次の方法で共有

Linux でのMicrosoft Defender for Endpointの前提条件

  • [アーティクル]

ヒント

Linux 上のMicrosoft Defender for Endpointでは、Arm64 ベースの Linux サーバーのサポートがプレビュー段階で拡張されるようになりました。 詳細については、「Linux 上の arm64 ベースのデバイス用のMicrosoft Defender for Endpoint (プレビュー)」を参照してください。

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、Linux 上のMicrosoft Defender for Endpointのハードウェアとソフトウェアの要件を示します。

ライセンス要件

Defender for Endpoint にサーバーをオンボードするには、サーバー ライセンスが必要です。 以下のオプションから選択できます。

Microsoft Defender for Endpointのライセンス要件の詳細については、「Microsoft Defender for Endpoint ライセンス情報」を参照してください。

詳細なライセンス情報については、「製品使用条件: Microsoft Defender for Endpoint」を参照し、アカウント チームと協力して使用条件の詳細を確認してください。

システム要件

  • CPU: 最小 1 つの CPU コア。 パフォーマンスの高いワークロードの場合は、より多くのコアを使用することをお勧めします。
  • ディスク領域: 2 GB 以上。 パフォーマンスの高いワークロードの場合は、より多くのディスク領域が必要になる場合があります。
  • メモリ: 1 GB 以上の RAM。 パフォーマンスの高いワークロードの場合は、より多くのメモリが必要になる場合があります。

注:

ワークロードに基づいてパフォーマンスチューニングが必要になる場合があります。 詳細については、「Linux でのMicrosoft Defender for Endpointのパフォーマンスチューニング」を参照してください。

ソフトウェア要件

  • Linux サーバー エンドポイントは、Microsoft Defender ポータルにアクセスできる必要があります。 必要に応じて、 静的プロキシ検出を構成します
  • Linux サーバー エンドポイントには systemd (システム マネージャー) がインストールされている必要があります。
  • インストールには、Linux サーバー エンドポイントに対する管理者権限が必要です。

注:

システム マネージャーを使用する Linux ディストリビューションでは、SystemV と Upstart の両方がサポートされます。 Linux エージェント上のMicrosoft Defender for Endpointは、Operation Management Suite (OMS) エージェントとは独立しています。 Microsoft Defender for Endpointは、独自の独立したテレメトリ パイプラインに依存しています。

サポートされている Linux ディストリビューション

次の Linux サーバーディストリビューションと x64 (AMD64/EM64T) バージョンがサポートされています。

  • Red Hat Enterprise Linux 7.2 以上
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 以上 (CentOS Streamを除く)
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 以上
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • ロッキー 8.7 以上
  • ロッキー 9.2 以上
  • アルマ8.4以降
  • アルマ9.2以降
  • マリナー 2

Arm64 の次の Linux サーバーディストリビューションがプレビューでサポートされるようになりました。

  • Ubuntu 20.04 Arm64
  • Ubuntu 22.04 Arm64
  • Amazon Linux 2 Arm64
  • Amazon Linux 2023 Arm64

Arm64 ベースのデバイスの Linux でのMicrosoft Defender for Endpointのサポートがプレビュー段階になりました。

注:

これらのディストリビューションのワークステーションおよびデスクトップ バージョンはサポートされていないディストリビューションであり、明示的に一覧表示されていないバージョンはサポートされていません (公式にサポートされているディストリビューションから派生している場合でも)。 新しいパッケージ バージョンがリリースされると、以前の 2 つのバージョンのサポートはテクニカル サポートのみに縮小されます。 このセクションに記載されているバージョンより古いバージョンは、テクニカル アップグレード サポートでのみ提供されます。 現時点では、ロッキーとアルマのディストリビューションはMicrosoft Defender 脆弱性の管理ではサポートされていません。 ただし、Microsoft Defender for Endpointは、サポートされているすべてのディストリビューションとバージョンに関してカーネル バージョンに依存しません。 カーネル バージョンの最小要件は、 3.10.0-327 以降です。

警告

他の fanotify ベースのセキュリティ ソリューションを使用した Linux での Defender for Endpoint の実行はサポートされていません。 オペレーティング システムのハングなど、予期しない結果につながる可能性があります。 システム上で fanotify をブロック モードで使用する他のアプリケーションがある場合、アプリケーションは mdatp 正常性コマンド出力の conflicting_applications フィールドに一覧表示されます。 Linux FAPolicyD 機能はブロッキング モードで fanotify を使用するため、アクティブ モードで Defender for Endpoint を実行する場合はサポートされません。 ウイルス対策機能のリアルタイム保護をパッシブ モードに構成した後でも、Defender for Endpoint on Linux EDR 機能を安全に利用できます。 「Microsoft Defender ウイルス対策の適用レベル」を参照してください。

リアルタイム保護とクイック、フル、カスタム スキャンでサポートされるファイルシステム

リアルタイム保護とクイック/フル スキャン カスタム スキャン
btrfs すべてのファイルシステムは、リアルタイム保護とクイック/フル スキャンでサポートされています
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs (v3 のみ) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

注:

NFS v3 マウント ポイントは完全にスキャンされるため、これらのマウント ポイントで no_root_squash エクスポート オプションを設定する必要があります。 このオプションがないと、アクセス許可がないために NFS v3 のスキャンが失敗する可能性があります。

ネットワーク接続

  • デバイスがクラウド サービスに接続できることを確認Microsoft Defender for Endpoint。
  • 次の記事の手順 1 で説明されているように、環境を準備します 。Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する
  • 次の検出方法を使用して、プロキシ サーバーを介して Linux 上の Defender for Endpoint を接続します。
    1. 透過プロキシ
    2. 手動の静的プロキシ構成
  • プロキシまたはファイアウォールでトラフィックがブロックされている場合は、前に一覧表示した URL で匿名トラフィックを許可します。

注:

Defender for Endpoint では、透過的プロキシの構成は必要ありません。 「手動静的プロキシ構成」を参照してください。

警告

PAC、WPAD、認証済みプロキシはサポートされていません。 静的または透過的なプロキシのみを使用します。 セキュリティ上の理由から、SSL 検査とプロキシの傍受はサポートされていません。 SSL 検査とプロキシ サーバーの例外を構成して、インターセプトなしで Defender for Endpoint on Linux から関連する URL への直接データ パススルーを許可します。 インターセプト証明書をグローバル ストアに追加しても、インターセプトは有効になりません。

トラブルシューティング手順については、「Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング」を参照してください。

外部パッケージの依存関係

外部パッケージの依存関係については、次の記事を参照してください。

インストール手順

Linux にMicrosoft Defender for Endpointをデプロイするために使用できる方法とツールがいくつかあります。

重要

既定のインストール パス以外の場所へのMicrosoft Defender for Endpointのインストールはサポートされていません。 Linux では、Microsoft Defender for Endpointはランダムな UID と GID 値を持つ mdatp ユーザーを作成します。 これらの値を制御する場合は、/usr/sbin/nologin シェル オプションを使用してインストールする前に mdatp ユーザーを作成します。 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologinの例を次に示します。

インストールに関する問題のトラブルシューティング

インストールの問題が発生した場合は、自己トラブルシューティングのために、次の手順に従います。

  1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

  2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

  3. デバイスの正常性が falseされている場合は、「 Defender for Endpoint エージェントの正常性に関する問題」を参照してください。

  4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

  5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。

次の手順

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community の Microsoft セキュリティ コミュニティとのEngage