Microsoft Defender for endepunkt på Linux

  • Artikkel

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen beskriver hvordan du installerer, konfigurerer, oppdaterer og bruker Microsoft Defender for endepunkt på Linux.

Forsiktig!

Å kjøre andre tredjeparts endepunktbeskyttelsesprodukter sammen med Microsoft Defender for endepunkt på Linux vil sannsynligvis føre til ytelsesproblemer og uforutsigbare bivirkninger. Hvis beskyttelse for ikke-Microsoft-endepunkt er et absolutt krav i miljøet ditt, kan du likevel trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter at du har konfigurert antivirusfunksjonaliteten til å kjøre i passiv modus.

Slik installerer du Microsoft Defender for endepunkt på Linux

Microsoft Defender for endepunkt for Linux inkluderer funksjoner for anti-malware og gjenkjenning av endepunkt og respons (EDR).

Forutsetninger

  • Tilgang til Microsoft Defender-portalen

  • Linux-distribusjon ved hjelp av systemansvarlig for systemet

    Obs!

    Linux-distribusjon ved hjelp av systemansvarlig, bortsett fra RHEL/CentOS 6.x, støtter både SystemV og Upstart.

  • Erfaring på nybegynnernivå i Linux- og BASH-skripting

  • Administrative rettigheter på enheten (ved manuell distribusjon)

Obs!

Microsoft Defender for endepunkt på Linux-agenten er uavhengig av OMS-agenten. Microsoft Defender for endepunkt er avhengig av sin egen uavhengige telemetrisamlebånd.

Installasjonsinstruksjoner

Det finnes flere metoder og distribusjonsverktøy som du kan bruke til å installere og konfigurere Microsoft Defender for endepunkt på Linux.

Generelt må du utføre følgende trinn:

Obs!

Det støttes ikke for å installere Microsoft Defender for endepunkt på en annen plassering enn standard installasjonsbane.

Microsoft Defender for endepunkt på Linux oppretter en «mdatp»-bruker med tilfeldig UID og GID. Hvis du vil kontrollere UID og GID, oppretter du en mdatp-bruker før installasjonen ved hjelp av skallalternativet "/usr/sbin/nologin". Eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Systemkrav

  • Støttede Linux-serverdistribusjoner og x64 -versjoner (AMD64/EM64T) og x86_64 versjoner:

    • Red Hat Enterprise Linux 6.7 eller nyere (i forhåndsversjon)

    • Red Hat Enterprise Linux 7.2 eller nyere

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 eller nyere (i forhåndsversjon)

    • CentOS 7.2 eller nyere

    • Ubuntu 16.04 LTS eller høyere LTS

    • Debian 9 til 12

    • SUSE Linux Enterprise Server 12 eller nyere

    • SUSE Linux Enterprise Server 15 eller nyere

    • Oracle Linux 7.2 eller nyere

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 eller nyere

    • Rocky 8,7 og høyere

    • Alma 8,4 og nyere

    • Mariner 2

      Obs!

      Distribusjoner og versjoner som ikke er eksplisitt oppført, støttes ikke (selv om de er avledet fra offisielt støttede distribusjoner). Med RHEL 6 støtte for "forlenget slutten av livet" kommer til en slutt innen 30 juni 2024; MDE Linux-støtte for RHEL 6 blir også avskrevet innen 30. juni 2024 MDE Linux versjon 101.23082.0011 er den siste MDE Linux-utgivelsen som støtter RHEL 6.7 eller nyere versjoner (utløper ikke før 30. juni 2024). Kunder rådes til å planlegge oppgraderinger til RHEL 6-infrastrukturen på linje med veiledning fra Red Hat.

  • Liste over støttede kjerneversjoner

    Obs!

    Microsoft Defender for endepunkt på Red Hat Enterprise Linux og CentOS - 6,7 til 6,10 er en kjernebasert løsning. Du må kontrollere at kjerneversjonen støttes før du oppdaterer til en nyere kjerneversjon. Microsoft Defender for endepunkt for alle andre støttede distribusjoner og versjoner er kjerneversjon-agnostisk. Med minimalt krav for at kjerneversjonen skal være på eller større enn 3.10.0-327.

    • Kjernealternativet fanotify må være aktivert
    • Red Hat Enterprise Linux 6 og CentOS 6:
      • For 6.7: 2.6.32-573.* (unntatt 2.6.32-573.el6.x86_64)
      • For 6.8: 2.6.32-642.*
      • For 6.9: 2.6.32-696.* (unntatt 2.6.32-696.el6.x86_64)
      • For 6.10:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    Obs!

    Etter at en ny pakkeversjon er utgitt, reduseres støtte for de to foregående versjonene bare til teknisk støtte. Versjoner som er eldre enn de som er oppført i denne delen, er bare tilgjengelige for støtte for teknisk oppgradering.

    Forsiktig!

    Å kjøre Defender for endepunkt på Linux side ved side med andre fanotify-baserte sikkerhetsløsninger støttes ikke. Det kan føre til uforutsigbare resultater, inkludert å henge operativsystemet. Hvis det finnes andre programmer på systemet som brukes fanotify i blokkeringsmodus, er programmer oppført i conflicting_applications feltet for mdatp health kommandoutdataene. Linux FAPolicyD-funksjonen bruker fanotify i blokkeringsmodus, og støttes derfor ikke når du kjører Defender for endepunkt i aktiv modus. Du kan fortsatt trygt dra nytte av Defender for Endpoint på Linux EDR-funksjonalitet etter konfigurering av antivirusfunksjonaliteten Sanntidsbeskyttelse aktivert til passiv modus.

  • Diskplass: 2 GB

    Obs!

    Det kan være nødvendig med ytterligere 2 GB diskplass hvis skydiagnose er aktivert for krasjsamlinger.

  • /opt/microsoft/mdatp/sbin/wdavdaemon krever kjørbar tillatelse. Hvis du vil ha mer informasjon, kan du se «Sikre at daemonen har kjørbar tillatelse» i Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

  • Kjerner: 2 minimum, 4 foretrukket

  • Minne: 1 GB minimum, 4 foretrukket

    Obs!

    Kontroller at du har ledig diskplass i /var.

  • Liste over støttede filsystemer for RTP, Hurtig, Fullstendig og Egendefinert skanning.

    RTP, hurtig, fullstendig skanning Egendefinert skanning
    Btrfs Alle filsystemer som støttes for RTP, Hurtig, Fullstendig skanning
    kryptere Efs
    ext2 S3f-er
    ext3 Blobfuse
    ext4 Begjær
    Sikring glustrefs
    fuseblk Afs
    jfs Sshfs
    nfs (bare v3) Cifs
    Overlegg Smb
    ramf-filer gcsfuse
    Reiserfs sysfs
    tmpfs
    Udf
    Vfat
    xfs

Når du har aktivert tjenesten, må du konfigurere nettverket eller brannmuren til å tillate utgående tilkoblinger mellom den og endepunktene.

  • Revisjonsrammeverk (auditd) må være aktivert.

    Obs!

    Systemhendelser som fanges opp av regler som er lagt til /etc/audit/rules.d/ , legges til audit.log(e) og kan påvirke vertsovervåking og oppstrøms samling. Hendelser som legges til av Microsoft Defender for endepunkt på Linux, blir merket med mdatp nøkkel.

Avhengighet av ekstern pakke

Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:

  • Mdatp RPM-pakken krever «glibc >= 2.17», «audit», «policycoreutils», «semanage» «selinux-policy-targeted», «mde-netfilter»
  • For RHEL6 krever mdatp RPM-pakken «audit», «policycoreutils», «libselinux», «mde-netfilter»
  • For DEBIAN krever mdatp-pakken «libc6 >= 2.23», «uuid-runtime», «auditd», «mde-netfilter»

MDE-netfilter-pakken har også følgende pakkeavhengigheter:

  • For DEBIAN krever mde-netfilter-pakken "libnetfilter-queue1", "libglib2.0-0"
  • For RPM krever mde-netfilter-pakken "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned de nødvendige avhengighetene manuelt.

Konfigurering av utelatelser

Når du legger til unntak i Microsoft Defender Antivirus, bør du være oppmerksom på vanlige utelatelsesfeil for Microsoft Defender Antivirus.

Nettverkstilkoblinger

Følgende nedlastbare regneark viser tjenestene og de tilknyttede URL-adressene som nettverket må kunne koble til. Du bør kontrollere at det ikke finnes noen brannmur- eller nettverksfiltreringsregler som vil nekte tilgang til disse NETTADRESSEne. Hvis det finnes, må du kanskje opprette en tillatelsesregel spesielt for dem.

Regneark med domeneliste Beskrivelse
Microsoft Defender for endepunkt URL-adresseliste for kommersielle kunder Regneark med bestemte DNS-poster for tjenesteplasseringer, geografiske plasseringer og operativsystemet for kommersielle kunder.

Last ned regnearket her.
Microsoft Defender for endepunkt URL-adresseliste for Gov/GCC/DoD Regneark med bestemte DNS-poster for tjenesteplasseringer, geografiske plasseringer og OS for Gov/GCC/DoD-kunder.

Last ned regnearket her.

Obs!

Hvis du vil ha en mer spesifikk nettadresseliste, kan du se Konfigurere innstillinger for proxy og Internett-tilkobling.

Defender for Endpoint kan oppdage en proxy-server ved hjelp av følgende søkemetoder:

  • Gjennomsiktig proxy
  • Manuell statisk proxy-konfigurasjon

Hvis en proxy eller brannmur blokkerer anonym trafikk, må du kontrollere at anonym trafikk er tillatt i nettadressene som er oppført tidligere. Det kreves ingen ekstra konfigurasjon for Defender for endepunkt for gjennomsiktige proxyer. Følg trinnene i Manuell statisk proxy-konfigurasjon for statisk proxy for statisk proxy.

Advarsel

PAC, WPAD og godkjente proxyer støttes ikke. Kontroller at bare en statisk proxy eller gjennomsiktig proxy brukes.

SSL-inspeksjon og skjæringsproxyer støttes heller ikke av sikkerhetsårsaker. Konfigurer et unntak for SSL-inspeksjon og proxy-serveren for direkte overføring av data fra Defender for Endpoint på Linux til de relevante nettadressene uten avskjæring. Hvis du legger til avskjæringssertifikatet i det globale lageret, tillates det ikke avskjæring.

Hvis du vil ha informasjon om feilsøkingstrinn, kan du se Feilsøke problemer med skytilkobling for Microsoft Defender for endepunkt på Linux.

Slik oppdaterer du Microsoft Defender for endepunkt på Linux

Microsoft publiserer jevnlig programvareoppdateringer for å forbedre ytelsen, sikkerheten og levere nye funksjoner. Hvis du vil oppdatere Microsoft Defender for endepunkt på Linux, kan du se Distribuer oppdateringer for Microsoft Defender for endepunkt på Linux.

Slik konfigurerer du Microsoft Defender for endepunkt på Linux

Veiledning for hvordan du konfigurerer produktet i bedriftsmiljøer, er tilgjengelig i angi innstillinger for Microsoft Defender for endepunkt på Linux.

Vanlige programmer å Microsoft Defender for endepunkt kan påvirke

Høye I/U-arbeidsbelastninger fra enkelte programmer kan oppleve ytelsesproblemer når Microsoft Defender for endepunkt er installert. Disse inkluderer programmer for utviklerscenarioer som Jenkins og Jira, og databasearbeidsbelastninger som OracleDB og Postgres. Hvis du opplever ytelsesreduksjon, bør du vurdere å angi utelatelser for klarerte programmer, og beholde vanlige utelatelsesfeil for Microsoft Defender Antivirus i tankene. Hvis du vil ha mer veiledning, kan du vurdere å konsultere dokumentasjon om antivirusutelukkelser fra tredjepartsprogrammer.

Ressurser

  • Hvis du vil ha mer informasjon om logging, avinstallasjon eller andre artikler, kan du se Ressurser.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.