Vereisten voor Microsoft Defender voor Eindpunt op Linux

Dit artikel bevat de vereisten voor het implementeren en onboarden van Defender voor Eindpunt op Linux servers.

Belangrijk

Als u meerdere beveiligingsoplossingen naast elkaar wilt uitvoeren, raadpleegt u Overwegingen voor prestaties, configuratie en ondersteuning.

Mogelijk hebt u wederzijdse beveiligingsuitsluitingen al geconfigureerd voor apparaten die zijn toegevoegd aan Microsoft Defender voor Eindpunt. Als u nog steeds wederzijdse uitsluitingen moet instellen om conflicten te voorkomen, raadpleegt u Microsoft Defender voor Eindpunt toevoegen aan de uitsluitingslijst voor uw bestaande oplossing.

Licentievereisten

Voor het onboarden van servers naar Defender voor Eindpunt zijn serverlicenties vereist. U kunt kiezen uit de volgende opties:

  • Microsoft Defender voor servers, abonnement 1 of abonnement 2
  • Microsoft Defender voor Eindpunt voor servers
  • Microsoft Defender voor Bedrijfsservers (alleen voor kleine en middelgrote bedrijven)

Zie licentiegegevens voor Microsoft Defender voor Eindpunt voor meer informatie over licentievereisten voor Microsoft Defender voor Eindpunt.

Zie Productvoorwaarden: Microsoft Defender voor Eindpunt en samenwerken met uw accountteam voor meer informatie over de voorwaarden voor gedetailleerde licentie-informatie.

Systeemvereisten

  • CPU: minimaal één CPU-kern. Voor workloads met hoge prestaties worden meer kernen aanbevolen.
  • Schijfruimte: minimaal 2 GB. Voor workloads met hoge prestaties is mogelijk meer schijfruimte nodig.
  • Geheugen: minimaal 1 GB RAM-geheugen. Voor workloads met hoge prestaties is mogelijk meer geheugen nodig.
  • Voor installatie op een aangepast pad raadpleegt u Vereisten en systeemvereisten voor installatie van aangepaste locaties.

Opmerking

Het kan nodig zijn om de prestaties af te stemmen op basis van workloads. Zie Prestaties afstemmen voor Microsoft Defender voor Eindpunt op Linux voor meer informatie

Softwarevereisten

Linux servereindpunten moeten zijn geïnstalleerd in het systeem (systeembeheerder).

Opmerking

Linux distributies die gebruikmaken van systeembeheerder ondersteunen zowel SystemV als Upstart. De Microsoft Defender voor Eindpunt op Linux agent is onafhankelijk van de OMS-agent (Operation Management Suite). Microsoft Defender voor Eindpunt is afhankelijk van een eigen onafhankelijke telemetriepijplijn.

Als u de functionaliteit voor apparaatisolatie wilt gebruiken, moet het volgende zijn ingeschakeld:

  • iptables
  • ip6tables
  • Linux kernel met CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLESen CONFIG_IP_NF_MATCH_OWNER voor kernelversie lager dan 5.x en CONFIG_NETFILTER_XT_MATCH_OWNER van 5.x kernel.

Vereisten voor netwerkfirewall

Linux servereindpunten moeten toegang hebben tot de eindpunten die worden beschreven in:

Configureer zo nodig statische proxydetectie.

Waarschuwing

PAC, WPAD en geverifieerde proxy's worden niet ondersteund. Gebruik alleen statische of transparante proxy's. SSL-inspectie en het onderscheppen van proxy's worden om veiligheidsredenen niet ondersteund. Configureer een uitzondering voor SSL-inspectie en uw proxyserver om directe gegevensdoorgang van Defender voor Eindpunt toe te staan op Linux naar de relevante URL's zonder interceptie. Als u uw onderscheppingscertificaat toevoegt aan het globale archief, is onderschepping niet mogelijk.

Controleren of apparaten verbinding kunnen maken met Defender for Endpoint-cloudservices

  1. Bereid uw omgeving voor, zoals beschreven in Stap 1 van het volgende artikel Uw netwerkomgeving configureren om connectiviteit met De Defender for Endpoint-service te garanderen.

  2. Verbind Defender voor Eindpunt op Linux via een proxyserver met behulp van de volgende detectiemethoden:

  3. Anoniem verkeer in de eerder vermelde URL's toestaan als verkeer wordt geblokkeerd door een proxy of firewall.

Opmerking

Configuratie voor transparante proxy's is niet nodig voor Defender voor Eindpunt. Zie Handmatige configuratie van statische proxy.

Zie Problemen met cloudconnectiviteit oplossen voor Microsoft Defender voor Eindpunt op Linux voor probleemoplossingsstappen.

Ondersteunde Linux-distributies

De volgende Linux serverdistributies worden ondersteund:

Distributie x64 (AMD64/EM64T) ARM64
Red Hat Enterprise Linux 7,2+, 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Centos 7.2+, 8.x -
CentOS Stream 8.x, 9.x, 10.x 8.x, 9.x, 10.x
Ubuntu LTS 16.04, 18.04, 20.04, 22.04,24.04 20.04, 22.04, 24.04
Ubuntu Pro 22.04, 24.04 22.04, 24.04
Debian 9–13 11, 12, 13
SUSE Linux Enterprise Server 12.x, 15.x 15 (SP5, SP6)
Oracle Linux 7,2+, 8.x, 9.x 8.x, 9.x
Amazon Linux 2, 2023 2, 2023
Fedora 33–42 -
Rocky Linux 8.7+, 9.2+ 8.7+, 9.2+
Alma Linux 8.4+, 9.2+ 8.4+, 9.2+
Mariner 2 2

Opmerking

Distributies en versies die hierboven niet expliciet worden vermeld, worden niet ondersteund Microsoft Defender voor Eindpunt kernelversieneutraal is voor alle andere ondersteunde distributies en versies. De minimale vereiste voor de kernelversie is 3.10.0-327 of hoger.

Microsoft Defender voor Eindpunt op Linux kunnen worden geïnstalleerd en kunnen werken op aangepaste besturingssystemen die voldoen aan minimale kernelvereisten en zijn afgeleid van bekende, standaard, door de leverancier geleverde Linux-distributies die Microsoft ondersteunt. Klanten kunnen Defender voor Eindpunt in dergelijke omgevingen onboarden en uitvoeren. Microsoft blokkeert onboarding of uitvoering niet. Deze aangepaste omgevingen maken echter geen deel uit van de gevalideerde of onderhouden ondersteuningsbasislijn van Microsoft. Als gevolg hiervan worden ze behandeld als aangepaste besturingssysteemconfiguraties vanuit een ondersteuningsperspectief. Klanten worden geacht Defender voor Eindpunt binnen deze aangepaste omgevingen te valideren en, indien nodig, problemen te reproduceren op een ondersteunde, standaard (ongewijzigde) Linux distributie. Als een probleem niet kan worden gereproduceerd op een ondersteunde standaardbasisdistributie, kan Microsoft mogelijk niet doorgaan met verder onderzoek of herstel. Voor volledige ondersteuning en een voorspelbare ondersteuningservaring wordt klanten aangeraden Defender voor Eindpunt uit te voeren op een ondersteunde, door de leverancier geleverde Linux distributie, zoals beschreven in de officiële vereisten.

Waarschuwing

Het uitvoeren van Defender voor Eindpunt op Linux naast andere op Fanotify gebaseerde beveiligingsoplossingen wordt niet ondersteund en kan leiden tot onvoorspelbaar gedrag, waaronder vastlopen van het systeem. Als toepassingen Fanotify gebruiken in de blokkeringsmodus, worden ze weergegeven in het veld conflicting_applications van de uitvoer van de opdracht mdatp-status. U kunt nog steeds veilig profiteren van Defender voor Eindpunt op Linux door antivirus afdwingingsniveau in te stellen op passief. Zie Beveiligingsinstellingen configureren in Microsoft Defender voor Eindpunt op Linux. UITZONDERING: De Linux FAPolicyD functie, die ook gebruikmaakt van Fanotify in de blokkeringsmodus, wordt ondersteund met Defender voor Eindpunt in de actieve modus op RHEL- en Fedora-platforms, op voorwaarde dat mdatp-status een goede status rapporteert. Deze uitzondering is gebaseerd op gevalideerde compatibiliteit die specifiek is voor deze distributies.

Ondersteunde bestandssystemen voor realtime-beveiliging en snelle, volledige en aangepaste scans

Realtime-beveiliging en snelle/volledige scans Aangepaste scans
btrfs Alle bestandssystemen die worden ondersteund voor realtime-beveiliging en snelle/volledige scans worden ook ondersteund voor aangepaste scans. Daarnaast worden de onderstaande bestandssystemen ook ondersteund voor aangepaste scans.
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3) cifs
nfs4 smb
overlay gcsfuse
ramfs sysfs
reiserfs
tmpfs
udf
vfat
xfs

Opmerking

Als u NFS v3-koppelpunten wilt scannen, moet u de no_root_squash exportoptie instellen. Zonder deze optie kan het scannen van NFS v3 mogelijk mislukken vanwege een gebrek aan machtigingen.

Rollen en machtigingen

  • Beheerdersbevoegdheden voor het eindpunt van de Linux-server zijn vereist voor de installatie.
  • Een geschikte rol die is toegewezen in Defender voor Eindpunt. Zie Op rollen gebaseerd toegangsbeheer.

Installatiemethoden en hulpprogramma's

Er zijn verschillende methoden en hulpprogramma's die u kunt gebruiken om Microsoft Defender voor Eindpunt te implementeren op ondersteunde Linux servers.

Het wordt aanbevolen om implementatie op basis van het implementatieprogramma te gebruiken, omdat dit het onboardingproces vereenvoudigt, handmatige taken vermindert en een breed scala aan implementatiescenario's ondersteunt, waaronder nieuwe installaties, upgrades en verwijderingen. Zie Microsoft Defender eindpuntbeveiliging implementeren op Linux apparaten met behulp van het Defender-implementatieprogramma (preview) voor meer informatie.

Belangrijk

Op Linux maakt Microsoft Defender voor Eindpunt een mdatp-gebruiker met willekeurige UID- en GID-waarden. Als u deze waarden wilt beheren, maakt u een mdatp-gebruiker vóór de installatie met behulp van de /usr/sbin/nologin shell-optie. Hier volgt een voorbeeld: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Als u installatieproblemen ondervindt, zijn er bronnen voor zelfproblemen beschikbaar. Zie de koppelingen in de sectie Gerelateerde inhoud.

Volgende stappen

Verwante onderwerpen

  • Last updated on