Microsoft Defender per endpoint su Linux

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo articolo descrive come installare, configurare, aggiornare e usare Microsoft Defender per endpoint in Linux.

Attenzione

L'esecuzione di altri prodotti di protezione degli endpoint di terze parti insieme a Microsoft Defender per endpoint in Linux potrebbe causare problemi di prestazioni ed effetti collaterali imprevedibili. Se la protezione degli endpoint non Microsoft è un requisito assoluto nell'ambiente, è comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus per l'esecuzione in modalità passiva.

Come installare Microsoft Defender per endpoint in Linux

Microsoft Defender per endpoint per Linux include funzionalità di rilevamento e risposta di endpoint e antimalware.

Prerequisiti

• Accesso al portale di Microsoft Defender

• Distribuzione linux tramite system manager

  Nota

  La distribuzione Linux tramite system manager, ad eccezione di RHEL/CentOS 6.x, supporta sia SystemV che Upstart.

• Esperienza di livello principiante negli script Linux e BASH

• Privilegi amministrativi nel dispositivo (in caso di distribuzione manuale)

Nota

Microsoft Defender per endpoint agente Linux è indipendente dall'agente OMS. Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.

Istruzioni di installazione

Esistono diversi metodi e strumenti di distribuzione che è possibile usare per installare e configurare Microsoft Defender per endpoint in Linux.

In generale, è necessario seguire questa procedura:

• Assicurarsi di avere una sottoscrizione Microsoft Defender per endpoint.
• Distribuire Microsoft Defender per endpoint in Linux usando uno dei metodi di distribuzione seguenti:
  • Lo strumento da riga di comando:
    • Distribuzione manuale
  • Strumenti di gestione di terze parti:
    • Distribuire usando lo strumento di gestione della configurazione puppet
    • Eseguire la distribuzione con lo strumento di gestione della configurazione ansible
      • Eseguire la distribuzione usando lo strumento di gestione della configurazione chef
      • Distribuire usando lo strumento di gestione della configurazione Saltstack Se si verificano errori di installazione, vedere Risoluzione degli errori di installazione in Microsoft Defender per endpoint in Linux.

Nota

Non è supportato installare Microsoft Defender per endpoint in qualsiasi altro percorso diverso dal percorso di installazione predefinito.

Microsoft Defender per endpoint in Linux crea un utente "mdatp" con UID e GID casuali. Per controllare uid e GID, creare un utente "mdatp" prima dell'installazione usando l'opzione della shell "/usr/sbin/nologin". Ad esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Requisiti di sistema

• Distribuzioni del server Linux supportate e versioni x64 (AMD64/EM64T) e x86_64:

  • Red Hat Enterprise Linux 6.7 o versione successiva (in anteprima)

  • Red Hat Enterprise Linux 7.2 o versione successiva

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 o versione successiva (in anteprima)

  • CentOS 7.2 o versione successiva

  • Ubuntu 16.04 LTS o versione successiva LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 o versione successiva

  • SUSE Linux Enterprise Server 15 o versione successiva

  • Oracle Linux 7.2 o versione successiva

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 o superiore

  • Rocky 8.7 e versioni successive

  • Alma 8.4 e versioni successive

  • Mariner 2

    Nota

    Le distribuzioni e la versione non elencate in modo esplicito non sono supportate,anche se derivano dalle distribuzioni supportate ufficialmente. Con il supporto di RHEL 6 per "fine vita estesa" che termineranno entro il 30 giugno 2024; MDE supporto linux per RHEL 6 sarà deprecato anche entro il 30 giugno 2024 MDE linux versione 101.23082.0011 è l'ultima versione MDE Linux che supporta RHEL 6.7 o versioni successive (non scade prima del 30 giugno 2024). È consigliabile pianificare gli aggiornamenti all'infrastruttura RHEL 6 in linea con le indicazioni fornite da Red Hat.

• Elenco delle versioni del kernel supportate

  Nota

  Microsoft Defender per endpoint in Red Hat Enterprise Linux e CentOS - da 6.7 a 6.10 è una soluzione basata su kernel. È necessario verificare che la versione del kernel sia supportata prima di eseguire l'aggiornamento a una versione più recente del kernel. Microsoft Defender per endpoint per tutte le altre distribuzioni e versioni supportate è indipendente dalla versione del kernel. Con un requisito minimo che la versione del kernel sia uguale o maggiore di 3.10.0-327.

  • L'opzione fanotify del kernel deve essere abilitata
  • Red Hat Enterprise Linux 6 e CentOS 6:
    • Per 6.7: 2.6.32-573.* (tranne 2.6.32-573.el6.x86_64)
    • Per 6.8: 2.6.32-642.*
    • Per 6.9: 2.6.32-696.* (tranne 2.6.32-696.el6.x86_64)
    • Per 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Nota

  Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico.

  Attenzione

  L'esecuzione di Defender per endpoint in Linux affiancata ad altre fanotifysoluzioni di sicurezza basate su non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usano fanotify in modalità di blocco, le conflicting_applications applicazioni vengono elencate nel campo dell'output del mdatp health comando. La funzionalità FAPolicyD di Linux usa fanotify in modalità di blocco ed è pertanto non supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva.

• Spazio su disco: 2 GB

  Nota

  Se la diagnostica cloud è abilitata per le raccolte di arresti anomali, potrebbe essere necessario un ulteriore spazio su disco di 2 GB.

• /opt/microsoft/mdatp/sbin/wdavdaemon richiede l'autorizzazione eseguibile. Per altre informazioni, vedere "Verificare che il daemon disponga dell'autorizzazione eseguibile" in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

• Core: 2 minimo, 4 preferiti

• Memoria: 1 GB minimo, 4 preferiti

  Nota

  Assicurarsi di avere spazio libero su disco in /var.

• Elenco dei file system supportati per l'analisi RTP, rapida, completa e personalizzata.

  RTP, veloce, analisi completa	Analisi personalizzata
  Btrfs	Tutti i file system supportati per RTP, Quick, Full Scan
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  Fusibile	glustrefs
  fuseblk	Afs
  Jfs	Sshfs
  nfs (solo v3)	Cifs
  Sovrapposizione	Smb
  ramfs	gcsfuse
  Reiserfs	Sysfs
  Tmpfs
  Udf
  Vfat
  Xfs

Dopo aver abilitato il servizio, è necessario configurare la rete o il firewall per consentire le connessioni in uscita tra il servizio e gli endpoint.

• Il framework di controllo (auditd) deve essere abilitato.

  Nota

  Gli eventi di sistema acquisiti dalle regole aggiunte a /etc/audit/rules.d/ verranno aggiunti a audit.log(s) e potrebbero influire sul controllo host e sulla raccolta upstream. Gli eventi aggiunti da Microsoft Defender per endpoint in Linux verranno contrassegnati con mdatp la chiave.

Dipendenza del pacchetto esterno

Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

• Il pacchetto RPM mdatp richiede "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• Per RHEL6 il pacchetto RPM mdatp richiede "audit", "policycoreutils", "libselinux", "mde-netfilter"
• Per DEBIAN il pacchetto mdatp richiede "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

Il pacchetto mde-netfilter presenta anche le dipendenze del pacchetto seguenti:

• Per DEBIAN il pacchetto mde-netfilter richiede "libnetfilter-queue1", "libglib2.0-0"
• Per RPM il pacchetto mde-netfilter richiede "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze necessarie.

Configurazione delle esclusioni

Quando si aggiungono esclusioni a Microsoft Defender Antivirus, è consigliabile tenere presente gli errori di esclusione comuni per Microsoft Defender Antivirus.

Connessioni di rete

Il foglio di calcolo scaricabile seguente elenca i servizi e gli URL associati a cui la rete deve essere in grado di connettersi. È necessario assicurarsi che non siano presenti regole di filtro del firewall o di rete che neghino l'accesso a questi URL. In caso affermativo, potrebbe essere necessario creare una regola di autorizzazione specifica.

Foglio di calcolo dell'elenco dei domini	Descrizione
Microsoft Defender per endpoint elenco URL per i clienti commerciali	Foglio di calcolo di record DNS specifici per le località di servizio, le posizioni geografiche e il sistema operativo per i clienti commerciali. Scaricare il foglio di calcolo qui.
Microsoft Defender per endpoint elenco URL per Gov/GCC/DoD	Foglio di calcolo di record DNS specifici per località di servizio, posizioni geografiche e sistema operativo per i clienti Gov/GCC/DoD. Scaricare il foglio di calcolo qui.

Nota

Per un elenco di URL più specifico, vedere Configurare le impostazioni di connettività proxy e Internet.

Defender per endpoint può individuare un server proxy usando i metodi di individuazione seguenti:

• Proxy trasparente
• Configurazione manuale del proxy statico

Se un proxy o un firewall blocca il traffico anonimo, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza. Per i proxy trasparenti, non è necessaria alcuna configurazione aggiuntiva per Defender per endpoint. Per il proxy statico, seguire la procedura descritta in Configurazione manuale del proxy statico.

Avviso

I proxy PAC, WPAD e autenticati non sono supportati. Assicurarsi che venga usato solo un proxy statico o un proxy trasparente.

Anche i proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per passare direttamente i dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non consentirà l'intercettazione.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

Come aggiornare Microsoft Defender per endpoint in Linux

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Come configurare Microsoft Defender per endpoint su Linux

Le indicazioni su come configurare il prodotto negli ambienti aziendali sono disponibili in Impostare le preferenze per Microsoft Defender per endpoint in Linux.

Le applicazioni comuni da Microsoft Defender per endpoint possono influire

I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Queste includono applicazioni per scenari di sviluppo come Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili, tenendo presenti gli errori di esclusione comuni per Microsoft Defender Antivirus. Per altre indicazioni, prendere in considerazione la documentazione di consulenza relativa alle esclusioni antivirus da applicazioni di terze parti.

Risorse

• Per altre informazioni sulla registrazione, la disinstallazione o altri articoli, vedere Risorse.

Articoli correlati

• Proteggere gli endpoint con la soluzione EDR integrata di Defender per cloud: Microsoft Defender per endpoint
• Connettere i computer non Azure a Microsoft Defender per il cloud
• Attivare la protezione di rete per Linux

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.