ヒント
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップします。
LinuxのMicrosoft Defender for Endpointは、組織がLinux サーバー上の高度な脅威を防止、検出、調査、対応するのに役立ちます。 次の表では、Linuxでの Defender for Endpoint の機能について説明します。
| カテゴリ | 説明 |
|---|---|
| ポスチャ管理 | Linux上の Defender for Endpoint は、監視とリスクベースの脆弱性管理とインテリジェントな優先順位付け、修復、追跡を組み合わせたものです。 これらの機能を使用すると、Linux サーバーを管理およびセキュリティで保護できます。 セキュリティ チームは、organizationの露出スコア、セキュリティに関する推奨事項、修復アクティビティ、ソフトウェア インベントリなどの単一の包括的なビューを取得します。 |
| 脅威に対する保護 | Linuxの Defender for Endpoint には、ローカルおよびクラウドベースの機械学習モデル、動作分析、ヒューリスティックを使用した次世代のウイルス対策保護が含まれています。 クラウド保護は、ほぼ瞬時に検出され、新たに生じる脅威のブロックを提供します。 定期的なセキュリティ インテリジェンスと製品更新プログラムを使用して、専用の継続的な保護を提供します。 ウイルス対策、クラウド保護、スキャン オプションなどの セキュリティ設定を構成 できます。 ウイルス対策スキャンをスケジュールし、望ましくない可能性のあるアプリケーションを検出してブロックできます。 ネットワーク保護と Web 保護 (現在プレビュー段階) は、悪意のあるサイトまたは不要なサイトへの接続を制御することで、web ベースの脅威からLinuxデバイスを保護するのに役立ちます。 また、カスタム IP ベースおよび URL ベースの侵害インジケーターのポリシーを調査して定義することもできます (現在、Linuxでもプレビュー中)。 |
| エンドポイントの検出および応答 | Linux上の Defender for Endpoint では、AI と高度な分析を使用して、リアルタイムに近い脅威を検出して対応します。 https://security.microsoft.comのMicrosoft Defender ポータルは、Microsoft Defender スイートとorganizationのデバイス全体の検出を表示するための中心的な場所を提供します。 高度なハンティングを使用して生データを表示し、ネットワーク イベントに関するより多くの洞察を得ることができます。 Linuxでの応答アクションには、ウイルス対策スキャンの実行、デバイスの分離、調査パッケージの収集、詳細な分析のためのファイルの収集などがあります。 リモート シェル接続に ライブ応答 を使用して、詳細な調査を実行することもできます。 自動調査と応答、ブロック モードの EDR、およびファイルとプロセスのブロック/停止/検疫は、Linuxでは使用できません。 完全な比較については、「 プラットフォーム別のサポートされている機能」を参照してください。 |
| 管理と運用の合理化 | Linux上の Defender for Endpoint は、さまざまなLinuxディストリビューションにわたって幅広い範囲をカバーしながら、セキュリティ チームの運用を容易にします。 Microsoft Defender ポータルを使用すると、セキュリティ設定を管理し、事前に更新サイクルを計画できます。 オフラインとマルチクラウドのオプションを使用して、Linux サーバーをサポートできます。 Defender for Endpoint は、デバイス管理、脆弱性管理、脅威インテリジェンスへのプログラムアクセスのための包括的な 管理 API のセットを提供します。 使用可能な API の完全な一覧については、「 サポートされている API」を参照してください。 |
| エンタープライズ レベルのスケール、パフォーマンス、信頼性 | LinuxのMicrosoft Defender for Endpointは、カーネル モジュールなしで動作し、運用安定性のために eBPF を統合する豊富なセンサー フレームワークで、安定した耐久性のあるパフォーマンスを保証します。 Defender for Endpoint は、大規模なMicrosoft Defender スイートとシームレスに統合され、API 統合、SIEM コネクタ、Power BI サポート、ロールベースのアクセス制御 (RBAC)、MSPP サポートを通じて拡張性を提供します。 |
ヒント
- AMD64 デバイス上のLinuxの Defender for Endpoint でサポートされているすべての機能は、ARM64 ベースのサーバー上の次のLinuxディストリビューションでもサポートされています。
- Ubuntu
- RHEL
- Debian
- SUSE Linux
- Amazon Linux
- Oracle Linux
- すべての Defender for Endpoint プラットフォーム (Windows、macOS、Linux) でサポートされている機能の詳細な比較については、「プラットフォーム別のサポートされているMicrosoft Defender for Endpoint機能」を参照してください。
サーバー ライセンス
Defender for Endpoint にサーバーをオンボードするには、サーバー ライセンスが必要です。 以下のオプションから選択できます。
- サーバープラン 1 またはプラン 2 のMicrosoft Defender
- サーバーのMicrosoft Defender for Endpoint
- Microsoft Defender for Business servers (中小企業のみ)
Microsoft Defender for Endpointのライセンス要件の詳細については、「Microsoft Defender for Endpoint ライセンス情報」を参照してください。
詳細なライセンス情報については、「製品使用条件: Microsoft Defender for Endpoint」を参照し、アカウント チームと協力して使用条件の詳細を確認してください。
Linuxでの Defender for Endpoint のポリシーの展開と構成
LinuxにMicrosoft Defender for Endpointをデプロイするために使用できる方法とツールがいくつかあります。 Linuxの Defender for Endpoint の前提条件を満たしていることを確認します。
注:
デプロイ ツール ベースのデプロイを使用することをお勧めします。 Deployment Tool ベースのデプロイにより、オンボード プロセスが簡素化され、手動タスクが削減され、新しいインストール、アップグレード、アンインストールがサポートされます。
- デプロイ ツールベースのデプロイ (推奨)
- インストーラー スクリプト ベースのデプロイ
- Ansible ベースの展開
- Chef ベースの展開
- Puppet ベースの展開
- SaltStack ベースのデプロイ
- ゴールデン イメージ ベースのデプロイ
- カスタムの場所へのデプロイ
- 手動展開
- Defender for Cloud を使用した直接オンボード
- SAP を使用したLinux Server 上の Defender for Endpoint のデプロイ ガイダンス
重要
Linuxでは、Microsoft Defender for Endpointはランダムな UID 値と GID 値を持つ mdatp ユーザーを作成します。 これらの値を制御する場合は、/usr/sbin/nologin シェル オプションを使用してインストールする前に mdatp ユーザーを作成します。
mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。
インストールの問題が発生した場合は、「 参照」 セクションで自己トラブルシューティング リソースを使用できます。
Linuxで Defender for Endpoint のポリシーを構成する
Linuxで Defender for Endpoint を構成するには、次のオプションから選択します。
- Defender for Endpoint セキュリティ設定管理に登録し、Microsoft Defender ポータルを使用してポリシーを構成および管理します。
- JSON ファイルを使用する構成プロファイルを設定します。
詳細については、「Linuxで Defender for Endpoint のセキュリティ設定とポリシーを構成する」を参照してください。
ソフトウェア更新プログラム
Microsoft は、パフォーマンスの向上、セキュリティの向上、新機能の提供を行うために、Linuxに Defender for Endpoint 用のソフトウェア更新プログラムを公開しています。 ソフトウェア更新プログラムは、テストと検証に続いて、毎月リリースされます。 場合によっては、リリース間に 30 日以上かかる場合があります。 詳細については、「Linuxの Defender for Endpoint の新機能」を参照してください。
Linuxの Defender for Endpoint の各バージョンは、9 か月後に自動的に期限切れに設定されます。 利用可能な拡張機能と修正プログラムを取得できるように、現在のバージョンを使用することをお勧めします。 詳細については、「LinuxにMicrosoft Defender for Endpointの更新プログラムを展開する方法」を参照してください。
デバイス正常性レポート
Device Health レポートには、Linux サーバーのウイルス対策状態に関する情報が表示されます。 例:
- ウイルス対策モード。
- スキャン結果。
- プラットフォーム のバージョン。
- ウイルス対策エンジンのバージョン。
- セキュリティ インテリジェンス バージョン。
この情報には、ポータルまたは API を使用してアクセスできます。 詳細については、次の記事を参照してください。
応答アクションとライブ応答
セキュリティ運用チームは、デバイスにリモート接続し、さまざまな応答アクションを実行できます。 例:
- ウイルス対策スキャンを実行します。
- デバイスを分離します。
- 調査パッケージを収集します。
チームは、リモート シェル接続にライブ応答を使用して、詳細な調査作業を実行することもできます。 詳細については、次の記事を参照してください。
プライバシー
Microsoft は、Linuxの Defender for Endpoint でデータを収集および使用する方法を選択するために必要な情報と制御を提供することにコミットしています。
詳細については、「LinuxのMicrosoft Defender for Endpointのプライバシー」を参照してください。
Defender for Endpoint が影響を与える一般的なアプリケーション
特定のアプリケーションからの高い I/O ワークロードでは、Defender for Endpoint がインストールされている場合にパフォーマンスの問題が発生する可能性があります。 このような開発者シナリオのアプリケーションには、Jenkins と Jira、OracleDB や Postgres などのデータベース ワークロードが含まれます。
パフォーマンスの低下が発生する場合は、信頼されたアプリケーションの除外を設定することを検討してください。 詳細については、次の記事を参照してください。
Microsoft 以外のアプリケーションを使用している場合は、ウイルス対策の除外に関するドキュメントも参照してください。
次の手順
- Linuxでの Defender for Endpoint の前提条件を確認する
- Linuxに Defender for Endpoint を展開する
- Linuxで Defender for Endpoint を構成する
- Linuxで Defender for Endpoint の更新プログラムを展開する
関連項目
- Microsoft Defender for Endpointセキュリティ設定管理を使用してウイルス対策Microsoft Defender管理する
- リソースのLinux
- LinuxでのMicrosoft Defender for Endpointに関するクラウド接続の問題のトラブルシューティング
- エージェントの正常性に関する問題の調査
- LinuxでのMicrosoft Defender for Endpointのイベントまたはアラートの不足に関する問題のトラブルシューティング
- LinuxでのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング