Microsoft Defender para Ponto de Extremidade para Linux
Aplica-se a:
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Este artigo descreve como instalar, configurar, atualizar e utilizar Microsoft Defender para Ponto de Extremidade no Linux.
Cuidado
A execução de outros produtos de proteção de pontos finais de terceiros juntamente com Microsoft Defender para Ponto de Extremidade no Linux poderá levar a problemas de desempenho e efeitos colaterais imprevisíveis. Se a proteção de pontos finais não Microsoft for um requisito absoluto no seu ambiente, ainda pode tirar partido do Defender para Endpoint na funcionalidade EDR do Linux depois de configurar a funcionalidade antivírus para ser executada no modo Passivo.
Como instalar Microsoft Defender para Ponto de Extremidade no Linux
Microsoft Defender para Ponto de Extremidade para Linux inclui funcionalidades de deteção e resposta de pontos finais e antimalware (EDR).
Pré-requisitos
Acesso ao portal do Microsoft Defender
Distribuição do Linux com o systemd systemd systemdmanager
Observação
A distribuição do Linux através do gestor de sistema, exceto o RHEL/CentOS 6.x, suporta o SystemV e o Upstart.
Experiência de nível de principiante em scripts linux e BASH
Privilégios administrativos no dispositivo (para implementação manual)
Observação
Microsoft Defender para Ponto de Extremidade no agente Linux é independente do agente OMS. Microsoft Defender para Ponto de Extremidade depende do seu próprio pipeline de telemetria independente.
Instruções de instalação
Existem vários métodos e ferramentas de implementação que pode utilizar para instalar e configurar Microsoft Defender para Ponto de Extremidade no Linux.
Em geral, tem de seguir os seguintes passos:
- Certifique-se de que tem uma subscrição Microsoft Defender para Ponto de Extremidade.
- Implemente Microsoft Defender para Ponto de Extremidade no Linux com um dos seguintes métodos de implementação:
- A ferramenta de linha de comandos:
- Ferramentas de gestão de terceiros:
Observação
Não é suportado para instalar Microsoft Defender para Ponto de Extremidade em qualquer outra localização que não seja o caminho de instalação predefinido.
Microsoft Defender para Ponto de Extremidade no Linux cria um mdatp utilizador com UID e GID aleatórios. Se quiser controlar o UID e o GID, crie um mdatp utilizador antes da instalação com a opção shell /usr/sbin/nologin . Eis um exemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.
Requisitos do sistema
Espaço em disco: 2 GB
Observação
Poderá ser necessário mais 2 GB de espaço em disco se os diagnóstico da cloud estiverem ativados para coleções de falhas. Certifique-se de que tem espaço livre em disco em /var.
Núcleos: 2 mínimo, 4 preferenciais
Observação
Se estiver no modo Passivo ou RTP ON, são preferíveis 2 Núcleos e são preferíveis 4 Núcleos. Se estiver a ativar o BM, é necessário um mínimo de 4 Núcleos.
Memória: 1 GB mínimo, 4 preferenciais
Lista de distribuições de servidores Linux suportadas e x64 (AMD64/EM64T) e versões x86_64:
- Red Hat Enterprise Linux 6.7 ou superior (em pré-visualização)
- Red Hat Enterprise Linux 7.2 ou superior
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 6.7 ou superior (em pré-visualização)
- CentOS 7.2 ou superior
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 ou superior
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8.7 e superior
- Rocky 9.2 e superior
- Alma 8.4 e superior
- Alma 9.2 e superior
- Mariner 2
Observação
As distribuições e a versão que não estão explicitamente listadas não são suportadas (mesmo que sejam derivadas das distribuições oficialmente suportadas). Depois que uma nova versão de pacote é lançada, o suporte para as duas versões anteriores é reduzido apenas para suporte técnico. As versões anteriores às listadas nesta secção são fornecidas apenas para suporte técnico de atualização. Microsoft Defender a Vulnerablity Management não é atualmente suportada em Rocky e Alma. Microsoft Defender para Ponto de Extremidade para todas as outras distribuições e versões suportadas é kernel-version-agnóstico. Com um requisito mínimo para que a versão do kernel seja igual ou superior a 3.10.0-327.
Cuidado
A execução do Defender para Endpoint no Linux lado a lado com outras
fanotifysoluções de segurança baseadas não é suportada. Pode levar a resultados imprevisíveis, incluindo o bloqueio do sistema operativo. Se existirem outras aplicações no sistema que utilizemfanotifyno modo de bloqueio, as aplicações são listadas noconflicting_applicationscampo da saída domdatp healthcomando. A funcionalidade FAPolicyD do Linux utilizafanotifyno modo de bloqueio e, por conseguinte, não é suportada ao executar o Defender para Endpoint no modo ativo. Ainda pode tirar partido do Defender para Endpoint com segurança na funcionalidade EDR do Linux após configurar a funcionalidade antivírus Proteção em Tempo Real Ativada para o modo Passivo.Lista de sistemas de ficheiros suportados para RTP, Análise Rápida, Completa e Personalizada.
RTP, Análise Rápida e Completa Análise Personalizada btrfsTodos os sistemas de ficheiros suportados para RTP, Quick, Full Scan ecryptfsEfsext2S3fsext3Blobfuseext4LustrfuseglustrefsfuseblkAfsjfssshfsnfs(apenas v3)cifsoverlaysmbramfsgcsfusereiserfssysfstmpfsudfvfatxfsA arquitetura de auditoria (
auditd) tem de ser ativada se estiver a utilizar a auditoria como fornecedor de eventos principal.Observação
Os eventos de sistema capturados por regras adicionadas a
/etc/audit/rules.d/serão adicionados aaudit.log(s) e poderão afetar a auditoria do anfitrião e upstream coleção. Os eventos adicionados por Microsoft Defender para Ponto de Extremidade no Linux serão marcados commdatpchave./opt/microsoft/mdatp/sbin/wdavdaemon requer permissão executável. Para obter mais informações, veja "Garantir que o daemon tem permissão executável" em Resolver problemas de instalação de Microsoft Defender para Ponto de Extremidade no Linux.
Dependência de pacote externo
Se a instalação do Microsoft Defender para Ponto de Extremidade falhar devido a erros de dependências em falta, pode transferir manualmente as dependências de pré-requisitos. Existem as seguintes dependências de pacotes externos para o pacote mdatp:
- O pacote Mdatp RPM requer
glibc >= 2.17, ,auditpolicycoreutils,semanageselinux-policy-targetedemde-netfilter - Para RHEL6, o pacote RPM mdatp requer
audit,policycoreutils,libselinuxemde-netfilter - Para DEBIAN, o pacote mdatp requer
libc6 >= 2.23,uuid-runtime,auditdemde-netfilter
O pacote mde-netfilter também tem as seguintes dependências de pacote:
- Para o DEBIAN, o pacote mde-netfilter requer
libnetfilter-queue1, elibglib2.0-0 - Para o RPM, o pacote mde-netfilter requer
libmnl,libnfnetlink,libnetfilter_queueeglib2
Configurar Exclusões
Ao adicionar exclusões ao Antivírus Microsoft Defender, deve estar atento aos Erros de Exclusão Comuns do Antivírus Microsoft Defender.
Conexões de rede
Certifique-se de que a conectividade é possível dos seus dispositivos para Microsoft Defender para Ponto de Extremidade serviços cloud. Para preparar o seu ambiente, consulte o PASSO 1: Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint.
O Defender para Endpoint no Linux pode ligar-se através de um servidor proxy através dos seguintes métodos de deteção:
- Proxy transparente
- Configuração de proxy estático manual
Se um proxy ou firewall estiver a bloquear o tráfego anónimo, certifique-se de que o tráfego anónimo é permitido nos URLs listados anteriormente. Para proxies transparentes, não é necessária qualquer configuração adicional para o Defender para Endpoint. Para o proxy estático, siga os passos em Configuração de Proxy Estático Manual.
Aviso
Pac, WPAD e proxies autenticados não são suportados. Certifique-se de que apenas está a ser utilizado um proxy estático ou um proxy transparente. A inspeção SSL e os proxies de interceção também não são suportados por razões de segurança. Configure uma exceção para a inspeção SSL e o servidor proxy para transmitir diretamente os dados do Defender para Endpoint no Linux para os URLs relevantes sem intercepção. Adicionar o certificado de intercepção ao arquivo global não permitirá a intercepção.
Para obter os passos de resolução de problemas, veja Resolver problemas de conectividade da cloud para Microsoft Defender para Ponto de Extremidade no Linux.
Como atualizar Microsoft Defender para Ponto de Extremidade no Linux
A Microsoft publica regularmente atualizações de software para melhorar o desempenho, a segurança e fornecer novas funcionalidades. Para atualizar Microsoft Defender para Ponto de Extremidade no Linux, consulte Implementar atualizações para Microsoft Defender para Ponto de Extremidade no Linux.
Como configurar o Microsoft Defender para Ponto de Extremidade para Linux
A documentação de orientação sobre como configurar o produto em ambientes empresariais está disponível em Definir preferências para Microsoft Defender para Ponto de Extremidade no Linux.
As Aplicações Comuns para Microsoft Defender para Ponto de Extremidade podem ter impacto
As cargas de trabalho de E/S elevadas de determinadas aplicações podem ter problemas de desempenho quando Microsoft Defender para Ponto de Extremidade está instalada. Estas incluem aplicações para cenários de programador, como Jenkins e Jira, e cargas de trabalho de bases de dados como OracleDB e Postgres. Se ocorrer degradação do desempenho, considere definir exclusões para aplicações fidedignas, tendo em conta os Erros de Exclusão Comuns para Microsoft Defender Antivírus. Para obter orientações adicionais, considere consultar documentação sobre exclusões de antivírus de aplicações de terceiros.
Recursos
- Para obter mais informações sobre o registo, a desinstalação ou outros artigos, veja Recursos.
Artigos relacionados
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.