Microsoft Defender för Endpoint för Linux
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
I den här artikeln beskrivs hur du installerar, konfigurerar, uppdaterar och använder Microsoft Defender för Endpoint i Linux.
Försiktighet
Att köra andra slutpunktsskyddsprodukter från tredje part tillsammans med Microsoft Defender för Endpoint på Linux leder sannolikt till prestandaproblem och oförutsägbara biverkningar. Om icke-Microsoft-slutpunktsskydd är ett absolut krav i din miljö kan du fortfarande på ett säkert sätt dra nytta av Defender för Endpoint på Linux EDR-funktioner när du har konfigurerat antivirusfunktionerna så att de körs i passivt läge.
Så här installerar du Microsoft Defender för Endpoint på Linux
Microsoft Defender för Endpoint för Linux innehåller funktioner för skydd mot skadlig kod och slutpunktsidentifiering och svar (EDR).
Förutsättningar
Åtkomst till Microsoft Defender-portalen
Linux-distribution med systemhanteraren
Obs!
Linux-distribution med systemhanteraren, förutom RHEL/CentOS 6.x stöder både SystemV och Upstart.
Erfarenhet på nybörjarnivå i Linux- och BASH-skript
Administratörsbehörigheter på enheten (vid manuell distribution)
Obs!
Microsoft Defender för Endpoint på Linux-agenten är oberoende av OMS-agenten. Microsoft Defender för Endpoint förlitar sig på en egen oberoende telemetripipeline.
Installationsinstruktioner
Det finns flera metoder och distributionsverktyg som du kan använda för att installera och konfigurera Microsoft Defender för Endpoint på Linux.
I allmänhet måste du vidta följande steg:
- Kontrollera att du har en Microsoft Defender för Endpoint prenumeration.
- Distribuera Microsoft Defender för Endpoint på Linux med någon av följande distributionsmetoder:
- Kommandoradsverktyget:
- Hanteringsverktyg från tredje part:
Obs!
Det går inte att installera Microsoft Defender för Endpoint på någon annan plats än standardinstallationssökvägen.
Microsoft Defender för Endpoint på Linux skapar en "mdatp"-användare med slumpmässigt UID och GID. Om du vill styra UID och GID skapar du en "mdatp"-användare före installationen med shell-alternativet "/usr/sbin/nologin".
Till exempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Systemkrav
Linux-serverdistributioner som stöds och x64 (AMD64/EM64T) och x86_64 versioner:
Red Hat Enterprise Linux 6.7 eller senare (förhandsversion)
Red Hat Enterprise Linux 7.2 eller senare
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 eller senare (förhandsversion)
CentOS 7,2 eller högre
Ubuntu 16.04 LTS eller senare LTS
Debian 9 – 12
SUSE Linux Enterprise Server 12 eller senare
SUSE Linux Enterprise Server 15 eller senare
Oracle Linux 7.2 eller senare
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 eller senare
Rocky 8,7 och högre
Alma 8.4 och senare
Mariner 2
Obs!
Distributioner och versioner som inte uttryckligen visas stöds inte (även om de härleds från de distributioner som stöds officiellt). Med RHEL 6-stöd för "förlängd livslängd" som upphör senast den 30 juni 2024; MDE Linux-stöd för RHEL 6 kommer också att vara inaktuellt senast den 30 juni 2024 MDE Linux version 101.23082.0011 är den sista MDE Linux-versionen som stöder RHEL 6.7 eller senare versioner (upphör inte att gälla före den 30 juni 2024). Kunder rekommenderas att planera uppgraderingar av sin RHEL 6-infrastruktur i linje med vägledning från Red Hat.
Lista över kernelversioner som stöds
Obs!
Microsoft Defender för Endpoint på Red Hat Enterprise Linux och CentOS – 6.7 till 6.10 är en kernelbaserad lösning. Du måste kontrollera att kernelversionen stöds innan du uppdaterar till en nyare kernelversion. Microsoft Defender för Endpoint för alla andra distributioner och versioner som stöds är kernelversionsagnostisk. Med ett minimalt krav på att kernelversionen ska vara på eller större än 3.10.0-327.
- Kernel-alternativet
fanotify
måste vara aktiverat - Red Hat Enterprise Linux 6 och CentOS 6:
- För 6.7: 2.6.32-573.* (utom 2.6.32-573.el6.x86_64)
- För 6.8: 2.6.32-642.*
- För 6.9: 2.6.32-696.* (utom 2.6.32-696.el6.x86_64)
- För 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Obs!
När en ny paketversion har släppts begränsas stödet för de föregående två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport.
Försiktighet
Det går inte att köra Defender för Endpoint på Linux sida vid sida med andra
fanotify
-baserade säkerhetslösningar. Det kan leda till oförutsägbara resultat, inklusive hängande operativsystem. Om det finns andra program i systemet som använderfanotify
i blockeringsläge visas program i fältetmdatp health
förconflicting_applications
kommandoutdata. Funktionen För Linux FAPolicyD användsfanotify
i blockeringsläge och stöds därför inte när Defender för Endpoint körs i aktivt läge. Du kan fortfarande på ett säkert sätt dra nytta av EDR-funktionerna i Defender för Endpoint på Linux när du har konfigurerat antivirusfunktionen Realtidsskydd aktiverat i passivt läge.- Kernel-alternativet
Diskutrymme: 2 GB
Obs!
Ytterligare 2 GB diskutrymme kan behövas om molndiagnostik är aktiverat för kraschsamlingar.
/opt/microsoft/mdatp/sbin/wdavdaemon kräver körbar behörighet. Mer information finns i "Kontrollera att daemon har körbar behörighet" i Felsöka installationsproblem för Microsoft Defender för Endpoint på Linux.
Kärnor: minst 2, 4 föredragna
Minne: minst 1 GB, 4 föredras
Obs!
Kontrollera att du har ledigt diskutrymme i /var.
Lista över filsystem som stöds för RTP, Snabb, Fullständig och Anpassad genomsökning.
RTP, snabb, fullständig genomsökning Anpassad genomsökning Btrfs Alla filsystem som stöds för RTP, snabb och fullständig genomsökning Ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Fuse glustrefs fuseblk Afs Jfs Sshfs nfs (endast v3) Cifs Overlay Smb ramfs gcsfuse Reiserfs Sysfs Tmpfs Udf Vfat Xfs
När du har aktiverat tjänsten måste du konfigurera nätverket eller brandväggen för att tillåta utgående anslutningar mellan den och dina slutpunkter.
Granskningsramverket (
auditd
) måste vara aktiverat.Obs!
Systemhändelser som samlas in av regler som läggs till
/etc/audit/rules.d/
lägger tillaudit.log
i (s) och kan påverka värdgranskning och uppströmssamling. Händelser som läggs till av Microsoft Defender för Endpoint i Linux kommer att taggas medmdatp
nyckeln.
Externt paketberoende
Följande externa paketberoenden finns för mdatp-paketet:
- Mdatp RPM-paketet kräver "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- För RHEL6 kräver mdatp RPM-paketet "audit", "policycoreutils", "libselinux", "mde-netfilter"
- För DEBIAN kräver mdatp-paketet "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Paketet mde-netfilter har också följande paketberoenden:
- För DEBIAN kräver paketet mde-netfilter "libnetfilter-queue1", "libglib2.0-0"
- För RPM kräver paketet mde-netfilter "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de beroenden som behövs.
Konfigurera undantag
När du lägger till undantag i Microsoft Defender Antivirus bör du tänka på vanliga undantagsmisstag för Microsoft Defender Antivirus.
Nätverksanslutningar
Följande nedladdningsbara kalkylblad visar de tjänster och deras associerade URL:er som nätverket måste kunna ansluta till. Du bör se till att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Om det finns det kan du behöva skapa en tillåt-regel specifikt för dem.
Lista över kalkylblad med domäner | Beskrivning |
---|---|
Microsoft Defender för Endpoint URL-lista för kommersiella kunder | Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för kommersiella kunder. Ladda ned kalkylbladet här. |
Microsoft Defender för Endpoint URL-lista för Gov/GCC/DoD | Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för Gov/GCC/DoD-kunder. Ladda ned kalkylbladet här. |
Obs!
En mer specifik URL-lista finns i Konfigurera proxy- och Internetanslutningsinställningar.
Defender för Endpoint kan identifiera en proxyserver med hjälp av följande identifieringsmetoder:
- Transparent proxy
- Manuell konfiguration av statisk proxy
Om en proxy eller brandvägg blockerar anonym trafik kontrollerar du att anonym trafik tillåts i de tidigare listade URL:erna. För transparenta proxyservrar behövs ingen ytterligare konfiguration för Defender för Endpoint. För statisk proxy följer du stegen i Manuell statisk proxykonfiguration.
Varning
PAC, WPAD och autentiserade proxyservrar stöds inte. Se till att endast en statisk proxy eller transparent proxy används.
SSL-inspektion och avlyssning av proxyservrar stöds inte heller av säkerhetsskäl. Konfigurera ett undantag för SSL-inspektion och proxyservern för att direkt skicka data från Defender för Endpoint på Linux till relevanta URL:er utan avlyssning. Om du lägger till avlyssningscertifikatet i det globala arkivet tillåts inte avlyssning.
Felsökningssteg finns i Felsöka problem med molnanslutningar för Microsoft Defender för Endpoint i Linux.
Så här uppdaterar du Microsoft Defender för Endpoint i Linux
Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Information om hur du uppdaterar Microsoft Defender för Endpoint i Linux finns i Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.
Så här konfigurerar du Microsoft Defender för Endpoint i Linux
Vägledning för hur du konfigurerar produkten i företagsmiljöer finns i Ange inställningar för Microsoft Defender för Endpoint på Linux.
Vanliga program att Microsoft Defender för Endpoint kan påverka
Höga I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Endpoint installeras. Dessa omfattar program för utvecklarscenarier som Jenkins och Jira och databasarbetsbelastningar som OracleDB och Postgres. Om prestanda försämras bör du överväga att ställa in undantag för betrodda program, så att vanliga undantagsmisstag för Microsoft Defender Antivirus i åtanke. Mer information finns i dokumentationen om antivirusundantag från program från tredje part.
Resurser
- Mer information om loggning, avinstallation eller andra artiklar finns i Resurser.
Relaterade artiklar
- Skydda dina slutpunkter med Defender för molnets integrerade EDR-lösning: Microsoft Defender för Endpoint
- Ansluta dina datorer som inte kommer från Azure till Microsoft Defender för molnet
- Aktivera nätverksskydd för Linux
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för