Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft 365 Defender

Chcesz doświadczyć Ochrona punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tym temacie opisano sposób instalowania, konfigurowania, aktualizowania i używania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Przestroga

Uruchamianie innych produktów ochrony punktów końcowych innych firm wraz z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux może prowadzić do problemów z wydajnością i nieprzewidywalnych skutków ubocznych. Jeśli ochrona punktów końcowych innych niż Microsoft jest absolutnym wymaganiem w twoim środowisku, nadal możesz bezpiecznie korzystać z funkcji usługi Defender for Endpoint w systemie Linux EDR po skonfigurowaniu funkcji antywirusowej do uruchamiania w trybie pasywnym.

Jak zainstalować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux obejmuje funkcje ochrony przed złośliwym kodem i wykrywanie i reagowanie w punktach końcowych (EDR).

Wymagania wstępne

• Dostęp do portalu Microsoft 365 Defender

• Dystrybucja systemu Linux przy użyciu systemowego menedżera systemu

  Uwaga

  Dystrybucja systemu Linux przy użyciu menedżera systemu z wyjątkiem systemu RHEL/CentOS 6.x obsługuje zarówno systemV, jak i upstart.

• Środowisko dla początkujących w zakresie skryptów bash i systemu Linux

• Uprawnienia administracyjne na urządzeniu (w przypadku wdrożenia ręcznego)

Uwaga

Ochrona punktu końcowego w usłudze Microsoft Defender agent systemu Linux jest niezależny od agenta pakietu OMS. Ochrona punktu końcowego w usłudze Microsoft Defender opiera się na własnym niezależnym potoku telemetrii.

Instrukcje instalacji

Istnieje kilka metod i narzędzi wdrażania, których można użyć do instalowania i konfigurowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Ogólnie rzecz biorąc, należy wykonać następujące kroki:

• Upewnij się, że masz subskrypcję Ochrona punktu końcowego w usłudze Microsoft Defender.
• Wdróż Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux przy użyciu jednej z następujących metod wdrażania:
  • Narzędzie wiersza polecenia:
    • Wdrażanie ręczne
  • Narzędzia do zarządzania innych firm:
    • Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją platformy Puppet
    • Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją rozwiązania Ansible
    • Wdrażanie przy użyciu narzędzia do zarządzania konfiguracją programu Chef

Jeśli wystąpią błędy instalacji, zapoznaj się z tematem Rozwiązywanie problemów z błędami instalacji w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Uwaga

Instalowanie Ochrona punktu końcowego w usłudze Microsoft Defender nie jest obsługiwane w żadnej innej lokalizacji niż domyślna ścieżka instalacji.

Uwaga

Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux tworzy użytkownika "mdatp" z losowymi identyfikatorami UID i GID. Jeśli chcesz kontrolować identyfikator użytkownika i identyfikator GID, utwórz użytkownika "mdatp" przed instalacją przy użyciu opcji powłoki "/usr/sbin/nologin". Przykład: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Wymagania systemowe

Uwaga

Obsługa systemów Red Hat Enterprise Linux i CentOS 6.7+ do 6.10+ jest dostępna w wersji zapoznawczej.

• Obsługiwane dystrybucje serwerów z systemem Linux i x64 (AMD64/EM64T) i wersje x86_64:

  • Red Hat Enterprise Linux 6.7 lub nowszy (wersja zapoznawcza)

  • Red Hat Enterprise Linux 7.2 lub nowszy

  • Red Hat Enterprise Linux 8.x

  • CentOS 6.7 lub nowszy (wersja zapoznawcza)

  • CentOS 7.2 lub nowszy

  • Ubuntu 16.04 LTS lub nowszy LTS

  • Debian 9 lub nowszy

  • SUSE Linux Enterprise Server 12 lub nowszy

  • Oracle Linux 7.2 lub nowszy

  • Oracle Linux 8.x

  • Amazon Linux 2

  • Fedora 33 lub nowsza

    Uwaga

    Dystrybucje i wersja, które nie są jawnie wymienione, są nieobsługiwane (nawet jeśli pochodzą z oficjalnie obsługiwanych dystrybucji).

• Lista obsługiwanych wersji jądra

  Uwaga

  Ochrona punktu końcowego w usłudze Microsoft Defender w systemie RHEL/CentOS — od 6.7 do 6.10 jest rozwiązaniem bazowym na jądrze. Przed zaktualizowaniem do nowszej wersji jądra należy sprawdzić, czy jądro jest obsługiwane. Aby uzyskać listę obsługiwanych jąder, zobacz poniższą listę. Ochrona punktu końcowego w usłudze Microsoft Defender implementacja dla wszystkich innych obsługiwanych dystrybucji i wersji jest niezależne od wersji jądra. Przy minimalnym wymaganiu, aby wersja jądra była włączona lub starsza niż 3.10.0-327.

  • Opcja fanotify jądra musi być włączona
  • Red Hat Enterprise Linux 6 i CentOS 6:

    • Dla wersji 6.7: 2.6.32-573.*

    • Dla wersji 6.8: 2.6.32-642.*

    • Dla wersji 6.9: 2.6.32-696.* (z wyjątkiem 2.6.32-696.el6.x86_64)

    • W przypadku wersji 6.10: 2.6.32.754.2.1.el6.x86_64 do 2.6.32-754.47.1:

      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

Uwaga

Po wydaniu nowej wersji pakietu obsługa dwóch poprzednich wersji jest ograniczona tylko do pomocy technicznej. Wersje starsze niż wymienione w tej sekcji są udostępniane tylko do obsługi uaktualnień technicznych.

Przestroga

Uruchamianie usługi Defender for Endpoint w systemie Linux obok innych rozwiązań zabezpieczeń opartych na systemie fanotifynie jest obsługiwane. Może to prowadzić do nieprzewidywalnych wyników, w tym zawieszenia systemu operacyjnego.

• Miejsce na dysku: 1 GB

• /opt/microsoft/mdatp/sbin/wdavdaemon wymaga uprawnień wykonywalnych. Aby uzyskać więcej informacji, zobacz "Upewnij się, że demon ma uprawnienie do wykonywalnego" w temacie Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

• Rdzenie: 2 minimum, 4 preferowane

• Pamięć: minimum 1 GB, 4 preferowane

  Uwaga

  Upewnij się, że masz wolne miejsce na dysku w /var.

• Rozwiązanie zapewnia obecnie ochronę w czasie rzeczywistym dla następujących typów systemów plików:

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuse
  • fuseblk
  • jfs
  • nfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • udf
  • vfat
  • xfs

Po włączeniu usługi może być konieczne skonfigurowanie sieci lub zapory w celu zezwolenia na połączenia wychodzące między nią a punktami końcowymi.

• Należy włączyć platformę inspekcji (auditd).

  Uwaga

  Zdarzenia systemowe przechwycone przez reguły dodane do /etc/audit/rules.d/ zostaną dodane do audit.logelementów i mogą mieć wpływ na inspekcję hosta i zbieranie nadrzędne. Zdarzenia dodane przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux zostaną oznaczone kluczemmdatp.

Konfigurowanie wykluczeń

Podczas dodawania wykluczeń do Program antywirusowy Microsoft Defender należy pamiętać o typowych błędach wykluczania dla Program antywirusowy Microsoft Defender

Połączenia sieciowe

Poniższy arkusz kalkulacyjny do pobrania zawiera listę usług i skojarzonych z nimi adresów URL, z którymi sieć musi mieć możliwość nawiązania połączenia. Upewnij się, że nie ma reguł filtrowania zapory ani sieci, które odmawiałyby dostępu do tych adresów URL. Jeśli tak, może być konieczne utworzenie reguły zezwalania specjalnie dla nich.

---

Arkusz kalkulacyjny listy domen	Opis
lista adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów komercyjnych	Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów komercyjnych. Pobierz arkusz kalkulacyjny tutaj.
lista adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender gov/GCC/doD	Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów Gov/GCC/DoD. Pobierz arkusz kalkulacyjny tutaj.

Uwaga

Aby uzyskać bardziej szczegółową listę adresów URL, zobacz Konfigurowanie ustawień serwera proxy i łączności internetowej.

Usługa Defender for Endpoint może odnajdywać serwer proxy przy użyciu następujących metod odnajdywania:

• Przezroczysty serwer proxy
• Ręczna konfiguracja statycznego serwera proxy

Jeśli serwer proxy lub zapora blokuje ruch anonimowy, upewnij się, że ruch anonimowy jest dozwolony we wcześniej wymienionych adresach URL. W przypadku przezroczystych serwerów proxy nie jest wymagana dodatkowa konfiguracja usługi Defender for Endpoint. W przypadku statycznego serwera proxy wykonaj kroki opisane w temacie Ręczna konfiguracja statycznego serwera proxy.

Ostrzeżenie

Serwery proxy PAC, WPAD i uwierzytelnione nie są obsługiwane. Upewnij się, że jest używany tylko statyczny serwer proxy lub przezroczysty serwer proxy.

Inspekcja protokołu SSL i przechwytywanie serwerów proxy również nie są obsługiwane ze względów bezpieczeństwa. Skonfiguruj wyjątek inspekcji protokołu SSL i serwera proxy w celu bezpośredniego przekazywania danych z usługi Defender for Endpoint w systemie Linux do odpowiednich adresów URL bez przechwytywania. Dodanie certyfikatu przechwytywania do magazynu globalnego nie pozwoli na przechwycenie.

Aby uzyskać instrukcje rozwiązywania problemów, zobacz Rozwiązywanie problemów z łącznością w chmurze dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Jak zaktualizować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Firma Microsoft regularnie publikuje aktualizacje oprogramowania w celu zwiększenia wydajności, bezpieczeństwa i dostarczania nowych funkcji. Aby zaktualizować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux, zobacz Wdrażanie aktualizacji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Konfigurowanie ochrony punktu końcowego w usłudze Microsoft Defender na Linuxie

Wskazówki dotyczące konfigurowania produktu w środowiskach przedsiębiorstwa są dostępne w temacie Ustawianie preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Typowe aplikacje do Ochrona punktu końcowego w usłudze Microsoft Defender mogą mieć wpływ

Wysokie obciążenia we/wy z niektórych aplikacji mogą występować problemy z wydajnością podczas instalowania Ochrona punktu końcowego w usłudze Microsoft Defender. Obejmują one aplikacje dla scenariuszy deweloperskich, takich jak Jenkins i Jira, oraz obciążenia baz danych, takie jak OracleDB i Postgres. Jeśli występuje spadek wydajności, rozważ ustawienie wykluczeń dla zaufanych aplikacji, pamiętając o typowych błędach wykluczania dla Program antywirusowy Microsoft Defender. Aby uzyskać dodatkowe wskazówki, rozważ zapoznanie się z dokumentacją dotyczącą wykluczeń oprogramowania antywirusowego z aplikacji innych firm.

Zasoby

• Aby uzyskać więcej informacji na temat rejestrowania, odinstalowywania lub innych tematów, zobacz Zasoby.

Powiązane artykuły:

• Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR Defender dla Chmury: Ochrona punktu końcowego w usłudze Microsoft Defender
• Połączenie maszyny spoza platformy Azure do Microsoft Defender dla Chmury