Microsoft Defender per endpoint su Linux

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo articolo descrive come installare, configurare, aggiornare e usare Microsoft Defender per endpoint in Linux.

Attenzione

L'esecuzione di altri prodotti di endpoint protection non Microsoft insieme a Microsoft Defender per endpoint in Linux potrebbe causare problemi di prestazioni ed effetti collaterali imprevedibili. Se la protezione degli endpoint non Microsoft è un requisito assoluto nell'ambiente, è comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus per l'esecuzione in modalità passiva.

Come installare Microsoft Defender per endpoint in Linux

Microsoft Defender per endpoint per Linux include funzionalità di rilevamento e risposta di endpoint e antimalware.

Prerequisiti

  • Accesso al portale di Microsoft Defender

  • Distribuzione linux tramite system manager

    Nota

    Distribuzione Linux tramite system manager, supportare sia SystemV che Upstart.

  • Esperienza di livello principiante negli script Linux e BASH

  • Privilegi amministrativi nel dispositivo (per la distribuzione manuale)

Nota

Microsoft Defender per endpoint agente Linux è indipendente dall'agente OMS. Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.

Istruzioni di installazione

Esistono diversi metodi e strumenti di distribuzione che è possibile usare per installare e configurare Microsoft Defender per endpoint in Linux. Prima di iniziare, verificare che siano soddisfatti i requisiti minimi per Microsoft Defender per endpoint.

È possibile usare uno dei metodi seguenti per distribuire Microsoft Defender per endpoint in Linux:

Se si verificano errori di installazione, vedere Risoluzione degli errori di installazione in Microsoft Defender per endpoint in Linux.

Importante

L'installazione di Microsoft Defender per endpoint in qualsiasi percorso diverso dal percorso di installazione predefinito non è supportata. Microsoft Defender per endpoint in Linux crea un mdatp utente con UID e GID casuali. Se vuoi controllare uid e GID, crea un mdatp utente prima dell'installazione usando l'opzione shell /usr/sbin/nologin . Ecco un esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Requisiti di sistema

  • Spazio su disco: 2 GB

    Nota

    Se la diagnostica cloud è abilitata per le raccolte di arresti anomali, potrebbe essere necessario un ulteriore spazio su disco di 2 GB. Assicurarsi di avere spazio libero su disco in /var.

  • Core: due minimi, quattro preferiti

    Nota

    Se si usa la modalità Passive o RTP ON, sono necessari almeno due core. Sono preferibili quattro core. Se si attiva BM, sono necessari almeno quattro core.

  • Memoria: 1 GB minimo, 4 GB preferiti

  • Sono supportate le seguenti distribuzioni del server Linux e le versioni x64 (AMD64/EM64T) e x86_64:

    • Red Hat Enterprise Linux 7.2 o versione successiva
    • Red Hat Enterprise Linux 8.x
    • Red Hat Enterprise Linux 9.x
    • CentOS 7.2 o versione successiva
    • Ubuntu 16.04 LTS
    • Ubuntu 18.04 LTS
    • Ubuntu 20.04 LTS
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS
    • Debian 9 - 12
    • SUSE Linux Enterprise Server 12.x
    • SUSE Linux Enterprise Server 15.x
    • Oracle Linux 7.2 o versione successiva
    • Oracle Linux 8.x
    • Oracle Linux 9.x
    • Amazon Linux 2
    • Amazon Linux 2023
    • Fedora 33-38
    • Rocky 8.7 e versioni successive
    • Rocky 9.2 e versioni successive
    • Alma 8.4 e versioni successive
    • Alma 9.2 e versioni successive
    • Mariner 2

    Nota

    Le distribuzioni e la versione non elencate in modo esplicito non sono supportate,anche se derivano dalle distribuzioni supportate ufficialmente. Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico. Microsoft Defender Vulnerablity Management non è attualmente supportato in Rocky e Alma. Microsoft Defender per endpoint per tutte le altre distribuzioni e versioni supportate è indipendente dalla versione del kernel. Con un requisito minimo che la versione del kernel sia uguale o maggiore di 3.10.0-327.

    Attenzione

    L'esecuzione di Defender per endpoint in Linux affiancata ad altre fanotifysoluzioni di sicurezza basate su non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usano fanotify in modalità di blocco, le conflicting_applications applicazioni vengono elencate nel campo dell'output del mdatp health comando. La funzionalità FAPolicyD di Linux usa fanotify in modalità di blocco ed è pertanto non supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva.

  • Elenco dei file system supportati per RTP, Quick, Full e Custom Scan.

    RTP, veloce, analisi completa Analisi personalizzata
    btrfs Tutti i file system supportati per RTP, Quick, Full Scan
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 Lustr
    fuse glustrefs
    fuseblk Afs
    jfs sshfs
    nfs (solo v3) cifs
    overlay smb
    ramfs gcsfuse
    reiserfs sysfs
    tmpfs
    udf
    vfat
    xfs
  • Il framework di controllo (auditd) deve essere abilitato se si usa auditd come provider di eventi primario.

    Nota

    Gli eventi di sistema acquisiti dalle regole aggiunte a /etc/audit/rules.d/ verranno aggiunti a audit.log(s) e potrebbero influire sul controllo host e sulla raccolta upstream. Gli eventi aggiunti da Microsoft Defender per endpoint in Linux verranno contrassegnati con mdatp la chiave.

  • /opt/microsoft/mdatp/sbin/wdavdaemon richiede l'autorizzazione eseguibile. Per altre informazioni, vedere "Verificare che il daemon disponga dell'autorizzazione eseguibile" in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

Dipendenza del pacchetto esterno

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti. Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

  • Il pacchetto RPM mdatp richiede glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetede mde-netfilter
  • Per RHEL6 il pacchetto RPM mdatp richiede audit, policycoreutils, libselinuxe mde-netfilter
  • Per DEBIAN il pacchetto mdatp richiede libc6 >= 2.23, uuid-runtime, auditde mde-netfilter

Il pacchetto mde-netfilter presenta anche le dipendenze del pacchetto seguenti:

  • Per DEBIAN il pacchetto mde-netfilter richiede libnetfilter-queue1, e libglib2.0-0
  • Per RPM il pacchetto mde-netfilter richiede libmnl, libnfnetlink, libnetfilter_queuee glib2

Configurazione delle esclusioni

Quando si aggiungono esclusioni a Microsoft Defender Antivirus, è consigliabile tenere presente gli errori di esclusione comuni per Microsoft Defender Antivirus.

Connessioni di rete

Assicurarsi che la connettività sia possibile dai dispositivi ai servizi cloud Microsoft Defender per endpoint. Per preparare l'ambiente, vedere PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.

Defender per endpoint in Linux può connettersi tramite un server proxy usando i metodi di individuazione seguenti:

  • Proxy trasparente
  • Configurazione manuale del proxy statico

Se un proxy o un firewall blocca il traffico anonimo, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza. Per i proxy trasparenti, non è necessaria un'altra configurazione per Defender per endpoint. Per il proxy statico, seguire la procedura descritta in Configurazione manuale del proxy statico.

Avviso

I proxy PAC, WPAD e autenticati non sono supportati. Assicurarsi che venga usato solo un proxy statico o un proxy trasparente. Anche i proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per passare direttamente i dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non consentirà l'intercettazione.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

Come aggiornare Microsoft Defender per endpoint in Linux

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Come configurare Microsoft Defender per endpoint su Linux

Le indicazioni su come configurare il prodotto negli ambienti aziendali sono disponibili in Impostare le preferenze per Microsoft Defender per endpoint in Linux.

Le applicazioni comuni da Microsoft Defender per endpoint possono influire

I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Tali applicazioni per scenari di sviluppo includono Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili, tenendo presenti gli errori di esclusione comuni per Microsoft Defender Antivirus. Per altre indicazioni, prendere in considerazione la documentazione di consulenza relativa alle esclusioni antivirus da applicazioni non Microsoft.

Risorse

  • Per altre informazioni sulla registrazione, la disinstallazione o altri articoli, vedere Risorse.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.