Linux 版 Microsoft Defender for Endpoint

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

本文介绍如何在 Linux 上安装、配置、更新和使用 Microsoft Defender for Endpoint。

警告

在 Linux 上运行其他第三方终结点保护产品以及 Microsoft Defender for Endpoint 可能会导致性能问题和不可预知的副作用。 如果环境中的绝对要求是非 Microsoft 终结点保护，在将防病毒功能配置为在 被动模式下运行后，仍可以安全地利用 Linux EDR 上的 Defender for Endpoint 功能。

如何在 Linux 上安装 Microsoft Defender for Endpoint

适用于 Linux 的Microsoft Defender for Endpoint包括反恶意软件和终结点检测和响应 (EDR) 功能。

先决条件

• 访问Microsoft Defender门户

• 使用 systemd System Manager 的 Linux 分发版

  注意

  使用系统管理器的 Linux 分发版（RHEL/CentOS 6.x 除外）支持 SystemV 和 Upstart。

• Linux 和 BASH 脚本编写中的初学者级体验

• 手动部署时 (设备上的管理权限)

注意

Linux 代理上的Microsoft Defender for Endpoint独立于 OMS 代理。 Microsoft Defender for Endpoint依赖于自己的独立遥测管道。

安装说明

可以使用多种方法和部署工具在 Linux 上安装和配置Microsoft Defender for Endpoint。

一般情况下，需要执行以下步骤：

• 确保拥有Microsoft Defender for Endpoint订阅。
• 使用以下部署方法之一在 Linux 上部署Microsoft Defender for Endpoint：
  • 命令行工具：
    • 手动部署
  • 第三方管理工具：
    • 使用 Puppet 配置管理工具进行部署
    • 使用 Ansible 配置管理工具进行部署
      • 使用 Chef 配置管理工具进行部署
      • 使用 Saltstack 配置管理工具进行部署如果遇到任何安装失败，请参阅排查 Linux Microsoft Defender for Endpoint 中的安装失败问题。

注意

不支持在默认安装路径以外的任何其他位置安装 Microsoft Defender for Endpoint。

Linux 上的Microsoft Defender for Endpoint使用随机 UID 和 GID 创建“mdatp”用户。 如果要控制 UID 和 GID，请在安装之前使用“/usr/sbin/nologin”shell 选项创建“mdatp”用户。 例如：mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。

系统要求

• 支持的 Linux 服务器分发版和 x64 (AMD64/EM64T) 和 x86_64 版本：

  • Red Hat Enterprise Linux 6.7 或更高版本 (预览版)

  • Red Hat Enterprise Linux 7.2 或更高版本

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 或更高版本 (预览版)

  • CentOS 7.2 或更高版本

  • Ubuntu 16.04 LTS 或更高版本的 LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 或更高版本

  • SUSE Linux Enterprise Server 15 或更高版本

  • Oracle Linux 7.2 或更高版本

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 或更高版本

  • 洛基 8.7 及更高版本

  • Alma 8.4 及更高版本

  • 水手 2

    注意

    不支持未明确列出的分发版和版本 (即使它们派生自) 官方支持的分发版也是如此。 RHEL 6 对“延长生命周期终止”的支持将在 2024 年 6 月 30 日结束：对 RHEL 6 的 MDE Linux 支持也将在 2024 年 6 月 30 日之前弃用 MDE Linux 版本 101.23082.0011，这是支持 RHEL 6.7 或更高版本的最后一个 MDE Linux 版本， (在 2024 年 6 月 30 日) 之前不会过期。 建议客户根据 Red Hat 的指导计划对其 RHEL 6 基础结构的升级。

• 支持的内核版本列表

  注意

  Red Hat Enterprise Linux 和 CentOS 上的Microsoft Defender for Endpoint - 6.7 到 6.10 是基于内核的解决方案。 在更新到较新的内核版本之前，必须验证内核版本是否受支持。 所有其他受支持的发行版和版本的Microsoft Defender for Endpoint与内核版本无关。 内核版本最低要求为或大于 3.10.0-327。

  • fanotify必须启用内核选项
  • Red Hat Enterprise Linux 6 和 CentOS 6：
    • 对于 6.7：2.6.32-573.* (，但 2.6.32-573.el6.x86_64)
    • 对于 6.8：2.6.32-642。*
    • 对于 6.9：2.6.32-696.* (，但 2.6.32-696.el6.x86_64)
    • 对于 6.10：
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  注意

  发布新包版本后，对前两个版本的支持将减少到仅技术支持。 比本部分中列出的版本更早的版本仅用于技术升级支持。

  警告

  不支持在 Linux 上与其他 fanotify基于的安全解决方案并行运行 Defender for Endpoint。 这可能会导致不可预知的结果，包括挂起操作系统。 如果系统上有任何其他应用程序在阻止模式下使用 fanotify ，则会在 conflicting_applications 命令输出的 mdatp health 字段中列出应用程序。 Linux FAPolicyD 功能在阻止模式下使用 fanotify ，因此在活动模式下运行 Defender for Endpoint 时不受支持。 在将防病毒功能“已启用实时保护”配置为 被动模式后，仍可以安全地利用 Linux EDR 上的 Defender for Endpoint 功能。

• 磁盘空间：2 GB

  注意

  如果为故障集合启用了云诊断，则可能需要额外的 2 GB 磁盘空间。

• /opt/microsoft/mdatp/sbin/wdavdaemon 需要可执行权限。 有关详细信息，请参阅排查 Linux 上Microsoft Defender for Endpoint的安装问题中的“确保守护程序具有可执行权限”。

• 核心数：至少 2 个，首选 4 个

• 内存：最小 1 GB，首选 4 个

  注意

  请确保 /var 中有可用磁盘空间。

• RTP、快速、完整和自定义扫描支持的文件系统列表。

  RTP、快速、完全扫描	自定义扫描
  btrfs	RTP、快速、完全扫描支持的所有文件系统
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  保险丝	glustrefs
  fuseblk	Afs
  Jfs	sshfs
  仅 nfs (v3)	Cifs
  重叠	Smb
  ramfs	gcsfuse
  Reiserfs	sysfs
  Tmpfs
  Udf
  vfat
  Xfs

启用服务后，需要配置网络或防火墙，以允许服务与终结点之间的出站连接。

• 必须启用审核框架 (auditd) 。

  注意

  添加到 /etc/audit/rules.d/ 的规则捕获的系统事件将添加到 audit.log () ，并可能影响主机审核和上游集合。 Microsoft Defender for Endpoint在 Linux 上添加的事件将使用密钥进行mdatp标记。

外部包依赖项

mdatp 包存在以下外部包依赖项：

• mdatp RPM 包需要“glibc >= 2.17”、“audit”、“policycoreutils”、“semanage”、“selinux-policy-targeted”、“mde-netfilter”
• 对于 RHEL6，mdatp RPM 包需要“audit”、“policycoreutils”、“libselinux”、“mde-netfilter”
• 对于 DEBIAN，mdatp 包需要“libc6 >= 2.23”、“uuid-runtime”、“auditd”、“mde-netfilter”

mde-netfilter 包还具有以下包依赖项：

• 对于 DEBIAN，mde-netfilter 包需要“libnetfilter-queue1”、“libglib2.0-0”
• 对于 RPM，mde-netfilter 包需要“libmnl”、“libnfnetlink”、“libnetfilter_queue”、“glib2”

如果Microsoft Defender for Endpoint安装因缺少依赖项错误而失败，可以手动下载先决条件依赖项。

配置排除项

向 Microsoft Defender 防病毒添加排除项时，应注意Microsoft Defender防病毒的常见排除错误。

网络连接

以下可下载电子表格列出了网络必须能够连接到的服务及其关联 URL。 应确保不存在会拒绝访问这些 URL 的防火墙或网络筛选规则。 如果有，可能需要专门为它们创建 允许 规则。

域列表的电子表格	说明
适用于商业客户的Microsoft Defender for Endpoint URL 列表	针对商业客户的服务位置、地理位置和 OS 的特定 DNS 记录的电子表格。 在此处下载电子表格。
gov/GCC/DoD 的Microsoft Defender for Endpoint URL 列表	适用于 Gov/GCC/DoD 客户的服务位置、地理位置和 OS 的特定 DNS 记录的电子表格。 在此处下载电子表格。

注意

有关更具体的 URL 列表，请参阅 配置代理和 Internet 连接设置。

Defender for Endpoint 可以通过使用以下发现方法发现代理服务器：

• 透明代理
• 手动静态代理配置

如果代理或防火墙正在阻止匿名流量，请确保在前面列出的 URL 中允许匿名流量。 对于透明代理，Defender for Endpoint 不需要其他配置。 对于静态代理，请按照 手动静态代理配置中的步骤操作。

警告

不支持 PAC、WPAD 和经过身份验证的代理。 确保仅使用静态代理或透明代理。

出于安全原因，也不支持 SSL 检查和拦截代理。 配置 SSL 检查和代理服务器的异常，以便将数据从 Linux 上的 Defender for Endpoint 直接传递到相关 URL，而无需拦截。 将拦截证书添加到全局存储区将不允许拦截。

有关故障排除步骤，请参阅排查 Linux 上Microsoft Defender for Endpoint的云连接问题。

如何在 Linux 上更新Microsoft Defender for Endpoint

Microsoft 会定期发布软件更新，以提高性能、安全性和提供新功能。 若要更新 Linux 上的Microsoft Defender for Endpoint，请参阅在 Linux 上为Microsoft Defender for Endpoint部署更新。

如何配置 Linux 版 Microsoft Defender for Endpoint

有关如何在企业环境中配置产品的指南，请参阅在 Linux 上设置Microsoft Defender for Endpoint首选项。

Microsoft Defender for Endpoint的常见应用程序可能会影响

安装Microsoft Defender for Endpoint时，来自某些应用程序的高 I/O 工作负载可能会遇到性能问题。 其中包括适用于 Jenkins 和 Jira 等开发人员方案的应用程序，以及 OracleDB 和 Postgres 等数据库工作负载。 如果遇到性能下降的情况，请考虑为受信任的应用程序设置排除项，同时记住Microsoft Defender防病毒的常见排除错误。 有关其他指导，请考虑有关第三方应用程序防病毒排除的咨询文档。

资源

• 有关日志记录、卸载或其他文章的详细信息，请参阅 资源。

相关文章

• 使用 Defender for Cloud 的集成 EDR 解决方案保护终结点：Microsoft Defender for Endpoint
• 将非 Azure 计算机连接到 Microsoft Defender for Cloud
• 为 Linux 启用网络保护

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。