır. Sonucu temel alarak, wdavdaemon ayrıcalıksız işlemini denetlemek için kılavuzu uygulayabilirsiniz.

Yüksek CPU kullanımı sorunlarını gidermek için aşağıdaki tabloyu kullanın:

İşlem adı	Kullanılan bileşen	kullanılan Uç Nokta için Microsoft Defender altyapısı	Adımlar
wdavdaemon	SSSNotify	Virüsten koruma & EDR	- Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni indirip çalıştırın. Daha fazla bilgi için bkz. macOS veya Linux üzerinde istemci çözümleyicisini çalıştırma. - İstemci çözümleyici aracını kullanarak tanılama verilerini toplayın. - Microsoft ile bir CSS destek olayı açın. Daha fazla bilgi için bkz. CSS güvenlik desteği olayı.
wdavdaemon ayrıcalıksız	Yok	Virüsten koruma altyapısı	Aşağıdaki diyagramda Virüsten koruma dışlamaları eklemek için gereken iş akışı ve adımlar gösterilmektedir. Genel sorun giderme kılavuzu - Şirket içi uygulamalarınız/betikleriniz veya bayrak eklenmiş meşru bir üçüncü taraf uygulamanız/betiğiniz varsa, Microsoft güvenlik araştırmacıları şüpheli dosyaları analiz eder ve bunların tehdit, istenmeyen uygulama veya normal dosya olup olmadığını belirler. Birleştirilmiş gönderim deneyimini (daha fazla bilgi için bkz. Birleşik gönderimler deneyimi) veya Dosya gönderimlerini kullanarak kötü amaçlı yazılım olarak yanlış sınıflandırıldığını düşündüğünüz veya kötü amaçlı yazılım olarak sınıflandırıldığını düşündüğünüz dosyaları gönderin. - Bkz. Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme. - Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni indirip çalıştırın. Daha fazla bilgi için bkz. macOS veya Linux üzerinde istemci çözümleyicisini çalıştırma. - İstemci çözümleyici aracını kullanarak tanılama verilerini toplayın. - Microsoft ile bir CSS destek olayı açın. Daha fazla bilgi için bkz. CSS güvenlik desteği olayı.
wdavdaemon edr	Yok	EDR altyapısı	Aşağıdaki diyagramda iş akışı ve wdavedaemon_edr işlem sorunlarını giderme adımları gösterilmektedir. Genel sorun giderme kılavuzu - Şirket içi uygulamalarınız/betikleriniz veya bayrak eklenmiş meşru bir üçüncü taraf uygulamanız/betiğiniz varsa, Microsoft güvenlik araştırmacıları şüpheli dosyaları analiz eder ve bunların tehdit, istenmeyen uygulama veya normal dosya olup olmadığını belirler. Birleştirilmiş gönderim deneyimini (daha fazla bilgi için bkz. Birleşik gönderimler deneyimi) veya Dosya gönderimlerini kullanarak kötü amaçlı yazılım olarak yanlış sınıflandırıldığını düşündüğünüz dosyaları veya kötü amaçlı yazılım olarak sınıflandırıldığını düşündüğünüz dosyaları gönderin. - Bkz. Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme. - Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni indirip çalıştırın. Daha fazla bilgi için bkz. macOS veya Linux üzerinde istemci çözümleyicisini çalıştırma. - İstemci çözümleyici aracını kullanarak tanılama verilerini toplayın. - Microsoft ile bir CSS destek olayı açın. Daha fazla bilgi için bkz. CSS güvenlik desteği olayı.
mdatp_audisp_plugin	Denetim çerçevesi	Denetim günlüğü alımı	Bkz. Linux'ta Uç Nokta için Microsoft Defender ile ilgili Denetimli performans sorunlarını giderme.

22. Microsoft dışı çözümünüzü kaldırın

Bu noktada aşağıdakilere sahipseniz:

• Kuruluşunuzun cihazlarını Uç Nokta için Defender'a ekleyip
• Microsoft Defender Virüsten Koruma yüklü ve etkin,

Sonraki adımınız Microsoft dışı virüsten koruma, kötü amaçlı yazılımdan koruma ve uç nokta koruma çözümünüzü kaldırmaktır. Microsoft dışı çözümünüzü kaldırdığınızda, yükleme veya yapılandırma sırasında Uç Nokta için Defender'ı Pasif moda ayarlarsanız yapılandırmanızı Pasif Mod'dan Etkin'e geçiş yapacak şekilde güncelleştirdiğinizden emin olun.

Tanılama ve sorun giderme kaynakları

• Linux yükleme sorunlarını Uç Nokta için Microsoft Defender giderin.
• Yükleme sorunları için ayrıntılı günlüklerin bulunacağı yeri belirleyin.
• Ara sunucu olmayan veya saydam ara sunucu içeren ortamlar için sorun giderme adımları.
• Statik ara sunucusu olan ortamlar için sorun giderme adımları.
• Tanılama bilgilerini toplayın.
• Linux'ta Uç Nokta için Defender'ı kaldırın.
• Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme.
• Linux'ta Uç Nokta için Microsoft Defender ile ilgili Denetimli performans sorunlarını giderme.

Gelişmiş Uç Nokta için Microsoft Defender özellikleri

• Linux ve macOS'ta geliştirilmiş kötü amaçlı yazılımdan koruma altyapısı özellikleri

• Davranış izleme ile Linux varlıklarının korumasını artırma

  Not

  Davranış izleme işlevi mevcut güçlü içerik tabanlı özellikleri tamamlar, ancak davranış izlemenin etkinleştirilmesi daha fazla kaynak tükettiğinden ve performans sorunlarına neden olabileceğinden, bu özelliği geniş bir şekilde dağıtmadan önce ortamınızda dikkatle değerlendirmeniz gerekir.

• Microsoft Defender XDR'da birleşik gönderimler

• Yeni uyarı engelleme deneyimine giriş

• macOS ve Linux için canlı yanıt duyuruları

Başvurular

• Etiket veya grup kimliği ekleme

• Linux'ta Uç Nokta için Microsoft Defender için gizlilik

• Linux'ta Uç Nokta için Microsoft Defender'deki yenilikler

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.