Поделиться через

Microsoft Defender для конечной точки в Linux

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Defender для конечной точки поддерживает серверы Linux на основе ARM64 в Ubuntu, RHEL, Debian, SUSE Linux, Amazon Linux и Oracle Linux. Все возможности продуктов, поддерживаемые на устройствах AMD64, теперь поддерживаются на серверах Linux на основе ARM64.

Что такое Microsoft Defender для конечной точки на Linux?

Microsoft Defender для конечной точки — это комплексная платформа безопасности конечных точек предприятия, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Он защищает широкий спектр устройств, включая клиентские компьютеры Windows и Mac, windows и Linux серверы, а также мобильные устройства iOS и Android.

В следующей таблице описаны возможности Defender для конечной точки на Linux:

Категория Описание
Управление состоянием Defender для конечной точки на Linux сочетает в себе мониторинг и управление уязвимостями на основе рисков с интеллектуальной расстановкой приоритетов, исправлением и отслеживанием, что помогает эффективно управлять и защищать серверы Linux.

Благодаря единому опыту работы с вашей группой безопасности вы получите исчерпывающее представление о оценке воздействия, рекомендациях, исправлении, инвентаризации и многом другом.
Защита от угроз Defender для конечной точки на Linux включает антивирусную защиту нового поколения с использованием локальных & облачных моделей машинного обучения, анализа поведения и эвристики.

Облачная защита обеспечивает практически мгновенное обнаружение и блокировку новых или новых угроз.

Вы получаете выделенную непрерывную защиту с помощью регулярной аналитики безопасности и обновлений продуктов.

Вы также можете исследовать и определять политики для индикаторов компрометации на основе IP-адресов и URL-адресов клиентов.
Обнаружение и нейтрализация атак на конечные точки Defender для конечной точки на Linux использует ИИ и расширенную аналитику для обнаружения угроз и реагирования на них в режиме реального времени.

На портале Microsoft Defender у вас есть центральное расположение для просмотра обнаружения на Microsoft Defender наборе и устройствах вашей организации.

Вы можете использовать расширенную охоту для просмотра необработанных данных и получения дополнительных сведений о сетевых событиях.

Действия реагирования доступны для быстрого и оперативного реагирования на оповещения системы безопасности.
Упрощенное управление и операции Defender для конечной точки на Linux обеспечивает широкий охват Linux дистрибутивов, упрощая операции для команды безопасности.

Вы можете управлять параметрами безопасности на портале Microsoft Defender и заранее планировать циклы обновления, поддерживая при этом серверы Linux, где они находятся, с параметрами автономного и многооблачного использования.
Масштабирование, производительность и надежность корпоративного уровня Microsoft Defender для конечной точки на Linux обеспечивает стабильную и устойчивую производительность благодаря богатой платформе датчиков, которая работает без модулей ядра и интегрирует eBPF для обеспечения стабильности работы.

Defender для конечной точки легко интегрируется с более крупным набором Microsoft Defender, обеспечивая расширяемость за счет интеграции API, соединителей SIEM, поддержки Power BI, управления доступом на основе ролей (RBAC) и поддержки MSPP.

Серверные лицензии

Для подключения серверов к Defender для конечной точки требуются серверные лицензии. Вы можете выбрать такие варианты:

Дополнительные сведения о требованиях к лицензированию для Microsoft Defender для конечной точки см. в разделе сведения о лицензировании Microsoft Defender для конечной точки.

Подробные сведения о лицензировании см. в разделе Условия продукта: Microsoft Defender для конечной точки и обратитесь к команде по работе с учетной записью, чтобы узнать больше об условиях.

Развертывание и настройка политик для Defender для конечной точки в Linux

Существует несколько методов и средств, которые можно использовать для развертывания Microsoft Defender для конечной точки на Linux. Обязательно соблюдайте предварительные требования для Defender для конечной точки на Linux.

Примечание.

Рекомендуется использовать развертывание на основе средства развертывания, так как оно упрощает процесс подключения, сокращает количество ручных задач и поддерживает широкий спектр сценариев развертывания, включая новые установки, обновления и удаления. Дополнительные сведения см. в документации .

Важно!

На Linux Microsoft Defender для конечной точки создает пользователя mdatp со случайными значениями UID и GID. Если вы хотите управлять этими значениями, создайте пользователя mdatp перед установкой с помощью параметра оболочки /usr/sbin/nologin. Вот пример: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

При возникновении проблем с установкой доступны ресурсы для самостоятельного устранения неполадок. См. ссылки в разделе См. также .

Настройка политик для Defender для конечной точки на Linux

Чтобы настроить Defender для конечной точки на Linux, можно выбрать один из двух вариантов настройки политик:

Дополнительные сведения см. в статье Настройка параметров безопасности и политик для Defender для конечной точки на Linux.

Обновления программного обеспечения

Корпорация Майкрософт публикует обновления программного обеспечения для Defender для конечной точки на Linux для повышения производительности, повышения безопасности и предоставления новых функций. Обновления программного обеспечения выпускаются ежемесячно после тестирования и проверки. Иногда между выпусками может потребоваться более 30 дней. Дополнительные сведения см. в статье Новые возможности Defender для конечной точки в Linux

Срок действия каждой версии Defender для конечной точки на Linux истекает автоматически через девять месяцев. Мы рекомендуем использовать текущие версии, чтобы получить доступные улучшения и исправления. Дополнительные сведения см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux

Отчеты о работоспособности устройств

Отчет о работоспособности устройств содержит сведения о состоянии антивирусной программы Linux серверов, включая такие сведения, как режим антивирусной программы, результаты сканирования, версия платформы, версия антивирусного ядра и версия аналитики безопасности.

Получить доступ к этой информации можно либо через портал, либо через API. Дополнительные сведения см. в следующих статьях:

Действия реагирования и динамический ответ

Команда по операциям безопасности может удаленно подключаться к устройству и выполнять различные действия реагирования, такие как запуск антивирусной проверки, изоляция устройства и сбор пакетов исследования.

Кроме того, они могут использовать динамический ответ для удаленного подключения оболочки для выполнения глубоких расследований. Дополнительные сведения см. в следующих статьях:

Конфиденциальность

Корпорация Майкрософт стремится предоставить вам сведения и элементы управления, необходимые для выбора способа сбора и использования данных при использовании Defender для конечной точки на Linux.

Дополнительные сведения см. в разделе Конфиденциальность для Microsoft Defender для конечной точки на Linux.

Распространенные приложения, на которые влияет Defender для конечной точки

Рабочие нагрузки с высоким уровнем ввода-вывода из определенных приложений могут испытывать проблемы с производительностью при установке Defender для конечной точки. К таким приложениям для сценариев разработчика относятся Jenkins и Jira, а также рабочие нагрузки баз данных, такие как OracleDB и Postgres.

Если вы видите снижение производительности, рассмотрите возможность установки исключений для доверенных приложений. См. следующие статьи:

Если вы используете приложения сторонних разработчиков, ознакомьтесь с документацией по исключениям антивирусной программы.

Дальнейшие действия

См. также

  • Last updated on