Microsoft Defender for Endpoint Linuxissa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa kuvataan, miten Voit asentaa, määrittää, päivittää ja käyttää Microsoft Defender for Endpointia Linuxissa.
Varoitus
Muiden kolmannen osapuolen päätepisteiden suojaustuotteiden suorittaminen Microsoft Defender for Endpointin rinnalla Linuxissa johtaa todennäköisesti suorituskykyongelmiin ja arvaamattomiin sivuvaikutuksiin. Jos muu kuin Microsoftin päätepistesuojaus on ehdoton vaatimus ympäristössäsi, voit silti turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa määritettyäsi virustentorjuntatoiminnon suoritettavaksi passiivitilassa.
Microsoft Defender for Endpointin asentaminen Linuxiin
Microsoft Defender for Endpoint for Linux sisältää haittaohjelmien torjunta- ja päätepisteiden tunnistamis- ja vastausominaisuudet (EDR).
Ennakkovaatimukset
Pääsy Microsoft Defender -portaaliin
Linux-jakelu systemd system managerin avulla
Huomautus
Linux-jakelu järjestelmänhallinnan avulla, lukuun ottamatta RHEL/CentOS 6.x:ää, tukee sekä SystemV:tä että Upstartia.
Aloittelijatason käyttökokemus Linuxissa ja BASH-komentosarjoissa
Järjestelmänvalvojan oikeudet laitteessa (manuaalisen käyttöönoton tapauksessa)
Huomautus
Microsoft Defender for Endpoint on Linux -agentti on riippumaton OMS-agentista. Microsoft Defender for Endpoint on riippuvainen omasta riippumattomasta telemetriaputkestaan.
Asennusohjeet
Voit asentaa ja määrittää Microsoft Defender for Endpointin Linuxissa useilla menetelmillä ja käyttöönottotyökaluilla.
Yleensä sinun on suoritettava seuraavat vaiheet:
- Varmista, että sinulla on Microsoft Defender for Endpoint -tilaus.
- Ota Microsoft Defender for Endpoint käyttöön Linuxissa käyttämällä jotakin seuraavista käyttöönottotavoista:
- Komentorivityökalu:
- Kolmannen osapuolen hallintatyökalut:
Huomautus
Microsoft Defender for Endpointin asentamista ei tueta missään muussa sijainnissa kuin oletusasennuspolussa.
Microsoft Defender for Endpoint on Linux luo mdatp-käyttäjän, jolla on satunnainen UID ja GID. Jos haluat hallita UID: tä ja GID: tä, luo mdatp-käyttäjä ennen asennusta käyttämällä komentoliittymävaihtoehtoa /usr/sbin/nologin.
Esimerkki: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Järjestelmävaatimukset
Tuetut Linux-palvelinjakelut ja x64 (AMD64/EM64T) ja x86_64 versiot:
Red Hat Enterprise Linux 6.7 tai uudempi (esikatselussa)
Red Hat Enterprise Linux 7.2 tai uudempi
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 tai uudempi (esikatselussa)
CentOS 7.2 tai uudempi
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 tai uudempi
SUSE Linux Enterprise Server 15 tai uudempi
Oracle Linux 7.2 tai uudempi
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 tai uudempi
Rocky 8.7 ja uudempi
Alma 8.4 ja uudemmat
Mariner 2
Huomautus
Jakeluja ja versioita, joita ei ole nimenomaisesti lueteltu, ei tueta (vaikka ne johdetaan virallisesti tuetuista jakaumista). RHEL 6 -tuki "elinkaaren pidentämiseksi" päättyy 30.6.2024 mennessä; Myös RHEL 6:n MDE Linux -tuki poistetaan käytöstä 30.6.2024 MDE Linux -versiossa 101.23082.0011 on viimeinen MDE Linux -julkaisu, joka tukee RHEL 6.7-versiota tai uudempia versioita (ei vanhene ennen 30.6.2024). Asiakkaita kehotetaan suunnittelemaan päivitykset RHEL 6 -infrastruktuuriinsa Red Hatin ohjeiden mukaisesti.
Microsoft Defender Vulnerablity Managementia ei tällä hetkellä tueta Almassa.
Luettelo tuetuista ydinversioista
Huomautus
Microsoft Defender for Endpoint on Red Hat Enterprise Linux ja CentOS - 6.7 - 6.10 on ydinpohjainen ratkaisu. Sinun on varmistettava, että ydinversiota tuetaan, ennen kuin päivität uudemman ytimen versioon. Microsoft Defender for Endpoint kaikille muille tuetuille jakeluille ja versioille on kernel-version-agnostic. Ytimen version vähimmäisvaatimus on vähintään 3.10.0-327.
fanotify
Ytimen asetuksen on oltava käytössä- Red Hat Enterprise Linux 6 ja CentOS 6:
- 6.7:lle: 2.6.32-573.* (paitsi 2.6.32-573.el6.x86_64)
- Kohteelle 6.8: 2.6.32-642.*
- 6.9:lle: 2.6.32-696.* (lukuun ottamatta 2.6.32-696.el6.x86_64)
- 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Huomautus
Kun uusi pakettiversio on julkaistu, kahden edellisen version tuki on rajoitettu vain tekniseen tukeen. Versiot, jotka ovat vanhempia kuin tässä osiossa luetellut versiot, tarjotaan vain teknistä päivitystukea varten.
Varoitus
Defender for Endpointin suorittamista Linuxissa rinnakkain muiden
fanotify
suojausratkaisujen kanssa ei tueta. Se voi johtaa arvaamattomiin tuloksiin, kuten käyttöjärjestelmän ripustamiseen. Jos järjestelmässä on muita sovelluksia, jotka käyttävätfanotify
estotilassa, sovellukset luetellaanconflicting_applications
komentotulosteenmdatp health
kentässä. Linuxin FAPolicyD-ominaisuutta käytetäänfanotify
estotilassa, joten sitä ei tueta, kun Defender for Endpoint suoritetaan aktiivisessa tilassa. Voit edelleen turvallisesti hyödyntää Defender for Endpointia Linuxin EDR-toiminnossa, kun olet määrittänyt virustentorjuntatoiminnon reaaliaikaisen suojauksen käytössä passiivitilaan.Levytila: 2 Gt
Huomautus
Saatat tarvita vielä 2 Gigatavua levytilaa, jos kaatumiskokoelmien pilvidiagnostiikka on käytössä.
/opt/microsoft/mdatp/sbin/wdavdaemon edellyttää suoritettavan tiedoston käyttöoikeutta. Lisätietoja on kohdassa "Varmista, että daemonin suoritusoikeudet" kohdassa Linuxin Microsoft Defender for Endpointin asennusongelmien vianmääritys.
Ytimet: vähintään 2, 4 suositeltavaa
Muisti: vähintään 1 Gt, 4 suositeltavaa
Huomautus
Varmista, että /var-tiedostossa on vapaata levytilaa.
Luettelo tuetuista tiedostojärjestelmistä RTP:tä, pikatarkistusta, täyttä tarkistusta ja mukautettua tarkistusta varten.
RTP, Nopea, Täysi tarkistus Mukautettu tarkistus Btrfs Kaikki tiedostojärjestelmät, joita RTP, Nopea ja Täysi tarkistus tukevat ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Sulake glustrefs fuseblk Afs Jfs Sshfs nfs (vain v3) Cifs Peitto Smb ramfs gcsfuse Reiserfs Sysfs tmpfs Udf vfat Xfs
Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan lähtevät yhteydet sen ja päätepisteiden välillä.
Valvontakehys (
auditd
) on otettava käyttöön.Huomautus
Järjestelmätapahtumat, jotka on otettu käyttöön lisätyillä
/etc/audit/rules.d/
säännöillä, lisätään kohteeseenaudit.log
(s) ja ne saattavat vaikuttaa isäntien valvontaan ja ylätason kokoelmaan. Tapahtumat, jotka Microsoft Defender on lisännyt Linux-päätepisteelle, merkitäänmdatp
avaimella.
Ulkoisen paketin riippuvuus
Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:
- Mdatp RPM -paketti edellyttää "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- RHEL6:lle mdatp RPM -paketti edellyttää "audit", "policycoreutils", "libselinux", "mde-netfilter"
- DEBIAN-kohteelle mdatp-paketti vaatii "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:
- DEBIAN-kohteelle mde-netfilter-paketti edellyttää "libnetfilter-queue1", "libglib2.0-0"
- RPM:n mde-netfilter-paketti edellyttää "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Jos Microsoft Defender for Endpoint -asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata riippuvuudet manuaalisesti.
Poissulkemisten määrittäminen
Kun lisäät poissulkemisia Microsoft Defenderin virustentorjuntaan, muista microsoft Defenderin virustentorjunnan yleiset poissulkemisvirheet.
Verkkoyhteydet
Varmista, että yhteys on mahdollinen laitteista Microsoft Defender for Endpoint -pilvipalveluihin. Valmistele ympäristösi katsomalla vaihetta 1: Verkkoympäristön määrittäminen, jotta yhteys Defender for Endpoint -palveluun voidaan varmistaa.
Defender for Endpoint on Linux voi muodostaa yhteyden välityspalvelimen kautta seuraavilla etsintämenetelmillä:
- Läpinäkyvä välityspalvelin
- Manuaalinen staattisen välityspalvelimen määritys
Jos välityspalvelin tai palomuuri estää anonyymin liikenteen, varmista, että anonyymi liikenne on sallittu aiemmin luetelluissa URL-osoitteissa. Läpinäkyvät välityssovellukset eivät vaadi lisämäärityksiä Defenderin päätepisteelle. Jos kyseessä on staattinen välityspalvelin, noudata manuaalisen staattisen välityspalvelimen määrityksen ohjeita.
Varoitus
PAC:tä, WPAD:ia ja todennettuja välityslehtiä ei tueta. Varmista, että käytössä on vain staattinen välityspalvelin tai läpinäkyvä välityspalvelin.
SSL-tarkastusta ja välitysvälitysvälitysten pysäyttämistä ei myöskään tueta turvallisuussyistä. Määritä poikkeus SSL-tarkastusta ja välityspalvelinta varten, jotta voit suoraan välittää tietoja Linuxin Defender for Endpointista asianmukaisiin URL-osoitteisiin ilman sieppausta. Sieppausvarmenteen lisääminen yleiseen säilöön ei salli sieppausta.
Lisätietoja vianmäärityksestä on artikkelissa Microsoft Defender for Endpointin pilvipalveluongelmien vianmääritys Linuxissa.
Microsoft Defender for Endpointin päivittäminen Linuxissa
Microsoft julkaisee säännöllisesti ohjelmistopäivityksiä suorituskyvyn ja suojauksen parantamiseksi ja uusien ominaisuuksien toimittamiseksi. Jos haluat päivittää Microsoft Defender for Endpointin Linuxissa, katso Microsoft Defender for Endpointin päivitysten käyttöönotto Linuxissa.
Microsoft Defender for Endpointin määrittäminen Linuxissa
Ohjeita tuotteen määrittämiseen yritysympäristöissä on kohdassa Määritä asetukset Microsoft Defenderin Linux-päätepisteelle.
Microsoft Defender for Endpointin yleiset sovellukset voivat vaikuttaa
Tiettyjen sovellusten suuret I/O-kuormitukset voivat kohdata suorituskykyongelmia, kun Microsoft Defender for Endpoint asennetaan. Näitä ovat esimerkiksi sovellukset kehittäjäskenaarioita varten, kuten Jenkins ja Jira, sekä tietokannan kuormituksia, kuten OracleDB ja Postgres. Jos koet suorituskyvyn heikentymistä, harkitse luotettujen sovellusten poissulkemisten määrittämistä ja pidä Microsoft Defenderin virustentorjuntaa koskevat yleiset poissulkemisvirheet mielessä. Katso lisäohjeita konsultointidokumentaatiosta, joka koskee kolmannen osapuolen sovelluksista pois jätettyjä virustentorjuntaa.
Resurssit
- Lisätietoja kirjaamisesta, asennuksen poistamisesta tai muista artikkeleista on kohdassa Resurssit.
Aiheeseen liittyviä artikkeleita
- Päätepisteiden suojaaminen Defender for Cloudin integroidulla EDR-ratkaisulla: Microsoft Defender for Endpoint
- Muiden kuin Azure-koneiden yhdistäminen Microsoft Defender for Cloudiin
- Linuxin verkkosuojauksen ottaminen käyttöön
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle