Linux 用 Microsoft Defender for Endpoint

[アーティクル]
04/26/2024

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、Linux 上でMicrosoft Defender for Endpointをインストール、構成、更新、および使用する方法について説明します。

注意

Linux でMicrosoft Defender for Endpointと共に他のサードパーティ製エンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、パッシブモードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

Linux にMicrosoft Defender for Endpointをインストールする方法

Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。

前提条件

Microsoft Defender ポータルへのアクセス
systemd システムマネージャーを使用した Linux ディストリビューション

注:

RHEL/CentOS 6.x を除く、システムマネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。
Linux および BASH スクリプトの初心者レベルのエクスペリエンス
デバイスの管理特権 (手動展開の場合)

注:

Linux エージェント上のMicrosoft Defender for Endpointは、OMS エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリパイプラインに依存しています。

インストール手順

Linux にMicrosoft Defender for Endpointをインストールして構成するために使用できる方法とデプロイツールがいくつかあります。

一般に、次の手順を実行する必要があります。

Microsoft Defender for Endpoint サブスクリプションがあることを確認します。
次のいずれかのデプロイ方法を使用して、Microsoft Defender for Endpointを Linux にデプロイします。
- コマンドラインツール:
  - 手動展開
- サードパーティの管理ツール:
  - Puppet 構成管理ツールを使用してデプロイする
  - Ansible 構成管理ツールを使用してデプロイする
    - Chef 構成管理ツールを使用してデプロイする
    - Saltstack 構成管理ツールを使用したデプロイインストールエラーが発生した場合は、「Microsoft Defender for Endpoint on Linux でのインストールエラーのトラブルシューティング」を参照してください。

注:

既定のインストールパス以外の場所にMicrosoft Defender for Endpointをインストールすることはサポートされていません。

Linux 上のMicrosoft Defender for Endpointは、ランダムな UID と GID を持つ "mdatp" ユーザーを作成します。 UID と GID を制御する場合は、インストール前に "/usr/sbin/nologin" シェルオプションを使用して "mdatp" ユーザーを作成します。例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。

システム要件

サポートされている Linux サーバーディストリビューションと x64 (AMD64/EM64T) および x86_64 バージョン:
- Red Hat Enterprise Linux 6.7 以降 (プレビュー段階)
- Red Hat Enterprise Linux 7.2 以降
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 6.7 以降 (プレビュー段階)
- CentOS 7.2 以降
- Ubuntu 16.04 LTS 以上の LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12 以降
- SUSE Linux Enterprise Server 15 以降
- Oracle Linux 7.2 以降
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33 以上
- ロッキー 8.7 以上
- アルマ8.4以降
- マリナー 2
  
  注:
  
  明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。 RHEL 6 では、2024 年 6 月 30 日までに「延長された寿命」のサポートが終了します。MDE Linux での RHEL 6 のサポートも、2024 年 6 月 30 日までに非推奨となる予定ですMDE Linux バージョン 101.23082.0011 は、RHEL 6.7 以降をサポートする最後のMDE Linux リリースです (2024 年 6 月 30 日より前には期限切れになりません)。お客様は、Red Hat のガイダンスに沿った RHEL 6 インフラストラクチャへのアップグレードを計画することをお勧めします。
サポートされているカーネルバージョンの一覧

注:

Red Hat Enterprise Linux と CentOS 上のMicrosoft Defender for Endpoint - 6.7 から 6.10 はカーネルベースのソリューションです。新しいカーネルバージョンに更新する前に、カーネルバージョンがサポートされていることを確認する必要があります。サポートされているすべてのディストリビューションとバージョンのMicrosoft Defender for Endpointは、カーネルバージョンに依存しません。カーネルバージョンが 3.10.0-327 以上である最小要件。
- カーネルオプションを fanotify 有効にする必要があります
- Red Hat Enterprise Linux 6 と CentOS 6:
  - 6.7: 2.6.32-573.* (2.6.32-573.el6.x86_64を除く)
  - 6.8 の場合: 2.6.32-642.*
  - 6.9: 2.6.32-696.* (2.6.32-696.el6.x86_64を除く)
  - 6.10 の場合:
    - 2.6.32-754.10.1.el6.x86_64
    - 2.6.32-754.11.1.el6.x86_64
    - 2.6.32-754.12.1.el6.x86_64
    - 2.6.32-754.14.2.el6.x86_64
    - 2.6.32-754.15.3.el6.x86_64
    - 2.6.32-754.17.1.el6.x86_64
    - 2.6.32-754.18.2.el6.x86_64
    - 2.6.32-754.2.1.el6.x86_64
    - 2.6.32-754.22.1.el6.x86_64
    - 2.6.32-754.23.1.el6.x86_64
    - 2.6.32-754.24.2.el6.x86_64
    - 2.6.32-754.24.3.el6.x86_64
    - 2.6.32-754.25.1.el6.x86_64
    - 2.6.32-754.27.1.el6.x86_64
    - 2.6.32-754.28.1.el6.x86_64
    - 2.6.32-754.29.1.el6.x86_64
    - 2.6.32-754.29.2.el6.x86_64
    - 2.6.32-754.3.5.el6.x86_64
    - 2.6.32-754.30.2.el6.x86_64
    - 2.6.32-754.33.1.el6.x86_64
    - 2.6.32-754.35.1.el6.x86_64
    - 2.6.32-754.39.1.el6.x86_64
    - 2.6.32-754.41.2.el6.x86_64
    - 2.6.32-754.43.1.el6.x86_64
    - 2.6.32-754.47.1.el6.x86_64
    - 2.6.32-754.48.1.el6.x86_64
    - 2.6.32-754.49.1.el6.x86_64
    - 2.6.32-754.6.3.el6.x86_64
    - 2.6.32-754.9.1.el6.x86_64
注:

新しいパッケージバージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカルサポートのみに縮小されます。このセクションに記載されているバージョンより古いバージョンは、テクニカルアップグレードサポートでのみ提供されます。

注意

Linux 上で Defender for Endpoint を他 fanotifyのベースのセキュリティソリューションと並行して実行することはサポートされていません。オペレーティングシステムのハングなど、予期しない結果につながる可能性があります。システム上に、ブロッキング・モードで使用 fanotify する他のアプリケーションがある場合は、コマンド出力のフィールドに conflicting_applications アプリケーションが mdatp health リストされます。 Linux FAPolicyD 機能はブロックモードで使用 fanotify されるため、アクティブモードで Defender for Endpoint を実行する場合はサポートされません。ウイルス対策機能リアルタイム保護をパッシブモードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。
ディスク領域: 2 GB

注:

クラウド診断がクラッシュコレクションに対して有効になっている場合は、さらに 2 GB のディスク領域が必要になる場合があります。
/opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。詳細については、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。
コア数: 最小 2 個、優先 4 個
メモリ: 最小 1 GB、推奨 4

注:

/var に空きディスク領域があることを確認してください。

RTP、クイック、フル、カスタムスキャンでサポートされているファイルシステムの一覧。

RTP、クイック、フルスキャン	カスタムスキャン
Btrfs	RTP、クイック、フルスキャンでサポートされているすべてのファイルシステム
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
ヒューズ	glustrefs
fuseblk	Afs
Jfs	Sshfs
nfs (v3 のみ)	Cifs
overlay	Smb
ramfs	gcsfuse
Reiserfs	Sysfs
Tmpfs
Udf
Vfat
Xfs

サービスを有効にしたら、ネットワークまたはファイアウォールを構成して、サービスとエンドポイント間の送信接続を許可する必要があります。

監査フレームワーク (auditd) を有効にする必要があります。

注:

に /etc/audit/rules.d/ 追加されたルールによってキャプチャされたシステムイベントはに audit.log追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上のMicrosoft Defender for Endpointによって追加されたイベントには、キーでタグが付mdatpけられます。

外部パッケージの依存関係

mdatp パッケージには、次の外部パッケージの依存関係があります。

mdatp RPM パッケージには、"glibc >= 2.17"、"audit"、"policycoreutils"、"semanage" "selinux-policy-targeted"、"mde-netfilter" が必要です。
RHEL6 の場合、mdatp RPM パッケージには "audit"、"policycoreutils"、"libselinux"、"mde-netfilter" が必要です
DEBIAN の場合、mdatp パッケージには "libc6 >= 2.23"、"uuid-runtime"、"auditd"、"mde-netfilter" が必要です

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

DEBIAN の場合、mde-netfilter パッケージには "libnetfilter-queue1"、"libglib2.0-0" が必要です
RPM の場合、mde-netfilter パッケージには "libmnl"、"libnfnetlink"、"libnetfilter_queue"、"glib2" が必要です

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

除外の構成

Microsoft Defenderウイルス対策に除外を追加する場合は、Microsoft Defenderウイルス対策の一般的な除外の間違いを念頭に置く必要があります。

ネットワーク接続

次のダウンロード可能なスプレッドシートには、ネットワークが接続できる必要があるサービスとその関連 URL が一覧表示されます。これらの URL へのアクセスを拒否するファイアウォールまたはネットワークフィルター規則がないことを確認する必要があります。ある場合は、特に許可ルールを作成する必要があります。

ドメインリストのスプレッドシート	説明
商用顧客向けの Microsoft Defender for Endpoint の URL リスト	商用顧客向けサービスの場所、地理的な場所、OS に関する特定の DNS レコードのスプレッドシート。スプレッドシートはこちらからダウンロードできます。
Gov/GCC/DoD 向けの Microsoft Defender for Endpoint の URL リスト	Gov/GCC/DoD のお客様向けのサービスの場所、地理的な場所、OS の特定の DNS レコードのスプレッドシート。スプレッドシートはこちらからダウンロードできます。

注:

より具体的な URL の一覧については、「プロキシとインターネット接続の設定を構成する」を参照してください。

Defender for Endpoint では、次の検出方法を使用してプロキシサーバーを検出できます。

透過プロキシ
手動の静的プロキシ構成

プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。透過的なプロキシの場合、Defender for Endpoint に追加の構成は必要ありません。静的プロキシの場合は、「手動静的プロキシ構成」の手順に従います。

警告

PAC、WPAD、および認証済みプロキシはサポートされていません。静的プロキシまたは透過的プロキシのみが使用されていることを確認します。

セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシサーバーの例外を構成します。インターセプト証明書をグローバルストアに追加すると、インターセプトは許可されません。

トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。

Linux でMicrosoft Defender for Endpointを更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには、「Linux にMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。