Microsoft Defender für Endpunkt unter Linux

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft 365 Defender

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

In diesem Thema wird beschrieben, wie Sie Microsoft Defender für Endpunkt unter Linux installieren, konfigurieren, aktualisieren und verwenden.

Achtung

Das Ausführen anderer Endpunktschutzprodukte von Drittanbietern zusammen mit Microsoft Defender für Endpunkt unter Linux führt wahrscheinlich zu Leistungsproblemen und unvorhersehbaren Nebeneffekten. Wenn der Nicht-Microsoft-Endpunktschutz eine absolute Anforderung in Ihrer Umgebung ist, können Sie nach der Konfiguration der Antivirenfunktionen für die Ausführung im passiven Modus weiterhin die Funktionen von Defender für Endpunkt unter Linux EDR nutzen.

So installieren Sie Microsoft Defender für Endpunkt unter Linux

Voraussetzungen

• Zugriff auf das Microsoft 365 Defender-Portal
• Linux-Verteilung mithilfe des systemierten System-Managers
• Anfängererfahrung in Linux- und BASH-Skripting
• Administratorrechte auf dem Gerät (bei manueller Bereitstellung)

Hinweis

Microsoft Defender für Endpunkt unter Linux-Agent ist unabhängig vom OMS-Agent. Microsoft Defender für Endpunkt basiert auf einer eigenen unabhängigen Telemetriepipeline.

Installationsanweisungen

Es gibt mehrere Methoden und Bereitstellungstools, mit denen Sie Microsoft Defender für Endpunkt unter Linux installieren und konfigurieren können.

Im Allgemeinen müssen Sie die folgenden Schritte ausführen:

• Stellen Sie sicher, dass Sie über ein Microsoft Defender für Endpunkt-Abonnement verfügen.
• Stellen Sie Microsoft Defender für Endpunkt unter Linux mithilfe einer der folgenden Bereitstellungsmethoden bereit:
  • Das Befehlszeilentool:
    • Manuelle Bereitstellung
  • Verwaltungstools von Drittanbietern:
    • Bereitstellen mithilfe des Konfigurationsverwaltungstools für die Konfiguration von "Durchbauen"
    • Bereitstellen mithilfe des Ansible-Konfigurationsverwaltungstools
    • Bereitstellen mithilfe des Konfigurationsverwaltungstools

Wenn Installationsfehler auftreten, finden Sie Informationen zur Problembehandlung von Installationsfehlern in Microsoft Defender für Endpunkt unter Linux.

Hinweis

Es wird nicht unterstützt, Microsoft Defender für Endpunkt an einem anderen Speicherort als dem Standardinstallationspfad zu installieren.

Systemanforderungen

• Unterstützte Linux-Serververteilungen und x64-Versionen (AMD64/EM64T):

  • Red Hat Enterprise Linux 6.7 oder höher

  • Red Hat Enterprise Linux 7.2 oder höher

  • Red Hat Enterprise Linux 8.x

  • CentOS 6.7 oder höher

  • CentOS 7.2 oder höher

  • Ubuntu 16.04 LTS oder höher LTS

  • Ubuntu 9 oder höher

  • SUSE Linux Enterprise Server 12 oder höher

  • Oracle Linux 7.2 oder höher

  • Amazon Linux 2

  • Fedora 33 oder höher

    Hinweis

    Verteilungen und Versionen, die nicht explizit aufgeführt sind, werden nicht unterstützt (auch wenn sie von den offiziell unterstützten Distributionen abgeleitet sind).

• Liste der unterstützten Kernelversionen

  • Red Hat Enterprise Linux 6 und CentOS 6:

    • Für 6.7: 2.6.32-573.*

    • Für 6.8: 2.6.32-642.*

    • Für 6.9: 2.6.32-696.*

    • Für 6.10: 2.6.32.754.2.1.el6.x86_64 zu 2.6.32-754.41.2:

      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

    Hinweis

    Nachdem eine neue Paketversion veröffentlicht wurde, wird der Support für die vorherigen beiden Versionen auf den technischen Support reduziert. Ältere Versionen als die in diesem Abschnitt aufgeführten werden nur für technischen Upgrade-Support bereitgestellt.

  • Für die restlichen unterstützten Distributionen ist mindestens die Kernelversion 3.10.0-327 erforderlich.

• Ereignisanbietermechanismus

  • Red Hat Enterprise Linux 6 und CentOS 6: Talpa Kernelmodul-basierte Lösung
  • Für die restlichen unterstützten Verteilungen: Fanotify

    • Die fanotify Kerneloption muss aktiviert sein.

      Achtung

      Das parallele Ausführen von Defender für Endpunkt unter Linux mit anderen fanotify-basierten Sicherheitslösungen wird nicht unterstützt. Dies kann zu unvorhersehbaren Ergebnissen führen, z. B. zum Hängen des Betriebssystems.

• Speicherplatz: 1 GB

• /opt/microsoft/mdatp/sbin/wdavdaemon erfordert eine ausführbare Berechtigung. Weitere Informationen finden Sie unter "Sicherstellen, dass der Daemon über ausführbare Berechtigungen verfügt" in der Problembehandlung von Installationsproblemen für Microsoft Defender für Endpunkt unter Linux.

• Kerne: mindestens 2, 4 bevorzugt

• Arbeitsspeicher: mindestens 1 GB, 4 bevorzugt

  Hinweis

  Stellen Sie sicher, dass Sie über freien Speicherplatz in /var verfügen.

• Die Lösung bietet derzeit Echtzeitschutz für die folgenden Dateisystemtypen:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuse
  • fuseblk
  • jfs
  • nfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • udf
  • vfat
  • xfs

Nachdem Sie den Dienst aktiviert haben, müssen Sie möglicherweise Ihr Netzwerk oder Ihre Firewall konfigurieren, um ausgehende Verbindungen zwischen ihm und Ihren Endpunkten zuzulassen.

• Überwachungsframework (auditd) muss aktiviert sein.

  Hinweis

  Systemereignisse, die von Regeln erfasst werden, die hinzugefügt /etc/audit/rules.d/ werden, werden ( audit.logn) hinzugefügt und können sich auf die Hostüberwachung und die Upstreamsammlung auswirken. Ereignisse, die von Microsoft Defender für Endpunkt unter Linux hinzugefügt wurden, werden mit mdatp Schlüssel gekennzeichnet.

Konfigurieren von Ausschlüssen

Beim Hinzufügen von Ausschlüssen zu Microsoft Defender Antivirus sollten Sie allgemeine Ausschlussfehler für Microsoft Defender Antivirus

Netzwerkverbindungen

In der folgenden herunterladbaren Tabelle sind die Dienste und die zugehörigen URLs aufgeführt, mit denen Ihr Netzwerk eine Verbindung herstellen kann. Sie sollten sicherstellen, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern würden. Falls vorhanden, müssen Sie möglicherweise eine Zulassungsregel speziell für sie erstellen.

---

Kalkulationstabelle der Domänenliste	Beschreibung
Microsoft Defender für Endpunkt-URL-Liste für kommerzielle Kunden	Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für kommerzielle Kunden. Laden Sie das Arbeitsblatt hier herunter.
Microsoft Defender für Endpunkt-URL-Liste für Gov/GCC/DoD-Kunden	Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden. Laden Sie das Arbeitsblatt hier herunter.

Hinweis

Eine spezifischere URL-Liste finden Sie unter Konfigurieren von Proxy- und Internetverbindungseinstellungen.

Defender für Endpunkt kann einen Proxyserver mithilfe der folgenden Ermittlungsmethoden ermitteln:

• Transparenter Proxy
• Manuelle Konfiguration statischer Proxys

Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, stellen Sie sicher, dass anonymer Datenverkehr in den zuvor aufgeführten URLs zulässig ist. Für transparente Proxys ist keine zusätzliche Konfiguration für Defender für Endpunkt erforderlich. Führen Sie für statischen Proxy die Schritte in der manuellen Konfiguration statischer Proxys aus.

Warnung

PAC-, WPAD- und authentifizierte Proxys werden nicht unterstützt. Stellen Sie sicher, dass nur ein statischer oder ein transparenter Proxy verwendet wird.

SSL-Überprüfungs- und -Abfangproxys werden aus Sicherheitsgründen ebenfalls nicht unterstützt. Konfigurieren Sie eine Ausnahme für die SSL-Überprüfung und Ihren Proxyserver, um Daten von Defender für Endpunkt unter Linux direkt an die relevanten URLs ohne Interception zu übergeben. Das Hinzufügen des Interception-Zertifikats zum globalen Speicher lässt keine Interception zu.

Informationen zur Problembehandlung finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität für Microsoft Defender für Endpunkt unter Linux.

Aktualisieren von Microsoft Defender für Endpunkt unter Linux

Microsoft veröffentlicht regelmäßig Softwareupdates zur Verbesserung von Leistung und Sicherheit oder zur Bereitstellung neuer Features. Informationen zum Aktualisieren von Microsoft Defender für Endpunkt unter Linux finden Sie unter Bereitstellen von Updates für Microsoft Defender für Endpunkt unter Linux.

So konfigurieren Sie Microsoft Defender für Endpunkt unter Linux

Anleitungen zum Konfigurieren des Produkts in Unternehmensumgebungen finden Sie unter Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux.

Allgemeine Anwendungen für Microsoft Defender für Endpunkt können auswirkungen

Bei hohen E/A-Workloads von bestimmten Anwendungen können Leistungsprobleme auftreten, wenn Microsoft Defender für Endpunkt installiert ist. Dazu gehören Anwendungen für Entwicklerszenarien wie Jenkin und Jira sowie Datenbankworkloads wie OracleDB und Postgres. Wenn die Leistung beeinträchtigt wird, sollten Sie Ausschlüsse für vertrauenswürdige Anwendungen festlegen, wobei häufige Ausschlussfehler für Microsoft Defender Antivirus berücksichtigt werden. Weitere Anleitungen finden Sie in der Beratungsdokumentation zu Antivirenausschlüssen von Drittanbieteranwendungen.

Ressourcen

• Weitere Informationen zur Protokollierung, Deinstallation oder anderen Themen finden Sie unter "Ressourcen".