استخدام التوزيع المستند إلى البرنامج النصي للمثبت لتوزيع Microsoft Defender لنقطة النهاية على Linux

مقدمة

يمكنك نشر Defender لنقطة النهاية على Linux باستخدام أدوات وأساليب مختلفة. توضح هذه المقالة كيفية أتمتة توزيع Defender لنقطة النهاية على Linux باستخدام برنامج نصي للمثبت. يحدد هذا البرنامج النصي التوزيع والإصدار، ويحدد المستودع الصحيح، ويضبط الجهاز لسحب أحدث إصدار من العامل، وينشئ الجهاز إلى Defender لنقطة النهاية باستخدام حزمة الإلحاق. يوصى بشدة بهذا الأسلوب لتبسيط عملية التوزيع.

لاستخدام أسلوب آخر، راجع قسم المحتوى ذي الصلة.

هام

إذا كنت ترغب في تشغيل حلول أمان متعددة جنبا إلى جنب، فشاهد اعتبارات الأداء والتكوين والدعم.

ربما تكون قد قمت بالفعل بتكوين استثناءات الأمان المتبادل للأجهزة التي تم إلحاقها Microsoft Defender لنقطة النهاية. إذا كنت لا تزال بحاجة إلى تعيين استثناءات متبادلة لتجنب التعارضات، فشاهد إضافة Microsoft Defender لنقطة النهاية إلى قائمة الاستبعاد للحل الحالي.

المتطلبات الأساسية ومتطلبات النظام

قبل البدء، راجع المتطلبات الأساسية ل Defender لنقطة النهاية على Linux للحصول على وصف للمتطلبات الأساسية ومتطلبات النظام.

عملية التوزيع

1. قم بتنزيل حزمة الإعداد من مدخل Microsoft Defender باتباع الخطوات التالية:

   1. في مدخل Microsoft Defender، قم بتوسيع قسم System وحدد Settings>Endpoints>Device management>Onboarding.

   2. في القائمة المنسدلة الأولى، حدد Linux Server كنظام تشغيل.

   3. في القائمة المنسدلة الثانية، حدد البرنامج النصي المحلي كطريقة نشر.

   4. حدد Download onboarding package. احفظ الملف باسم WindowsDefenderATPOnboardingPackage.zip.

      

   5. من موجه الأوامر، استخرج محتويات الأرشيف:

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      تحذير

      إعادة حزمة تثبيت Defender لنقطة النهاية ليست سيناريو مدعوما. يمكن أن يؤثر القيام بذلك سلبا على سلامة المنتج ويؤدي إلى نتائج سلبية، بما في ذلك على سبيل المثال لا الحصر تشغيل تنبيهات العبث والتحديثات التي تفشل في التطبيق.

      هام

      إذا فاتتك هذه الخطوة، يعرض أي أمر تم تنفيذه رسالة تحذير تشير إلى أن المنتج غير مرخص. كما يرجع الأمر mdatp health قيمة false.

2. قم بتنزيل البرنامج النصي bash للمثبت المتوفر في مستودع GitHub العام.

3. منح أذونات قابلة للتنفيذ إلى البرنامج النصي المثبت:

   chmod +x mde_installer.sh
   

4. قم بتنفيذ البرنامج النصي للمثبت وتوفير حزمة الإعداد كمعلمة لتثبيت العامل وإلحاق الجهاز في مدخل Defender.

   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req
   

   يقوم هذا الأمر بتوزيع أحدث إصدار عامل إلى قناة الإنتاج، والتحقق من الحد الأدنى من متطلبات النظام وإلحاق الجهاز ب Defender Portal.

   بالإضافة إلى ذلك، يمكنك تمرير المزيد من المعلمات استنادا إلى متطلباتك لتعديل التثبيت. تحقق من التعليمات للحصول على جميع الخيارات المتوفرة:

    ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
   -i|--install         install the product
   -r|--remove          uninstall the product
   -u|--upgrade         upgrade the existing product to a newer version if available
   -l|--downgrade       downgrade the existing product to a older version if available
   -o|--onboard         onboard the product with <onboarding_script>
   -f|--offboard        offboard the product with <offboarding_script>
   -p|--passive-mode    set real time protection to passive mode
   -a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
   -t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
   -m|--min_req         enforce minimum requirements
   -x|--skip_conflict   skip conflicting application verification
   -w|--clean           remove repo from package manager for a specific channel
   -y|--yes             assume yes for all mid-process prompts (default, deprecated)
   -n|--no              remove assume yes sign
   -s|--verbose         verbose output
   -v|--version         print out script version
   -d|--debug           set debug mode
   --log-path <PATH>    also log output to PATH
   --http-proxy <URL>   set http proxy
   --https-proxy <URL>  set https proxy
   --ftp-proxy <URL>    set ftp proxy
   --mdatp              specific version of mde to be installed. will use the latest if not provided
   -b|--install-path    specify the installation and configuration path for MDE. Default: /
   -h|--help            display help
   

   السيناريو	الامر
   التثبيت إلى موقع مسار مخصص	sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req --install-path /custom/path/location
   تثبيت إصدار عامل معين	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
   الترقية إلى أحدث إصدار عامل	sudo ./mde_installer.sh --upgrade
   الترقية إلى إصدار عامل معين	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
   الرجوع إلى إصدار عامل معين	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
   عامل إلغاء التثبيت	sudo ./mde_installer.sh --remove

   للحصول على تفاصيل حول التثبيت على مسار مخصص، راجع: تثبيت Defender لنقطة النهاية على Linux إلى مسار مخصص.

   ملاحظة

   1. تتطلب ترقية نظام التشغيل الخاص بك إلى إصدار رئيسي جديد بعد تثبيت المنتج إعادة تثبيت المنتج. تحتاج إلى إلغاء تثبيت Defender لنقطة النهاية الموجودة على Linux، وترقية نظام التشغيل، ثم إعادة تكوين Defender لنقطة النهاية على Linux.

   2. لا يمكن تغيير مسار التثبيت بعد تثبيت Defender لنقطة النهاية. لاستخدام مسار مختلف، قم بإلغاء تثبيت المنتج وإعادة تثبيته في الموقع الجديد.

التحقق من حالة التوزيع

1. في مدخل Microsoft Defender، افتح مخزون الجهاز. قد يستغرق ظهور الجهاز في المدخل من 5 إلى 20 دقيقة.

2. قم بتشغيل اختبار الكشف عن مكافحة الفيروسات للتحقق من أن الجهاز تم إلحاقه بشكل صحيح وإعداد التقارير إلى الخدمة. نفذ الخطوات التالية على الجهاز الذي تم إلحاقه حديثا:

   1. تأكد من تمكين الحماية في الوقت الحقيقي (المشار إليها نتيجة من true تشغيل الأمر التالي):

      mdatp health --field real_time_protection_enabled
      

      إذا لم يتم تمكينه، فنفذ الأمر التالي:

      mdatp config real-time-protection --value enabled
      

   2. افتح نافذة Terminal وقم بتنفيذ الأمر التالي لتشغيل اختبار الكشف:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. يمكنك تشغيل المزيد من اختبارات الكشف على الملفات المضغوطة باستخدام أي من الأوامر التالية:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. يجب عزل الملفات بواسطة Defender لنقطة النهاية على Linux. استخدم الأمر التالي لسرد جميع التهديدات المكتشفة:

      mdatp threat list
      

3. قم بتشغيل اختبار الكشف عن EDR ومحاكاة الكشف للتحقق من أن الجهاز تم إلحاقه بشكل صحيح وإعداد التقارير إلى الخدمة. نفذ الخطوات التالية على الجهاز الذي تم إلحاقه حديثا:

   1. قم بتنزيل ملف البرنامج النصي واستخراجه إلى خادم Linux مضمن.

   2. منح أذونات قابلة للتنفيذ للبرنامج النصي:

      chmod +x mde_linux_edr_diy.sh
      

   3. قم بتنفيذ الأمر التالي:

      ./mde_linux_edr_diy.sh
      

   4. بعد بضع دقائق، يجب رفع الكشف في Microsoft Defender XDR.

   5. تحقق من تفاصيل التنبيه، والمخطط الزمني للجهاز، وقم بتنفيذ خطوات التحقيق النموذجية.

Microsoft Defender لنقطة النهاية حزمة تبعيات الحزمة الخارجية

إذا فشل تثبيت Microsoft Defender لنقطة النهاية بسبب أخطاء التبعيات المفقودة، يمكنك تنزيل التبعيات المطلوبة يدويا.

توجد تبعيات الحزمة الخارجية التالية للحزمة mdatp :

• mdatp RPM تتطلب الحزمة -glibc >= 2.17
• بالنسبة إلى DEBIAN، mdatp تتطلب الحزمة libc6 >= 2.23
• بالنسبة إلى Mariner، mdatp تتطلب الحزمة attr،diffutils ، ،libselinux-utilslibacllibattr ، ، selinux-policy،policycoreutils

ملاحظة

بدءا من الإصدار 101.24082.0004، لم يعد Defender لنقطة النهاية على Linux يدعم Auditd موفر الحدث. نحن ننتقل تماما إلى تقنية eBPF الأكثر كفاءة. إذا eBPF لم يكن مدعوما على أجهزتك، أو إذا كانت هناك متطلبات محددة للبقاء على Auditd، وكانت أجهزتك تستخدم Defender لنقطة النهاية على إصدار 101.24072.0001 Linux أو إصدار سابق، فهناك تبعيات أخرى على الحزمة المدققة ل mdatp. للإصدار الأقدم من 101.25032.0000:

• احتياجات حزمة RPM: mde-netfilter، pcre
• احتياجات حزمة DEBIAN: mde-netfilter، libpcre3
• mde-netfilter تحتوي الحزمة أيضا على تبعيات الحزمة التالية: - بالنسبة إلى DEBIAN، تتطلب libnetfilter-queue1 حزمة mde-netfilter و libglib2.0-0 - بالنسبة إلى RPM، تتطلب libmnlحزمة mde-netfilter و libnetfilter_queuelibnfnetlinkو و glib2 بدءا من الإصدار 101.25042.0003، لم يعد وقت تشغيل uuid مطلوبا كتبعية خارجية.

استكشاف مشاكل التثبيت وإصلاحها

إذا واجهت أي مشكلات في التثبيت، لاستكشاف الأخطاء وإصلاحها ذاتيا، فاتبع الخطوات التالية:

1. للحصول على معلومات حول كيفية العثور على السجل الذي يتم إنشاؤه تلقائيا عند حدوث خطأ في التثبيت، راجع مشكلات تثبيت السجل.

2. للحصول على معلومات حول مشكلات التثبيت الشائعة، راجع مشكلات التثبيت.

3. إذا كانت صحة الجهاز هي false، فشاهد Defender for Endpoint agent health issues.

4. لمعرفة مشكلات أداء المنتج، راجع استكشاف مشكلات الأداء وإصلاحها.

5. للحصول على مشكلات الوكيل والاتصال، راجع استكشاف مشكلات الاتصال السحابي وإصلاحها.

للحصول على الدعم من Microsoft، افتح تذكرة دعم، وقم بتوفير ملفات السجل التي تم إنشاؤها باستخدام محلل العميل.

كيفية التبديل بين القنوات

على سبيل المثال، لتغيير القناة من Insiders-Fast إلى الإنتاج، قم بما يلي:

1. قم بإلغاء تثبيت Insiders-Fast channel إصدار Defender لنقطة النهاية على Linux.

   sudo yum remove mdatp
   

2. تعطيل Defender لنقطة النهاية على Linux Insiders-Fast repo.

   sudo yum repolist
   

   ملاحظة

   يجب أن يظهر packages-microsoft-com-fast-prodالإخراج .

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. إعادة توزيع Microsoft Defender لنقطة النهاية على Linux باستخدام قناة الإنتاج.

يمكن نشر Defender لنقطة النهاية على Linux من إحدى القنوات التالية (المشار إليها باسم [القناة]):

• insiders-fast
• insiders-slow
• prod

تتوافق كل قناة من هذه القنوات مع مستودع برامج Linux. تصف الإرشادات الواردة في هذه المقالة تكوين جهازك لاستخدام أحد هذه المستودعات.

يحدد اختيار القناة نوع التحديثات المقدمة لجهازك وتكرارها. الأجهزة في المشاركين في برنامج Insider السريع هي أول الأجهزة التي تتلقى التحديثات والميزات الجديدة، تليها لاحقا المشاركون في برنامج Insider البطيء وأخيرا بواسطة prod.

من أجل معاينة الميزات الجديدة وتقديم ملاحظات مبكرة، يوصى بتكوين بعض الأجهزة في مؤسستك لاستخدام إما insiders-fast أو insiders-slow.

تحذير

يتطلب تبديل القناة بعد التثبيت الأولي إعادة تثبيت المنتج. لتبديل قناة المنتج: قم بإلغاء تثبيت الحزمة الموجودة، وإعادة تكوين جهازك لاستخدام القناة الجديدة، واتبع الخطوات الواردة في هذا المستند لتثبيت الحزمة من الموقع الجديد.

كيفية تكوين نهج Microsoft Defender على Linux

لتكوين إعدادات مكافحة الفيروسات وEDR، راجع المقالات التالية:

• تصف إدارة إعدادات أمان Defender لنقطة النهاية كيفية تكوين الإعدادات في مدخل Microsoft Defender. (يوصى باستخدام هذا الأسلوب.)
• يصف تعيين تفضيلات Defender لنقطة النهاية على Linux الإعدادات التي يمكنك تكوينها.

المحتويات ذات الصلة

• المتطلبات الأساسية Microsoft Defender لنقطة النهاية على Linux
• توزيع Defender لنقطة النهاية على Linux باستخدام Ansible
• نشر Defender لنقطة النهاية على Linux باستخدام Chef
• توزيع Defender لنقطة النهاية على Linux باستخدام Puppet
• توزيع Defender لنقطة النهاية على Linux باستخدام Saltstack
• توزيع Defender لنقطة النهاية على Linux يدويا
• توصيل أجهزتك غير Azure Microsoft Defender for Cloud باستخدام Defender لنقطة النهاية (الإلحاق المباشر باستخدام Defender for Cloud)
• إرشادات التوزيع ل Defender لنقطة النهاية على Linux ل SAP
• تثبيت Defender لنقطة النهاية على Linux إلى مسار مخصص