Prerequisiti per Microsoft Defender per endpoint in Linux
Consiglio
Microsoft Defender per endpoint in Linux estende ora il supporto per i server Linux basati su Arm64 in anteprima. Per altre informazioni, vedere Microsoft Defender per endpoint in Linux per dispositivi basati su Arm64 (anteprima)
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Questo articolo elenca i requisiti hardware e software per Microsoft Defender per endpoint in Linux.
Requisiti di licenza
Per eseguire l'onboarding dei server in Defender per endpoint, sono necessarie licenze server. È possibile scegliere uno dei seguenti comandi:
- Microsoft Defender per server Piano 1 o Piano 2
- Microsoft Defender per endpoint per i server
- Microsoft Defender for Business per server (solo per piccole e medie imprese)
Per informazioni più dettagliate sui requisiti di licenza per Microsoft Defender per endpoint, vedere Microsoft Defender per endpoint informazioni sulle licenze.
Per informazioni dettagliate sulle licenze, vedere Condizioni del prodotto: Microsoft Defender per endpoint e collaborare con il team dell'account per altre informazioni sui termini e le condizioni.
Requisiti di sistema
- CPU: minimo un core CPU. Per carichi di lavoro a prestazioni elevate, sono consigliati più core.
- Spazio su disco: minimo 2 GB. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessario più spazio su disco.
- Memoria: almeno 1 GB di RAM. Per carichi di lavoro a prestazioni elevate, potrebbe essere necessaria una maggiore quantità di memoria.
Nota
L'ottimizzazione delle prestazioni potrebbe essere necessaria in base ai carichi di lavoro. Per altre informazioni, vedere Ottimizzazione delle prestazioni per Microsoft Defender per endpoint in Linux
Requisiti software
- Gli endpoint server Linux devono poter accedere al portale di Microsoft Defender. Se necessario, configurare l'individuazione del proxy statico.
- Gli endpoint server Linux devono avere systemd (system manager) installato.
- I privilegi amministrativi nell'endpoint server Linux sono necessari per l'installazione.
Nota
Le distribuzioni Linux che usano System Manager supportano sia SystemV che Upstart. L'agente Microsoft Defender per endpoint in Linux è indipendente dall'agente di Operation Management Suite (OMS). Microsoft Defender per endpoint si basa sulla propria pipeline di telemetria indipendente.
Distribuzioni Linux supportate
Sono supportate le seguenti distribuzioni del server Linux e le versioni x64 (AMD64/EM64T):
- Red Hat Enterprise Linux 7.2 o versione successiva
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 o versione successiva, escluso CentOS Stream
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 o versione successiva
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- Rocky 8.7 e versioni successive
- Rocky 9.2 e versioni successive
- Alma 8.4 e versioni successive
- Alma 9.2 e versioni successive
- Mariner 2
Le distribuzioni del server Linux seguenti in Arm64 sono ora supportate in anteprima:
- Ubuntu 20.04 Arm64
- Ubuntu 22.04 Arm64
- Amazon Linux 2 Arm64
- Amazon Linux 2023 Arm64
Il supporto per Microsoft Defender per endpoint in Linux per i dispositivi basati su Arm64 è ora disponibile in anteprima.
Nota
Le versioni desktop e workstation di queste distribuzioni sono distribuzioni non supportate e le versioni che non sono elencate in modo esplicito non sono supportate (anche se derivano dalle distribuzioni supportate ufficialmente).
Dopo il rilascio di una nuova versione, il supporto per le due versioni precedenti viene ridotto al solo supporto tecnico. Le versioni precedenti a quelle elencate in questa sezione sono disponibili solo per il supporto per l'aggiornamento tecnico.
Attualmente, le distribuzioni Rocky e Alma non sono supportate in Gestione delle vulnerabilità di Microsoft Defender. Tuttavia, Microsoft Defender per endpoint è indipendente dalla versione del kernel per tutte le altre distribuzioni e versioni supportate.
Il requisito minimo per la versione del kernel è 3.10.0-327 o versione successiva.
Avviso
L'esecuzione di Defender per endpoint in Linux con altre soluzioni di sicurezza basate su fanotify non è supportata. Può portare a risultati imprevedibili, tra cui l'impiccagione del sistema operativo. Se nel sistema sono presenti altre applicazioni che usano fanotify in modalità di blocco, le applicazioni sono elencate nel campo conflicting_applications dell'output del comando di integrità mdatp. La funzionalità FAPolicyD di Linux usa fanotify in modalità di blocco e pertanto non è supportata quando si esegue Defender per endpoint in modalità attiva. È comunque possibile sfruttare in modo sicuro la funzionalità EDR di Defender per endpoint in Linux dopo aver configurato la funzionalità antivirus Protezione in tempo reale abilitata alla modalità passiva. Vedere Livello di imposizione per Microsoft Defender Antivirus.
File system supportati per la protezione in tempo reale e analisi rapide, complete e personalizzate
| Protezione in tempo reale e analisi rapide/complete | Analisi personalizzate |
|---|---|
btrfs |
Tutti i file system sono supportati per la protezione in tempo reale e analisi rapide/complete |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (solo v3) |
cifs |
overlay |
smb |
ramfs |
gcsfuse |
reiserfs |
sysfs |
tmpfs |
|
udf |
|
vfat |
|
xfs |
Nota
I punti di montaggio NFS v3 devono essere analizzati accuratamente e devono impostare l'opzione no_root_squash di esportazione su questi punti di montaggio.
Senza questa opzione, l'analisi di NFS v3 potrebbe avere esito negativo a causa della mancanza di autorizzazioni.
Connessioni di rete
- Verificare che i dispositivi possano connettersi ai servizi cloud Microsoft Defender per endpoint.
- Preparare l'ambiente, come descritto nel passaggio 1 dell'articolo Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint
- Connettere Defender per endpoint in Linux tramite un server proxy usando i metodi di individuazione seguenti:
- Proxy trasparente
- Configurazione manuale del proxy statico
- Consentire il traffico anonimo negli URL elencati in precedenza, se un proxy o un firewall blocca il traffico.
Nota
La configurazione per i proxy trasparenti non è necessaria per Defender per endpoint. Vedere Configurazione manuale del proxy statico.
Avviso
Pac, WPAD e proxy autenticati non sono supportati. Usare solo proxy statici o trasparenti. I proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. Configurare un'eccezione per l'ispezione SSL e il server proxy per consentire il pass-through diretto dei dati da Defender per endpoint in Linux agli URL pertinenti senza intercettazione. L'aggiunta del certificato di intercettazione all'archivio globale non abilita l'intercettazione.
Per la procedura di risoluzione dei problemi, vedere Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux
Dipendenza del pacchetto esterno
Per informazioni sulle dipendenze dei pacchetti esterni, vedere gli articoli seguenti:
- Microsoft Defender per Endpoint su Linux
- Configurare le impostazioni e i criteri di sicurezza per Microsoft Defender per endpoint in Linux
Istruzioni di installazione
Esistono diversi metodi e strumenti che è possibile usare per distribuire Microsoft Defender per endpoint in Linux:
- Distribuzione basata su script del programma di installazione
- Distribuzione basata su ansible
- Distribuzione basata su Chef
- Distribuzione basata su puppet
- Distribuzione basata su SaltStack
- Distribuzione manuale
- Onboarding diretto con Defender per cloud
- Indicazioni per Defender per endpoint in Linux per dispositivi basati su Arm64 (anteprima)
- Indicazioni per Defender per endpoint nel server Linux con SAP
Importante
L'installazione di Microsoft Defender per endpoint in qualsiasi percorso diverso dal percorso di installazione predefinito non è supportata. In Linux Microsoft Defender per endpoint crea un utente mdatp con valori UID e GID casuali. Per controllare questi valori, creare un utente mdatp prima dell'installazione usando l'opzione della shell /usr/sbin/nologin. Ecco un esempio: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.
Risolvere i problemi di installazione
Se si verificano problemi di installazione, per la risoluzione automatica dei problemi, seguire questa procedura:
Per informazioni su come trovare il log generato automaticamente quando si verifica un errore di installazione, vedere Problemi di installazione del log.
Per informazioni sui problemi di installazione comuni, vedere Problemi di installazione.
Se l'integrità del dispositivo è
false, vedere Problemi di integrità dell'agente di Defender per endpoint.Per i problemi di prestazioni del prodotto, vedere Risolvere i problemi di prestazioni.
Per i problemi di proxy e connettività, vedere Risolvere i problemi di connettività cloud.
Per ottenere supporto da Microsoft, aprire un ticket di supporto e fornire i file di log creati usando l'analizzatore client.
Passaggi successivi
- Distribuire Defender per endpoint in Linux
- Configurare Defender per endpoint in Linux
- Distribuire gli aggiornamenti per Defender per endpoint in Linux
- Eseguire l'analizzatore client in Linux
Vedere anche
- Usare Microsoft Defender per endpoint Gestione impostazioni di sicurezza per gestire Microsoft Defender Antivirus
- Risorse Linux
- Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux
- Esaminare i problemi di integrità dell'agente
- Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux
- Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux
Consiglio
Per saperne di più, Engage con la community microsoft security nella community tecnica: Microsoft Defender per endpoint Tech Community