Avancerad distributionsvägledning för Microsoft Defender för Endpoint i Linux

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

Den här artikeln innehåller avancerad distributionsvägledning för Microsoft Defender för Endpoint i Linux. Du får en kort sammanfattning av distributionsstegen, lär dig mer om systemkraven och vägleds sedan genom de faktiska distributionsstegen. Du får också lära dig hur du verifierar att enheten har registrerats korrekt.

Information om Microsoft Defender för Endpoint funktioner finns i Avancerade Microsoft Defender för Endpoint funktioner.

Mer information om andra sätt att distribuera Microsoft Defender för Endpoint på Linux finns i:

• Manuell distribution
• Puppet-baserad distribution
• Ansible-baserad distribution
• Distribuera Defender för Endpoint på Linux med Chef

Distributionssammanfattning

Lär dig mer om den allmänna vägledningen om en typisk Microsoft Defender för Endpoint om Linux-distribution. Tillämpligheten för vissa steg bestäms av kraven i din Linux-miljö.

1. Förbered din nätverksmiljö.

2. Samla in prestandadata från slutpunkten.

   Obs!

   Överväg att göra följande valfria objekt, även om de inte är Microsoft Defender för Endpoint specifika, tenderar de att förbättra prestanda i Linux-system.

3. (Valfritt) Sök efter filsystemfel "fsck" (liknar chkdsk).

4. (Valfritt) Uppdatera undersystemdrivrutiner för lagring.

5. (Valfritt) Uppdatera nic-drivrutiner.

6. Bekräfta att systemkraven och resursrekommendationerna är uppfyllda.

7. Lägg till din befintliga lösning i undantagslistan för Microsoft Defender Antivirus.

8. Granska viktiga punkter om undantag.

9. Skapa Device Grupper.

10. Konfigurera Microsoft Defender för Endpoint på Linux-inställningar för program mot skadlig kod.

11. Ladda ned Microsoft Defender för Endpoint på Linux-registreringspaketet från Microsoft Defender-portalen.

12. Använd Ansible, Puppet eller Chef för att hantera Microsoft Defender för Endpoint i Linux.

13. Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux.

14. Kontrollera resursanvändningsstatistiken och rapportera om fördistributionsanvändningen jämfört med efter distributionen.

15. Verifiera kommunikationen med Microsoft Defender för Endpoint serverdel.

16. Undersök problem med agenthälsa.

17. Kontrollera att du kan hämta "Plattform Uppdateringar" (agentuppdateringar).

18. Kontrollera att du kan hämta "Security Intelligence Uppdateringar" (signaturer/definitionsuppdateringar).

19. Testidentifieringar.

20. Felsöka problem med saknade händelser eller aviseringar för Microsoft Defender för Endpoint i Linux.

21. Felsöka hög CPU-användning av ISV:er, Linux-appar eller skript.

22. Avinstallera din lösning som inte kommer från Microsoft.

1. Förbered din nätverksmiljö

Lägg till Microsoft Defender för Endpoint-URL:er och/eller IP-adresser i listan över tillåtna adresser och förhindra att trafik kontrolleras av SSL.

Nätverksanslutning för Microsoft Defender för Endpoint

Använd följande steg för att kontrollera nätverksanslutningen för Microsoft Defender för Endpoint:

1. Se Steg 1: Tillåt mål för Microsoft Defender för Endpoint trafik som tillåts för Microsoft Defender för Endpoint trafik.

2. Om Linux-servrarna finns bakom en proxyserver anger du proxyinställningarna. Mer information finns i Konfigurera proxyinställningar.

3. Kontrollera att trafiken inte inspekteras av SSL-inspektion (TLS-inspektion). Det här är det vanligaste nätverksrelaterade problemet när du konfigurerar Microsoft Defender slutpunkt. Se Kontrollera att SSL-inspektionen inte utförs på nätverkstrafiken.

Obs!

• Vi rekommenderar vanligtvis att trafik för Defender för Endpoint inte inspekteras av SSL-inspektion (TLS-inspektion). Detta gäller för alla operativsystem som stöds (Windows, Linux och MacOS).
• Om du vill tillåta anslutning till den konsoliderade uppsättningen URL:er eller IP-adresser kontrollerar du att enheterna kör de senaste komponentversionerna. Mer information finns i Registrera enheter med strömlinjeformad anslutning för Microsoft Defender för Endpoint.

Mer information finns i Felsöka problem med molnanslutning.

Steg 1: Tillåt mål för Microsoft Defender för Endpoint trafik

1. Gå till STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten för att hitta relevanta mål som måste vara tillgängliga för enheter i din nätverksmiljö
2. Konfigurera brandväggen/proxyn/nätverket så att relevanta URL:er och/eller IP-adresser tillåts

Steg 2: Konfigurera proxyinställningar

Om Linux-servrarna finns bakom en proxyserver använder du följande inställningsvägledning.

I följande tabell visas de proxyinställningar som stöds:

Stöds	Stöds inte
Transparent proxy	Autokonfiguration av proxy (PAC, en typ av autentiserad proxy)
Manuell konfiguration av statisk proxy	Protokoll för automatisk upptäckt av webbproxy (WPAD, en typ av autentiserad proxy)

• Nätverksanslutningar
• Fullständig konfigurationsprofil
• Konfiguration av statisk proxy
• Felsöka anslutningsproblem i scenario med statisk proxy

Steg 3: Kontrollera att SSL-inspektionen inte utförs på nätverkstrafiken

För att förhindra man-in-the-middle-attacker använder all Microsoft Azure-värdbaserad trafik certifikatanslutning. Därför tillåts inte SSL-inspektioner av större brandväggssystem. Du måste kringgå SSL-inspektionen för Microsoft Defender för Endpoint URL:er.

Felsöka anslutningsproblem med molnet

Mer information finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.

2. Samla in prestandadata från slutpunkten

Samla in prestandadata från slutpunkterna där Defender för Endpoint är installerat. Detta inkluderar diskutrymmestillgänglighet på alla monterade partitioner, minnesanvändning, processlista och CPU-användning (aggregera över alla kärnor).

3. (Valfritt) Sök efter filsystemfel "fsck" (liknar chkdsk)

Alla filsystem kan bli skadade, så innan du installerar någon ny programvara är det bra att installera det på ett felfritt filsystem.

4. (Valfritt) Uppdatera drivrutiner för lagringsundersystem

Nyare drivrutin eller inbyggd programvara i ett lagringsundersystem kan hjälpa till med prestanda och/eller tillförlitlighet.

5. (Valfritt) Uppdatera nätverksdrivrutiner

Nyare drivrutin/inbyggd programvara på nätverkskort eller teamindelningsprogram för nätverkskort kan hjälpa till med prestanda och/eller tillförlitlighet.

6. Bekräfta att systemkraven och resursrekommendationerna är uppfyllda

Följande avsnitt innehåller information om Linux-versioner som stöds och rekommendationer för resurser.

En detaljerad lista över Linux-distributioner som stöds finns i Systemkrav.

Resurs	Rekommendation
Diskutrymme	Minst: 2 GB Obs! Mer diskutrymme kan behövas om molndiagnostik är aktiverat för kraschsamlingar.
RAM	1 GB 4 GB är att föredra
CPU	Om Linux-systemet bara kör en vcpu rekommenderar vi att det utökas till två vcpu:er 4 kärnor är att föredra

OS-version	Drivrutin för kernelfilter	Kommentarer
RHEL 7.x, RHEL 8.x och RHEL 9.x	Ingen drivrutin för kernelfilter, fanotify-kernelalternativet måste vara aktiverat	liknar Filter manager (fltmgr, tillgänglig via fltmc.exe) i Windows
RHEL 6.x	TALPA-kerneldrivrutin

7. Lägg till din befintliga lösning i undantagslistan för Microsoft Defender Antivirus

Det här steget i konfigurationsprocessen omfattar att lägga till Defender för Endpoint i undantagslistan för din befintliga slutpunktsskyddslösning och andra säkerhetsprodukter som din organisation använder. Du kan välja mellan flera metoder för att lägga till dina undantag i Microsoft Defender Antivirus.

Tips

Om du vill ha hjälp med att konfigurera undantag kan du läsa dokumentationen för din lösningsleverantör.

• Din möjlighet att köra Microsoft Defender för Endpoint på Linux tillsammans med en icke-Microsoft-produkt mot skadlig kod beror på implementeringsinformationen för den produkten. Om den andra produkten för program mot skadlig kod använder fanotify måste den avinstalleras för att eliminera prestanda- och stabilitetseffekter till följd av två motstridiga agenter.

• Om du vill kontrollera om det finns ett icke-Microsoft-program mot skadlig kod som kör FANotify kan du köra mdatp healthoch sedan kontrollera resultatet:

  

  Om du ser ett annat resultat än "otillgängligt" under "conflicting_applications" avinstallerar du program mot skadlig kod som inte kommer från Microsoft.

• Om du inte avinstallerar icke-Microsoft-produkten för program mot skadlig kod kan du stöta på oväntade beteenden som prestandaproblem, stabilitetsproblem som att system hänger sig eller kernel-panik.

• Om du vill identifiera Microsoft Defender för Endpoint på Linux-processer och sökvägar som ska undantas i produkten för program mot skadlig kod som inte kommer från Microsoft kör systemctl status -l mdatpdu .

  Undanta följande processer från produkten för program mot skadlig kod som inte kommer från Microsoft:

  wdavdaemon
crashpad_handler
mdatp_audis_plugin
telemetryd_v2
  

  Undanta följande sökvägar från produkten för program mot skadlig kod som inte kommer från Microsoft:

  /opt/microsoft/mdatp/
/var/opt/microsoft/mdatp/
/etc/opt/microsoft/mdatp/
  

8. Tänk på följande om undantag

När du lägger till undantag i Microsoft Defender Antivirus-genomsökningar bör du lägga till sökvägs- och processundantag.

Obs!

• Antivirusundantag gäller för antivirusmotorn.
• Tillåt/blockera indikatorer gäller för antivirusmotorn.

Tänk på följande:

• Sökvägsundantag exkluderar specifika filer och vilka filer som än kommer åt.
• Processundantag utesluter vad en process berör, men utesluter inte själva processen.
• Lista dina processundantag med hjälp av deras fullständiga sökväg och inte bara efter deras namn. (Metoden endast namn är mindre säker.)
• Om du listar varje körbar fil som både ett sökvägsundantag och ett processundantag undantas processen och vad den än berör.

Tips

Granska "Vanliga misstag att undvika när du definierar undantag", särskilt Mappplatser och Bearbetar avsnitten för Linux- och macOS-plattformar.

9. Skapa enhetsgrupper

Konfigurera enhetsgrupper, enhetssamlingar och organisationsenheter Enhetsgrupper, enhetssamlingar och organisationsenheter gör det möjligt för säkerhetsteamet att hantera och tilldela säkerhetsprinciper effektivt och effektivt. I följande tabell beskrivs var och en av dessa grupper och hur du konfigurerar dem. Din organisation kanske inte använder alla tre samlingstyperna.

Samlingstyp	Lämplig åtgärd
Med enhetsgrupper (kallades tidigare datorgrupper) kan ditt säkerhetsteam konfigurera säkerhetsfunktioner, till exempel automatiserad undersökning och reparation. Enhetsgrupper är också användbara för att tilldela åtkomst till dessa enheter så att ditt säkerhetsåtgärdsteam kan vidta åtgärder om det behövs. Enhetsgrupper skapas när attacken upptäcktes och stoppades, aviseringar, till exempel en "inledande åtkomstavisering", utlöstes och visades i Microsoft Defender-portalen.	1. Gå till Microsoft Defender-portalen (https://security.microsoft.com). 2. I navigeringsfönstret till vänster väljer du Inställningar>Slutpunkter Behörigheter>>Enhetsgrupper. 3. Välj + Lägg till enhetsgrupp. 4. Ange ett namn och en beskrivning för enhetsgruppen. 5. Välj ett alternativ i listan Automation-nivå . (Vi rekommenderar Fullständig – åtgärda hot automatiskt.) Mer information om de olika automatiseringsnivåerna finns i Så här åtgärdas hot. 6. Ange villkor för en matchande regel för att avgöra vilka enheter som tillhör enhetsgruppen. Du kan till exempel välja en domän, os-versioner eller till och med använda enhetstaggar. 7. På fliken Användaråtkomst anger du roller som ska ha åtkomst till de enheter som ingår i enhetsgruppen. 8. Välj Klar.
Med enhetssamlingar kan ditt säkerhetsteam hantera program, distribuera kompatibilitetsinställningar eller installera programuppdateringar på enheterna i din organisation. Enhetssamlingar skapas med hjälp av Configuration Manager.	Följ stegen i Skapa en samling.
Med organisationsenheter kan du gruppera objekt logiskt, till exempel användarkonton, tjänstkonton eller datorkonton. Du kan sedan tilldela administratörer till specifika organisationsenheter och tillämpa grupprincip för att framtvinga riktade konfigurationsinställningar. Organisationsenheter definieras i Microsoft Entra Domain Services.	Följ stegen i Skapa en organisationsenhet i en Microsoft Entra Domain Services hanterad domän.

10. Konfigurera inställningar för Microsoft Defender för Endpoint på Linux-program mot skadlig kod

Innan du börjar:

• Om du redan använder en icke-Microsoft-produkt för program mot skadlig kod för dina Linux-servrar kan du behöva kopiera befintliga undantag till Microsoft Defender för Endpoint i Linux.

• Om du inte använder en icke-Microsoft-produkt för program mot skadlig kod för dina Linux-servrar hämtar du en lista över alla dina Linux-program och kontrollerar leverantörens webbplats för undantag.

• Om du kör en icke-Microsoft-produkt för program mot skadlig kod lägger du till processerna/sökvägarna i Microsoft Defender för Endpoint antivirusundantagslista. Mer information finns i dokumentationen om program mot skadlig kod som inte kommer från Microsoft eller kontakta supporten.

• Om du testar på en dator kan du använda en kommandorad för att konfigurera undantagen:

  • Konfigurera från kommandoraden.
  • Konfigurera och validera undantag för Microsoft Defender för Endpoint i Linux.

• Om du testar på flera datorer använder du följande mdatp_managed.json fil. Om du kommer från Windows, till exempel en "grupprincip" för Defender för Endpoint i Linux.

  Du kan överväga att ändra filen baserat på dina behov:

      {
     "antivirusEngine":{
        "enforcementLevel":"real_time",
        "scanAfterDefinitionUpdate":true,
        "scanArchives":true,
        "maximumOnDemandScanThreads":1,
        "exclusionsMergePolicy":"merge",
        "exclusions":[
           {
              "$type":"excludedPath",
              "isDirectory":false,
              "path":"/var/log/system.log"
           },
           {
              "$type":"excludedPath",
              "isDirectory":true,
              "path":"/home"
           },
           {
              "$type":"excludedFileExtension",
              "extension":"pdf"
           },
           {
              "$type":"excludedFileName",
              "name":"cat"
           }
        ],
        "allowedThreats":[
           "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
        ],
        "disallowedThreatActions":[
           "allow",
           "restore"
        ],
        "threatTypeSettingsMergePolicy":"merge",
        "threatTypeSettings":[
           {
              "key":"potentially_unwanted_application",
              "value":"block"
           },
           {
              "key":"archive_bomb",
              "value":"audit"
           }
        ]
     },
     "cloudService":{
        "enabled":true,
        "diagnosticLevel":"optional",
        "automaticSampleSubmissionConsent":"safe",
        "automaticDefinitionUpdateEnabled":true
        "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
     }
  }
  

  Rekommendationer:

         {
      "antivirusEngine":{
         "enforcementLevel":"real_time",
         "scanAfterDefinitionUpdate":true,
         "scanArchives":true,
         "maximumOnDemandScanThreads":1,
         "exclusionsMergePolicy":"merge",
         "exclusions":[
            {
               "$type":"excludedPath",
               "isDirectory":false,
               "path":"/var/log/system.log"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/proc"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/sys"
            },
            {
               "$type":"excludedPath",
               "isDirectory":true,
               "path":"/dev"
            },
            {
               "$type":"excludedFileExtension",
               "extension":""
            },
            {
               "$type":"excludedFileName",
               "name":""
            }
         ],
         "allowedThreats":[
            ""
         ],
         "disallowedThreatActions":[
            "allow",
            "restore"
         ],
         "threatTypeSettingsMergePolicy":"merge",
         "threatTypeSettings":[
            {
               "key":"potentially_unwanted_application",
               "value":"block"
            },
            {
               "key":"archive_bomb",
               "value":"audit"
            }
         ]
      },
      "cloudService":{
         "enabled":true,
         "diagnosticLevel":"optional",
         "automaticSampleSubmissionConsent":"safe",
         "automaticDefinitionUpdateEnabled":true
         "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
      }
  }
  

Obs!

I Linux (och macOS) stöder vi sökvägar där det börjar med ett jokertecken.

I följande tabell beskrivs de inställningar som rekommenderas som en del av mdatp_managed.json filen:

Inställningar	Kommentarer
exclusionsMergePolicy anges till admin_only	Förhindrar att den lokala administratören kan lägga till lokala undantag (via bash (kommandotolken)).
disallowedThreatActions anges till allow and restore	Förhindrar att den lokala administratören kan återställa ett objekt i karantän (via bash (kommandotolken)).
threatTypeSettingsMergePolicy anges till admin_only	Förhindrar att den lokala administratören kan lägga till falska positiva eller sanna positiva identifieringar som är godartade för hottyperna (via bash (kommandotolken)).

• Spara inställningen som mdatp_managed.json fil.
• Kopiera inställningen till den här sökvägen /etc/opt/microsoft/mdatp/managed/. Mer information finns i Ange inställningar för Microsoft Defender för Endpoint i Linux.
• Lägg till dina processer och sökvägar för program mot skadlig kod från andra leverantörer än Microsoft i undantagslistan från föregående steg.
• Kontrollera att du har lagt till dina aktuella undantag från din icke-Microsoft-lösning för program mot skadlig kod i föregående steg.

Program som Microsoft Defender för Endpoint kan påverka

Höga I/O-arbetsbelastningar som Postgres, OracleDB, Jira och Jenkins kan kräva andra undantag, beroende på mängden aktivitet som bearbetas (och övervakas av Defender för Endpoint). Det är bäst att följa vägledningen från programleverantörer som inte kommer från Microsoft för deras undantag om du upplever prestandaförsämring när du har installerat Defender för Endpoint. Tänk också på vanliga undantagsmisstag för Microsoft Defender Antivirus.

Om du upplever prestandaförsämring kan du läsa följande resurser:

• Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux.
• Felsöka prestandaproblem med AuditD med Microsoft Defender för Endpoint i Linux.

11. Ladda ned Microsoft Defender för Endpoint på Linux Onboarding-paketet

Mer information finns i ladda ned registreringspaketet från Microsoft Defender-portalen.

Obs!

Den här nedladdningen registrerar Microsoft Defender för Endpoint på Linux för att skicka data till din Microsoft Defender för Endpoint instans.

När du har laddat ned det här paketet kan du följa de manuella installationsanvisningarna eller använda en Linux-hanteringsplattform för att distribuera och hantera Defender för Endpoint i Linux.

12. Exempel på Ansible, Puppet och Chef för att hantera Microsoft Defender för Endpoint på Linux

Defender för Endpoint på Linux är utformat för att göra det möjligt för nästan alla hanteringslösningar att enkelt distribuera och hantera Inställningar för Defender för Endpoint i Linux. Några vanliga Linux-hanteringsplattformar är Ansible, Puppet och Chef. Följande dokument innehåller exempel på hur du konfigurerar dessa hanteringsplattformar för att distribuera och konfigurera Defender för Endpoint i Linux.

Distribuera Microsoft Defender för Endpoint i Linux med Puppet

Distribuera Microsoft Defender för Endpoint på Linux med Ansible

Distribuera Microsoft Defender för Endpoint i Linux med Chef

Obs!

Omstarter krävs INTE när du har installerat eller uppdaterat Microsoft Defender för Endpoint i Linux, förutom när du kör auditD i oföränderligt läge.

Leverera den schemalagda cronjob-inställningen för genomsökningar

Schemalägg en antivirusgenomsökning med Anacron i Microsoft Defender för Endpoint i Linux. Mer information finns i Schemalägga en antivirusgenomsökning med Anacron i Microsoft Defender för Endpoint på Linux.

Uppdatera Microsoft Defender för Endpoint på Cronjob-inställningar för Linux-agenten

Schemalägg en uppdatering av Microsoft Defender för Endpoint i Linux. Mer information finns i Schemalägga en uppdatering av Microsoft Defender för Endpoint på Linux.

13. Felsöka installationsproblem för Microsoft Defender för Endpoint på Linux

Lär dig hur du felsöker problem som kan uppstå under installationen i Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux.

14. Kontrollera resursanvändningsstatistiken

Kontrollera prestandastatistiken och jämför med fördistributionsanvändningen jämfört med efter distributionen.

15. Kontrollera kommunikationen med Microsoft Defender för Endpoint serverdel

Kontrollera Microsoft Defender för Endpoint på Linux-kommunikation till molnet med de aktuella nätverksinställningarna genom att köra följande anslutningstest från kommandoraden:

mdatp connectivity test

Följande bild visar förväntade utdata från testet:

Mer information finns i Anslutningsverifiering.

16. Undersök problem med agenthälsa

Undersök problem med agenthälsa baserat på värden som returneras när du kör mdatp health kommandot. Mer information finns i Undersök problem med agenthälsa.

17. Kontrollera att du kan få plattformsuppdateringar (agentuppdateringar)

Kontrollera Microsoft Defender för Endpoint på Linux-plattformsuppdateringar genom att köra följande kommandorad:

sudo yum update mdatp

eller

apt-get update mdatp

beroende på din pakethanterare.

Mer information finns i Hälso- och Microsoft Defender för program mot skadlig kod.

Den senaste versionen av Broad Channel finns i Nyheter i Microsoft Defender för Endpoint i Linux.

Så här uppdaterar du Microsoft Defender för Endpoint i Linux

Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Uppdatera Microsoft Defender för Endpoint i Linux. Mer information finns i Distribuera uppdateringar för Microsoft Defender för Endpoint på Linux.

Obs!

Om du har Redhats satellit (som liknar WSUS i Windows) kan du hämta de uppdaterade paketen från den.

Tips

Automatisera agentuppdateringen enligt ett månatligt (rekommenderat) schema med hjälp av ett Cron-jobb. Mer information finns i schemalägga en uppdatering av Microsoft Defender för Endpoint i Linux.

Icke-Windows-slutpunkter

Med macOS och Linux kan du ta ett par system och köra i Beta-kanalen.

Obs!

Helst bör du inkludera en av varje typ av Linux-system som du kör i förhandsgranskningskanalen så att du kan hitta kompatibilitets-, prestanda- och tillförlitlighetsproblem innan bygget görs till aktuell kanal.

Valet av kanal avgör typ och frekvens för uppdateringar som erbjuds till din enhet. Enheter i Beta är de första som tar emot uppdateringar och nya funktioner, följt senare av Förhandsversion och slutligen av Aktuell.

För att kunna förhandsgranska nya funktioner och ge tidig feedback rekommenderar vi att du konfigurerar vissa enheter i företaget att använda beta eller förhandsversion.

Varning

Om du byter kanal efter den första installationen måste produkten installeras om. Så här växlar du produktkanalen: avinstallera det befintliga paketet, konfigurera om enheten så att den använder den nya kanalen och följ stegen i det här dokumentet för att installera paketet från den nya platsen.

18. Kontrollera att du kan hämta uppdateringar av säkerhetsinformation (signaturer/definitionsuppdateringar)

Om du vill verifiera Microsoft Defender för Endpoint på Linux-signaturer/definitionsuppdateringar kör du följande kommandorad:

mdatp definitions update

Mer information finns i Ny hälsorapportering för enheter för Microsoft Defender program mot skadlig kod.

19. Testidentifieringar

Kör följande identifieringstest för att säkerställa att enheten är korrekt registrerad och rapporterad till tjänsten:

• Öppna ett terminalfönster och kör följande kommando för att köra ett test för identifiering av program mot skadlig kod:

  curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
  

• Du kan köra ytterligare identifieringstester på zip-filer med något av följande kommandon:

  curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
  curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
  

  Obs!

  Om identifieringarna inte visas kan det bero på att du har angett "allowedThreats" för att tillåta inställningar via Ansible eller Puppet.

• Identifiering av slutpunktsidentifiering och svar (EDR) finns i Experience Microsoft Defender för Endpoint through simulated attacks (Upplevelse Microsoft Defender för Endpoint genom simulerade attacker). Om identifieringen inte visas kan det bero på att vi saknar händelser eller aviseringar i portalen. Mer information finns i Felsöka problem med saknade händelser eller aviseringar för Microsoft Defender för Endpoint i Linux.

• Mer information om enhetliga inlämningar i Microsoft Defender XDR och möjligheten att skicka falska positiva och falska negativa identifieringar via portalen finns i Enhetliga inlämningar i Microsoft Defender XDR nu allmänt tillgängliga! – Microsoft Tech Community.

20. Felsöka problem med saknade händelser eller aviseringar för Microsoft Defender för Endpoint i Linux

Mer information finns i Felsöka problem med saknade händelser eller aviseringar för Microsoft Defender för Endpoint i Linux.

21. Felsöka hög CPU-användning av ISV:er, Linux-appar eller skript

Om du ser att ISV:er från tredje part, internt utvecklade Linux-appar eller skript får hög CPU-användning, vidtar du följande steg för att undersöka orsaken.

1. Identifiera den tråd eller process som orsakar symptomet.
2. Använd ytterligare diagnostiska steg baserat på den identifierade processen för att åtgärda problemet.

Steg 1: Identifiera Microsoft Defender för Endpoint i Linux-tråden som orsakar symptomet

Använd följande syntaxer för att identifiera den process som orsakar processorkostnader:

• Om du vill få Microsoft Defender för Endpoint process-ID som orsakar problemet kör du:

  sudo top -c
  

• Om du vill ha mer information om Microsoft Defender för Endpoint processen kör du:

  sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
  

• Om du vill identifiera det specifika Microsoft Defender för Endpoint tråd-ID som orsakar den högsta CPU-användningen i processen kör du:

  sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
  

  

I följande tabell visas de processer som kan orsaka hög CPU-användning:

Processnamn	Komponent som används	MDE motor som används
wdavdaemon	FANotify	Antivirus & EDR
wdavdaemon unprivileged		Antivirusmotor
wdavdaemon edr		EDR-motor
mdatp_audisp_plugin	granskningsramverk (granskas)	Inmatning av granskningslogg

Steg 2: Tillämpa ytterligare diagnostiska steg baserat på den identifierade processen

Nu när du har identifierat den process som orsakar den höga CPU-användningen använder du motsvarande diagnostikvägledning i följande avsnitt.

I föregående steg wdavdaemon unprivileged identifierades till exempel som den process som orsakade hög CPU-användning. Baserat på resultatet kan du använda vägledningen för att kontrollera processen wdavdaemon unprivileged.

Använd följande tabell för att felsöka hög CPU-användning:

Processnamn	Komponent som används	Microsoft Defender för Endpoint motor som används	Steg
wdavdaemon	FANotify	Antivirus & EDR	– Ladda ned och kör Microsoft Defender för Endpoint Client Analyzer. Mer information finns i Köra klientanalys på macOS eller Linux. – Samla in diagnostikdata med hjälp av verktyget Klientanalys. – Öppna ett CSS-supportärende med Microsoft. Mer information finns i CSS-säkerhetssupportärende.
wdavdaemon unprivileged	EJ TILLÄMPLIGT	Antivirusmotor	Följande diagram visar arbetsflödet och stegen som krävs för att lägga till antivirusundantag. Allmän felsökningsvägledning – Om du har interna appar/skript eller en legitim app/skript från tredje part som flaggas analyserar Microsofts säkerhetsforskare misstänkta filer för att avgöra om de är hot, oönskade program eller normala filer. Skicka filer som du tror är skadlig kod eller filer som du tror har klassificerats felaktigt som skadlig kod med hjälp av enhetliga inlämningar (mer information finns i Enhetliga inlämningar) eller Filöverföringar. – Se Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux. – Ladda ned och kör Microsoft Defender för Endpoint Client Analyzer. Mer information finns i Köra klientanalys på macOS eller Linux. – Samla in diagnostikdata med hjälp av verktyget Klientanalys. – Öppna ett CSS-supportärende med Microsoft. Mer information finns i CSS-säkerhetssupportärende.
wdavdaemon edr	EJ TILLÄMPLIGT	EDR-motor	Följande diagram visar arbetsflödet och stegen för att felsöka wdavedaemon_edr processproblem. Allmän felsökningsvägledning – Om du har interna appar/skript eller en legitim app/skript från tredje part som flaggas analyserar Microsofts säkerhetsforskare misstänkta filer för att avgöra om de är hot, oönskade program eller normala filer. Skicka filer som du tror är skadlig kod eller filer som du tror är felaktigt klassificerade som skadlig kod med hjälp av enhetliga inlämningar (mer information finns i Enhetliga inlämningar) eller Filöverföringar. – Se Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux. – Ladda ned och kör Microsoft Defender för Endpoint Client Analyzer. Mer information finns i Köra klientanalys på macOS eller Linux. – Samla in diagnostikdata med hjälp av verktyget Klientanalys. – Öppna ett CSS-supportärende med Microsoft. Mer information finns i CSS-säkerhetssupportärende.
mdatp_audisp_plugin	Granskningsramverk	Inmatning av granskningslogg	Se Felsöka prestandaproblem med AuditD med Microsoft Defender för Endpoint i Linux.

22. Avinstallera din lösning som inte kommer från Microsoft

Om du nu har:

• Registrerade organisationens enheter i Defender för Endpoint och
• Microsoft Defender Antivirus är installerat och aktiverat,

Nästa steg är att avinstallera antivirusprogram, program mot skadlig kod och slutpunktsskydd som inte kommer från Microsoft. När du avinstallerar din lösning som inte kommer från Microsoft måste du uppdatera konfigurationen så att den växlar från passivt läge till Aktivt om du ställer in Defender för Endpoint i passivt läge under installationen eller konfigurationen.

Diagnostik- och felsökningsresurser

• Felsöka Microsoft Defender för Endpoint på problem med Linux-installation.
• Identifiera var du hittar detaljerade loggar för installationsproblem.
• Felsökningssteg för miljöer utan proxy eller med transparent proxy.
• Felsökningssteg för miljöer med statisk proxy.
• Samla in diagnostikinformation.
• Avinstallera Defender för Endpoint i Linux.
• Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux.
• Felsöka prestandaproblem med AuditD med Microsoft Defender för Endpoint i Linux.

Avancerade Microsoft Defender för Endpoint funktioner

• Förbättrade funktioner för program mot skadlig kod i Linux och macOS

• Öka skyddet av Linux-egendom med beteendeövervakning

  Obs!

  Funktionen för beteendeövervakning kompletterar befintliga starka innehållsbaserade funktioner, men du bör noggrant utvärdera den här funktionen i din miljö innan du distribuerar den brett eftersom aktivering av beteendeövervakning förbrukar fler resurser och kan orsaka prestandaproblem.

• Enhetliga inlämningar i Microsoft Defender XDR

• Introduktion till den nya upplevelsen för aviseringsundertryckning

• Tillkännagivande av livesvar för macOS och Linux

Referenser

• Lägga till en tagg eller ett grupp-ID

• Sekretess för Microsoft Defender för Endpoint i Linux

• Nyheter i Microsoft Defender för Endpoint i Linux

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.