Del via

Forudsætninger for Microsoft Defender for Endpoint på Linux

I denne artikel beskrives forudsætningerne for installation og onboarding af Defender for Endpoint på Linux-servere.

Vigtigt!

Hvis du vil køre flere sikkerhedsløsninger side om side, skal du se Overvejelser i forbindelse med ydeevne, konfiguration og support.

Du har muligvis allerede konfigureret gensidig sikkerhedsudeladelse for enheder, der er onboardet til Microsoft Defender for Endpoint. Hvis du stadig har brug for at angive gensidige undtagelser for at undgå konflikter, skal du se Føj Microsoft Defender for Endpoint til listen over undtagelser for din eksisterende løsning.

Licenskrav

Hvis du vil føje servere til Defender for Endpoint, skal du have serverlicenser. Du kan vælge mellem følgende indstillinger:

Du kan finde flere detaljerede oplysninger om licenskrav til Microsoft Defender for Endpoint under Microsoft Defender for Endpoint licensoplysninger.

Du kan finde detaljerede licensoplysninger under Produktvilkår: Microsoft Defender for Endpoint og arbejd sammen med dit kontoteam for at få mere at vide om vilkår og betingelser.

Systemkrav

  • CPU: Minimum én CPU-kerne. I forbindelse med arbejdsbelastninger med høj ydeevne anbefales der flere kerner.
  • Diskplads: minimum 2 GB. I forbindelse med arbejdsbelastninger med høj ydeevne kan der være behov for mere diskplads.
  • Hukommelse: mindst 1 GB RAM. I forbindelse med arbejdsbelastninger med høj ydeevne kan der være behov for mere hukommelse.
  • Hvis du vil installere på en brugerdefineret sti, skal du se Forudsætninger og systemkrav til installation af brugerdefinerede placeringer.

Bemærk!

Der kan være behov for justering af ydeevnen baseret på arbejdsbelastninger. Du kan få flere oplysninger under Justering af ydeevnen for Microsoft Defender for Endpoint på Linux

Softwarekrav

Linux-serverslutpunkter skal have systemd (system manager) installeret.

Bemærk!

Linux-distributioner ved hjælp af System Manager understøtter både SystemV og Upstart. Den Microsoft Defender for Endpoint på Linux-agenten er uafhængig af OMS-agenten (Operation Management Suite). Microsoft Defender for Endpoint er afhængig af sin egen uafhængige telemetripipeline.

Hvis du vil bruge funktionaliteten til enhedsisolation, skal følgende være aktiveret:

  • iptables
  • ip6tables
  • Linux-kerne med CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLESog CONFIG_IP_NF_MATCH_OWNER for kerneversioner, der er lavere end 5.x og CONFIG_NETFILTER_XT_MATCH_OWNER fra 5.x kerne.

Netværkskrav

Linux-serverslutpunkter skal kunne få adgang til de slutpunkter, der er dokumenteret i:

Hvis det er nødvendigt, skal du konfigurere registrering af statisk proxy.

Advarsel

PAC, WPAD og godkendte proxyer understøttes ikke. Brug kun statiske eller gennemsigtige proxyer. SSL-inspektion og opfangelse af proxyer understøttes ikke af sikkerhedsmæssige årsager. Konfigurer en undtagelse for SSL-inspektion og din proxyserver for at tillade direkte dataoverførsel fra Defender for Endpoint på Linux til de relevante URL-adresser uden opfangelse. Hvis du føjer dit opfangelsescertifikat til det globale lager, aktiveres opfangelse ikke.

Kontrollér, om enheder kan oprette forbindelse til Defender for Endpoint-cloudtjenester

  1. Forbered dit miljø som beskrevet i trin 1 i følgende artikel Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.

  2. Opret forbindelse mellem Defender for Endpoint på Linux via en proxyserver ved hjælp af følgende registreringsmetoder:

  3. Tillad anonym trafik i de tidligere angivne URL-adresser, hvis en proxy eller firewall blokerer trafik.

Bemærk!

Konfiguration af gennemsigtige proxyer er ikke nødvendig for Defender for Endpoint. Se Manuel konfiguration af statisk proxy.

Du kan finde fejlfindingstrin under Fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux.

Understøttede Linux-distributioner

Følgende Linux-serverdistributioner understøttes:

Distribution x64 (AMD64/EM64T) ARM64
Red Hat Enterprise Linux 7,2+, 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Centos 7,2+, 8.x Understøttes ikke
CentOS-Stream 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Ubuntu LTS 16.04, 18.04, 20.04, 22.04,24.04 20.04, 22.04, 24.04
Ubuntu Pro 22.04, 24.04 22.04, 24.04
Debian 9–13 11, 12
SUSE Linux Enterprise Server 12.x, 15.x 15 (SP5, SP6)
Oracle Linux 7,2+, 8.x, 9.x 8.x, 9.x
Amazon Linux 2, 2023 2, 2023
Fedora 33–42 Understøttes ikke
Rocky Linux 8.7+, 9.2+ Understøttes ikke
Alma Linux 8.4+, 9.2+ Understøttes ikke
Mariner 2 Understøttes ikke

Bemærk!

Distributioner og versioner, der ikke udtrykkeligt er angivet ovenfor, og brugerdefinerede operativsystemer, understøttes ikke (også selvom de er afledt af de officielt understøttede distributioner). Microsoft Defender for Endpoint er kerneversionagnostisk for alle andre understøttede distributioner og versioner. Det minimale krav til kerneversionen er 3.10.0-327 eller nyere.

Advarsel

Kørsel af Defender for Endpoint på Linux sammen med andre fanotify-baserede sikkerhedsløsninger understøttes ikke og kan føre til uforudsigelig adfærd, herunder systemophæng. Hvis nogen programmer bruger fanotify i blokeringstilstand, vises de i feltet conflicting_applications i mdatp-tilstandskommandooutputtet. Du kan stadig trygt drage fordel af Defender for Endpoint på Linux ved at angive håndhævelsesniveauet for antivirus til passiv. Se Konfigurer sikkerhedsindstillinger i Microsoft Defender for Endpoint på Linux. UNDTAGELSE: Linux-funktionen FAPolicyD , som også bruger Fanotify i blokeringstilstand, understøttes med Defender for Endpoint i aktiv tilstand på RHEL- og Fedora-platforme, forudsat at mdatp-tilstand rapporterer en sund status. Denne undtagelse er baseret på valideret kompatibilitet, der er specifik for disse distributioner.

Understøttede filsystemer til beskyttelse i realtid og hurtige, komplette og brugerdefinerede scanninger

Beskyttelse i realtid og hurtig/fuld scanning Brugerdefinerede scanninger
btrfs Alle filsystemer, der understøttes til beskyttelse i realtid og hurtig/fuld scanning, understøttes også for brugerdefinerede scanninger. I tilføjelse understøttes de filsystemer, der er angivet nedenfor, også for brugerdefinerede scanninger.
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3) cifs
nfs4 smb
overlay gcsfuse
ramfs sysfs
reiserfs
tmpfs
udf
vfat
xfs

Bemærk!

Hvis du vil scanne NFS v3-tilslutningspunkter, skal du sørge for at angive no_root_squash eksportindstillingen. Uden denne indstilling kan scanning af NFS v3 potentielt mislykkes på grund af manglende tilladelser.

Roller og tilladelser

  • Der kræves administrative rettigheder til Linux-serverslutpunktet for at kunne installeres.
  • En relevant rolle, der er tildelt i Defender for Endpoint. Se Rollebaseret adgangskontrol.

Installationsmetoder og -værktøjer

Der er flere metoder og værktøjer, som du kan bruge til at installere Microsoft Defender for Endpoint på understøttede Linux-servere.

Det anbefales at bruge udrulningsværktøjet baseret på udrulning, da det forenkler onboardingprocessen, reducerer manuelle opgaver og understøtter en lang række installationsscenarier, herunder nye installationer, opgraderinger og fjernelser. Du kan finde flere oplysninger under Installér Microsoft Defender slutpunktssikkerhed på Linux-enheder ved hjælp af Defender-udrulningsværktøjet (prøveversion).

Vigtigt!

På Linux opretter Microsoft Defender for Endpoint en mdatp-bruger med tilfældige UID- og GID-værdier. Hvis du vil styre disse værdier, skal du oprette en mdatp-bruger, før du installation bruger shell-indstillingen /usr/sbin/nologin . Her er et eksempel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Hvis du oplever installationsproblemer, er selvfejlfindingsressourcer tilgængelige. Se linkene i afsnittet Relateret indhold.

Næste trin

Relateret indhold

  • Last updated on