Sdílet prostřednictvím

Nasazení zabezpečení koncového bodu Microsoft Defender do zařízení s Linuxem pomocí nástroje pro nasazení Defenderu (Preview)

  • Platí pro: Microsoft Defender for Business, Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Nástroj pro nasazení Defenderu poskytuje efektivní a uživatelsky přívětivý proces onboardingu pro Microsoft Defender for Endpoint na zařízeních s Linuxem. Umožňuje uživatelům instalovat a onboardovat Microsoft Defender for Endpoint pomocí jednoho balíčku, který je možné stáhnout z portálu Microsoft Defender. Tím se eliminuje nutnost instalace Defenderu pomocí příkazů instalačního skriptu nebo rozhraní příkazového řádku a pak samostatně připojit zařízení pomocí balíčku pro onboarding z portálu.

Nástroj pro nasazení defenderu podporuje ruční i hromadnou onboarding prostřednictvím nástrojů třetích stran, jako jsou Chef, Ansible, Puppet a SaltStack. Nástroj podporuje několik parametrů, které můžete použít k přizpůsobení nasazení ve velkém měřítku, což umožňuje mít instalace na míru v různých prostředích.

Požadavky a požadavky na systém

Než začnete, přečtěte si téma Požadavky pro Microsoft Defender for Endpoint v Linuxu, kde najdete popis požadavků a požadavků na systém. Kromě toho je potřeba splnit také následující požadavky:

  • Povolit připojení k adrese URL: msdefender.download.prss.microsoft.com. Než začnete s nasazením, nezapomeňte spustit test připojení, který zkontroluje, jestli jsou adresy URL, které Defender for Endpoint používá, přístupné nebo ne.
  • Koncový bod musí mít nainstalovaný wget nebo curl .

Nástroj pro nasazení Defenderu vynucuje následující sadu kontrol předpokladů, které v případě, že nebudou splněny, proces nasazení přeruší:

  • Paměť zařízení: Větší než 1 GB
  • Dostupné místo na disku zařízení: Větší než 2 GB
  • Verze knihovny Glibc na zařízení: Novější než 2.17
  • Verze mdatp na zařízení: Musí se jednat o podporovanou verzi, která nevypršela. Pokud chcete zkontrolovat datum vypršení platnosti produktu, spusťte příkaz -mdatp health.

Nasazení: Podrobný průvodce

  1. Pomocí následujícího postupu si z portálu Defender stáhněte nástroj pro nasazení Defenderu.

    1. Přejděte na Nastavení>Koncové body>Onboardingsprávy> zařízení.

    2. V rozevírací nabídce Krok 1 vyberte jako operační systém Linux Server (Preview).

    3. V části Stáhnout a použít onboardingové balíčky nebo soubory vyberte tlačítko Stáhnout balíček .

    Poznámka

    Vzhledem k tomu, že tento balíček nainstaluje a onboarduje agenta, jedná se o balíček specifický pro tenanta a nesmí se používat napříč tenanty.

    Snímek obrazovky s tlačítkem pro stažení balíčku

  2. Z příkazového řádku extrahujte obsah archivu:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive: WindowsDefenderATPOnboardingPackage.zip
inflating: defender_deployment_tool.sh

  3. Udělte skriptu oprávnění ke spustitelnému souboru.

    chmod +x defender_deployment_tool.sh

  4. Spuštěním následujícího příkazu nainstalujete a nasadíte Microsoft Defender for Endpoint na koncový bod.

    sudo bash defender_deployment_tool.sh

    Tento příkaz nainstaluje nejnovější verzi agenta z produkčního kanálu a onboarduje zařízení na portál Defender. Může trvat 5 až 20 minut, než se zařízení zobrazí v inventáři zařízení.

    Poznámka

    Pokud jste nastavili celosystémový proxy server pro přesměrování provozu Defenderu for Endpoint, ujistěte se, že jste proxy server nakonfigurovali také pomocí nástroje pro nasazení Defenderu. Dostupné možnosti proxy najdete v nápovědě k příkazovému řádku (--help).

  5. Nasazení můžete dále přizpůsobit předáním parametrů do nástroje na základě vašich požadavků. Pomocí možnosti --help zobrazíte všechny dostupné možnosti:

     ./defender_deployment_tool.sh --help

    Snímek obrazovky s výstupem příkazu nápovědy

    Následující tabulka obsahuje příklady příkazů pro užitečné scénáře.

    Scénář Příkaz
    Kontrola nesplněných neblokujících požadavků sudo ./defender_deployment_tool.sh --pre-req-non-blocking
    Spuštění testu připojení sudo ./defender_deployment_tool.sh --connectivity-test
    Nasazení do vlastního umístění sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
    Nasazení z pomalého kanálu insider sudo ./defender_deployment_tool.sh --channel insiders-slow
    Nasazení pomocí proxy serveru sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
    Nasazení konkrétní verze agenta sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
    Upgrade na konkrétní verzi agenta sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
    Downgrade na konkrétní verzi agenta sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
    Odinstalace Defenderu sudo ./defender_deployment_tool.sh --remove
    Onboarding pouze v případě, že je defender už nainstalovaný sudo ./defender_deployment_tool.sh --only-onboard
    Offboarding Defenderu sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py
    (Poznámka: Nejnovější soubor pro offboarding je možné stáhnout z portálu Microsoft Defender.)

Ověření stavu nasazení

  1. Na portálu Microsoft Defender otevřete inventář zařízení. Zobrazení zařízení na portálu může trvat 5 až 20 minut.

  2. Spusťte test detekce antivirového softwaru, abyste ověřili, že je zařízení správně nasazené a hlásí se službě. Na nově nasazeném zařízení proveďte následující kroky:

    1. Ujistěte se, že je povolená ochrana v reálném čase (označená výsledkem true při spuštění následujícího příkazu):

      mdatp health --field real_time_protection_enabled

      Pokud není povolená, spusťte následující příkaz:

      mdatp config real-time-protection --value enabled

    2. Otevřete okno terminálu a spuštěním následujícího příkazu spusťte test detekce:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Další testy detekce u souborů ZIP můžete spustit pomocí některého z následujících příkazů:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Soubory by měl defender for Endpoint umístit do karantény v Linuxu. Pomocí následujícího příkazu vypíšete seznam všech zjištěných hrozeb:

      mdatp threat list

  3. Spusťte test detekce EDR a simulujte detekci, abyste ověřili, že je zařízení správně nasazené a že se hlásí službě. Na nově nasazeném zařízení proveďte následující kroky:

    1. Stáhněte a extrahujte soubor skriptu na nasazený server s Linuxem.

    2. Udělte skriptu oprávnění ke spustitelnému souboru:

      chmod +x mde_linux_edr_diy.sh

    3. Spusťte následující příkaz:

      ./mde_linux_edr_diy.sh

    4. Po několika minutách by měla být v Microsoft Defender XDR vyvolána detekce.

    5. Zkontrolujte podrobnosti o upozornění, časovou osu počítače a proveďte typické kroky šetření.

Kontrola problémů s připojením

Pokud dochází k problémům s připojením, spusťte tento příkaz a proveďte test připojení:

sudo ./defender_deployment_tool.sh --connectivity-test

Spuštění tohoto testu může nějakou dobu trvat, protože provádí kontroly všech adres URL, které nástroj mdatp potřebuje, a zjišťuje případné problémy, pokud k němu dochází. Pokud problém přetrvává, projděte si průvodce odstraňováním potíží.

Řešení potíží s instalací

Při každém spuštění nástroje pro nasazení Defenderu se aktivita zaprotokoluje v tomto souboru:

/tmp/defender_deployment_tool.log

Pokud narazíte na problémy s instalací, nejprve zkontrolujte soubor protokolu. Pokud vám to nepomůže problém vyřešit, zkuste provést následující kroky:

  1. Informace o tom, jak najít protokol, který se automaticky vygeneruje, když dojde k chybě instalace, najdete v tématu Problémy s instalací protokolu.

  2. Informace o běžných problémech s instalací najdete v tématu Problémy s instalací.

  3. Pokud je stav zařízení nepravdivý, přečtěte si téma Problémy se stavem agenta Defenderu for Endpoint.

  4. Informace o problémech s výkonem produktu najdete v tématu Řešení potíží s výkonem.

  5. Informace o problémech s proxy serverem a připojením najdete v tématu Řešení potíží s připojením ke cloudu.

Jak přepínat mezi kanály po nasazení z kanálu

Defender for Endpoint v Linuxu je možné nasadit z jednoho z následujících kanálů:

  • insiders-fast
  • účastníci programu insider -slow
  • prod (produkční)

Každý z těchto kanálů odpovídá úložišti softwaru v Linuxu. Kanál určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém okruhu insiderů jsou první, která obdrží aktualizace a nové funkce, po nich budou později následovat pomalí účastníci programu Insider a nakonec prod.

Ve výchozím nastavení nástroj pro nasazení nakonfiguruje vaše zařízení tak, aby používalo kanál prod. Možnosti konfigurace popsané v tomto dokumentu můžete použít k nasazení z jiného kanálu.

Pokud chcete zobrazit náhled nových funkcí a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala rychlé nebo pomalé účastníky programu Insider. Pokud jste už defender for Endpoint v Linuxu nasadili z kanálu a chcete přepnout na jiný kanál (například z prod na účastníky programu Insider), musíte nejdřív odebrat aktuální kanál, pak odstranit aktuální úložiště kanálu a nakonec nainstalovat Defender z nového kanálu, jak je znázorněno v následujícím příkladu, kde se kanál změní z rychlého na prod:

  1. Odeberte verzi programu Defender for Endpoint pro rychlý kanál insider v Linuxu.

    sudo ./defender_deployment_tool.sh --remove --channel insiders-fast

  2. Odstraňte Defender for Endpoint v úložišti Linux Insiders-fast.

    sudo ./defender_deployment_tool.sh --clean --channel insiders-fast

  3. Nainstalujte Microsoft Defender for Endpoint v Linuxu pomocí produkčního kanálu.

    sudo ./defender_deployment_tool.sh --channel prod

Související obsah

  • Last updated on