Linux 上Microsoft Defender for Endpoint的先决条件
提示
Linux 上的Microsoft Defender for Endpoint现在以预览版的形式扩展了对基于 Arm64 的 Linux 服务器的支持! 有关详细信息,请参阅 Linux for Arm64 设备上的Microsoft Defender for Endpoint (预览版)
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
本文列出了 Linux 上Microsoft Defender for Endpoint的硬件和软件要求。
许可要求
若要将服务器载入 Defender for Endpoint,需要服务器许可证。 可以从以下选项中进行选择:
- 服务器计划 1 或计划 2 的Microsoft Defender
- 服务器的Microsoft Defender for Endpoint
- 仅面向中小企业的Microsoft Defender 商业版服务器 ()
有关Microsoft Defender for Endpoint许可要求的更多详细信息,请参阅Microsoft Defender for Endpoint许可信息。
有关详细的许可信息,请参阅产品条款:Microsoft Defender for Endpoint并与你的帐户团队协作,了解有关条款和条件的详细信息。
系统要求
- CPU:最小一个 CPU 核心。 对于高性能工作负载,建议使用更多核心。
- 磁盘空间:最小 2 GB。 对于高性能工作负载,可能需要更多磁盘空间。
- 内存:最小 RAM 为 1 GB。 对于高性能工作负载,可能需要更多内存。
注意
可能需要根据工作负载进行性能优化。 有关详细信息,请参阅 Linux 上Microsoft Defender for Endpoint的性能优化
软件要求
- Linux 服务器终结点应能够访问Microsoft Defender门户。 如有必要, 请配置静态代理发现。
- Linux 服务器终结点应安装 systemd (system manager) 。
- 安装需要 Linux 服务器终结点上的管理权限。
注意
使用系统管理器的 Linux 分发版支持 SystemV 和 Upstart。 Linux 代理上的Microsoft Defender for Endpoint独立于 Operations Management Suite (OMS) 代理。 Microsoft Defender for Endpoint依赖于自己的独立遥测管道。
支持的 Linux 分发版
支持以下 Linux 服务器分发版和 x64 (AMD64/EM64T) 版本:
- Red Hat Enterprise Linux 7.2 或更高版本
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 或更高版本,不包括 CentOS Stream
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 或更高版本
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- 洛基 8.7 及更高版本
- 洛基 9.2 及更高版本
- Alma 8.4 及更高版本
- Alma 9.2 及更高版本
- 水手 2
现在预览版支持 Arm64 上的以下 Linux 服务器分发版:
- Ubuntu 20.04 Arm64
- Ubuntu 22.04 Arm64
- Amazon Linux 2 Arm64
- Amazon Linux 2023 Arm64
对基于 Arm64 的设备的 Linux 上的Microsoft Defender for Endpoint的支持现已推出预览版。
注意
这些分发版的工作站和桌面版本不受支持,未明确列出的版本不受支持, (即使它们派生自) 官方支持的发行版也是如此。
发布新包版本后,对前两个版本的支持将减少到仅技术支持。 比本部分中列出的版本更早的版本仅用于技术升级支持。
目前,Microsoft Defender 漏洞管理不支持 Rocky 和 Alma 发行版。 但是,对于所有其他受支持的分发版和版本,Microsoft Defender for Endpoint与内核版本无关。
内核版本的最低要求是 3.10.0-327 或更高版本。
警告
不支持在 Linux 上使用其他基于 fanotify 的安全解决方案运行 Defender for Endpoint。 这可能会导致不可预知的结果,包括挂起作系统。 如果系统上有任何其他应用程序在阻止模式下使用 fanotify,则会在 mdatp 运行状况命令输出的“conflicting_applications”字段中列出应用程序。 Linux FAPolicyD 功能在阻止模式下使用 fanotify,因此在活动模式下运行 Defender for Endpoint 时不受支持。 将防病毒功能“已启用实时保护”配置为被动模式后,仍可以安全地利用 Linux EDR 上的 Defender for Endpoint 功能。 请参阅Microsoft Defender防病毒的强制级别。
支持实时保护和快速、完整和自定义扫描的文件系统
| 实时保护和快速/完全扫描 | 自定义扫描 |
|---|---|
btrfs |
支持所有文件系统进行实时保护和快速/完全扫描 |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs 仅 (v3) |
cifs |
overlay |
smb |
ramfs |
gcsfuse |
reiserfs |
sysfs |
tmpfs |
|
udf |
|
vfat |
|
xfs |
注意
要彻底扫描的 NFS v3 装入点,并且需要在这些装入点上设置 no_root_squash 导出选项。
如果没有此选项,扫描 NFS v3 可能会因为缺少权限而失败。
网络连接
- 验证设备是否可以连接到Microsoft Defender for Endpoint云服务。
- 按照以下文章的步骤 1 中所述准备环境 ,配置网络环境以确保与 Defender for Endpoint 服务的连接
- 使用以下发现方法通过代理服务器连接 Linux 上的 Defender for Endpoint:
- 透明代理
- 手动静态代理配置
- 如果代理或防火墙阻止了流量,则允许前面列出的 URL 中的匿名流量。
注意
Defender for Endpoint 不需要透明代理的配置。 请参阅 手动静态代理配置。
警告
不支持 PAC、WPAD 和经过身份验证的代理。 仅使用静态或透明代理。 出于安全原因,不支持 SSL 检查和拦截代理。 配置 SSL 检查和代理服务器的异常,以允许将数据从 Linux 上的 Defender for Endpoint 直接传递到相关 URL,而无需拦截。 将拦截证书添加到全局存储区不会启用拦截。
有关故障排除步骤,请参阅排查 Linux 上Microsoft Defender for Endpoint的云连接问题
外部包依赖项
有关外部包依赖项的信息,请参阅以下文章:
安装说明
可以使用多种方法和工具在 Linux 上部署Microsoft Defender for Endpoint:
- 基于安装程序脚本的部署
- 基于 Ansible 的部署
- 基于 Chef 的部署
- 基于模型的部署
- 基于 SaltStack 的部署
- 手动部署
- 使用 Defender for Cloud 直接载入
- 适用于基于 Arm64 的设备的 Linux 上的 Defender for Endpoint 指南 (预览版)
- 使用 SAP 在 Linux 服务器上使用 Defender for Endpoint 指南
重要
不支持在默认安装路径以外的任何位置安装Microsoft Defender for Endpoint。 在 Linux 上,Microsoft Defender for Endpoint使用随机 UID 和 GID 值创建 mdatp 用户。 如果要控制这些值,请在安装前使用 /usr/sbin/nologin shell 选项创建 mdatp 用户。 下面是一个示例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。
解决安装问题
如果遇到任何安装问题,请执行以下步骤进行自我故障排除:
有关如何查找发生安装错误时自动生成的日志的信息,请参阅 日志安装问题。
有关常见安装问题的信息,请参阅 安装问题。
如果设备的运行状况为
false,请参阅 Defender for Endpoint 代理运行状况问题。有关产品性能问题,请参阅 排查性能问题。
有关代理和连接问题,请参阅 排查云连接问题。
若要从Microsoft获取支持,请打开支持票证,并使用 客户端分析器提供创建的日志文件。
后续步骤
- 在 Linux 上部署 Defender for Endpoint
- 在 Linux 上配置 Defender for Endpoint
- 在 Linux 上部署 Defender for Endpoint 的更新
- 在 Linux 上运行客户端分析器
另请参阅
- 使用Microsoft Defender for Endpoint安全设置管理来管理Microsoft Defender防病毒
- Linux 资源
- 排查 Linux 上Microsoft Defender for Endpoint的云连接问题
- 调查代理运行状况问题
- 排查 Linux 上Microsoft Defender for Endpoint缺少事件或警报问题
- 排查 Linux 上Microsoft Defender for Endpoint的性能问题
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区