Linux 版 Microsoft Defender for Endpoint
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
本文介绍如何在 Linux 上安装、配置、更新和使用 Microsoft Defender for Endpoint。
警告
在 Linux 上运行其他非Microsoft终结点保护产品以及Microsoft Defender for Endpoint可能会导致性能问题和不可预知的副作用。 如果非Microsoft终结点保护是环境中的绝对要求,在将防病毒功能配置为在 被动模式下运行后,仍可以安全地利用 Linux EDR 上的 Defender for Endpoint 功能。
如何在 Linux 上安装 Microsoft Defender for Endpoint
适用于 Linux 的Microsoft Defender for Endpoint包括反恶意软件和终结点检测和响应 (EDR) 功能。
先决条件
访问Microsoft Defender门户
使用 systemdSystem Manager 的 Linux 分发版
注意
使用系统管理器的 Linux 分发版支持 SystemV 和 Upstart。
Linux 和 BASH 脚本编写中的初学者级体验
手动部署 (设备上的管理权限)
注意
Linux 代理上的Microsoft Defender for Endpoint独立于 OMS 代理。 Microsoft Defender for Endpoint依赖于自己的独立遥测管道。
安装说明
可以使用多种方法和部署工具在 Linux 上安装和配置Microsoft Defender for Endpoint。 在开始之前,请确保满足Microsoft Defender for Endpoint的最低要求。
可以使用下列方法之一在 Linux 上部署Microsoft Defender for Endpoint:
- 若要使用命令行工具,请参阅 手动部署
- 若要使用 Puppet,请参阅 使用 Puppet 配置管理工具部署
- 若要使用 Ansible,请参阅 使用 Ansible 配置管理工具部署
- 若要使用 Chef,请参阅 使用 Chef 配置管理工具部署
- 若要使用 Saltstack,请参阅 使用 Saltstack 配置管理工具部署
如果遇到任何安装失败,请参阅 Linux 上的 Microsoft Defender for Endpoint 安装失败疑难解答。
重要
不支持在默认安装路径以外的任何位置安装Microsoft Defender for Endpoint。
Linux 上的Microsoft Defender for Endpoint使用随机 UID 和 GID 创建mdatp
用户。 如果要控制 UID 和 GID,请在安装前使用 /usr/sbin/nologin
shell 选项创建一个mdatp
用户。 下面是一个示例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
。
系统要求
磁盘空间:2 GB
注意
如果为故障集合启用了云诊断,则可能需要额外的 2 GB 磁盘空间。 请确保 /var 中有可用磁盘空间。
核心:至少两个,四个首选
注意
如果处于被动模式或 RTP ON 模式,则至少需要两个核心。 首选四个核心。 如果要打开 BM,则至少需要四个核心。
内存:最小 1 GB,首选 4 GB
支持以下 Linux 服务器分发版和 x64 (AMD64/EM64T) 和 x86_64 版本:
- Red Hat Enterprise Linux 7.2 或更高版本
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 或更高版本
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 或更高版本
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- 洛基 8.7 及更高版本
- 洛基 9.2 及更高版本
- Alma 8.4 及更高版本
- Alma 9.2 及更高版本
- 水手 2
注意
不支持未明确列出的分发版和版本 (即使它们派生自) 官方支持的分发版也是如此。 发布新包版本后,对前两个版本的支持将减少到仅技术支持。 比本部分中列出的版本更早的版本仅用于技术升级支持。 Microsoft Defender Rocky 和 Alma 目前不支持漏洞管理。 所有其他受支持的发行版和版本的Microsoft Defender for Endpoint与内核版本无关。 内核版本最低要求为或大于 3.10.0-327。
警告
不支持在 Linux 上与其他
fanotify
基于的安全解决方案并行运行 Defender for Endpoint。 这可能会导致不可预知的结果,包括挂起操作系统。 如果系统上有任何其他应用程序在阻止模式下使用fanotify
,则会在conflicting_applications
命令输出的mdatp health
字段中列出应用程序。 Linux FAPolicyD 功能在阻止模式下使用fanotify
,因此在活动模式下运行 Defender for Endpoint 时不受支持。 在将防病毒功能“已启用实时保护”配置为 被动模式后,仍可以安全地利用 Linux EDR 上的 Defender for Endpoint 功能。RTP、快速、完整和自定义扫描支持的文件系统列表。
RTP、快速、完全扫描 自定义扫描 btrfs
RTP、快速、完全扫描支持的所有文件系统 ecryptfs
Efs
ext2
S3fs
ext3
Blobfuse
ext4
Lustr
fuse
glustrefs
fuseblk
Afs
jfs
sshfs
nfs
仅 (v3)cifs
overlay
smb
ramfs
gcsfuse
reiserfs
sysfs
tmpfs
udf
vfat
xfs
如果使用 auditd
auditd
作为主要事件提供程序,则必须启用审核框架 () 。注意
添加到
/etc/audit/rules.d/
的规则捕获的系统事件将添加到audit.log
() ,并可能影响主机审核和上游集合。 Microsoft Defender for Endpoint在 Linux 上添加的事件将使用密钥进行mdatp
标记。/opt/microsoft/mdatp/sbin/wdavdaemon 需要可执行权限。 有关详细信息,请参阅排查 Linux 上Microsoft Defender for Endpoint的安装问题中的“确保守护程序具有可执行权限”。
外部包依赖项
如果Microsoft Defender for Endpoint安装由于缺少依赖项错误而失败,可以手动下载先决条件依赖项。 mdatp 包存在以下外部包依赖项:
- mdatp RPM 包需要
glibc >= 2.17
、、audit
policycoreutils
、semanage
selinux-policy-targeted
和mde-netfilter
- 对于 RHEL6,mdatp RPM 包需要
audit
、policycoreutils
、libselinux
和mde-netfilter
- 对于 DEBIAN,mdatp 包需要
libc6 >= 2.23
、uuid-runtime
、auditd
和mde-netfilter
mde-netfilter 包还具有以下包依赖项:
- 对于 DEBIAN,mde-netfilter 包需要
libnetfilter-queue1
、 和libglib2.0-0
- 对于 RPM,mde-netfilter 包需要
libmnl
、libnfnetlink
、libnetfilter_queue
和glib2
配置排除项
向 Microsoft Defender 防病毒添加排除项时,应注意Microsoft Defender防病毒的常见排除错误。
网络连接
确保可从设备连接到Microsoft Defender for Endpoint云服务。 若要准备环境,请参阅 步骤 1:配置网络环境以确保与 Defender for Endpoint 服务建立连接。
Linux 上的 Defender for Endpoint 可以通过代理服务器使用以下发现方法进行连接:
- 透明代理
- 手动静态代理配置
如果代理或防火墙正在阻止匿名流量,请确保在前面列出的 URL 中允许匿名流量。 对于透明代理,Defender for Endpoint 不需要其他配置。 对于静态代理,请按照 手动静态代理配置中的步骤操作。
警告
不支持 PAC、WPAD 和经过身份验证的代理。 确保仅使用静态代理或透明代理。 出于安全原因,也不支持 SSL 检查和拦截代理。 配置 SSL 检查和代理服务器的异常,以便将数据从 Linux 上的 Defender for Endpoint 直接传递到相关 URL,而无需拦截。 将拦截证书添加到全局存储区将不允许拦截。
有关故障排除步骤,请参阅排查 Linux 上Microsoft Defender for Endpoint的云连接问题。
如何在 Linux 上更新Microsoft Defender for Endpoint
Microsoft定期发布软件更新,以提高性能、安全性和提供新功能。 若要更新 Linux 上的Microsoft Defender for Endpoint,请参阅在 Linux 上为Microsoft Defender for Endpoint部署更新。
如何配置 Linux 版 Microsoft Defender for Endpoint
有关如何在企业环境中配置产品的指南,请参阅在 Linux 上设置Microsoft Defender for Endpoint首选项。
Microsoft Defender for Endpoint的常见应用程序可能会影响
安装Microsoft Defender for Endpoint时,来自某些应用程序的高 I/O 工作负载可能会遇到性能问题。 此类适用于开发人员方案的应用程序包括 Jenkins 和 Jira,以及 OracleDB 和 Postgres 等数据库工作负载。 如果遇到性能下降的情况,请考虑为受信任的应用程序设置排除项,同时记住Microsoft Defender防病毒的常见排除错误。 有关更多指导,请考虑有关非Microsoft应用程序的防病毒排除的咨询文档。
资源
- 有关日志记录、卸载或其他文章的详细信息,请参阅 资源。
相关文章
- 使用 Defender for Cloud 的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint
- 将非 Azure 计算机连接到 Microsoft Defender for Cloud
- 为 Linux 启用网络保护
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。