Condividi tramite

Prerequisiti per Microsoft Defender per endpoint in Linux

Questo articolo elenca i prerequisiti per la distribuzione e l'onboarding di Defender per endpoint nei server Linux.

Importante

Per eseguire più soluzioni di sicurezza affiancate, vedere Considerazioni su prestazioni, configurazione e supporto.

È possibile che siano già state configurate esclusioni di sicurezza reciproca per i dispositivi di cui è stato eseguito l'onboarding in Microsoft Defender per endpoint. Se è ancora necessario impostare esclusioni reciproche per evitare conflitti, vedere Aggiungere Microsoft Defender per endpoint all'elenco di esclusione per la soluzione esistente.

Requisiti di licenza

Per eseguire l'onboarding dei server in Defender per endpoint, sono necessarie licenze server. È possibile scegliere uno dei seguenti comandi:

Per informazioni più dettagliate sui requisiti di licenza per Microsoft Defender per endpoint, vedere Microsoft Defender per endpoint informazioni sulle licenze.

Per informazioni dettagliate sulle licenze, vedere Condizioni del prodotto: Microsoft Defender per endpoint e collaborare con il team dell'account per altre informazioni sui termini e le condizioni.

Requisiti di sistema

  • CPU: minimo un core CPU. Per carichi di lavoro a prestazioni elevate, sono consigliati più core.
  • Spazio su disco: minimo 2 GB. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessario più spazio su disco.
  • Memoria: almeno 1 GB di RAM. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessaria una maggiore quantità di memoria.
  • Per l'installazione in un percorso personalizzato, vedere Prerequisiti e requisiti di sistema per l'installazione della posizione personalizzata.

Nota

L'ottimizzazione delle prestazioni potrebbe essere necessaria in base ai carichi di lavoro. Per altre informazioni, vedere Ottimizzazione delle prestazioni per Microsoft Defender per endpoint in Linux

Requisiti software

Gli endpoint server Linux devono avere systemd (system manager) installato.

Nota

Le distribuzioni Linux che usano System Manager supportano sia SystemV che Upstart. L'agente Microsoft Defender per endpoint in Linux è indipendente dall'agente di Operation Management Suite (OMS). Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.

Per usare la funzionalità di isolamento del dispositivo, è necessario abilitare quanto segue:

  • iptables
  • ip6tables
  • Kernel Linux con CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLESe CONFIG_IP_NF_MATCH_OWNER per la versione del kernel inferiore a 5.x e CONFIG_NETFILTER_XT_MATCH_OWNER da kernel 5.x.

Requisiti di rete

Gli endpoint server Linux devono essere in grado di accedere agli endpoint documentati in:

Se necessario, configurare l'individuazione del proxy statico.

Avviso

Pac, WPAD e proxy autenticati non sono supportati. Usare solo proxy statici o trasparenti. I proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per consentire il pass-through diretto dei dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non abilita l'intercettazione.

Verificare se i dispositivi possono connettersi ai servizi cloud di Defender per endpoint

  1. Preparare l'ambiente, come descritto nel passaggio 1 dell'articolo Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.

  2. Connettere Defender per endpoint in Linux tramite un server proxy usando i metodi di individuazione seguenti:

  3. Consentire il traffico anonimo negli URL elencati in precedenza, se un proxy o un firewall blocca il traffico.

Nota

La configurazione per i proxy trasparenti non è necessaria per Defender per endpoint. Vedere Configurazione manuale del proxy statico.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

Distribuzioni Linux supportate

Sono supportate le distribuzioni del server Linux seguenti:

Distribuzione x64 (AMD64/EM64T) ARM64
RedHat EnterpriseLinux 7.2+, 8.x, 9.x, 10.x 8.x, 9.x, 10.x
CentOS 7.2+, 8.x Non supportato
Stream CentOS 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Ubuntu LTS 16.04, 18.04, 20.04, 22.04,24.04 20.04, 22.04, 24.04
Ubuntu Pro 22.04, 24.04 22.04, 24.04
Debian 9–13 11, 12
SUSE Linux Enterprise Server 12.x, 15.x 15 (SP5, SP6)
Oracle Linux 7.2+, 8.x, 9.x 8.x, 9.x
Amazon Linux 2, 2023 2, 2023
Fedora 33–42 Non supportato
Rocky Linux 8.7+, 9.2+ Non supportato
Alma Linux 8.4+, 9.2+ Non supportato
Mariner 2 Non supportato

Nota

Le distribuzioni e le versioni non elencate in modo esplicito in precedenza e i sistemi operativi personalizzati non sono supportati (anche se derivano dalle distribuzioni supportate ufficialmente). Microsoft Defender per endpoint è indipendente dalla versione del kernel per tutte le altre distribuzioni e versioni supportate. Il requisito minimo per la versione del kernel è 3.10.0-327 o versione successiva.

Avviso

L'esecuzione di Defender per endpoint in Linux insieme ad altre soluzioni di sicurezza basate su fanotify non è supportata e può causare comportamenti imprevedibili, inclusi i blocchi di sistema. Se le applicazioni usano fanotify in modalità di blocco, verranno visualizzate nel campo conflicting_applications dell'output del comando di integrità mdatp. È comunque possibile sfruttare in modo sicuro Defender per endpoint in Linux impostando il livello di imposizione antivirus su passivo. Vedere Configurare le impostazioni di sicurezza in Microsoft Defender per endpoint in Linux. ECCEZIONE: La funzionalità Linux FAPolicyD , che usa Fanotify anche in modalità di blocco, è supportata con Defender per endpoint in modalità attiva nelle piattaforme RHEL e Fedora, a condizione che l'integrità di mdatp segnali uno stato integro. Questa eccezione si basa sulla compatibilità convalidata specifica di queste distribuzioni.

File system supportati per la protezione in tempo reale e analisi rapide, complete e personalizzate

Protezione in tempo reale e analisi rapide/complete Analisi personalizzate
btrfs Per le analisi personalizzate sono supportati anche tutti i file system supportati per la protezione in tempo reale e le analisi rapide/complete. In aggiunta, i file system elencati di seguito sono supportati anche per le analisi personalizzate.
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3) cifs
nfs4 smb
overlay gcsfuse
ramfs sysfs
reiserfs
tmpfs
udf
vfat
xfs

Nota

Per analizzare i punti di montaggio NFS v3, assicurarsi di impostare l'opzione no_root_squash di esportazione. Senza questa opzione, l'analisi di NFS v3 potrebbe avere esito negativo a causa della mancanza di autorizzazioni.

Ruoli e autorizzazioni

Metodi e strumenti di installazione

Esistono diversi metodi e strumenti che è possibile usare per distribuire Microsoft Defender per endpoint nei server Linux supportati.

È consigliabile usare la distribuzione basata su Strumento di distribuzione, in quanto semplifica il processo di onboarding, riduce le attività manuali e supporta un'ampia gamma di scenari di distribuzione, tra cui nuove installazioni, aggiornamenti e disinstallazioni. Per altre informazioni, vedere Distribuire Microsoft Defender sicurezza degli endpoint nei dispositivi Linux usando lo strumento di distribuzione Defender (anteprima).For more information, see Deploy Microsoft Defender endpoint security to Linux devices using the Defender deployment tool (preview).

Importante

In Linux Microsoft Defender per endpoint crea un utente mdatp con valori UID e GID casuali. Per controllare questi valori, creare un utente mdatp prima dell'installazione usando l'opzione della /usr/sbin/nologin shell. Ecco un esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Se si verificano problemi di installazione, sono disponibili risorse per la risoluzione automatica dei problemi. Vedere i collegamenti nella sezione Contenuto correlato.

Passaggi successivi

Contenuto correlato

  • Last updated on