Microsoft Defender pour point de terminaison Linux
Conseil
Nous sommes ravis de partager que Microsoft Defender pour point de terminaison sur Linux étend désormais la prise en charge des serveurs Linux basés sur ARM64 en préversion ! Pour plus d’informations, consultez Microsoft Defender pour point de terminaison sur Linux pour les appareils ARM64 (préversion).
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article explique comment installer, configurer, mettre à jour et utiliser Microsoft Defender pour point de terminaison sur Linux.
Attention
L’exécution d’autres produits de protection de point de terminaison non-Microsoft avec Microsoft Defender pour point de terminaison sur Linux est susceptible d’entraîner des problèmes de performances et des effets secondaires imprévisibles. Si la protection des points de terminaison non-Microsoft est une exigence absolue dans votre environnement, vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus pour qu’elle s’exécute en mode passif.
Comment installer Microsoft Defender pour point de terminaison sur Linux
Microsoft Defender pour point de terminaison pour Linux inclut des fonctionnalités anti-programme malveillant et de détection et réponse de point de terminaison (EDR).
Configuration requise
- Accès au portail Microsoft Defender
- Distribution Linux à l’aide du gestionnaire système systemd
- Expérience de niveau débutant dans les scripts Linux et BASH
- Privilèges d’administration sur l’appareil (pour le déploiement manuel)
Remarque
La distribution Linux à l’aide du gestionnaire de système prend en charge SystemV et Upstart. Microsoft Defender pour point de terminaison sur l’agent Linux est indépendant de l’agent OMS. Microsoft Defender pour point de terminaison s’appuie sur son propre pipeline de télémétrie indépendant.
Configuration requise
PROCESSEUR : 1 cœur de processeur minimum. Pour les charges de travail hautes performances, davantage de cœurs sont recommandés.
Espace disque : 2 Go minimum. Pour les charges de travail hautes performances, davantage d’espace disque peut être nécessaire.
Mémoire : 1 Go de RAM au minimum. Pour les charges de travail hautes performances, davantage de mémoire peut être nécessaire.
Remarque
Le réglage des performances peut être nécessaire en fonction des charges de travail. Consultez Résoudre les problèmes de performances pour Microsoft Defender pour point de terminaison sur Linux.
Les distributions de serveur Linux et les versions x64 (AMD64/EM64T) et x86_64 suivantes sont prises en charge :
- Red Hat Enterprise Linux 7.2 ou version ultérieure
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 ou version ultérieure
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 ou version ultérieure
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8.7 et versions ultérieures
- Rocky 9.2 et versions ultérieures
- Alma 8.4 et versions ultérieures
- Alma 9.2 et versions ultérieures
- Mariner 2
Les distributions de serveur Linux suivantes sur ARM64 sont désormais prises en charge en préversion :
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
Importante
La prise en charge de Microsoft Defender pour point de terminaison sur Linux pour les appareils Linux ARM64 est désormais en préversion. Pour plus d’informations, consultez Microsoft Defender pour point de terminaison sur Linux pour les appareils ARM64 (préversion).
Remarque
Les distributions et les versions qui ne sont pas répertoriées explicitement ne sont pas prises en charge (même si elles sont dérivées des distributions officiellement prises en charge). Une fois qu’une nouvelle version de package est publiée, la prise en charge des deux versions précédentes est réduite au support technique uniquement. Les versions antérieures à celles répertoriées dans cette section sont fournies uniquement pour la prise en charge de la mise à niveau technique. Gestion des vulnérabilités Microsoft Defender n’est actuellement pas pris en charge sur Rocky et Alma. Microsoft Defender pour point de terminaison pour toutes les autres distributions et versions prises en charge est indépendant du noyau de version. Avec une exigence minimale pour que la version du noyau soit supérieure ou égale à 3.10.0-327.
Attention
L’exécution de Defender pour point de terminaison sur Linux côte à côte avec d’autres
fanotify
solutions de sécurité basées sur n’est pas prise en charge. Cela peut entraîner des résultats imprévisibles, y compris la suspension du système d’exploitation. Si d’autres applications sur le système utilisentfanotify
en mode bloquant, les applications sont répertoriées dans leconflicting_applications
champ de la sortie de lamdatp health
commande. La fonctionnalité FAPolicyD Linux utilisefanotify
en mode bloquant et n’est donc pas prise en charge lors de l’exécution de Defender pour point de terminaison en mode actif. Vous pouvez toujours tirer parti en toute sécurité de la fonctionnalité EDR de Defender pour point de terminaison sur Linux après avoir configuré la fonctionnalité antivirus Protection en temps réel activée en mode passif.Liste des systèmes de fichiers pris en charge pour l’analyse RTP, rapide, complète et personnalisée.
RTP, Rapide, Analyse complète Analyse personnalisée btrfs
Tous les systèmes de fichiers pris en charge pour RTP, Rapide, Analyse complète ecryptfs
Efs
ext2
S3fs
ext3
Blobfuse
ext4
Lustr
fuse
glustrefs
fuseblk
Afs
jfs
sshfs
nfs
(v3 uniquement)cifs
overlay
smb
ramfs
gcsfuse
reiserfs
sysfs
tmpfs
udf
vfat
xfs
L’infrastructure d’audit (
auditd
) doit être activée si vous utilisez auditd comme fournisseur d’événements principal.Remarque
Les événements système capturés par les règles ajoutées à
/etc/audit/rules.d/
s’ajoutent àaudit.log
(s) et peuvent affecter l’audit de l’hôte et amont collection. Les événements ajoutés par Microsoft Defender pour point de terminaison sur Linux seront marqués avecmdatp
la clé./opt/microsoft/mdatp/sbin/wdavdaemon nécessite une autorisation exécutable. Pour plus d’informations, consultez « Vérifier que le démon dispose d’une autorisation exécutable » dans Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.
Instructions d’installation
Il existe plusieurs méthodes et outils de déploiement que vous pouvez utiliser pour installer et configurer Microsoft Defender pour point de terminaison sur Linux. Avant de commencer, assurez-vous que la configuration minimale requise pour Microsoft Defender pour point de terminaison est remplie.
Vous pouvez utiliser l’une des méthodes suivantes pour déployer Microsoft Defender pour point de terminaison sur Linux :
- Pour utiliser l’outil en ligne de commande, consultez Déploiement manuel
- Pour utiliser Puppet, consultez Déployer à l’aide de l’outil de gestion de configuration Puppet
- Pour utiliser Ansible, consultez Déployer à l’aide de l’outil de gestion de configuration Ansible
- Pour utiliser Chef, consultez Déployer à l’aide de l’outil de gestion de configuration Chef
- Pour utiliser Saltstack, consultez Déployer à l’aide de l’outil de gestion de configuration Saltstack
- Pour installer sur des serveurs Linux arm64, consultez Microsoft Defender pour point de terminaison sur Linux pour les appareils ARM64 (préversion).
Si vous rencontrez des échecs d’installation, consultez Résolution des problèmes d’installation dans Microsoft Defender pour point de terminaison sur Linux.
Importante
L’installation de Microsoft Defender pour point de terminaison à un emplacement autre que le chemin d’installation par défaut n’est pas prise en charge.
Microsoft Defender pour point de terminaison sur Linux crée un utilisateur avec un mdatp
UID et un GID aléatoires. Si vous souhaitez contrôler l’UID et le GID, créez un mdatp
utilisateur avant l’installation à l’aide de l’option /usr/sbin/nologin
shell. Voici un exemple : mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Dépendance de package externe
Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises. Les dépendances de package externes suivantes existent pour le package mdatp :
- Le package mdatp RPM nécessite
glibc >= 2.17
,audit
,policycoreutils
,semanage
selinux-policy-targeted
etmde-netfilter
- Pour RHEL6, le package RPM mdatp nécessite
audit
,policycoreutils
,libselinux
etmde-netfilter
- Pour DEBIAN, le package mdatp nécessite
libc6 >= 2.23
,uuid-runtime
,auditd
etmde-netfilter
Lemde-netfilter
package a également les dépendances de package suivantes :
- Pour DEBIAN, le package mde-netfilter nécessite
libnetfilter-queue1
, etlibglib2.0-0
- Pour rpm, le package mde-netfilter nécessite
libmnl
,libnfnetlink
,libnetfilter_queue
etglib2
Configuration des exclusions
Lorsque vous ajoutez des exclusions à Microsoft Defender Antivirus, vous devez tenir compte des erreurs d’exclusion courantes pour Microsoft Defender Antivirus.
Connexions réseau
Assurez-vous que la connectivité est possible entre vos appareils et Microsoft Defender pour point de terminaison services cloud. Pour préparer votre environnement, consultez ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.
Defender pour point de terminaison sur Linux peut se connecter via un serveur proxy à l’aide des méthodes de découverte suivantes :
- Proxy transparent
- Configuration manuelle du proxy statique
Si un proxy ou un pare-feu bloque le trafic anonyme, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment. Pour les proxys transparents, aucune autre configuration n’est nécessaire pour Defender pour point de terminaison. Pour le proxy statique, suivez les étapes décrites dans Configuration manuelle du proxy statique.
Avertissement
Les proxys PAC, WPAD et authentifiés ne sont pas pris en charge. Vérifiez que seul un proxy statique ou un proxy transparent est utilisé. L’inspection ssl et l’interception des proxys ne sont pas non plus prises en charge pour des raisons de sécurité. Configurez une exception pour l’inspection SSL et votre serveur proxy pour transmettre directement les données de Defender pour point de terminaison sur Linux aux URL appropriées sans interception. L’ajout de votre certificat d’interception au magasin global n’autorise pas l’interception.
Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux.
Guide pratique pour mettre à jour Microsoft Defender pour point de terminaison sur Linux
Microsoft publie régulièrement des mises à jour logicielles pour améliorer les performances, la sécurité et fournir de nouvelles fonctionnalités. Pour mettre à jour Microsoft Defender pour point de terminaison sur Linux, consultez Déployer des mises à jour pour Microsoft Defender pour point de terminaison sur Linux.
Comment configurer Microsoft Defender pour point de terminaison sur Linux
Des conseils sur la configuration du produit dans les environnements d’entreprise sont disponibles dans Définir des préférences pour Microsoft Defender pour point de terminaison sur Linux.
Les applications courantes à Microsoft Defender pour point de terminaison peuvent avoir un impact
Les charges de travail d’E/S élevées de certaines applications peuvent rencontrer des problèmes de performances lorsque Microsoft Defender pour point de terminaison est installé. Ces applications pour les scénarios de développement incluent Jenkins et Jira, ainsi que des charges de travail de base de données comme OracleDB et Postgres. En cas de dégradation des performances, envisagez de définir des exclusions pour les applications approuvées, en gardant à l’esprit les erreurs d’exclusion courantes pour Microsoft Defender antivirus. Pour plus d’informations, consultez la documentation concernant les exclusions d’antivirus des applications non-Microsoft.
Ressources
- Pour plus d’informations sur la journalisation, la désinstallation ou d’autres articles, consultez Ressources.
Articles connexes
- Protégez vos points de terminaison avec la solution EDR intégrée de Defender pour le cloud : Microsoft Defender pour point de terminaison
- Connecter vos machines non-Azure à Microsoft Defender pour le cloud
- Activer la protection réseau pour Linux
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.