Microsoft Defender per endpoint su Linux

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo articolo descrive come installare, configurare, aggiornare e usare Microsoft Defender per endpoint in Linux.

Come installare Microsoft Defender per endpoint in Linux

Microsoft Defender per endpoint per Linux include funzionalità di rilevamento e risposta di endpoint e antimalware.

Prerequisiti

• Accesso al portale di Microsoft Defender
• Distribuzione linux tramite system manager
• Esperienza di livello principiante negli script Linux e BASH
• Privilegi amministrativi nel dispositivo (per la distribuzione manuale)

Requisiti di sistema

• CPU: minimo 1 core CPU. Per carichi di lavoro a prestazioni elevate, sono consigliati più core.

• Spazio su disco: minimo 2 GB. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessario più spazio su disco.

• Memoria: almeno 1 GB di RAM. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessaria una maggiore quantità di memoria.

  Nota

  L'ottimizzazione delle prestazioni potrebbe essere necessaria in base ai carichi di lavoro. Vedere Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux.

• Sono supportate le seguenti distribuzioni del server Linux e le versioni x64 (AMD64/EM64T) e x86_64:

  • Red Hat Enterprise Linux 7.2 o versione successiva
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 o versione successiva
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 o versione successiva
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 e versioni successive
  • Rocky 9.2 e versioni successive
  • Alma 8.4 e versioni successive
  • Alma 9.2 e versioni successive
  • Mariner 2

• Le distribuzioni del server Linux seguenti in ARM64 sono ora supportate in anteprima:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Importante

  Il supporto per Microsoft Defender per endpoint in Linux per dispositivi Linux basati su ARM64 è ora disponibile in anteprima. Per altre informazioni, vedere Microsoft Defender per endpoint in Linux per dispositivi basati su ARM64 (anteprima).

  Nota

  Le distribuzioni e la versione non elencate in modo esplicito non sono supportate,anche se derivano dalle distribuzioni supportate ufficialmente. Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico. Gestione delle vulnerabilità di Microsoft Defender non è attualmente supportato in Rocky e Alma. Microsoft Defender per endpoint per tutte le altre distribuzioni e versioni supportate è indipendente dalla versione del kernel. Con un requisito minimo che la versione del kernel sia uguale o maggiore di 3.10.0-327.

  Attenzione

  L'esecuzione di Defender per endpoint in Linux affiancata ad altre fanotifysoluzioni di sicurezza basate su non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usano fanotify in modalità di blocco, le conflicting_applications applicazioni vengono elencate nel campo dell'output del mdatp health comando. La funzionalità FAPolicyD di Linux usa fanotify in modalità di blocco ed è pertanto non supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva.

• Elenco dei file system supportati per RTP, Quick, Full e Custom Scan.

  RTP, veloce, analisi completa	Analisi personalizzata
  btrfs	Tutti i file system supportati per RTP, Quick, Full Scan
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  fuse	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs (solo v3)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

• Il framework di controllo (auditd) deve essere abilitato se si usa auditd come provider di eventi primario.

  Nota

  Gli eventi di sistema acquisiti dalle regole aggiunte a /etc/audit/rules.d/ verranno aggiunti a audit.log(s) e potrebbero influire sul controllo host e sulla raccolta upstream. Gli eventi aggiunti da Microsoft Defender per endpoint in Linux verranno contrassegnati con mdatp la chiave.

• /opt/microsoft/mdatp/sbin/wdavdaemon richiede l'autorizzazione eseguibile. Per altre informazioni, vedere "Verificare che il daemon disponga dell'autorizzazione eseguibile" in Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

Istruzioni di installazione

Esistono diversi metodi e strumenti di distribuzione che è possibile usare per installare e configurare Microsoft Defender per endpoint in Linux. Prima di iniziare, verificare che siano soddisfatti i requisiti minimi per Microsoft Defender per endpoint.

È possibile usare uno dei metodi seguenti per distribuire Microsoft Defender per endpoint in Linux:

• Per usare lo strumento da riga di comando, vedere Distribuzione manuale
• Per usare Puppet, vedere Distribuire usando lo strumento di gestione della configurazione puppet
• Per usare Ansible, vedere Distribuire usando lo strumento di gestione della configurazione di Ansible
• Per usare Chef, vedere Distribuire usando lo strumento di gestione della configurazione chef
• Per usare Saltstack, vedere Distribuire usando lo strumento di gestione della configurazione Saltstack
• Per installare nei server Linux basati su ARM64, vedere Microsoft Defender per endpoint in Linux per i dispositivi basati su ARM64 (anteprima).

Se si verificano errori di installazione, vedere Risoluzione degli errori di installazione in Microsoft Defender per endpoint in Linux.

Dipendenza del pacchetto esterno

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti. Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

• Il pacchetto RPM mdatp richiede glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targetede mde-netfilter
• Per RHEL6 il pacchetto RPM mdatp richiede audit, policycoreutils, libselinuxe mde-netfilter
• Per DEBIAN il pacchetto mdatp richiede libc6 >= 2.23, uuid-runtime, auditde mde-netfilter

Ilmde-netfilter pacchetto presenta anche le dipendenze del pacchetto seguenti:

• Per DEBIAN il pacchetto mde-netfilter richiede libnetfilter-queue1, e libglib2.0-0
• Per RPM il pacchetto mde-netfilter richiede libmnl, libnfnetlink, libnetfilter_queuee glib2

Configurazione delle esclusioni

Quando si aggiungono esclusioni a Microsoft Defender Antivirus, è consigliabile tenere presente gli errori di esclusione comuni per Microsoft Defender Antivirus.

Connessioni di rete

Assicurarsi che la connettività sia possibile dai dispositivi ai servizi cloud Microsoft Defender per endpoint. Per preparare l'ambiente, vedere PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.

Defender per endpoint in Linux può connettersi tramite un server proxy usando i metodi di individuazione seguenti:

• Proxy trasparente
• Configurazione manuale del proxy statico

Se un proxy o un firewall blocca il traffico anonimo, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza. Per i proxy trasparenti, non è necessaria un'altra configurazione per Defender per endpoint. Per il proxy statico, seguire la procedura descritta in Configurazione manuale del proxy statico.

Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux.

Come aggiornare Microsoft Defender per endpoint in Linux

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità. Per aggiornare Microsoft Defender per endpoint in Linux, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Come configurare Microsoft Defender per endpoint su Linux

Le indicazioni su come configurare il prodotto negli ambienti aziendali sono disponibili in Impostare le preferenze per Microsoft Defender per endpoint in Linux.

Le applicazioni comuni da Microsoft Defender per endpoint possono influire

I carichi di lavoro di I/O elevati di determinate applicazioni possono riscontrare problemi di prestazioni quando viene installato Microsoft Defender per endpoint. Tali applicazioni per scenari di sviluppo includono Jenkins e Jira e carichi di lavoro di database come OracleDB e Postgres. Se si verifica una riduzione delle prestazioni, prendere in considerazione l'impostazione delle esclusioni per le applicazioni attendibili, tenendo presenti gli errori di esclusione comuni per Microsoft Defender Antivirus. Per altre indicazioni, prendere in considerazione la documentazione di consulenza relativa alle esclusioni antivirus da applicazioni non Microsoft.

Risorse

• Per altre informazioni sulla registrazione, la disinstallazione o altri articoli, vedere Risorse.

Articoli correlati

• Proteggere gli endpoint con la soluzione EDR integrata di Defender per cloud: Microsoft Defender per endpoint
• Connettere i computer non Azure a Microsoft Defender per il cloud
• Attivare la protezione di rete per Linux