Microsoft Defender para punto de conexión en Linux

  • Artículo

Se aplica a:

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se describe cómo instalar, configurar, actualizar y usar Microsoft Defender para punto de conexión en Linux.

Precaución

Es probable que la ejecución de otros productos de protección de puntos de conexión de terceros junto con Microsoft Defender para punto de conexión en Linux genere problemas de rendimiento y efectos secundarios impredecibles. Si la protección de puntos de conexión que no son de Microsoft es un requisito absoluto en su entorno, puede aprovechar con seguridad la funcionalidad EDR de Defender para punto de conexión en Linux después de configurar la funcionalidad antivirus para que se ejecute en modo pasivo.

Instalación de Microsoft Defender para punto de conexión en Linux

Microsoft Defender para punto de conexión para Linux incluye funcionalidades de detección y respuesta (EDR) contra malware y puntos de conexión.

Requisitos previos

  • Acceso al portal de Microsoft Defender

  • Distribución de Linux mediante el administrador del sistema systemd

    Nota:

    La distribución de Linux mediante el administrador del sistema, excepto para RHEL/CentOS 6.x, admite SystemV y Upstart.

  • Experiencia de nivel principiante en scripting de Linux y BASH

  • Privilegios administrativos en el dispositivo (en caso de implementación manual)

Nota:

Microsoft Defender para punto de conexión en el agente de Linux es independiente del agente de OMS. Microsoft Defender para punto de conexión se basa en su propia canalización de telemetría independiente.

Instrucciones de instalación

Hay varios métodos y herramientas de implementación que puede usar para instalar y configurar Microsoft Defender para punto de conexión en Linux.

En general, debe realizar los pasos siguientes:

Nota:

No se admite instalar Microsoft Defender para punto de conexión en ninguna otra ubicación que no sea la ruta de instalación predeterminada.

Microsoft Defender para punto de conexión en Linux crea un usuario "mdatp" con UID y GID aleatorios. Si desea controlar el UID y el GID, cree un usuario "mdatp" antes de la instalación mediante la opción de shell "/usr/sbin/nologin". Por ejemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Requisitos del sistema

  • Distribuciones de servidores Linux compatibles y versiones x64 (AMD64/EM64T) y x86_64:

    • Red Hat Enterprise Linux 6.7 o superior (en versión preliminar)

    • Red Hat Enterprise Linux 7.2 o superior

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 o superior (en versión preliminar)

    • CentOS 7.2 o superior

    • Ubuntu 16.04 LTS o posterior LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12 o superior

    • SUSE Linux Enterprise Server 15 o superior

    • Oracle Linux 7.2 o superior

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 o superior

    • Rocky 8.7 y versiones posteriores

    • Alma 8.4 y versiones posteriores

    • Mariner 2

      Nota:

      Las distribuciones y versiones que no se enumeran explícitamente no son compatibles (incluso si se derivan de las distribuciones admitidas oficialmente). Con el apoyo de RHEL 6 para el "fin extendido de la vida" llegando a su fin antes del 30 de junio de 2024; MDE compatibilidad con Linux para RHEL 6 también estará en desuso el 30 de junio de 2024 MDE versión 101.23082.0011 de Linux es la última versión MDE Linux compatible con RHEL 6.7 o versiones posteriores (no expira antes del 30 de junio de 2024). Se recomienda a los clientes planear las actualizaciones de su infraestructura de RHEL 6 alineadas con la guía de Red Hat.

  • Lista de versiones de kernel admitidas

    Nota:

    Microsoft Defender para punto de conexión en Red Hat Enterprise Linux y CentOS : 6.7 a 6.10 es una solución basada en kernel. Debe comprobar que se admite la versión del kernel antes de actualizar a una versión más reciente del kernel. Microsoft Defender para punto de conexión para todas las demás distribuciones y versiones admitidas es independiente de la versión del kernel. Con un requisito mínimo para que la versión del kernel sea mayor o mayor que 3.10.0-327.

    • La fanotify opción kernel debe estar habilitada
    • Red Hat Enterprise Linux 6 y CentOS 6:
      • Para la versión 6.7: 2.6.32-573.* (excepto 2.6.32-573.el6.x86_64)
      • Para la versión 6.8: 2.6.32-642.*
      • Para 6.9: 2.6.32-696.* (excepto 2.6.32-696.el6.x86_64)
      • Para la versión 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Nota:

    Una vez publicada la nueva versión del paquete, la compatibilidad con las dos versiones anteriores se reduce solo al soporte técnico. Las versiones anteriores a las que se enumeran en esta sección se proporcionan solo para soporte técnico de actualización.

    Precaución

    No se admite la ejecución de Defender para punto de conexión en Linux en paralelo con otras fanotifysoluciones de seguridad basadas en . Puede dar lugar a resultados imprevisibles, incluida la suspensión del sistema operativo. Si hay otras aplicaciones en el sistema que usan fanotify en modo de bloqueo, las aplicaciones se muestran en el conflicting_applications campo de la salida del mdatp health comando. La característica FAPolicyD de Linux usa fanotify en modo de bloqueo y, por tanto, no se admite al ejecutar Defender para punto de conexión en modo activo. Todavía puede aprovechar de forma segura la funcionalidad de Defender para punto de conexión en Linux EDR después de configurar la funcionalidad antivirus Protección en tiempo real habilitada en modo pasivo.

  • Espacio en disco: 2 GB

    Nota:

    Es posible que se necesite un espacio en disco adicional de 2 GB si los diagnósticos en la nube están habilitados para las recopilaciones de bloqueos.

  • /opt/microsoft/mdatp/sbin/wdavdaemon requiere permiso ejecutable. Para obtener más información, consulte "Asegúrese de que el demonio tiene permiso ejecutable" en Solución de problemas de instalación de Microsoft Defender para punto de conexión en Linux.

  • Núcleos: 2 como mínimo, 4 preferidos

  • Memoria: 1 GB como mínimo, 4 preferidos

    Nota:

    Asegúrese de que tiene espacio libre en disco en /var.

  • Lista de sistemas de archivos admitidos para RTP, examen rápido, completo y personalizado.

    RTP, Quick, Full Scan Examen personalizado
    Btrfs Todos los sistemas de archivos compatibles con RTP, Quick, Full Scan
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    Fusible glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs (solo v3) Cifs
    overlay Smb
    Ramfs gcsfuse
    Reiserfs sysfs
    Tmpfs
    Udf
    Vfat
    Xfs

Después de habilitar el servicio, debe configurar la red o el firewall para permitir las conexiones salientes entre él y los puntos de conexión.

  • El marco de auditoría (auditd) debe estar habilitado.

    Nota:

    Los eventos del sistema capturados por las reglas agregadas a /etc/audit/rules.d/ se agregarán a audit.log(s) y podrían afectar a la auditoría del host y a la recopilación ascendente. Los eventos agregados por Microsoft Defender para punto de conexión en Linux se etiquetarán con mdatp clave.

Dependencia de paquete externo

Existen las siguientes dependencias de paquetes externos para el paquete mdatp:

  • El paquete RPM de mdatp requiere "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • Para RHEL6, el paquete RPM mdatp requiere "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • Para DEBIAN, el paquete mdatp requiere "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

El paquete mde-netfilter también tiene las siguientes dependencias del paquete:

  • Para DEBIAN, el paquete mde-netfilter requiere "libnetfilter-queue1", "libglib2.0-0"
  • Para RPM, el paquete mde-netfilter requiere "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Si se produce un error en la instalación de Microsoft Defender para punto de conexión debido a errores de dependencias que faltan, puede descargar manualmente las dependencias de requisitos previos.

Configuración de exclusiones

Al agregar exclusiones a Microsoft Defender Antivirus, debe tener en cuenta los errores comunes de exclusión de Microsoft Defender Antivirus.

Conexiones de red

En la siguiente hoja de cálculo descargable se enumeran los servicios y sus direcciones URL asociadas a las que la red debe poder conectarse. Debe asegurarse de que no haya reglas de filtrado de red o firewall que denieguen el acceso a estas direcciones URL. Si lo hay, es posible que tenga que crear una regla de permiso específicamente para ellos.

Hoja de cálculo de la lista de dominios Descripción
Microsoft Defender para punto de conexión lista de direcciones URL para clientes comerciales Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes comerciales.

Descargue la hoja de cálculo aquí.
Microsoft Defender para punto de conexión lista de direcciones URL de Gov/GCC/DoD Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes de Gov/GCC/DoD.

Descargue la hoja de cálculo aquí.

Nota:

Para obtener una lista de direcciones URL más específicas, consulte Configuración de opciones de conectividad a Internet y proxy.

Defender for Endpoint puede detectar un servidor proxy mediante los siguientes métodos de detección:

  • Proxy transparente
  • Configuración de proxy estático manual

Si un proxy o firewall bloquea el tráfico anónimo, asegúrese de que se permite el tráfico anónimo en las direcciones URL enumeradas anteriormente. En el caso de los servidores proxy transparentes, no se necesita ninguna configuración adicional para Defender para punto de conexión. Para el proxy estático, siga los pasos descritos en Configuración manual de proxy estático.

Advertencia

No se admiten los servidores proxy PAC, WPAD y autenticados. Asegúrese de que solo se usa un proxy estático o un proxy transparente.

Los servidores proxy de inspección e interceptación de SSL tampoco se admiten por motivos de seguridad. Configure una excepción para la inspección SSL y el servidor proxy para que pase directamente los datos de Defender para punto de conexión en Linux a las direcciones URL pertinentes sin interceptación. Agregar el certificado de interceptación al almacén global no permitirá la interceptación.

Para ver los pasos de solución de problemas, consulte Solución de problemas de conectividad en la nube para Microsoft Defender para punto de conexión en Linux.

Actualización de Microsoft Defender para punto de conexión en Linux

Microsoft publica periódicamente actualizaciones de software para mejorar el rendimiento, la seguridad y ofrecer nuevas características. Para actualizar Microsoft Defender para punto de conexión en Linux, consulte Implementación de actualizaciones para Microsoft Defender para punto de conexión en Linux.

Cómo configurar Microsoft Defender para punto de conexión en Linux

Las instrucciones para configurar el producto en entornos empresariales están disponibles en Establecer preferencias para Microsoft Defender para punto de conexión en Linux.

Las aplicaciones comunes que se Microsoft Defender para punto de conexión pueden afectar

Las cargas de trabajo de E/S elevadas de determinadas aplicaciones pueden experimentar problemas de rendimiento cuando se instala Microsoft Defender para punto de conexión. Estas incluyen aplicaciones para escenarios de desarrollador como Jenkins y Jira, y cargas de trabajo de base de datos como OracleDB y Postgres. Si experimenta una degradación del rendimiento, considere la posibilidad de establecer exclusiones para aplicaciones de confianza, teniendo en cuenta los errores comunes de exclusión de Microsoft Defender Antivirus. Para obtener instrucciones adicionales, considere la posibilidad de consultar documentación sobre exclusiones de antivirus de aplicaciones de terceros.

Recursos

  • Para obtener más información sobre el registro, la desinstalación u otros artículos, consulte Recursos.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.