Microsoft Defender para Endpoint no Linux
Sugestão
Estamos entusiasmados por partilhar essa Microsoft Defender para Endpoint no Linux agora expande o suporte para servidores Linux baseados em ARM64 em pré-visualização! Para obter mais informações, veja Microsoft Defender para Endpoint no Linux para dispositivos baseados em ARM64 (pré-visualização).
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Este artigo descreve como instalar, configurar, atualizar e utilizar Microsoft Defender para Endpoint no Linux.
Atenção
A execução de outros produtos de proteção de pontos finais não Microsoft juntamente com Microsoft Defender para Endpoint no Linux poderá levar a problemas de desempenho e efeitos colaterais imprevisíveis. Se a proteção de pontos finais não Microsoft for um requisito absoluto no seu ambiente, ainda pode tirar partido da funcionalidade Defender para Endpoint no Linux EDR depois de configurar a funcionalidade antivírus para ser executada no modo Passivo.
Como instalar Microsoft Defender para Endpoint no Linux
Microsoft Defender para Endpoint para Linux inclui funcionalidades de deteção e resposta de pontos finais e antimalware (EDR).
Pré-requisitos
- Acesso ao portal do Microsoft Defender
- Distribuição do Linux com o systemd systemd systemdmanager
- Experiência de nível de principiante em scripts linux e BASH
- Privilégios administrativos no dispositivo (para implementação manual)
Nota
A distribuição do Linux através do gestor de sistema suporta SystemV e Upstart. Microsoft Defender para Endpoint no agente Linux é independente do agente do Operation Management Suite (OMS). Microsoft Defender para Endpoint depende do seu próprio pipeline de telemetria independente.
System requirements
CPU: 1 núcleo de CPU mínimo. Para cargas de trabalho de elevado desempenho, são recomendados mais núcleos.
Espaço em Disco: 2 GB no mínimo. Para cargas de trabalho de elevado desempenho, poderá ser necessário mais espaço em disco.
Memória: 1 GB de mínimo de RAM. Para cargas de trabalho de elevado desempenho, poderá ser necessária mais memória.
Nota
A otimização do desempenho pode ser necessária com base em cargas de trabalho. Veja Resolver problemas de desempenho do Microsoft Defender para Endpoint no Linux.
São suportadas as seguintes distribuições de servidor linux e versões x64 (AMD64/EM64T):
- Red Hat Enterprise Linux 7.2 ou superior
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 ou superior
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 ou superior
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8.7 e superior
- Rocky 9.2 e superior
- Alma 8.4 e superior
- Alma 9.2 e superior
- Mariner 2
As seguintes distribuições do servidor Linux no ARM64 são agora suportadas em pré-visualização:
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
Importante
O suporte para Microsoft Defender para Endpoint no Linux para dispositivos Linux baseados em ARM64 está agora em pré-visualização. Para obter mais informações, veja Microsoft Defender para Endpoint no Linux para dispositivos baseados em ARM64 (pré-visualização).
Nota
As versões da estação de trabalho destas distribuições não são suportadas. As distribuições e versões que não estão explicitamente listadas não são suportadas (mesmo que sejam derivadas das distribuições oficialmente suportadas). Após o lançamento de uma nova versão do pacote, o suporte para as duas versões anteriores é reduzido para apenas suporte técnico. As versões anteriores às listadas nesta secção são fornecidas apenas para suporte técnico de atualização. Atualmente, as distribuições Rocky e Alma não são suportadas no Gestão de vulnerabilidades do Microsoft Defender. Microsoft Defender para Endpoint para todas as outras distribuições e versões suportadas é agnóstico com a versão de kernel. O requisito mínimo para que a versão do kernel seja
3.10.0-327ou posterior.Atenção
A execução do Defender para Endpoint no Linux lado a lado com outras
fanotifysoluções de segurança baseadas não é suportada. Pode levar a resultados imprevisíveis, incluindo o bloqueio do sistema operativo. Se existirem outras aplicações no sistema que utilizemfanotifyno modo de bloqueio, as aplicações são listadas noconflicting_applicationscampo da saída domdatp healthcomando. A funcionalidade FAPolicyD do Linux utilizafanotifyno modo de bloqueio e, por conseguinte, não é suportada ao executar o Defender para Endpoint no modo ativo. Ainda pode tirar partido do Defender para Endpoint com segurança na funcionalidade EDR do Linux após configurar a funcionalidade antivírus Proteção em Tempo Real Ativada para o modo Passivo.Lista de sistemas de ficheiros suportados para ANÁLISE RTP, Rápida, Completa e Personalizada.
| RTP, Análise Rápida e Completa | Análise Personalizada |
|---|---|
btrfs |
Todos os sistemas de ficheiros suportados para RTP, Quick, Full Scan |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (apenas v3) |
cifs |
overlay |
smb |
ramfs |
gcsfuse |
reiserfs |
sysfs |
tmpfs |
|
udf |
|
vfat |
|
xfs |
Nota
A partir da versão 101.24082.0004, o Defender para Endpoint no Linux já não suporta o Auditd fornecedor de eventos. Estamos a transitar completamente para a tecnologia de Filtro de Pacotes de Berkeley (eBPF) alargada mais eficiente.
Se o eBPF não for suportado nos seus computadores ou se existirem requisitos específicos para permanecer em Auditado e os computadores estiverem a utilizar o Defender para Endpoint na versão 101.24072.0001 do Linux ou inferior, a Arquitetura de auditoria (auditd) tem de estar ativada no seu sistema.
Se estiver a utilizar Auditoria, os eventos do sistema capturados por regras adicionadas a /etc/audit/rules.d/ (s) adicionam a audit.log(s) e podem afetar a auditoria do anfitrião e a recolha a montante. Os eventos adicionados por Microsoft Defender para Endpoint no Linux são marcados com a mdatp chave.
- /opt/microsoft/mdatp/sbin/wdavdaemon requer permissão executável. Para obter mais informações, veja "Garantir que o daemon tem permissão executável" em Resolver problemas de instalação de Microsoft Defender para Endpoint no Linux.
Instruções de instalação
Existem vários métodos e ferramentas de implementação que pode utilizar para instalar e configurar Microsoft Defender para Endpoint no Linux. Antes de começar, certifique-se de que os Requisitos mínimos para Microsoft Defender para Endpoint são cumpridos.
Pode utilizar um dos seguintes métodos para implementar Microsoft Defender para Endpoint no Linux:
- Para utilizar a ferramenta de linha de comandos, veja Implementação manual
- Para utilizar o Puppet, veja Implementar com a ferramenta de gestão de configuração do Puppet
- Para utilizar o Ansible, veja Implementar com a ferramenta de gestão de configuração do Ansible
- Para utilizar o Chef, veja Implementar com a ferramenta de gestão de configuração do Chef
- Para utilizar o Saltstack, veja Implementar com a ferramenta de gestão de configuração saltstack
- Para instalar em servidores Linux baseados em ARM64, veja Microsoft Defender para Endpoint no Linux para dispositivos baseados em ARM64 (pré-visualização).
Se ocorrer alguma falha de instalação, veja Resolver problemas de falhas de instalação no Microsoft Defender para Endpoint no Linux.
Importante
A instalação de Microsoft Defender para Endpoint em qualquer localização que não seja o caminho de instalação predefinido não é suportada.
Microsoft Defender para Endpoint no Linux cria um mdatp utilizador com UID e GID aleatórios. Se quiser controlar o UID e o GID, crie um mdatp utilizador antes da instalação com a opção shell /usr/sbin/nologin . Eis um exemplo: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.
Dependência de pacote externo
Se a instalação do Microsoft Defender para Endpoint falhar devido a erros de dependências em falta, pode transferir manualmente as dependências de pré-requisitos. Existem as seguintes dependências de pacotes externos para o pacote mdatp:
- O pacote Mdatp RPM requer
glibc >= 2.17, ,policycoreutilsselinux-policy-targetedemde-netfilter - Para RHEL6, o pacote RPM mdatp requer
policycoreutils,libselinuxemde-netfilter - Para o DEBIAN, o pacote mdatp requer
libc6 >= 2.23,uuid-runtimeemde-netfilter
Nota
A partir da versão 101.24082.0004, o Defender para Endpoint no Linux já não suporta o Auditd fornecedor de eventos. Estamos a transitar completamente para a tecnologia eBPF mais eficiente.
Se o eBPF não for suportado nos computadores ou se existirem requisitos específicos para permanecer em Auditado e os computadores estiverem a utilizar o Defender para Endpoint na versão 101.24072.0001 do Linux ou anterior, existe a seguinte dependência adicional no pacote auditado para mdatp:
- O pacote Mdatp RPM requer
audit,semanage. - Para o DEBIAN, o pacote mdatp requer
auditd. - Para o Mariner, o pacote mdatp requer
audit.
Omde-netfilter pacote também tem as seguintes dependências de pacote:
- Para o DEBIAN, o pacote mde-netfilter requer
libnetfilter-queue1, elibglib2.0-0 - Para o RPM, o pacote mde-netfilter requer
libmnl,libnfnetlink,libnetfilter_queueeglib2
Configurar Exclusões
Ao adicionar exclusões ao Antivírus Microsoft Defender, deve estar atento aos Erros de Exclusão Comuns do Antivírus Microsoft Defender.
Ligações de rede
Certifique-se de que a conectividade é possível a partir dos seus dispositivos para Microsoft Defender para Endpoint serviços cloud. Para preparar o seu ambiente, veja STEP 1: Configure your network environment to ensure connectivity with Defender for Endpoint service (PASSO 1: Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint).
O Defender para Endpoint no Linux pode ligar-se através de um servidor proxy através dos seguintes métodos de deteção:
- Proxy transparente
- Configuração de proxy estático manual
Se um proxy ou firewall estiver a bloquear o tráfego anónimo, certifique-se de que o tráfego anónimo é permitido nos URLs listados anteriormente. Para proxies transparentes, não é necessária outra configuração para o Defender para Endpoint. Para o proxy estático, siga os passos em Configuração de Proxy Estático Manual.
Aviso
O PAC, o WPAD e os proxies autenticados não são suportados. Certifique-se de que apenas está a ser utilizado um proxy estático ou um proxy transparente. A inspeção SSL e os proxies de interceção também não são suportados por razões de segurança. Configure uma exceção para a inspeção SSL e o servidor proxy para transmitir diretamente os dados do Defender para Endpoint no Linux para os URLs relevantes sem intercepção. Adicionar o certificado de intercepção ao arquivo global não permitirá a intercepção.
Para obter os passos de resolução de problemas, veja Resolver problemas de conectividade da cloud para Microsoft Defender para Endpoint no Linux.
Como atualizar Microsoft Defender para Endpoint no Linux
A Microsoft publica regularmente atualizações de software para melhorar o desempenho, a segurança e fornecer novas funcionalidades. Para atualizar Microsoft Defender para Endpoint no Linux, consulte Implementar atualizações para Microsoft Defender para Endpoint no Linux.
Como configurar Microsoft Defender para Endpoint no Linux
A documentação de orientação sobre como configurar o produto em ambientes empresariais está disponível em Definir preferências para Microsoft Defender para Endpoint no Linux.
As Aplicações Comuns para Microsoft Defender para Endpoint podem ter impacto
As cargas de trabalho de E/S elevadas de determinadas aplicações podem ter problemas de desempenho quando Microsoft Defender para Endpoint está instalada. Tais aplicações para cenários de programador incluem Jenkins e Jira, e cargas de trabalho de bases de dados como OracleDB e Postgres. Se ocorrer degradação do desempenho, considere definir exclusões para aplicações fidedignas, tendo em conta os Erros de Exclusão Comuns para Microsoft Defender Antivírus. Para obter mais orientações, considere consultar documentação sobre exclusões de antivírus de aplicações que não sejam da Microsoft.
Recursos
- Para obter mais informações sobre o registo, a desinstalação ou outros artigos, veja Recursos.
Artigos relacionados
- Proteja os pontos finais com a solução EDR integrada do Defender para Cloud: Microsoft Defender para Endpoint
- Ligar as máquinas virtuais que não são do Azure ao Microsoft Defender para a Cloud
- Ativar a proteção de rede para Linux
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.