Linux 上のMicrosoft Defender for Endpointの高度なデプロイ ガイダンス

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

この記事では、Linux 上のMicrosoft Defender for Endpointの高度なデプロイ ガイダンスを提供します。 デプロイ手順の簡単な概要を取得し、システム要件について学習した後、実際のデプロイ手順について説明します。 また、デバイスが正しくオンボードされていることを確認する方法についても説明します。

Microsoft Defender for Endpoint機能の詳細については、「高度なMicrosoft Defender for Endpoint機能」を参照してください。

Linux にMicrosoft Defender for Endpointをデプロイするその他の方法については、次を参照してください。

• 手動展開
• Puppet ベースの展開
• Ansible ベースの展開
• Chef を使用して Linux 用 Microsoft Defender for Endpoint を展開する

デプロイの概要

Linux デプロイでの一般的なMicrosoft Defender for Endpointに関する一般的なガイダンスについて説明します。 一部の手順の適用性は、Linux 環境の要件によって決まります。

1. ネットワーク環境を準備します。

2. エンドポイントからパフォーマンス データをキャプチャします。

   注:

   次の省略可能な項目を実行することを検討してください。ただし、具体的なMicrosoft Defender for Endpointではありませんが、Linux システムのパフォーマンスが向上する傾向があります。

3. (省略可能) ファイルシステム エラー 'fsck' (chkdsk と同じ) を確認します。

4. (省略可能) 記憶域サブシステム ドライバーを更新します。

5. (省略可能) nic ドライバーを更新します。

6. システム要件とリソースの推奨事項が満たされていることを確認します。

7. Microsoft Defenderウイルス対策の除外リストに既存のソリューションを追加します。

8. 除外に関する重要なポイントを確認します。

9. デバイス グループをCreateします。

10. Linux マルウェア対策設定でMicrosoft Defender for Endpointを構成します。

11. Microsoft Defender ポータルから Microsoft Defender for Endpoint on Linux オンボード パッケージをダウンロードします。

12. Ansible、Puppet、または Chef を使用して、Linux 上のMicrosoft Defender for Endpointを管理します。

13. Linux でのMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング。

14. デプロイ後と比較して、リソース使用率の統計を確認し、デプロイ前の使用率をレポートします。

15. Microsoft Defender for Endpoint バックエンドとの通信を確認します。

16. エージェントの正常性に関する問題を調査します。

17. "プラットフォーム Updates" (エージェントの更新) を取得できることを確認します。

18. "セキュリティ インテリジェンス Updates" (署名/定義の更新) を取得できることを確認します。

19. テスト検出。

20. Linux 上のMicrosoft Defender for Endpointに関するイベントまたはアラートの問題が見つからない場合のトラブルシューティング。

21. ISV、Linux アプリ、またはスクリプトによる CPU 使用率の高いトラブルシューティング。

22. Microsoft 以外のソリューションをアンインストールします。

1. ネットワーク環境を準備する

許可された一覧にMicrosoft Defender for Endpoint URL や IP アドレスを追加し、トラフィックが SSL 検査されないようにします。

Microsoft Defender for Endpointのネットワーク接続

次の手順を使用して、Microsoft Defender for Endpointのネットワーク接続をチェックします。

1. 「手順 1: Microsoft Defender for Endpoint トラフィックに許可されているMicrosoft Defender for Endpoint トラフィックの宛先を許可する」を参照してください。

2. Linux サーバーがプロキシの背後にある場合は、プロキシ設定を設定します。 詳細については、「 プロキシ設定の設定」を参照してください。

3. トラフィックが SSL 検査 (TLS 検査) によって検査されていないことを確認します。 これは、Microsoft Defender エンドポイントを設定するときに最も一般的なネットワーク関連の問題です。「ネットワーク トラフィックに対して SSL 検査が実行されていないことを確認する」を参照してください。

注:

• 一般に、Defender for Endpoint のトラフィックは SSL 検査 (TLS 検査) によって検査しないことをお勧めします。 これは、サポートされているすべてのオペレーティング システム (Windows、Linux、MacOS) に適用されます。
• 統合された URL または IP アドレスのセットへの接続を許可するには、デバイスで最新のコンポーネント バージョンが実行されていることを確認します。 詳細については、「Microsoft Defender for Endpointの合理化された接続を使用したデバイスのオンボード」を参照してください。

詳細については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

手順 1: Microsoft Defender for Endpoint トラフィックの宛先を許可する

1. 手順 1: ネットワーク環境を構成して、Defender for Endpoint サービスとの接続を確保し、ネットワーク環境内のデバイスからアクセスできる必要がある関連する宛先を見つける
2. 関連する URL や IP アドレスを許可するようにファイアウォール/プロキシ/ネットワークを構成する

手順 2: プロキシ設定を設定する

Linux サーバーがプロキシの背後にある場合は、次の設定ガイダンスを使用します。

次の表に、サポートされているプロキシ設定の一覧を示します。

サポート	非サポート
透過プロキシ	プロキシの自動構成 (PAC、認証されたプロキシの種類)
手動の静的プロキシ構成	Web プロキシの自動検出プロトコル (WPAD、認証プロキシの種類)

• ネットワーク接続
• 完全な構成プロファイル
• 静的プロキシの構成
• 静的プロキシ シナリオでの接続の問題のトラブルシューティング

手順 3: ネットワーク トラフィックに対して SSL 検査が実行されていないことを確認する

中間者攻撃を防ぐために、Microsoft Azure でホストされているすべてのトラフィックで証明書のピン留めが使用されます。 その結果、主要なファイアウォール システムによる SSL 検査は許可されません。 Microsoft Defender for Endpoint URL の SSL 検査をバイパスする必要があります。

クラウド接続に関する問題のトラブルシューティング

詳細については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。

2. エンドポイントからパフォーマンス データをキャプチャする

Defender for Endpoint がインストールされているエンドポイントからパフォーマンス データをキャプチャします。 これには、マウントされているすべてのパーティションでのディスク領域の可用性、メモリ使用量、プロセス 一覧、CPU 使用率 (すべてのコア間の集計) が含まれます。

3. (省略可能) ファイルシステム エラー 'fsck' を確認します (chkdsk に似ています)

ファイルシステムが破損する可能性があるため、新しいソフトウェアをインストールする前に、正常なファイル システムにインストールすることをお勧めします。

4. (省略可能) 記憶域サブシステム ドライバーの更新

記憶域サブシステムの新しいドライバーまたはファームウェアは、パフォーマンスや信頼性に役立つ可能性があります。

5. (省略可能) NIC ドライバーを更新する

NIC または NIC チーミング ソフトウェアの新しいドライバー/ファームウェアは、パフォーマンスや信頼性の向上に役立ちます。

6. システム要件とリソースの推奨事項が満たされていることを確認する

次のセクションでは、サポートされている Linux バージョンとリソースに関する推奨事項について説明します。

サポートされている Linux ディストリビューションの詳細な一覧については、「 システム要件」を参照してください。

リソース	Recommendation
ディスク領域	最小: 2 GB 注: クラッシュ コレクションに対してクラウド 診断が有効になっている場合は、より多くのディスク領域が必要になる場合があります。
RAM	1 GB 4 GB が推奨されます
CPU	Linux システムが 1 つの vcpu のみを実行している場合は、2 つの vcpu に増やすることをお勧めします。 4 コアが推奨されます

OS のバージョン	カーネル フィルター ドライバー	注釈
RHEL 7.x、RHEL 8.x、RHEL 9.x	カーネル フィルター ドライバーがない場合は、fanotify カーネル オプションを有効にする必要があります	Windows のフィルター マネージャー (fltmgr、経由で fltmc.exeアクセス可能) と同じ
RHEL 6.x	TALPA カーネル ドライバー

7. Microsoft Defenderウイルス対策の除外リストに既存のソリューションを追加する

セットアップ プロセスのこの手順では、既存のエンドポイント保護ソリューションとそのorganizationが使用しているその他のセキュリティ製品の除外リストに Defender for Endpoint を追加します。 いくつかの方法から選択して、ウイルス対策Microsoft Defender除外を追加できます。

ヒント

除外の構成に関するヘルプを表示するには、ソリューション プロバイダーのドキュメントを参照してください。

• Linux で microsoft 以外のマルウェア対策製品と共にMicrosoft Defender for Endpointを実行する機能は、その製品の実装の詳細によって異なります。 他のマルウェア対策製品が fanotify を使用している場合は、競合する 2 つのエージェントを実行した結果、パフォーマンスと安定性の副作用を排除するためにアンインストールする必要があります。

• FANotify を実行している Microsoft 以外のマルウェア対策がある場合にチェックするには、 を実行mdatp healthし、結果をチェックします。

  

  [conflicting_applications] で、"使用不可" 以外の結果が表示された場合は、Microsoft 以外のマルウェア対策をアンインストールします。

• Microsoft 以外のマルウェア対策製品をアンインストールしない場合、パフォーマンスの問題、システムのハングなどの安定性の問題、カーネル パニックなどの予期しない動作が発生する可能性があります。

• Microsoft 以外のマルウェア対策製品で除外する必要がある Linux プロセスとパスのMicrosoft Defender for Endpointを特定するには、 を実行しますsystemctl status -l mdatp。

  Microsoft 以外のマルウェア対策製品から次のプロセスを除外します。

  wdavdaemon
crashpad_handler
mdatp_audis_plugin
telemetryd_v2
  

  Microsoft 以外のマルウェア対策製品から次のパスを除外します。

  /opt/microsoft/mdatp/
/var/opt/microsoft/mdatp/
/etc/opt/microsoft/mdatp/
  

8. 除外に関する以下の点に留意してください

Microsoft Defenderウイルス対策スキャンに除外を追加する場合は、パスとプロセスの除外を追加する必要があります。

注:

• ウイルス対策の除外は、ウイルス対策エンジンに適用されます。
• インジケーターの許可/ブロックは、ウイルス対策エンジンに適用されます。

次の点に注意してください。

• パスの除外では、特定の ファイルとそのファイルへのアクセスが除外されます。
• プロセスの除外では、 プロセスが触れるものは除外されますが、プロセス自体は除外されません。
• プロセスの除外は、名前のみでではなく、完全なパスを使用して一覧表示します。 (名前のみのメソッドは安全性が低くなります)。
• パスの除外とプロセスの除外の両方として各実行可能ファイルを一覧表示した場合、プロセスとその操作内容は除外されます。

ヒント

「除外を定義するときに回避する一般的な間違い」、特に 「フォルダーの場所」と「Linux および macOS プラットフォームのセクションを処理する」を確認します。

9. デバイス グループのCreate

デバイス グループ、デバイス コレクション、組織単位デバイス グループ、デバイス コレクション、組織単位を設定すると、セキュリティ チームはセキュリティ ポリシーを効率的かつ効果的に管理および割り当てることができます。 次の表では、これらの各グループとその構成方法について説明します。 organizationでは、3 つのコレクション型がすべて使用されない場合があります。

コレクションの種類	操作
デバイス グループ (旧称 マシン グループ) を使用すると、セキュリティ運用チームは、自動調査や修復などのセキュリティ機能を構成できます。 デバイス グループは、必要に応じてセキュリティ運用チームが修復アクションを実行できるように、これらのデバイスへのアクセスを割り当てる場合にも役立ちます。 デバイス グループは、攻撃が検出および停止されている間に作成され、"初期アクセス アラート" などのアラートがトリガーされ、Microsoft Defender ポータルに表示されます。	1. Microsoft Defender ポータル (https://security.microsoft.com) に移動します。 2. 左側のナビゲーション ウィンドウで、[設定>] [エンドポイントのアクセス許可>] [デバイス グループ] の順に>選択します。 3. [ + デバイス グループの追加] を選択します。 4. デバイス グループの名前と説明を指定します。 5. [オートメーション レベル ] の一覧で、オプションを選択します。 ( 完全 - 脅威を自動的に修復することをお勧めします)。さまざまな自動化レベルの詳細については、「 脅威の修復方法」を参照してください。 6. 一致ルールの条件を指定して、デバイス グループに属するデバイスを決定します。 たとえば、ドメイン、OS バージョンを選択したり、 デバイス タグを使用したりできます。 7. [ ユーザー アクセス ] タブで、デバイス グループに含まれるデバイスにアクセスできる必要があるロールを指定します。 8. [完了] を選択 します。
デバイス コレクションを使用すると、セキュリティ運用チームは、アプリケーションの管理、コンプライアンス設定の展開、またはorganization内のデバイスへのソフトウェア更新プログラムのインストールを行うことができます。 デバイス コレクションは、Configuration Managerを使用して作成されます。	コレクションをCreateする手順に従います。
組織単位 を使用すると、ユーザー アカウント、サービス アカウント、コンピューター アカウントなどのオブジェクトを論理的にグループ化できます。 その後、特定の組織単位に管理者を割り当て、グループ ポリシーを適用して、対象となる構成設定を適用できます。 組織単位は、Microsoft Entra Domain Servicesで定義されます。	「Microsoft Entra Domain Services マネージド ドメインに組織単位をCreateする」の手順に従います。

10. Linux マルウェア対策設定でMicrosoft Defender for Endpointを構成する

開始する前に、次の手順を実行します。

• Linux サーバーに Microsoft 以外のマルウェア対策製品を既に使用している場合は、既存の除外を Linux 上のMicrosoft Defender for Endpointにコピーする必要がある可能性があることを検討してください。

• Linux サーバーに Microsoft 以外のマルウェア対策製品を使用していない場合は、すべての Linux アプリケーションの一覧を取得し、ベンダー Web サイトで除外をチェックします。

• Microsoft 以外のマルウェア対策製品を実行している場合は、プロセス/パスをMicrosoft Defender for Endpointのウイルス対策除外リストに追加します。 詳細については、Microsoft 以外のマルウェア対策に関するドキュメントをチェックするか、サポートにお問い合わせください。

• 1 台のマシンでテストする場合は、コマンド ラインを使用して除外を設定できます。

  • コマンド ラインから構成します。
  • Linux 上のMicrosoft Defender for Endpointの除外を構成して検証します。

• 複数のマシンでテストする場合は、次 mdatp_managed.json のファイルを使用します。 Windows から来ている場合は、Linux 上の Defender for Endpoint の "グループ ポリシー" のようになります。

  ニーズに基づいてファイルを変更することを検討できます。

      {
     "antivirusEngine":{
        "enforcementLevel":"real_time",
        "scanAfterDefinitionUpdate":true,
        "scanArchives":true,
        "maximumOnDemandScanThreads":1,
        "exclusionsMergePolicy":"merge",
        "exclusions":[
           {
              "$type":"excludedPath",
              "isDirectory":false,
              "path":"/var/log/system.log"
           },
           {
              "$type":"excludedPath",
              "isDirectory":true,
              "path":"/home"
           },
           {
              "$type":"excludedFileExtension",
              "extension":"pdf"
           },
           {
              "$type":"excludedFileName",
              "name":"cat"
           }
        ],
        "allowedThreats":[
           "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
        ],
        "disallowedThreatActions":[
           "allow",
           "restore"
        ],
        "threatTypeSettingsMergePolicy":"merge",
        "threatTypeSettings":[
           {
              "key":"potentially_unwanted_application",
              "value":"block"
           },
           {
              "key":"archive_bomb",
              "value":"audit"
           }
        ]
     },
     "cloudService":{
        "enabled":true,
        "diagnosticLevel":"optional",
        "automaticSampleSubmissionConsent":"safe",
        "automaticDefinitionUpdateEnabled":true
        "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
     }
  }
  

  推奨事項:

         {
      "antivirusEngine":{
         "enforcementLevel":"real_time",
         "scanAfterDefinitionUpdate":true,
         "scanArchives":true,
         "maximumOnDemandScanThreads":1,
         "exclusionsMergePolicy":"merge",
         "exclusions":[
            {
               "$type":"excludedPath",
               "isDirectory":false,
               "path":"/var/log/system.log"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/proc"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/sys"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/dev"
            },
            {
               "$type":"excludedFileExtension",
               "extension":""
            },
            {
               "$type":"excludedFileName",
               "name":""
            }
         ],
         "allowedThreats":[
            ""
         ],
         "disallowedThreatActions":[
            "allow",
            "restore"
         ],
         "threatTypeSettingsMergePolicy":"merge",
         "threatTypeSettings":[
            {
               "key":"potentially_unwanted_application",
               "value":"block"
            },
            {
               "key":"archive_bomb",
               "value":"audit"
            }
         ]
      },
      "cloudService":{
         "enabled":true,
         "diagnosticLevel":"optional",
         "automaticSampleSubmissionConsent":"safe",
         "automaticDefinitionUpdateEnabled":true
         "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
      }
  }
  

注:

Linux (および macOS) では、ワイルドカードで始まるパスがサポートされています。

次の表では、ファイルの一部 mdatp_managed.json として推奨される設定について説明します。

Settings	注釈
exclusionsMergePolicy に設定されている admin_only	ローカル管理者が (bash (コマンド プロンプト) を使用して) ローカルの除外を追加できないようにします。
disallowedThreatActions に設定されている allow and restore	ローカル管理者が検疫済みアイテムを復元できないようにします (bash (コマンド プロンプト) を使用)。
threatTypeSettingsMergePolicy に設定されている admin_only	ローカル管理者が、脅威の種類に問題のない偽陽性または真陽性を追加できないようにします (bash (コマンド プロンプト) を使用)。

• 設定をファイルとして mdatp_managed.json 保存します。
• このパスに設定をコピーします /etc/opt/microsoft/mdatp/managed/。 詳細については、「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。
• Microsoft 以外のマルウェア対策プロセスとパスを、前の手順の除外リストに追加します。
• Microsoft 以外のマルウェア対策ソリューションからの現在の除外が前の手順に追加されていることを確認します。

Microsoft Defender for Endpointが影響を与える可能性があるアプリケーション

Postgres、OracleDB、Jira、Jenkins などの高い I/O ワークロードでは、処理される (および Defender for Endpoint によって監視される) アクティビティの量によっては、他の除外が必要になる場合があります。 Defender for Endpoint のインストール後にパフォーマンスが低下する場合は、Microsoft 以外のアプリケーション プロバイダーからのガイダンスに従って除外することをお勧めします。 また、Microsoft Defenderウイルス対策に関する一般的な除外の間違いにも注意してください。

パフォーマンスの低下が発生した場合は、次のリソースを参照してください。

• Linux でのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング。
• Linux 上のMicrosoft Defender for Endpointに関する AuditD パフォーマンスの問題のトラブルシューティング。

11. Microsoft Defender for Endpoint on Linux オンボード パッケージをダウンロードする

詳細については、「Microsoft Defender ポータルからオンボード パッケージをダウンロードする」を参照してください。

注:

このダウンロードでは、Microsoft Defender for Endpoint インスタンスにデータを送信するために Linux 上のMicrosoft Defender for Endpointが登録されます。

このパッケージをダウンロードした後、 手動インストール手順 に従うか、Linux 管理プラットフォームを使用して、Linux 上の Defender for Endpoint をデプロイおよび管理できます。

12. Linux でMicrosoft Defender for Endpointを管理するための Ansible、Puppet、Chef の例

Defender for Endpoint on Linux は、ほぼすべての管理ソリューションが Linux 上で Defender for Endpoint 設定を簡単に展開および管理できるように設計されています。 いくつかの一般的な Linux 管理プラットフォームは、Ansible、Puppet、Chef です。 次のドキュメントには、これらの管理プラットフォームを構成して Defender for Endpoint on Linux を展開および構成する方法の例が含まれています。

Puppet を使用して Linux にMicrosoft Defender for Endpointをデプロイする

Ansible を使用して Linux にMicrosoft Defender for Endpointをデプロイする

Chef を使用して Linux にMicrosoft Defender for Endpointをデプロイする

注:

変更できないモードで auditD を実行している場合を除き、Linux にMicrosoft Defender for Endpointをインストールまたは更新した後に再起動する必要はありません。

スケジュールされたスキャンの cronjob 設定を配信する

Linux 上の Microsoft Defender for Endpoint で Anacron を使用してウイルス対策スキャンをスケジュールします。 詳細については、「Linux 上の Microsoft Defender for Endpoint で Anacron を使用してウイルス対策スキャンをスケジュールする」を参照してください。

Linux エージェントの cronjob 設定でMicrosoft Defender for Endpointを更新する

Linux 上のMicrosoft Defender for Endpointの更新をスケジュールします。 詳細については、「Linux でMicrosoft Defender for Endpointの更新をスケジュールする」を参照してください。

13. Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング

インストール中に発生する可能性がある問題のトラブルシューティング方法については、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」を参照してください。

14. リソース使用率の統計を確認する

パフォーマンス統計を確認し、デプロイ後と比較してデプロイ前の使用率と比較します。

15. Microsoft Defender for Endpoint バックエンドとの通信を確認する

現在のネットワーク設定を使用して Linux 上のMicrosoft Defender for Endpointをクラウドに通信することを確認するには、コマンド ラインから次の接続テストを実行します。

mdatp connectivity test

次の図は、テストからの期待される出力を示しています。

詳細については、「 接続の検証」を参照してください。

16. エージェントの正常性に関する問題を調査する

コマンドの実行時に返される値に基づいて、エージェントの正常性の問題を mdatp health 調査します。 詳細については、「 エージェントの正常性の問題を調査する」を参照してください。

17. プラットフォームの更新プログラム (エージェントの更新) を取得できることを確認する

Linux プラットフォームの更新プログラムでMicrosoft Defender for Endpointを確認するには、次のコマンド ラインを実行します。

sudo yum update mdatp

または

apt-get update mdatp

は、パッケージ マネージャーに応じて異なります。

詳細については、「デバイスの正常性とマルウェア対策の正常性レポートMicrosoft Defender」を参照してください。

最新の Broad チャネル リリースについては、「Microsoft Defender for Endpoint on Linux の新機能」を参照してください。

Linux でMicrosoft Defender for Endpointを更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには。 詳細については、「Linux でMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。

注:

Redhat のサテライト (Windows の WSUS と同じ) がある場合は、更新されたパッケージをそこから取得できます。

ヒント

Cron ジョブを使用して、毎月の (推奨) スケジュールでエージェントの更新を自動化します。 詳細については、「Linux でMicrosoft Defender for Endpointの更新をスケジュールする」を参照してください。

Windows 以外のエンドポイント

macOS と Linux では、いくつかのシステムを使用してベータ チャネルで実行できます。

注:

ビルドが現在のチャネルに入る前に互換性、パフォーマンス、信頼性の問題を見つけることができるように、プレビュー チャネルで実行している Linux システムの種類ごとに 1 つを含めるのが理想的です。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 ベータ版のデバイスは、更新プログラムと新機能を受け取る最初のデバイスで、その後にプレビュー、最後に Current が続きます。

新機能をプレビューし、早期フィードバックを提供するには、ベータ版またはプレビュー版を使用するように社内の一部のデバイスを構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには: 既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

18. セキュリティ インテリジェンスの更新プログラム (署名/定義の更新) を取得できることを確認する

Linux シグネチャ/定義の更新プログラムでMicrosoft Defender for Endpointを確認するには、次のコマンド ラインを実行します。

mdatp definitions update

詳細については、「Microsoft Defenderマルウェア対策の新しいデバイス正常性レポート」を参照してください。

19. テスト検出

デバイスが正しくオンボードされ、サービスに報告されるようにするには、次の検出テストを実行します。

• ターミナル ウィンドウを開き、次のコマンドを実行してマルウェア対策検出テストを実行します。

  curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
  

• 次のいずれかのコマンドを使用して、zip ファイルに対して追加の検出テストを実行できます。

  curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
  curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
  

  注:

  検出が表示されない場合は、Ansible または Puppet を介して設定で許可するように "allowedThreats" を設定している可能性があります。

• エンドポイントの検出と応答 (EDR) の検出については、「シミュレートされた攻撃によるエクスペリエンス Microsoft Defender for Endpoint」を参照してください。 検出が表示されない場合は、ポータルでイベントまたはアラートが見つからない可能性があります。 詳細については、「Linux 上のMicrosoft Defender for Endpointのイベントまたはアラートの不足に関する問題のトラブルシューティング」を参照してください。

• Microsoft Defender XDRでの統合申請と、ポータルを介して誤検知と偽陰性を送信する機能の詳細については、「Microsoft Defender XDRの統合申請」を参照Microsoft Defender XDR、一般公開! - Microsoft Tech Community。

20. Linux 上のMicrosoft Defender for Endpointに関するイベントまたはアラートの不足に関する問題のトラブルシューティング

詳細については、「Linux 上のMicrosoft Defender for Endpointのイベントまたはアラートの不足に関する問題のトラブルシューティング」を参照してください。

21. ISV、Linux アプリ、またはスクリプトによる CPU 使用率の高いトラブルシューティング

サード パーティの ISV、内部で開発された Linux アプリ、またはスクリプトが CPU 使用率が高いことが確認された場合は、次の手順を実行して原因を調査します。

1. 症状の原因となっているスレッドまたはプロセスを特定します。
2. 特定されたプロセスに基づいてさらに診断手順を適用して、問題に対処します。

手順 1: 症状の原因となっている Linux スレッド上のMicrosoft Defender for Endpointを特定する

CPU オーバーヘッドの原因となっているプロセスを特定するには、次の構文を使用します。

• 問題の原因となっているプロセス ID Microsoft Defender for Endpoint取得するには、次を実行します。

  sudo top -c
  

• Microsoft Defender for Endpoint プロセスの詳細を取得するには、次を実行します。

  sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
  

• プロセス内で CPU 使用率が最も高くなる原因となっている特定のMicrosoft Defender for Endpoint スレッド ID を特定するには、次を実行します。

  sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
  

  

次の表に、CPU 使用率が高くなる可能性があるプロセスを示します。

プロセス名	使用されるコンポーネント	使用MDEエンジン
wdavdaemon	FANotify	ウイルス対策 & EDR
wdavdaemon unprivileged		ウイルス対策エンジン
wdavdaemon edr		EDR エンジン
mdatp_audisp_plugin	audit framework (auditd)	監査ログ インジェスト

手順 2: 特定されたプロセスに基づいてさらに診断手順を適用する

CPU 使用率の高い原因となっているプロセスを特定したので、次のセクションで対応する診断ガイダンスを使用します。

たとえば、前の手順では、 wdavdaemon unprivileged CPU 使用率の高い原因となっているプロセスとして識別されました。 結果に基づいて、wdavdaemon の特権のないプロセスチェックにガイダンスを適用できます。

CPU 使用率の高いトラブルシューティングを行うには、次の表を使用します。

プロセス名	使用されるコンポーネント	使用Microsoft Defender for Endpointエンジン	手順
wdavdaemon	FANotify	ウイルス対策 & EDR	- クライアント アナライザー Microsoft Defender for Endpointダウンロードして実行します。 詳細については、「 macOS または Linux でクライアント アナライザーを実行する」を参照してください。 - クライアント アナライザー ツールを使用して診断データを収集します。 - Microsoft で CSS サポート ケースを開きます。 詳細については、「 CSS セキュリティ サポート ケース」を参照してください。
wdavdaemon unprivileged	該当なし	ウイルス対策エンジン	次の図は、ウイルス対策の除外を追加するために必要なワークフローと手順を示しています。 一般的なトラブルシューティング ガイダンス - 社内アプリ/スクリプト、または正当なサードパーティ製アプリ/スクリプトにフラグが設定されている場合、Microsoft セキュリティ研究者は疑わしいファイルを分析して、脅威、不要なアプリケーション、または通常のファイルであるかどうかを判断します。 統合申請エクスペリエンス (詳細については、「統合された申請エクスペリエンス」を参照) またはファイルの送信を使用して、マルウェアまたはマルウェアとして誤って分類 されたと思われるファイルを 送信します。 - Linux 上のMicrosoft Defender for Endpointのパフォーマンスの問題のトラブルシューティングに関するページを参照してください。 - クライアント アナライザー Microsoft Defender for Endpointダウンロードして実行します。 詳細については、「 macOS または Linux でクライアント アナライザーを実行する」を参照してください。 - クライアント アナライザー ツールを使用して診断データを収集します。 - Microsoft で CSS サポート ケースを開きます。 詳細については、「 CSS セキュリティ サポート ケース」を参照してください。
wdavdaemon edr	該当なし	EDR エンジン	次の図は、wdavedaemon_edrプロセスの問題をトラブルシューティングするためのワークフローと手順を示しています。 一般的なトラブルシューティング ガイダンス - 社内アプリ/スクリプト、または正当なサードパーティ製アプリ/スクリプトにフラグが設定されている場合、Microsoft セキュリティ研究者は疑わしいファイルを分析して、脅威、不要なアプリケーション、または通常のファイルであるかどうかを判断します。 統合申請エクスペリエンス (詳細については、「統合された申請エクスペリエンス」を参照) またはファイルの送信を使用して、マルウェアまたはマルウェアとして誤って分類 されていると思われる ファイルを送信します。 - Linux 上のMicrosoft Defender for Endpointのパフォーマンスの問題のトラブルシューティングに関するページを参照してください。 - クライアント アナライザー Microsoft Defender for Endpointダウンロードして実行します。 詳細については、「 macOS または Linux でクライアント アナライザーを実行する」を参照してください。 - クライアント アナライザー ツールを使用して診断データを収集します。 - Microsoft で CSS サポート ケースを開きます。 詳細については、「 CSS セキュリティ サポート ケース」を参照してください。
mdatp_audisp_plugin	監査フレームワーク	監査ログ インジェスト	「Linux 上のMicrosoft Defender for Endpointに関する AuditD パフォーマンスの問題のトラブルシューティング」を参照してください。

22. Microsoft 以外のソリューションをアンインストールする

この時点で次がある場合:

• organizationのデバイスを Defender for Endpoint にオンボードし、
• Microsoft Defenderウイルス対策がインストールされ、有効になっています。

次に、Microsoft 以外のウイルス対策、マルウェア対策、エンドポイント保護ソリューションをアンインストールします。 Microsoft 以外のソリューションをアンインストールするときは、インストールまたは構成中に Defender for Endpoint をパッシブ モードに設定した場合は、必ず構成をパッシブ モードからアクティブに切り替えるように更新してください。

診断とトラブルシューティングのリソース

• Linux のインストールに関する問題に関するMicrosoft Defender for Endpointのトラブルシューティングを行います。
• インストールの問題の詳細なログを見つける場所を特定します。
• プロキシがない環境、または透過的なプロキシを使用する環境のトラブルシューティング手順。
• 静的プロキシを使用する環境のトラブルシューティング手順。
• 診断情報を収集します。
• Linux 上の Defender for Endpoint をアンインストールします。
• Linux でのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング。
• Linux 上のMicrosoft Defender for Endpointに関する AuditD パフォーマンスの問題のトラブルシューティング。

高度なMicrosoft Defender for Endpoint機能

• Linux および macOS でのマルウェア対策エンジン機能の強化

• 動作監視を使用して Linux 資産の保護を強化する

  注:

  動作監視機能は、既存の強力なコンテンツ ベースの機能を補完しますが、動作監視を有効にするとリソースが多く消費され、パフォーマンスの問題が発生する可能性があるため、環境でこの機能を広くデプロイする前に慎重に評価する必要があります。

• Microsoft Defender XDRでの統合された申請

• 新しいアラート抑制エクスペリエンスの概要

• macOS と Linux のライブ応答の発表

関連情報

• タグまたはグループ ID を追加する

• Linux 用 Microsoft Defender for Endpoint のプライバシー

• Linux 上のMicrosoft Defender for Endpointの新機能

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。