Microsoft Defender para Ponto de Extremidade para Linux

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como instalar, configurar, atualizar e usar Microsoft Defender para Ponto de Extremidade no Linux.

Cuidado

A execução de outros produtos de proteção de ponto de extremidade de terceiros ao lado de Microsoft Defender para Ponto de Extremidade no Linux provavelmente levará a problemas de desempenho e efeitos colaterais imprevisíveis. Se a proteção de ponto de extremidade não Microsoft for um requisito absoluto em seu ambiente, você ainda poderá aproveitar com segurança o Defender para Ponto de Extremidade na funcionalidade EDR do Linux depois de configurar a funcionalidade antivírus a ser executada no modo Passivo.

Como instalar Microsoft Defender para Ponto de Extremidade no Linux

Microsoft Defender para Ponto de Extremidade para Linux inclui recursos EDR (detecção e resposta) anti-malware e ponto de extremidade.

Pré-requisitos

• Acesso ao portal Microsoft Defender

• Distribuição do Linux usando o systemd systemd system manager

  Observação

  A distribuição do Linux usando o gerenciador de sistema, com exceção do RHEL/CentOS 6.x, dá suporte ao SystemV e ao Upstart.

• Experiência de nível iniciante no script linux e bash

• Privilégios administrativos no dispositivo (em caso de implantação manual)

Observação

Microsoft Defender para Ponto de Extremidade no agente linux é independente do agente OMS. Microsoft Defender para Ponto de Extremidade depende de seu próprio pipeline de telemetria independente.

Instruções de instalação

Há vários métodos e ferramentas de implantação que você pode usar para instalar e configurar Microsoft Defender para Ponto de Extremidade no Linux.

Em geral, você precisa seguir as seguintes etapas:

• Verifique se você tem uma assinatura Microsoft Defender para Ponto de Extremidade.
• Implante Microsoft Defender para Ponto de Extremidade no Linux usando um dos seguintes métodos de implantação:
  • A ferramenta de linha de comando:
    • Implantação manual
  • Ferramentas de gerenciamento de terceiros:
    • Implantar usando a ferramenta de gerenciamento de configuração do Puppet
    • Implantar usando a ferramenta de gerenciamento de configuração do Ansible
      • Implantar usando a ferramenta de gerenciamento de configuração do Chef
      • Implantar usando a ferramenta de gerenciamento de configuração do Saltstack Se você tiver falhas de instalação, consulte Solucionar problemas de falhas de instalação no Microsoft Defender para Ponto de Extremidade no Linux.

Observação

Não há suporte para instalar Microsoft Defender para Ponto de Extremidade em qualquer outro local que não seja o caminho de instalação padrão.

Microsoft Defender para Ponto de Extremidade no Linux cria um usuário "mdatp" com UID e GID aleatórios. Se você quiser controlar o UID e o GID, crie um usuário "mdatp" antes da instalação usando a opção shell "/usr/sbin/nologin". Por exemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Requisitos do sistema

• Distribuições de servidor Linux com suporte e versões x64 (AMD64/EM64T) e x86_64:

  • Red Hat Enterprise Linux 6.7 ou superior (em versão prévia)

  • Red Hat Enterprise Linux 7.2 ou superior

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 ou superior (em versão prévia)

  • CentOS 7.2 ou superior

  • Ubuntu 16.04 LTS ou LTS superior

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 ou superior

  • SUSE Linux Enterprise Server 15 ou superior

  • Oracle Linux 7.2 ou superior

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 ou superior

  • Rocky 8.7 e mais alto

  • Alma 8.4 e superior

  • Mariner 2

    Observação

    Distribuições e versões que não estão explicitamente listadas não têm suporte (mesmo que sejam derivadas das distribuições oficialmente compatíveis). Com o suporte do RHEL 6 para "fim estendido da vida útil" chegando ao fim até 30 de junho de 2024; O suporte do MDE Linux para RHEL 6 também será preterido até 30 de junho de 2024 O MDE Linux versão 101.23082.0011 é a última versão do MDE Linux com suporte a VERSões RHEL 6.7 ou superiores (não expira antes de 30 de junho de 2024). Os clientes são aconselhados a planejar atualizações para sua infraestrutura RHEL 6 alinhada com as diretrizes da Red Hat.

• Lista de versões de kernel com suporte

  Observação

  Microsoft Defender para Ponto de Extremidade no Red Hat Enterprise Linux e no CentOS – 6,7 a 6.10 é uma solução baseada em Kernel. Você deve verificar se a versão do kernel tem suporte antes de atualizar para uma versão mais recente do kernel. Microsoft Defender para Ponto de Extremidade para todas as outras distribuições e versões com suporte é kernel-version-agnostic. Com um requisito mínimo para que a versão do kernel esteja em ou maior que 3.10.0-327.

  • A opção fanotify kernel deve estar habilitada
  • Red Hat Enterprise Linux 6 e CentOS 6:
    • Para 6.7: 2.6.32-573.* (exceto 2.6.32-573.el6.x86_64)
    • Para 6.8: 2.6.32-642.*
    • Para 6.9: 2.6.32-696.* (exceto 2.6.32-696.el6.x86_64)
    • Para 6.10:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  Observação

  Depois que uma nova versão de pacote é lançada, o suporte para as duas versões anteriores é reduzido apenas para suporte técnico. Versões mais antigas do que as listadas nesta seção são fornecidas apenas para suporte técnico de atualização.

  Cuidado

  Não há suporte para executar o Defender para Ponto de Extremidade no Linux lado a lado com outras fanotifysoluções de segurança baseadas. Isso pode levar a resultados imprevisíveis, incluindo a suspensão do sistema operacional. Se houver outros aplicativos no sistema que usam fanotify no modo de bloqueio, os conflicting_applications aplicativos serão listados no campo da saída de mdatp health comando. O recurso FAPolicyD do Linux usa fanotify no modo de bloqueio e, portanto, não tem suporte ao executar o Defender para Ponto de Extremidade no modo ativo. Você ainda pode aproveitar com segurança o Defender para Ponto de Extremidade na funcionalidade do Linux EDR depois de configurar a funcionalidade antivírus Proteção em Tempo Real Habilitada para o modo Passivo.

• Espaço em disco: 2 GB

  Observação

  Um espaço adicional de disco de 2 GB poderá ser necessário se o diagnóstico de nuvem estiver habilitado para coleções de falhas.

• /opt/microsoft/mdatp/sbin/wdavdaemon requer permissão executável. Para obter mais informações, consulte "Verifique se o daemon tem permissão executável" em Solucionar problemas de instalação para Microsoft Defender para Ponto de Extremidade no Linux.

• Núcleos: 2 mínimos, 4 preferenciais

• Memória: 1 GB mínimo, 4 preferenciais

  Observação

  Verifique se você tem espaço livre em disco no /var.

• Lista de sistemas de arquivos com suporte para RTP, Verificação Rápida, Completa e Personalizada.

  RTP, Verificação Rápida e Completa	Verificação personalizada
  Btrfs	Todos os sistemas de arquivos com suporte para RTP, Verificação Rápida e Completa
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  Fusível	glustrefs
  fuseblk	Afs
  Jfs	Sshfs
  nfs (somente v3)	Cifs
  overlay	Smb
  ramfs	gcsfuse
  Reiserfs	Sysfs
  Tmpfs
  Udf
  Vfat
  Xfs

Depois de habilitar o serviço, você precisará configurar sua rede ou firewall para permitir conexões de saída entre ele e seus pontos de extremidade.

• A estrutura de auditoria (auditd) deve ser habilitada.

  Observação

  Os eventos do sistema capturados por regras adicionadas a /etc/audit/rules.d/ serão adicionados a (s) e podem afetar a audit.logauditoria do host e upstream coleção. Os eventos adicionados pelo Microsoft Defender para Ponto de Extremidade no Linux serão marcados com mdatp chave.

Dependência de pacote externo

As seguintes dependências de pacote externo existem para o pacote mdatp:

• O pacote de RPM mdatp requer "glibc >= 2,17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
• Para RHEL6, o pacote de RPM mdatp requer "audit", "policycoreutils", "libselinux", "mde-netfilter"
• Para DEBIAN, o pacote mdatp requer "libc6 >= 2,23", "uuid-runtime", "auditd", "mde-netfilter"

O pacote mde-netfilter também tem as seguintes dependências de pacote:

• Para DEBIAN, o pacote mde-netfilter requer "libnetfilter-queue1", "libglib2.0-0"
• Para RPM, o pacote mde-netfilter requer "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Se a instalação Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependência ausentes, você poderá baixar manualmente as dependências de pré-requisito.

Configurando exclusões

Ao adicionar exclusões ao Microsoft Defender Antivírus, você deve estar atento aos erros comuns de exclusão para Microsoft Defender Antivírus.

Conexões de rede

A planilha para download a seguir lista os serviços e suas URLs associadas às quais sua rede deve ser capaz de se conectar. Você deve garantir que não haja regras de firewall ou filtragem de rede que neguem o acesso a essas URLs. Se houver, talvez seja necessário criar uma regra de permissão especificamente para eles.

Planilha da lista de domínios	Descrição
Microsoft Defender para Ponto de Extremidade lista de URL para clientes comerciais	Planilha de registros DNS específicos para locais de serviço, localizações geográficas e sistema operacional para clientes comerciais. Baixe a planilha aqui.
Microsoft Defender para Ponto de Extremidade lista de URL para Gov/GCC/DoD	Planilha de registros DNS específicos para locais de serviço, locais geográficos e sistema operacional para clientes Gov/GCC/DoD. Baixe a planilha aqui.

Observação

Para obter uma lista de URL mais específica, consulte Configurar configurações de proxy e conectividade com a Internet.

O Defender para Ponto de Extremidade pode descobrir um servidor proxy usando os seguintes métodos de descoberta:

• Proxy transparente
• Configuração de proxy estático manual

Se um proxy ou firewall estiver bloqueando o tráfego anônimo, verifique se o tráfego anônimo é permitido nas URLs listadas anteriormente. Para proxies transparentes, nenhuma configuração adicional é necessária para o Defender para Ponto de Extremidade. Para proxy estático, siga as etapas na Configuração de Proxy Estático Manual.

Aviso

Não há suporte para proxies PAC, WPAD e autenticados. Verifique se apenas um proxy estático ou proxy transparente está sendo usado.

Também não há suporte para a inspeção e interceptação de proxies SSL por razões de segurança. Configure uma exceção para a inspeção SSL e seu servidor proxy para passar diretamente os dados do Defender para Ponto de Extremidade no Linux para as URLs relevantes sem interceptação. A adição do certificado de interceptação ao repositório global não permitirá a interceptação.

Para obter etapas de solução de problemas, consulte Solucionar problemas de conectividade na nuvem para Microsoft Defender para Ponto de Extremidade no Linux.

Como atualizar Microsoft Defender para Ponto de Extremidade no Linux

A Microsoft publica regularmente atualizações de software para melhorar o desempenho, a segurança e entregar novos recursos. Para atualizar Microsoft Defender para Ponto de Extremidade no Linux, consulte Implantar atualizações para Microsoft Defender para Ponto de Extremidade no Linux.

Como configurar o Microsoft Defender para Ponto de Extremidade para Linux

As diretrizes de como configurar o produto em ambientes corporativos estão disponíveis em Definir preferências para Microsoft Defender para Ponto de Extremidade no Linux.

Aplicativos comuns para Microsoft Defender para Ponto de Extremidade podem afetar

Cargas de trabalho de E/S altas de determinados aplicativos podem ter problemas de desempenho quando Microsoft Defender para Ponto de Extremidade está instalado. Isso inclui aplicativos para cenários de desenvolvedor, como Jenkins e Jira, e cargas de trabalho de banco de dados como OracleDB e Postgres. Se estiver enfrentando degradação de desempenho, considere definir exclusões para aplicativos confiáveis, tendo em mente erros comuns de exclusão para Microsoft Defender Antivírus. Para obter diretrizes adicionais, considere consultar a documentação sobre exclusões de antivírus de aplicativos de terceiros.

Recursos

• Para obter mais informações sobre log, desinstalação ou outros artigos, consulte Recursos.

Artigos relacionados

• Proteja seus pontos de extremidade com a solução EDR integrada do Defender para Nuvem: Microsoft Defender para Ponto de Extremidade
• Conectar seus computadores que não são do Azure a Microsoft Defender para Nuvem
• Ativar a proteção de rede para Linux

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.