Linux 用 Microsoft Defender for Endpoint
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
この記事では、Linux 上でMicrosoft Defender for Endpointをインストール、構成、更新、および使用する方法について説明します。
注意
Linux でMicrosoft Defender for Endpointと共に他のサード パーティ製エンドポイント保護製品を実行すると、パフォーマンスの問題や予期しない副作用につながる可能性があります。 Microsoft 以外のエンドポイント保護が環境内の絶対的な要件である場合でも、 パッシブ モードで実行するようにウイルス対策機能を構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。
Linux にMicrosoft Defender for Endpointをインストールする方法
Microsoft Defender for Endpoint for Linux には、マルウェア対策とエンドポイントの検出と応答 (EDR) 機能が含まれています。
前提条件
Microsoft Defender ポータルへのアクセス
systemd システム マネージャーを使用した Linux ディストリビューション
注:
RHEL/CentOS 6.x を除く、システム マネージャーを使用した Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。
Linux および BASH スクリプトの初心者レベルのエクスペリエンス
デバイスの管理特権 (手動展開の場合)
注:
Linux エージェント上のMicrosoft Defender for Endpointは、OMS エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリ パイプラインに依存しています。
インストール手順
Linux にMicrosoft Defender for Endpointをインストールして構成するために使用できる方法とデプロイ ツールがいくつかあります。
一般に、次の手順を実行する必要があります。
- Microsoft Defender for Endpoint サブスクリプションがあることを確認します。
- 次のいずれかのデプロイ方法を使用して、Microsoft Defender for Endpointを Linux にデプロイします。
- コマンド ライン ツール:
- サード パーティの管理ツール:
注:
既定のインストール パス以外の場所にMicrosoft Defender for Endpointをインストールすることはサポートされていません。
Linux 上のMicrosoft Defender for Endpointは、ランダムな UID と GID を持つmdatp
ユーザーを作成します。 UID と GID を制御する場合は、/usr/sbin/nologin
シェル オプションを使用してインストールする前に、mdatp
ユーザーを作成します。
mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
の例を次に示します。
システム要件
- ディスク領域: 2 GB
注:
クラウド 診断がクラッシュ コレクションに対して有効になっている場合は、さらに 2 GB のディスク領域が必要になる場合があります。 /var に空きディスク領域があることを確認してください。
- コア数: 最小 2 個、優先 4 個
注:
パッシブまたは RTP ON モードの場合は、2 コアが最小で、4 コアが推奨されます。 BM を有効にする場合は、少なくとも 4 つのコアが必要です。
メモリ: 最小 1 GB、推奨 4
サポートされている Linux サーバーディストリビューションと x64 (AMD64/EM64T) およびx86_64バージョンの一覧:
Red Hat Enterprise Linux 6.7 以降 (プレビュー段階)
Red Hat Enterprise Linux 7.2 以上
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 以降 (プレビュー段階)
CentOS 7.2 以上
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Ubuntu 24.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 以上
SUSE Linux Enterprise Server 15 以降
Oracle Linux 7.2 以上
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33-38
ロッキー 8.7 以上
ロッキー 9.2 以上
アルマ8.4以降
アルマ9.2以降
マリナー 2
注:
明示的に一覧表示されていないディストリビューションとバージョンはサポートされていません (公式にサポートされているディストリビューションから派生した場合でも)。 RHEL 6 では、2024 年 6 月 30 日までに「延長された寿命」のサポートが終了します。RHEL 6 の Defender for Endpoint on Linux サポートも、2024 年 6 月 30 日までに非推奨となる予定です。Defender for Endpoint on Linux バージョン
101.23082.0011
は、RHEL 6.7 以降をサポートする Linux リリースの最後の Defender for Endpoint です (2024 年 6 月 30 日までに期限切れではありません)。 お客様は、Red Hat のガイダンスに沿った RHEL 6 インフラストラクチャへのアップグレードを計画することをお勧めします。 Microsoft Defender Vulnerablity Management は、現在ロッキーとアルマではサポートされていません。
サポートされているカーネル バージョンの一覧
注:
Red Hat Enterprise Linux と CentOS 上のMicrosoft Defender for Endpoint - 6.7 から 6.10 はカーネル ベースのソリューションです。 新しいカーネル バージョンに更新する前に、カーネル バージョンがサポートされていることを確認する必要があります。 サポートされているすべてのディストリビューションとバージョンのMicrosoft Defender for Endpointは、カーネル バージョンに依存しません。 カーネル バージョンが 3.10.0-327 以上である最小要件。
fanotify
カーネル オプションを有効にする必要がありますRed Hat Enterprise Linux 6 と CentOS 6:
- 6.7: 2.6.32-573.* (2.6.32-573.el6.x86_64を除く)
- 6.8 の場合: 2.6.32-642.*
- 6.9: 2.6.32-696.* (2.6.32-696.el6.x86_64を除く)
- 6.10 の場合:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
注:
新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。
注意
Linux 上で Defender for Endpoint を他の
fanotify
ベースのセキュリティ ソリューションと並行して実行することはサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。fanotify
をブロッキング・モードで使用する他のアプリケーションがシステム上にある場合は、mdatp health
コマンド出力のconflicting_applications
・フィールドにアプリケーションがリストされます。 Linux FAPolicyD 機能はブロック モードでfanotify
を使用するため、アクティブ モードで Defender for Endpoint を実行する場合はサポートされません。 ウイルス対策機能リアルタイム保護を パッシブ モードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。RTP、クイック、フル、カスタム スキャンでサポートされているファイルシステムの一覧。
RTP、クイック、フル スキャン カスタム スキャン btrfs RTP、クイック、フル スキャンでサポートされているすべてのファイルシステム ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr ヒューズ glustrefs fuseblk Afs jfs sshfs nfs (v3 のみ) cifs overlay smb ramfs gcsfuse reiserfs sysfs tmpfs udf vfat xfs
サービスを有効にしたら、ネットワークまたはファイアウォールを構成して、サービスとエンドポイント間の送信接続を許可する必要があります。
監査フレームワーク (
auditd
) を有効にする必要があります。注:
/etc/audit/rules.d/
に追加されたルールによってキャプチャされたシステム イベントは、audit.log
に追加され、ホストの監査とアップストリームコレクションに影響する可能性があります。 Linux 上のMicrosoft Defender for Endpointによって追加されたイベントには、mdatp
キーが付けられます。/opt/microsoft/mdatp/sbin/wdavdaemon には実行可能なアクセス許可が必要です。 詳細については、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」の「デーモンに実行可能なアクセス許可があることを確認する」を参照してください。
外部パッケージの依存関係
mdatp パッケージには、次の外部パッケージの依存関係があります。
- mdatp RPM パッケージには、
glibc >= 2.17
、audit
、policycoreutils
、semanage
selinux-policy-targeted
、mde-netfilter
- RHEL6 の場合、mdatp RPM パッケージには、
audit
、policycoreutils
、libselinux
、mde-netfilter
- DEBIAN の場合、mdatp パッケージには、
libc6 >= 2.23
、uuid-runtime
、auditd
、mde-netfilter
mde-netfilter パッケージには、次のパッケージの依存関係もあります。
- DEBIAN の場合、mde-netfilter パッケージには
libnetfilter-queue1
が必要です。libglib2.0-0
- RPM の場合、mde-netfilter パッケージには、
libmnl
、libnfnetlink
、libnetfilter_queue
、glib2
依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。
除外の構成
Microsoft Defenderウイルス対策に除外を追加する場合は、Microsoft Defenderウイルス対策の一般的な除外の間違いを念頭に置く必要があります。
ネットワーク接続
デバイスからクラウド サービスへの接続が可能であることを確認Microsoft Defender for Endpoint。 環境を準備するには、「 手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。
Linux 上の Defender for Endpoint は、次の検出方法を使用してプロキシ サーバー経由で接続できます。
- 透過プロキシ
- 手動の静的プロキシ構成
プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合は、前に一覧表示した URL で匿名トラフィックが許可されていることを確認します。 透過的なプロキシの場合、Defender for Endpoint に追加の構成は必要ありません。 静的プロキシの場合は、「 手動静的プロキシ構成」の手順に従います。
警告
PAC、WPAD、および認証済みプロキシはサポートされていません。 静的プロキシまたは透過的プロキシのみが使用されていることを確認します。
セキュリティ上の理由から、SSL 検査とプロキシのインターセプトもサポートされていません。 インターセプトなしで Defender for Endpoint on Linux から関連する URL にデータを直接渡す SSL 検査とプロキシ サーバーの例外を構成します。 インターセプト証明書をグローバル ストアに追加すると、インターセプトは許可されません。
トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。
Linux でMicrosoft Defender for Endpointを更新する方法
Microsoft では、パフォーマンス、セキュリティを向上させ、新機能を提供するためのソフトウェア更新プログラムを定期的に公開しています。 Linux でMicrosoft Defender for Endpointを更新するには、「Linux にMicrosoft Defender for Endpointの更新プログラムをデプロイする」を参照してください。
Linux 用 Microsoft Defender for Endpoint の構成方法
エンタープライズ環境で製品を構成する方法のガイダンスについては、「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。
Microsoft Defender for Endpointする一般的なアプリケーションが影響を与える可能性がある
特定のアプリケーションの I/O ワークロードが高い場合、Microsoft Defender for Endpointのインストール時にパフォーマンスの問題が発生する可能性があります。 これには、Jenkins や Jira などの開発者シナリオのアプリケーションや、OracleDB や Postgres などのデータベース ワークロードが含まれます。 パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定し、Microsoft Defenderウイルス対策に関する一般的な除外の間違いを念頭に置いて検討してください。 その他のガイダンスについては、サード パーティ製アプリケーションからのウイルス対策の除外に関するコンサルティング ドキュメントを検討してください。
リソース
- ログ記録、アンインストール、またはその他の記事の詳細については、「 リソース」を参照してください。
関連記事
- Defender for Cloud の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint
- Azure 以外のマシンを Microsoft Defender for Cloud に接続する
- Linux のネットワーク保護を有効にする
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。