Linux 用 Microsoft Defender for Endpoint

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、Linux 上の Microsoft Defender for Endpoint をインストール、構成、更新、および使用する方法について説明します。

Linux に Microsoft Defender for Endpoint をインストールする方法

Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。

前提条件

• Microsoft Defender ポータルへのアクセス

• systemd システム マネージャーを使用した Linux ディストリビューション

  注:

  RHEL/CentOS 6.x を除く、システム マネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。

• Linux および BASH スクリプトの初心者レベルのエクスペリエンス

• デバイスの管理特権 (手動展開の場合)

インストール手順

Linux 上の Microsoft Defender for Endpoint のインストールと構成に使用できる方法と展開ツールがいくつかあります。

一般に、次の手順を実行する必要があります。

• Microsoft Defender for Endpoint サブスクリプションがあることを確認します。
• 次のいずれかの展開方法を使用して、Linux 上に Microsoft Defender for Endpoint をデプロイします。
  • コマンド ライン ツール:
    • 手動展開
  • サード パーティの管理ツール:
    • Puppet 構成管理ツールを使用してデプロイする
    • Ansible 構成管理ツールを使用してデプロイする
      • Chef 構成管理ツールを使用してデプロイする
      • Saltstack 構成管理ツールを使用したデプロイ インストールエラーが発生した場合は、「 Linux 上の Microsoft Defender for Endpoint でのインストール エラーのトラブルシューティング」を参照してください。

システム要件

• サポートされている Linux サーバーディストリビューションと x64 (AMD64/EM64T) および x86_64 バージョン:

  • Red Hat Enterprise Linux 6.7 以降 (プレビュー段階)

  • Red Hat Enterprise Linux 7.2 以降

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 以降 (プレビュー段階)

  • CentOS 7.2 以降

  • Ubuntu 16.04 LTS

  • Ubuntu 18.04 LTS

  • Ubuntu 20.04 LTS

  • Ubuntu 22.04 LTS

  • Ubuntu 24.04 LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 以降

  • SUSE Linux Enterprise Server 15 以降

  • Oracle Linux 7.2 以降

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33-38

  • ロッキー 8.7 以上

  • アルマ8.4以降

  • マリナー 2

    注:

    明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。 RHEL 6 では、2024 年 6 月 30 日までに「延長された寿命」のサポートが終了します。RHEL 6 の MDE Linux サポートも、2024 年 6 月 30 日までに非推奨となる予定です。MDE Linux バージョン 101.23082.0011 は、RHEL 6.7 以降をサポートする最後の MDE Linux リリースです (2024 年 6 月 30 日までに期限切れになりません)。 お客様は、Red Hat のガイダンスに沿った RHEL 6 インフラストラクチャへのアップグレードを計画することをお勧めします。 Microsoft Defender Vulnerablity Management は現在、ロッキーとアルマではサポートされていません。

• サポートされているカーネル バージョンの一覧

  注:

  Red Hat Enterprise Linux と CentOS 上の Microsoft Defender for Endpoint - 6.7 から 6.10 はカーネル ベースのソリューションです。 新しいカーネル バージョンに更新する前に、カーネル バージョンがサポートされていることを確認する必要があります。 他のすべてのサポートされているディストリビューションとバージョンの Microsoft Defender for Endpoint は、カーネル バージョンに依存しません。 カーネル バージョンが 3.10.0-327 以上である最小要件。

  • fanotify カーネル オプションを有効にする必要があります
  • Red Hat Enterprise Linux 6 と CentOS 6:
    • 6.7: 2.6.32-573.* (2.6.32-573.el6.x86_64を除く)
    • 6.8 の場合: 2.6.32-642.*
    • 6.9: 2.6.32-696.* (2.6.32-696.el6.x86_64を除く)
    • 6.10 の場合:
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  注:

  新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。

  注意

  Linux 上で Defender for Endpoint を他の fanotify ベースのセキュリティ ソリューションと並行して実行することはサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。 fanotifyをブロッキング・モードで使用する他のアプリケーションがシステム上にある場合は、mdatp healthコマンド出力のconflicting_applications・フィールドにアプリケーションがリストされます。 Linux FAPolicyD 機能はブロック モードで fanotify を使用するため、アクティブ モードで Defender for Endpoint を実行する場合はサポートされません。 ウイルス対策機能リアルタイム保護を パッシブ モードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。

• ディスク領域: 2 GB

  注:

  クラウド診断がクラッシュ コレクションに対して有効になっている場合は、さらに 2 GB のディスク領域が必要になる場合があります。

• /opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。 詳細については、「 Linux 上の Microsoft Defender for Endpoint のインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。

• コア数: 最小 2 個、優先 4 個

• メモリ: 最小 1 GB、推奨 4

  注:

  /var に空きディスク領域があることを確認してください。

• RTP、クイック、フル、カスタム スキャンでサポートされているファイルシステムの一覧。

  RTP、クイック、フル スキャン	カスタム スキャン
  btrfs	RTP、クイック、フル スキャンでサポートされているすべてのファイルシステム
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  ヒューズ	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (v3 のみ)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

サービスを有効にしたら、ネットワークまたはファイアウォールを構成して、サービスとエンドポイント間の送信接続を許可する必要があります。

• 監査フレームワーク (auditd) を有効にする必要があります。

  注:

  /etc/audit/rules.d/に追加されたルールによってキャプチャされたシステム イベントは、audit.logに追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上の Microsoft Defender for Endpoint によって追加されたイベントには、 mdatp キーでタグが付けられます。

外部パッケージの依存関係

mdatp パッケージには、次の外部パッケージの依存関係があります。

• mdatp RPM パッケージには、"glibc >= 2.17"、"audit"、"policycoreutils"、"semanage" "selinux-policy-targeted"、"mde-netfilter" が必要です
• RHEL6 の場合、mdatp RPM パッケージには "audit"、"policycoreutils"、"libselinux"、"mde-netfilter" が必要です
• DEBIAN の場合、mdatp パッケージには "libc6 >= 2.23"、"uuid-runtime"、"auditd"、"mde-netfilter" が必要です

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

• DEBIAN の場合、mde-netfilter パッケージには "libnetfilter-queue1"、"libglib2.0-0" が必要です
• RPM の場合、mde-netfilter パッケージには "libmnl"、"libnfnetlink"、"libnetfilter_queue"、"glib2" が必要です

依存関係エラーが見つからないために Microsoft Defender for Endpoint のインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

除外の構成

Microsoft Defender ウイルス対策に除外を追加する場合は、 Microsoft Defender ウイルス対策の一般的な除外ミスに留意する必要があります。

ネットワーク接続

デバイスから Microsoft Defender for Endpoint クラウド サービスへの接続が可能であることを確認します。 環境を準備するには、「 手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。

Linux 上の Defender for Endpoint は、次の検出方法を使用してプロキシ サーバー経由で接続できます。

• 透過プロキシ
• 手動の静的プロキシ構成

プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。 透過的なプロキシの場合、Defender for Endpoint に追加の構成は必要ありません。 静的プロキシの場合は、「 手動静的プロキシ構成」の手順に従います。

トラブルシューティング手順については、「 Linux 上の Microsoft Defender for Endpoint のクラウド接続に関する問題のトラブルシューティング」を参照してください。

Linux 上の Microsoft Defender for Endpoint を更新する方法

Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux 上の Microsoft Defender for Endpoint を更新するには、「Linux 上の Microsoft Defender for Endpoint の更新プログラムを展開する」を参照してください。

Linux 用 Microsoft Defender for Endpoint の構成方法

エンタープライズ環境で製品を構成する方法のガイダンスについては、「 Linux 上の Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。

Microsoft Defender for Endpoint への一般的なアプリケーションが影響を与える可能性がある

特定のアプリケーションからの高い I/O ワークロードでは、Microsoft Defender for Endpoint がインストールされている場合にパフォーマンスの問題が発生する可能性があります。 これには、Jenkins や Jira などの開発者シナリオのアプリケーションや、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、 Microsoft Defender ウイルス対策の一般的な除外の間違い を念頭に置いて、信頼されたアプリケーションの除外を設定することを検討してください。 その他のガイダンスについては、サード パーティ製アプリケーションからのウイルス対策の除外に関するコンサルティング ドキュメントを検討してください。

リソース

• ログ記録、アンインストール、またはその他の記事の詳細については、「 リソース」を参照してください。

関連記事

• Defender for Cloud の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint
• Azure 以外のマシンを Microsoft Defender for Cloud に接続する
• Linux のネットワーク保護を有効にする