Microsoft Defender för Endpoint för Linux

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I det här avsnittet beskrivs hur du installerar, konfigurerar, uppdaterar och använder Microsoft Defender för Endpoint på Linux.

Varning

Att köra andra produkter med slutpunktsskydd från tredje part tillsammans med Microsoft Defender för Endpoint på Linux kan sannolikt leda till prestandaproblem och oförutsägbara sidoeffekter. Om skydd mot andra slutpunkter än Microsoft är ett absolut krav i din miljö kan du fortfarande tryggt dra nytta av Defender för Endpoint i Linux Identifiering och åtgärd på slutpunkt-funktioner när du har konfigurerat antivirusfunktionen så att den körs i passivt läge.

Så här installerar du Microsoft Defender för Slutpunkt i Linux

Förutsättningar

  • Åtkomst till Microsoft 365 Defender portalen
  • Linux-distribution med systemd system manager
  • Nybörjarupplevelse i Linux och BASH-skript
  • Administratörsbehörigheter på enheten (vid manuell distribution)

Anteckning

Microsoft Defender för Slutpunkt på Linux-agenten är fristående från OMS-agenten. Microsoft Defender för Endpoint använder sig av en egen oberoende telemetripipeline.

Installationsanvisningar

Det finns flera metoder och distributionsverktyg som du kan använda för att installera och konfigurera Microsoft Defender för Endpoint i Linux.

I allmänhet måste du göra följande:

Om du får problem med installationen kan du gå till Felsöka installationsproblem i Microsoft Defender för Slutpunkt på Linux.

Anteckning

Det finns inte stöd för att installera Microsoft Defender för Slutpunkt på någon annan plats än standardinstallationssökvägen.

Systemkrav

  • Linux-serverdistributioner och x64-versioner (AMD64/EM64T) stöds:

    • Red Hat Enterprise Linux 6.7 eller senare

    • Red Hat Enterprise Linux 7.2 eller senare

    • Red Hat Enterprise Linux 8.x

    • CentOS 6.7 eller senare

    • CentOS 7.2 eller senare

    • Ubuntu 16.04 LTS eller senare LTS

    • Hane 9 eller senare

    • SUSE Linux Enterprise Server 12 eller senare

    • Oracle Linux 7.2 eller senare

    • Amazon Linux 2

    • Oe 33 eller senare

      Anteckning

      Distributioner och versioner som inte uttryckligen anges stöds inte (även om de härleds från de officiellt stödda fördelningarna).

  • Lista över kernel-versioner som stöds

    • Red Hat Enterprise Linux 6 och CentOS 6:

      • För 6.7: 2.6.32-573.*

      • För 6.8: 2.6.32-642.*

      • För 6.9: 2.6.32-696.*

      • För 6.10: 2.6.32.754.2.1.el6.x86_64 till 2.6.32-754.41.2:

        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

      Anteckning

      När en ny paketversion har släppts begränsas stödet för de tidigare två versionerna till endast teknisk support. Versioner som är äldre än de som anges i det här avsnittet tillhandahålls endast för teknisk uppgraderingssupport.

    • För resten av de fördelningar som stöds är den lägsta kernel-version som krävs 3.10.0-327

  • Mekanism för händelseleverantör

    • Red Hat Enterprise Linux 6 och CentOS 6: Talpa kernel-modulbaserad lösning
    • För resten av de fördelningar som stöds: Fanotify
      • Kernel-alternativet fanotify måste vara aktiverat

        Varning

        Det går inte att köra Defender för slutpunkt på Linux sida vid sida fanotifymed andra -baserade säkerhetslösningar. Det kan leda till oväntade resultat, till exempel att operativsystemet hänger sig.

  • Diskutrymme: 1 GB

  • /opt/microsoft/mdatp/sbin/wdavdaemon kräver körbar behörighet. Mer information finns i "Se till att daemon har körbar behörighet" i Felsöka installationsproblem för Microsoft Defender för Slutpunkt på Linux.

  • Kärnor: minst 2, 4 som prioriteras

  • Minne: minst 1 GB, 4 som rekommenderas

    Anteckning

    Kontrollera att du har ledigt diskutrymme i /varians.

  • Lösningen tillhandahåller för närvarande realtidsskydd för följande filsystemtyper:

    • btrfs
    • ecryptfs
    • ext2
    • ext3
    • ext4
    • fuse
    • fuseblk
    • jfs
    • nfs
    • overlay
    • ramfs
    • reiserfs
    • tmpfs
    • udf
    • vfat
    • xfs

När du har aktiverat tjänsten kan du behöva konfigurera nätverket eller brandväggen för att tillåta utgående anslutningar mellan den och dina slutpunkter.

  • Granskningsramverket (auditd) måste vara aktiverat.

    Anteckning

    Systemhändelser som fångas av regler som lagts till /etc/audit/rules.d/ i audit.logläggs till i (s) och kan påverka värdgranskning och överordnad samling. Händelser som läggs till av Microsoft Defender för Endpoint i Linux kommer att taggas med mdatp en nyckel.

Konfigurera undantag

När du lägger till Microsoft Defender Antivirus ska du tänka på vanliga undantagsfel för Microsoft Defender Antivirus

Nätverksanslutningar

I följande nedladdningsbara kalkylblad finns de tjänster och deras tillhörande URL:er som nätverket måste kunna ansluta till. Du bör kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Om så är möjligt kan du behöva skapa en tillåta-regel som gäller specifikt för dem.



Kalkylblad med domänlista Beskrivning
Url-lista för Microsoft Defender för slutpunkt för kommersiella kunder Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för kommersiella kunder.

Ladda ned kalkylbladet här.

Microsoft Defender för slutpunkts-URL-lista för gov-/GCC-/DoD-kunder Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för Gov/GCC/DoD-kunder.

Ladda ned kalkylbladet här.

Anteckning

En mer specifik URL-lista finns i Konfigurera proxy- och Internetanslutningsinställningar.

Defender för Endpoint kan identifiera en proxyserver med hjälp av följande identifieringsmetoder:

  • Transparent proxy
  • Manuell statisk proxykonfiguration

Om en proxy eller brandvägg blockerar anonym trafik kontrollerar du att anonym trafik tillåts i tidigare angivna URL:er. För transparenta proxy proxypar behövs ingen ytterligare konfiguration för Defender för Endpoint. För statisk proxy följer du stegen i Manuell statisk proxykonfiguration.

Varning

PAC, WPAD och autentiserad proxy går inte att använda. Se till att bara en statisk proxy eller transparent proxy används.

SSL-proxy proxy och skärningspunkt stöds inte heller av säkerhetsskäl. Konfigurera ett undantag för SSL-kontrollen och proxyservern för att direkt överföra data från Defender för Slutpunkt i Linux till relevanta URL:er utan avlyssning. Om du lägger till ditt certifikat för avlyssning i det globala lagret tillåts inte avlyssning.

Anvisningar för felsökning finns i Felsöka molnanslutningsproblem för Microsoft Defender för Slutpunkt på Linux.

Uppdatera Microsoft Defender för Slutpunkt i Linux

Microsoft publicerar regelbundet programuppdateringar för att förbättra prestanda, säkerhet och för att leverera nya funktioner. Om du vill uppdatera Microsoft Defender för Slutpunkt på Linux går du till Distribuera uppdateringar för Microsoft Defender för Endpoint på Linux.

Konfigurera Microsoft Defender för Slutpunkt i Linux

Anvisningar om hur du konfigurerar produkten i företagsmiljöer finns i Ange inställningar för Microsoft Defender för slutpunkt i Linux.

Vanliga program för Microsoft Defender för Slutpunkt kan påverka

Hög I/O-arbetsbelastningar från vissa program kan uppleva prestandaproblem när Microsoft Defender för Slutpunkt installeras. De omfattar program för utvecklarscenarier som Jen jen jen och jira och databasarbetsbelastningar som OracleDB och Postgres. Om du upplever försämrad prestanda bör du överväga att ställa in undantag för betrodda program och ha gemensamma undantagsfel Microsoft Defender Antivirus i åtanke. Om du vill ha ytterligare vägledning kan du ta del av dokumentation om undantag för antivirusprogram från tredje part.

Resurser

  • Mer information om loggning, avinstallation eller andra ämnen finns i Resurser.