Jaa

Linux-Microsoft Defender for Endpoint edellytykset

Tässä artikkelissa luetellaan edellytykset Defender for Endpointin käyttöönottoon ja käyttöönottoon Linux-palvelimilla.

Tärkeää

Jos haluat suorittaa useita suojausratkaisuja rinnakkain, tutustu ohjeartikkeliin Suorituskykyyn, määrityksiin ja tukeen liittyvät seikat.

Olet ehkä jo määrittänyt keskinäiset suojauksen poissulkemiset laitteille, jotka on otettu käyttöön Microsoft Defender for Endpoint. Jos ristiriitojen välttämiseksi on edelleen määritettävä keskinäisiä poissulkemisia, katso Microsoft Defender for Endpoint lisääminen olemassa olevan ratkaisusi poissulkemisluetteloon.

Käyttöoikeusvaatimukset

Palvelinkäyttöoikeudet vaaditaan, jotta palvelin voidaan lisätä Defender for Endpointiin. Voit valita seuraavista vaihtoehdoista:

  • palvelinten palvelupaketin 1 tai palvelupaketin 2 Microsoft Defender
  • palvelimien Microsoft Defender for Endpoint
  • Microsoft Defender for Business servers (vain pienille ja keskisuurille yrityksille)

Lisätietoja Microsoft Defender for Endpoint käyttöoikeusvaatimuksista on artikkelissa Microsoft Defender for Endpoint käyttöoikeustiedot.

Lisätietoja käyttöoikeuksista on artikkelissa Tuotteen käyttöehdot: Microsoft Defender for Endpoint ja tee yhteistyötä tilitiimisi kanssa saadaksesi lisätietoja käyttöehdoista.

Järjestelmävaatimukset

  • Suoritin: vähintään yksi suoritinydin. Suuren suorituskyvyn kuormituksille suositellaan enemmän ytimiä.
  • Levytila: vähintään 2 Gt. Suuren suorituskyvyn kuormituksille saattaa tarvita enemmän levytilaa.
  • Muisti: vähintään 1 Gt RAM-muistia. Suuren suorituskyvyn kuormituksille saatetaan tarvita enemmän muistia.
  • Jos asennat mukautetulle polulle, katso mukautetun sijainnin asennuksen edellytykset ja järjestelmävaatimukset.

Huomautus

Suorituskyvyn säätö saattaa olla tarpeen kuormitusten perusteella. Lisätietoja on artikkelissa Microsoft Defender for Endpoint suorituskyvyn säätäminen Linuxissa

Ohjelmistovaatimukset

Linux-palvelimen päätepisteisiin on oltava asennettuna systemd (system manager).

Huomautus

Linux-jakelut, jotka käyttävät järjestelmänhallintaa, tukevat sekä SystemV:tä että Upstartia. Microsoft Defender for Endpoint Linux-agentissa on riippumaton Operation Management Suite (OMS) -agentista. Microsoft Defender for Endpoint luottaa omaan riippumattomaan telemetriaputkeensa.

Jotta laitteen eristystoimintoa voidaan käyttää, seuraavien on oltava käytössä:

  • iptables
  • ip6tables
  • Linux-ytimen kanssa CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLESja CONFIG_IP_NF_MATCH_OWNER ytimen versio on pienempi kuin 5.x ja CONFIG_NETFILTER_XT_MATCH_OWNER ytimen 5.x.

Verkkovaatimukset

Linux-palvelimen päätepisteiden pitäisi pystyä käyttämään päätepisteitä, jotka on dokumentoitu kohteessa:

Määritä tarvittaessa staattinen välityspalvelimen etsintä.

Varoitus

PAC:tä, WPAD:ia ja todennettuja välityslehtiä ei tueta. Käytä vain staattisia tai läpinäkyviä välitysvälitystoimintoja. SSL-tarkastusta ja välitysvälitysvälitysten pysäyttämistä ei tueta turvallisuussyistä. Määritä poikkeus SSL-tarkastusta ja välityspalvelinta varten, jotta voit sallia tietojen suoran läpiviennin Linuxin Defender for Endpointista asianmukaisiin URL-osoitteisiin ilman sieppausta. Sieppausvarmenteen lisääminen yleiseen säilöön ei salli sieppausta.

Varmista, voivatko laitteet muodostaa yhteyden Defender for Endpoint -pilvipalveluihin

  1. Valmistele ympäristösi seuraavan artikkelin vaiheessa 1 kuvatulla tavalla Verkkoympäristön määrittäminen yhteyden varmistamiseksi Defender for Endpoint -palveluun.

  2. Yhdistä Defender for Endpoint Linuxissa välityspalvelimen kautta seuraavilla etsintämenetelmillä:

  3. Salli anonyymi liikenne aiemmin luetelluissa URL-osoitteissa, jos välityspalvelin tai palomuuri estää liikenteen.

Huomautus

Defender for Endpoint ei tarvitse läpinäkyviä välitysvälitysmäärityksiä. Katso Staattisen välityspalvelimen manuaalinen määritys.

Lisätietoja vianmäärityksestä on artikkelissa Linux-Microsoft Defender for Endpoint pilvipalveluun liittyvien yhteysongelmien vianmääritys.

Tuetut Linux-jakelut

Seuraavia Linux-palvelinjakaumia tuetaan:

Jakelu x64 (AMD64/EM64T) ARM64
Red Hat Enterprise Linux 7.2+, 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Centos 7.2+, 8.x Ei tuettu
CentOS-Stream 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Ubuntu LTS 16.04, 18.04, 20.04, 22.04,24.04 20.04, 22.04, 24.04
Ubuntu Pro 22.04, 24.04 22.04, 24.04
Debian 9–13 11, 12
SUSE Linux Enterprise Server 12.x, 15.x 15 (SP5, SP6)
Oracle Linux 7.2+, 8.x, 9.x 8.x, 9.x
Amazon Linux 2, 2023 2, 2023
Fedora 33–42 Ei tuettu
Rocky Linux 8.7+, 9.2+ Ei tuettu
Alma Linux 8.4+, 9.2+ Ei tuettu
Mariner 2 Ei tuettu

Huomautus

Jakeluja ja versioita, joita ei ole nimenomaisesti lueteltu edellä, sekä mukautettuja käyttöjärjestelmiä, ei tueta (vaikka ne olisi johdettu virallisesti tuetuista jakaumista). Microsoft Defender for Endpoint on ytimen versioagnostinen kaikille muille tuetuille jakeluille ja versioille. Ytimen version vähimmäisvaatimus on 3.10.0-327 tai uudempi.

Varoitus

Defender for Endpointin suorittamista Linuxissa muiden fanotify-pohjaisten suojausratkaisujen rinnalla ei tueta, ja se voi johtaa arvaamattomaan toimintaan, kuten järjestelmä jumiutumisiin. Jos jokin sovellus käyttää fanotify-toimintoa estotilassa, ne näkyvät mdatp-kuntokomennon tulosteen conflicting_applications-kentässä. Voit edelleen turvallisesti hyödyntää Defender for Endpointia Linuxissa määrittämällä virustentorjunnan pakotustasoksi passiivisen. Katso Suojausasetusten määrittäminen Linuxin Microsoft Defender for Endpoint. POIKKEUS: Linux-ominaisuutta FAPolicyD , joka käyttää myös Fanotifya estotilassa, tuetaan Defender for Endpointin kanssa aktiivisessa tilassa RHEL- ja Fedora-ympäristöissä, kunhan mdatp-kuntoraportit ovat kunnossa. Tämä poikkeus perustuu näihin jakaumaan erityisesti vahvistettuun yhteensopivuuteen.

Tuetut tiedostojärjestelmät reaaliaikaista suojausta varten sekä nopeat, täydet ja mukautetut tarkistukset

Reaaliaikainen suojaus ja nopeat/täydet tarkistukset Mukautetut tarkistukset
btrfs Myös kaikkia tiedostojärjestelmiä, joita tuetaan reaaliaikaisen suojauksen ja nopeiden ja täydellisten tarkistusten tueksi, tuetaan mukautetuissa tarkistuksissa. Lisäyksestä tuetaan myös alla lueteltuja tiedostojärjestelmiä mukautetuissa tarkistuksissa.
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3) cifs
nfs4 smb
overlay gcsfuse
ramfs sysfs
reiserfs
tmpfs
udf
vfat
xfs

Huomautus

Jos haluat tarkistaa NFS v3 -käyttöönottopisteet, varmista, että määrität vientiasetuksen no_root_squash . Ilman tätä asetusta NFS v3:n skannaaminen voi mahdollisesti epäonnistua käyttöoikeuksien puuttumisen vuoksi.

Roolit ja käyttöoikeudet

  • Asennus edellyttää Linux-palvelimen päätepisteen hallintaoikeuksia.
  • Sopiva rooli, joka on määritetty Defender for Endpointissa. Katso Roolipohjaisen käytön hallinta.

Asennusmenetelmät ja -työkalut

On olemassa useita menetelmiä ja työkaluja, joiden avulla voit ottaa Microsoft Defender for Endpoint käyttöön tuetuissa Linux-palvelimilla.

Käyttöönottotyökaluun perustuvaa käyttöönottoa suositellaan, koska se yksinkertaistaa perehdytysprosessia, vähentää manuaalisia tehtäviä ja tukee monenlaisia käyttöönottoskenaarioita, kuten uusia asennuksia, päivityksiä ja asennuksen poistoja. Lisätietoja on artikkelissa Microsoft Defender päätepisteen suojauksen käyttöönotto Linux-laitteissa Defenderin käyttöönottotyökalun (esikatselu) avulla.

Tärkeää

Linuxissa Microsoft Defender for Endpoint luo mdatp-käyttäjän, jolla on satunnaisia UID- ja GID-arvoja. Jos haluat hallita näitä arvoja, luo mdatp-käyttäjä ennen asentamista käyttämällä shell-asetusta /usr/sbin/nologin . Tässä on esimerkki: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Jos asennusongelmia ilmenee, käytettävissä on omat vianmääritysresurssit. Katso linkit Aiheeseen liittyvä sisältö -osiosta.

Seuraavat vaiheet

Aiheeseen liittyvä sisältö

  • Last updated on